도스(DoS)는 범죄인가? 변호사가 전자 계산기 파손 등 업무 방해죄에 대해 설명합니다
전자계산기 손상 등 업무방해죄는 쇼와 62년(1987년)에 신설되었습니다. 당시, 사회경제의 고도성장과 기술발전으로 인해, 사무실에도 컴퓨터가 많이 도입되었습니다.
기존에는 사람에 의해 수행되던 작업이 컴퓨터를 통해 이루어지게 되었고, 업무의 범위 또한 확대되어 컴퓨터에 피해를 입히는 업무방해가 예상되었습니다. 이에 대응하기 위해 해당 법이 신설되었습니다.
그러나, 제정 당시에는 컴퓨터가 발전 중이었고, 또한 인터넷도 보급되지 않아, 인터넷 범죄를 구체적으로 예측하기가 어려웠습니다. 더욱이 이 법은 컴퓨터 공학이나 정보과학, 일반사회에서 사용되는 용어를 사용하지 않고, 형법처럼 보이는 용어로 규정하고 있어, 다양한 해석이 가능했기 때문에, 일반시민은 알기 어려운 규정이었습니다.
또한, 이 범죄는 사이버 범죄 중에서 컴퓨터 범죄라고 불리는 유형의 범죄에 대응하는 것으로 일반적으로 인식되고 있습니다.
본 기사에서는 전자계산기 손상 등 업무방해죄에 대한 자세한 내용을 쉽게 설명하겠습니다.
DoS 공격이란?
DoS 공격(Denial of Service attack)은 사이버 공격의 한 종류로, 공격 대상의 웹사이트나 서버에 대량의 데이터나 부정 데이터를 보내 과도한 부하를 가해, 상대방의 시스템을 정상적으로 작동하지 못하게 만드는 공격입니다. 부정접근이나 바이러스를 통해 시스템 제어권을 빼앗는 것이 아니라, 정상위탁자의 접근권한을 방해합니다. 오래된 공격방법이지만, 분산형 공격방법인 DDoS 공격(Distributed Denial of Service attack)에도 사용되며, 최근에도 피해가 적지 않습니다.
DoS 공격의 종류
DoS 공격은 ‘플러드형’과 ‘취약점형’의 두 가지로 나뉩니다.
플러드는 영어 ‘Flood'(=홍수)에서 유래하였으며, 프로토콜을 공략하여 대량의 데이터를 보내, 공격대상이 처리하지 못하게 만드는 것입니다.
반면, 취약점형은 서버나 애플리케이션의 취약점을 이용하여 부정처리 시키고, 기능을 중단시키는 것입니다. 이는 일반적으로 부정접근과의 구분이 모호하지만, 예를 들어, 대표적인 취약점형 DoS 공격인 LAND 공격은 송신원과 수신지의 IP 주소와 포트 번호가 일치하는 패킷을 보내는 것입니다. 조금 더 쉽게 설명하면, 공격자 A가 공격대상인 서버 B에게 ‘나는 B이므로 답장을 원한다’는 내용의 패킷을 보내면, B는 자신에게 ‘답장’을 하고, 그 답장을 받은 B가 다시 자신에게 ‘답장’을 하고… 이런 현상이 반복되어 무한루프가 발생하는 것입니다. 이는 ‘자신이 송신원인 패킷에 대해서도 답장을 하는’ 취약점을 이용하는 것이지만, 비밀번호 인증 등을 우회하는 것이 아니므로 ‘부정 접근’이 아니라 ‘취약점형 DoS 공격’으로 분류됩니다.
또한, DDoS 공격은 수천 대의 컴퓨터를 원격 조작하여 각각에서 플러드형 DoS 공격을 하는 분산형 방법입니다.
DoS 공격의 원리
DoS 공격의 원리는 일반적으로 TCP/IP 범위 내에서 정당하게 인정되는 것을 한 번에 빈번하게 반복하는, 기술적으로는 단순한 것입니다. 예를 들어, 인기 아이돌의 공연 티켓을 일반판매로 구매하려고 판매 페이지에 접속하면, 동시에 많은 사람들이 접속하여 사이트가 느려지거나 다운되어 접속이 어려워지는 현상이 있습니다. DoS 공격은 정당한 권한을 악용하여 이러한 상황을 고의적으로 만드는 공격입니다.
DoS 공격은 일본의 ‘전자계산기 손상 등 업무방해죄’에 해당하는가
그렇다면, DoS 공격은 범죄에 해당하는 것일까요? 앞서 언급한 ‘전자계산기 손상 등 업무방해죄’에 해당하는지 검토해보겠습니다.
다른 사람의 업무에 사용하는 전자계산기나 그에 사용되는 전자기적 기록을 손상시키거나, 다른 사람의 업무에 사용하는 전자계산기에 거짓 정보나 부정한 명령을 주거나, 또는 그 외의 방법으로 전자계산기가 사용 목적에 맞는 동작을 하지 못하게 하거나, 사용 목적에 반하는 동작을 하게 해서 다른 사람의 업무를 방해한 자는 5년 이하의 징역 또는 100만 엔 이하의 벌금에 처한다.
형법 제234조의2 제1항 (전자계산기 손상 등 업무방해)
이처럼, ‘전자계산기 손상 등 업무방해죄’의 성립에는, 객관적 요건으로서,
- 전자계산기에 대한 가해 행위
- 전자계산기의 동작 방해
- 업무 방해
의 3가지를 충족하고, 주관적으로 이에 고의성이 있을 경우 법죄가 성립됩니다.
객관적 구성요건 충족성
아래에 대해 개별적으로 검토해보겠습니다.
전자계산기에 대한 가해 행위
가해행위(실행 행위)로서는,
- ‘전자계산기 또는 그에 사용되는 전자기적 기록의 손상’
- ‘전자계산기에 거짓 정보 또는 부정한 명령을 주는 것’
- ‘또는 그 외의 방법’
중 어느 하나에 해당해야합니다.
이에 대해, ‘전자계산기’에 대해서는 판례(후쿠오카고등법원 판결 헤이세이 12년 9월 21일)가 정의를 제시하고 있으며, 자동으로 계산이나 데이터 처리를 수행하는 전자장치를 의미하며, 오피스 컴퓨터나 개인용 컴퓨터, 제어용 컴퓨터 등이 대표적인 것이라는 점에는 논란이 없습니다. 또한 전자기적 기록에 대해서는 형법 제7조의2에서 정의가 제시되어 있습니다. DoS 공격의 대상인 서버는 당연히 이에 해당한다고 할 수 있습니다.
‘손상’이란 물리적인 파괴뿐만 아니라 데이터의 삭제 등, 물건의 효용을 해치는 모든 행위를 의미합니다. ‘거짓정보’는 내용이 진실에 반하는 것을 의미합니다. ‘부정한 명령’은 권한없이 해당 컴퓨터가 처리 가능한 명령을 주는 것을 의미합니다. 예를 들어, 플러드형 DoS 공격을 대량 및 집중적으로 수행하면, 공격대상의 서버가 과부하되어 정상적인 처리가 실행되지 않는 상태가 됩니다. 이러한 공격은 데이터를 삭제하는 등 ‘손상’에 이르지 않아도, 서버 주인의 의도에 반하는 접근이며, 권한없이 명령을 주고 있는 것으로서 ‘부정한 명령’에 해당한다고 할 수 있습니다.
전자계산기의 동작 방해
‘사용목적에 맞는 동작을 못하게 하거나’ 또는 ‘사용목적에 반하는 동작을 하게 하는’ 것에 해당하는지가 문제가 됩니다. 누구에게의 사용목적을 전제로 해야하는지에 대한 논란이 있지만, 이 범죄으 ㅣ보호법익이 업무의 안전하고 원활한 진행이라는 점에서, 설치자의 목적을 전제로 해야한다고 생각할 수 있습니다. DoS 공격이 수행되고 서버에 과부하가 걸리면, 서비스 이용이 불가능해지는 등, 서버 설치자가 목표로 한 적절한 처리동작이 수행되지 않게될 수 있습니다. 이런 경우, ‘사용목적에 맞는 동작’이 이루어지지 않는 것으로 볼 수 있으며, 동작방해에 해당합니다.
업무방해
‘전자계산기 손상 등 업무방해죄’는 업무방해죄(형법 제233조, 제234조)의 가중형입니다. 따라서 이 업무 방해에 대해서는 일반적인 업무방해죄와 동일하게 고려합니다. 즉, ‘업무’란 사회생활상의 지위에 기반하여 반복적으로 이어지는 사무를 의미하며, ‘방해’가 되기위해서는 실제로 업무를 해치지않아도 됩니다. DoS 공격이 수행되면, 설치자가 서버를 사용하여 인터넷상에서 서비스를 제공하는 ‘업무’가 방해받게 되므로, 업무방해에 해당합니다.
주관적 요건(고의) 충족성
이러한 요건들을 충족한 상태에서, 고의(형법 제38조 제1항 본문)가 인정되어야 합니다. 고의란, 위에서 언급한 ①부터 ③까지(구성요건)에 해당하는 사실을 인식하고 인정하는 것을 의미합니다. 이는 상대를 방해하는 악의나 해의를 가지고 있어야 하는 것은 아니며, 그런 의도가 없더라도 ‘서버가 다운되어 서비스가 이용 불가능해질지도 모른다’는 인식이 있다면, 고의가 인정될 수 있는 것입니다.
오카자키 시립 중앙 도서관 홈페이지 대량 접속 사건
이와 관련하여, “오카자키 시립 중앙도서관 홈페이지 대량접속사건(본명 Librahack 사건)”을 소개하겠습니다.
아이치현 내의 한 남성(39세)이 자작 프로그램으로 도서관 홈페이지에서 신간 도서 정보를 수집하다가 사이버 공격을 한 것으로 의심되어 체포되었습니다. 그러나 아사히 신문이 의뢰한 전문가의 분석에 따르면, 도서관 소프트웨어에 결함이 있어 대량 접속에 의한 공격을 받은 것처럼 보였던 것으로 밝혀졌습니다. 같은 소프트웨어를 사용하는 전국 6곳의 도서관에서도 같은 문제가 발생했음이 확인되었습니다. 소프트웨어 개발 회사는 전국 약 30개 도서관에서 수정 작업을 시작했습니다.
아사히 신문 나고야판 아침반(2010년 8월 21일)
이 문제는 아이치현 오카자키 시립 도서관에서 발생했습니다. 소프트웨어에는, 도서 데이터를 호출할 때마다 컴퓨터 처리가 계속 진행 중인 상태가 되어, 전화 통화 후에 수화기를 올려놓은 것처럼 보이는 결함이 있었습니다. 일정 시간이 지나면 강제로 연결이 끊어지지만, 해당 도서관에서는 10분 동안 접속이 약 1,000건을 초과하면 홈페이지를 열람할 수 없게 되어, 대량 접속을 받은 것처럼 보였습니다.
남성은 소프트웨어 엔지니어로, 오카자키 시립 도서관에서 매년 약 100권을 대여하고 있었습니다. 도서관의 홈페이지는 사용하기 불편하여, 신간 도서 정보를 매일 수집하는 프로그램을 만들어 3월부터 사용하기 시작했습니다.
도서관에는 그 이후로 “홈페이지에 접속할 수 없다”는 시민들의 불만이 있었습니다. 상담을 받은 아이치현 경찰은, 처리 능력을 초과하는 요청을 고의로 보냈다고 판단하여, 업무 방해 혐의로 남성을 체포했습니다. 나고야 지검 오카자키 지부는 6월, “업무 방해의 강한 의도는 인정되지 않는다”고 하여 기소유예 처분을 내렸습니다.
이 사건에서 체포된 남성은 오카자키 시립 중앙도서관의 이용자였으며, 도서관 웹사이트의 신간도서 정보를 수집하기 위해 행동했을 뿐, 도서관의 업무를 방해하려는 의도는 없었습니다. 그리고 접속빈도도 초당 1회 정도로 낮아, 일반적으로는 DoS 공격에 해당하지 않는 수준이었지만, 도서관의 서버에 결함이 있어 이 정도에서도 시스템장애가 발생했습니다.
악의가 없다고 해도, DoS 공격에 해당하는 실행 행위로 도서관의 서버를 다운시키고 그 업무를 방해한 것은 인정될 수 있으므로, 객관적 요건을 살펴보겠습니다. 그리고 고의에 대해서는, 앞서 언급한 것처럼 악의가 없어도 고의가 인정될 수 있습니다. 경찰은, 이 남성이 컴퓨터에 능통한 기술자이므로, 대량의 요청을 보내면 도서관의 서버에 영향이 나타날 가능성을 인식했음에도 불구하고 대량의 요청을 보냈으므로, 고의가 있었다고 판단하고, 범죄가 성립할 수 있다고 판단한 것 같습니다.
사건의 문제점 및 비판
남성이 행하고 있던 공개 웹사이트의 데이터를 기계적으로 수집하는 방법은 널리 일반적으로 사용되고 있으며, 그 프로그래밍 자체에는 불법성이 없습니다. 이 남성은 사건의 경과에 대해 자신의 사이트에서 경과와 의도를 설명하고 있지만, 그 내용을 보면, “범죄”라고 부를 수 있는 도덕적 비난에 가치하는 점은 없으며, 이러한 기술을 사용하는 많은 기술자들을 놀라게 하고, 또한 많은 비판과 우려가 논의되었습니다.
예를 들어, 공립 도서관의 공개 웹이라는 불특정 다수의 사람들이 이용하는 사이트인데, 그 서버가 1초에 1회 접속으로 다운되는 결함을 가지고 있다면 너무나도 빈약하고 취약하며, 보통 갖추어야 할 강력한 서버가 있었다면, 남성은 체포되지 않았을 것이라는 지적입니다.
또한 남성에게 ‘복수’나 ‘짜증’과 같은 공격이나 업무 방해의 의도, 명백하게 일반적인 이용 방법과 다른 대량의 데이터 전송 등, 명백하게 범죄적인 요소가 없음에도 불구하고 범죄가 성립할 수 있는 규정이라는 입법상의 문제점입니다. 또한 법의 운용과 인터넷의 이용 실상의 괴리라는 지적입니다. 예를 들어 같은 1만 회의 접속이라도, 인터넷이나 정보 처리 기술에 능통한 사람의 인상과, 경찰이나 검찰을 포함한 일반인의 인상은 다르기 때문에, 그러한 감각의 괴리가 수정되지 않은 채로 운용되는 것은 문제라는 것입니다. 또한, 이 남성처럼 누구나 체포될 가능성을 가지고 있다면, 자유로운 인터넷의 활용이나 발전, 산업이 위축되지 않을까 하는 우려와 불안감도 지적되고 있습니다.
남성은, 업무 방해의 강한 의도가 인정되지 않아, 결과적으로 기소유예 처분이 되었지만, 20일 동안 체포·구류로 조사를 받고, 신체적 구속을 받았습니다. 또한 체포 당시에는 실명 보도가 이루어졌습니다. 또한, 기소유예 처분은, 불기소 중에서도 ‘혐의 부족’과는 다르게, ‘범죄는 있었지만 악질성이 낮거나, 깊이 반성하고 있다는 등의 이유로 이번에는 기소를 보류한다’는 유형으로, 즉 범죄를 저질렀다고 판단된 것입니다. 이처럼, 기소되지 않았음에도 불구하고, 사회적으로 큰 불이익을 받았다는 것은 문제입니다.
요약
이처럼, DoS 공격에는 ‘전자계산기 손상 등 업무방해죄'(일본의 전자계산기 손상 등 업무방해죄)가 성립될 수 있습니다. 그러나, 그 법률의 운용에는 몇 가지 문제점도 있으며, 소개한 일련의 사건처럼 악질적이라고는 말하기 어려운 것에도 범죄가 성립될 위험이 있습니다. 제정 당시와 달리, 현재는 많은 사람들이 스마트폰이나 컴퓨터 등의 인터넷 단말기를 소유하고, 인터넷 사회가 급속히 발전하고 있습니다. 이러한 문제점을 극복하고, 인터넷상에서의 자유를 보호하기 위해서, 법률운용을 개선하거나 새로운 입법조치의 검토가 필요하다고 하 수 있습니다.
회사서버가 DoS 공격 등의 사이버 공격으로 피해를 입은 경우, 경찰에 수사를 촉구합니다. 그러나, 기술적으로 매우 고도의 문제가 되는 경우가 많으며, 상기 언급한 도서관의 사례처럼, IT와 법률의 양쪽 모두의 지식과 노하우를 갖춘 사람이 아니면 적절한 대처가 어려울 수 있습니다.
민사적 해결방법의 하나로, 가해자를 특정할 수 있다면, 해당 가해자에 대한 손해배상 청구가 가능하므로, 인터넷, 비즈니스에 능통한 변호사와의 상담을 진행하는 것을 추천드립니다.
Category: IT
Tag: CybercrimeIT