변호사가 설명하는 '부정 접근 금지법(Japanese Unfair Access Prohibition Law)'이 금지하는 행위와 사례
부정 접근 금지법 (정식 명칭 ‘부정 접근 행위의 금지 등에 관한 법률’)은 2000년 2월에 시행되어, 2012년 5월에 개정된 것이 현재 유효하게 적용되고 있습니다. 이 법은 사이버 범죄를 예방하고, 또한 전기 통신에 관한 질서를 유지하는 것을 목적으로 한 법률로, 총 14조로 구성되어 있습니다.
‘부정 접근 행위의 금지 등에 관한 법률’ (목적)
제1조 이 법은, 부정 접근 행위를 금지하고, 이에 대한 처벌과 그 재발 방지를 위한 도도부현 공안위원회에 의한 지원 조치 등을 정함으로써, 전기 통신 회선을 통해 이루어지는 전자 계산기에 관한 범죄의 예방 및 접근 제어 기능에 의해 실현되는 전기 통신에 관한 질서의 유지를 도모하고, 고도 정보 통신 사회의 건전한 발전에 기여하는 것을 목적으로 한다.
부정 접근 금지법은 구체적으로 어떤 행위를 금지하고 있는 것일까요? 또한, 실제로 어떤 사례가 있으며, 형사·민사 상에서 어떤 대책을 취해야 할까요? 부정 접근 금지법의 개요와, 피해를 입게 된 경우의 대책에 대해 설명하겠습니다.
부정 접근 금지법에 의해 금지되는 행위
부정 접근 금지법에 의해 금지되고 처벌되는 행위는 크게 다음 세 가지입니다.
- 부정 접근 행위의 금지 (제3조)
- 부정 접근 행위를 조장하는 행위의 금지 (제5조)
- 타인의 식별 코드를 부정하게 획득, 보유, 입력 요구하는 행위의 금지 (제4, 6, 7조)
여기서 말하는 ‘식별 코드’란, 특정 전자 계산기의 특정 사용에 대해 접근 관리자의 사용 권한의 허가를 받은 자 및 접근 관리자마다 정해진 코드로, 접근 관리자가 그 사용 권한자를 다른 사용 권한자와 구별하기 위해 사용하는 것을 말합니다 (제2조 제2항).
식별 코드의 전형적인 예는 ID와 함께 사용되는 비밀번호입니다. 이에 더해, 최근에는 지문이나 눈의 홍채를 통해 본인을 식별하는 시스템도 점차 확산되고 있습니다. 이들도 식별 코드에 해당합니다. 또한, 서명의 형태나 필압 등을 통해 본인임을 식별하는 경우에도, 그 서명을 숫자화하여 코드화한 것이 식별 코드가 됩니다.
부정 접근 행위란?
구체적으로는 제2조 제4항에서 규정하고 있지만, 부정 접근 행위란, 타인의 식별 코드를 악용하는 ‘가장 행위’와 컴퓨터 프로그램의 불완전함을 이용하는 ‘보안 구멍 공격 행위’를 말합니다. 일본의 ‘부정 접근 금지법(Japanese Unauthorized Access Prohibition Law)’에서는 이러한 방법으로 타인의 컴퓨터에 부정하게 접근하는 행위가 금지되어 있습니다.
타인의 식별 코드를 악용하는 행위
일명 ‘가장 행위’란, 타인의 식별 코드를 악용하여 원래 접근 권한이 없는 컴퓨터를 이용하는 것을 말합니다.
즉, 특정 컴퓨터 시스템을 이용할 때 컴퓨터 상에서 ID나 비밀번호 등의 식별 코드를 입력해야 하는데, 이때 정당한 이용 권한을 가진 타인의 식별 코드를 본인의 동의 없이 입력하는 행위를 말합니다.
조금 이해하기 어려울 수 있지만, 여기서 말하는 ‘타인의’란 이미 타인이 생성(및 사용)하고 있는 ID나 비밀번호를 말하며, ‘가장 행위’란 간단히 말해, 타인이 이미 사용하고 있는 예를 들어 트위터 등의 SNS 계정 등을 ‘해킹’하는 행위를 말합니다.
또한, 본인의 동의 없이 식별 코드를 입력한 것이 요건이 되므로, 예를 들어 출장 중에 회사에 있는 동료에게 자신의 비밀번호 등을 알려주어 대신 이메일 등을 확인하게 하는 경우에는 본인의 동의를 얻었기 때문에 부정 접근 방지법에 위반되지 않습니다.
일반적으로 ‘가장’이라고 하면, 타인의 성명이나 얼굴 사진 등을 이용하여 새로운 계정을 생성하고, 그 타인처럼 행동하여 트위터 등의 SNS를 이용하는 행위를 가리키지만, 부정 접근 금지법에서 금지하는 행위는 이와 다릅니다. 일반적인 의미의 ‘가장’에 대해서는 아래 기사에서 자세히 설명하고 있습니다.
https://monolith.law/reputation/spoofing-dentityright[ja]
컴퓨터 프로그램의 불완전함을 이용하는 행위
‘보안 구멍 공격 행위’란, 타인의 컴퓨터의 보안 구멍(안전 대책상의 불완전함)을 공격하여 그 컴퓨터를 이용할 수 있게 하는 행위입니다. 공격용 프로그램 등을 이용하여 식별 코드 이외의 정보나 지시를 공격 대상에게 제공하여, 타인의 컴퓨터의 접근 제어 기능을 우회하고, 동의 없이 컴퓨터를 이용합니다.
여기서 말하는 접근 제어 기능이란, 특정 전자 계산기의 특정 이용을 정당한 이용 권한자 이외의 사람이 할 수 없도록 제한하기 위해, 접근 관리자가 특정 전자 계산기 또는 특정 전자 계산기와 전기 통신 회선으로 연결된 전자 계산기에 부여한 기능을 말합니다(제2조 제3항).
이해하기 쉽게 설명하면, 컴퓨터 시스템에 접근하려는 사람에게 네트워크 상에서 ID 및 비밀번호 등을 입력하게 하고, 올바른 ID 및 비밀번호 등이 입력된 경우에만 이용할 수 있게 하는 구조를 말합니다.
따라서, ‘보안 구멍 공격 행위’란, 이 구조를 무효화함으로써, 올바른 ID 및 비밀번호 등의 입력 없이 해당 컴퓨터 시스템을 이용할 수 있게 하는 것을 말합니다.
부정 접근 행위의 2가지 유형
위와 같이 부정 접근 행위에는 두 가지 유형이 있습니다.
주의해야 할 점은, 어떤 유형이든 부정 접근 행위라고 할 수 있으려면, 컴퓨터 네트워크를 통해 이루어져야 한다는 점입니다. 따라서, 네트워크에 연결되어 있지 않은, 일명 스탠드얼론의 컴퓨터에 대해 동의 없이 비밀번호 등을 입력하여 이용한 경우에는 부정 접근 행위에 해당하지 않습니다.
물론, 컴퓨터 네트워크에는 인터넷 등의 오픈 네트워크뿐만 아니라, 사내 LAN과 같은 클로즈드 네트워크도 포함됩니다.
또한, 부정 접근에 의해 이루어지는 부정 이용의 내용에는 제한이 없으며, 예를 들어 무단 주문, 데이터 열람, 파일 전송 등 외에도 홈페이지의 수정 등을 하는 경우에도 부정 접근 금지법에 위반됩니다.
이러한 두 가지 부정 접근 행위를 저지르면, ‘3년 이하의 징역 또는 100만 엔 이하의 벌금’이 부과될 수 있습니다(제11조).
부정 접근 행위를 조장하는 행위란
부정 접근 금지법(Japanese Unauthorised Access Prohibition Law)에서 금지하는 부정 접근 행위를 조장하는 행위란, 타인의 ID나 비밀번호를 본인의 동의 없이 제3자에게 제공하는 것입니다. 전화나 이메일, 홈페이지를 통한 방법에 상관없이, ‘○○의 ID는 ××, 비밀번호는 △△’ 등과 같이 타인에게 알리거나 공지하여, 타인이 임의로 다른 사람의 데이터에 접근할 수 있게 하는 경우, 부정 접근 조장 행위에 해당합니다.
부정 접근 행위를 조장하는 행위를 하게 되면, ‘1년 이하의 징역 또는 50만 엔 이하의 벌금’이 부과될 수 있습니다(제12조 2호).
또한, 부정 접근이라는 목적을 모르고 비밀번호를 제공했을 때에도, 30만 엔 이하의 벌금이 부과될 수 있습니다(제13조).
타인의 식별 코드를 부정하게 획득·보관·입력 요구하는 행위란?
일본의 ‘부정 접근 금지법(Japanese Unauthorized Access Prohibition Law)’에서는, 타인의 식별 코드(ID·비밀번호)를 부정하게 획득·보관, 입력 요구하는 행위를 금지하고 있습니다.
- 제4조 타인의 식별 코드를 부정하게 획득하는 행위의 금지
- 제6조 타인의 식별 코드를 부정하게 보관하는 행위의 금지
- 제7조 타인의 식별 코드를 부정하게 입력 요구하는 행위의 금지
이 금지 행위의 대표적인 예가 ‘입력 요구 행위’로, 이는 일명 피싱 행위입니다. 예를 들어, 금융 기관을 가장하여, 진짜와 똑같은 가짜 홈페이지에 피해자를 유도하고, 그 가짜 홈페이지에서 피해자의 비밀번호나 ID 등을 입력하게 하는 것입니다.
피싱 행위로 획득한 식별 번호를 이용하여, 경매 사기에 이용되거나, 또는 예금이 무단으로 다른 계좌로 이체되는 등의 사기 피해가 잦습니다.
이러한 행위를 하게 되면, 1년 이하의 징역 또는 50만 엔 이하의 벌금이 부과됩니다(제12조 4호).
부정 접근 행위 이외의 사이버 범죄를 규제하는 법률은 무엇인가
이처럼, 부정 접근 금지법은 일명 ‘사이버 범죄’ 중 일부 유형에 대응하기 위한 법률입니다. ‘사이버 범죄’ 전체에 대해 말하자면, 전자 계산기 손상 등 업무 방해죄, 기만 업무 방해죄, 명예 훼손죄 등, 다른 법률들도 문제가 될 수 있는 경우가 있습니다. 사이버 범죄의 전체적인 상황에 대해서는 아래 기사에서 자세히 설명하고 있습니다.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
접근 관리자의 의무
부정 접근 금지법에 의해 정의된 의무에 대해 설명하겠습니다. 접근 관리자란, 전기통신 회선에 연결되어 있는 전자 계산기의 사용에 대해 특정 전자 계산기의 작동을 관리하는 자를 말합니다(제2조 제1항).
여기서 말하는 관리란, 특정 전자 계산기를 네트워크를 통해 이용하게 할 때, 누구에게 이용하게 할 것인지 그리고 그 이용의 범위에 대해 결정하는 것을 말합니다. 이러한 이용자나 이용 범위를 결정하는 권한을 가진 자가 부정 접근 금지법 상의 접근 관리자라는 것입니다.
예를 들어, 기업이 어떤 컴퓨터 시스템을 운영하고 있는 경우에는, 직원 중에서 시스템 담당자를 선임하여 관리를 시키지만, 각각의 시스템 담당자는 결국 기업의 의사에 따라 관리를 하고 있는 것에 불과합니다. 따라서, 이러한 경우에서 접근 관리자란, 시스템 담당자가 아니라 컴퓨터 시스템을 운영하는 기업이 됩니다.
부정 접근 금지법은, 부정 접근 행위와 벌칙을 정의하는 것뿐만 아니라, 서버 등의 관리에도 부정 접근을 방지하는 관리자의 의무를 부과하고 있습니다.
접근 관리자에 의한 방어 조치
제8조 접근 제어 기능을 특정 전자 계산기에 부가한 접근 관리자는, 해당 접근 제어 기능에 관련된 식별 코드 또는 이를 해당 접근 제어 기능에 의해 확인하기 위해 사용하는 코드의 적절한 관리에 노력하며, 항상 해당 접근 제어 기능의 유효성을 검증하고, 필요하다고 인정할 때는 신속하게 그 기능의 고도화 그 밖에 해당 특정 전자 계산기를 부정 접근 행위로부터 방어하기 위해 필요한 조치를 취하도록 노력해야 한다
‘식별 코드를 적절하게 관리하는 것’, ‘항상 접근 제어 기능의 유효성을 검증하는 것’, ‘필요에 따라 접근 제어 기능의 고도화’가 의무화되어 있지만, 이들은 노력 의무이므로, 이러한 조치를 게을리했다고 해서 벌칙이 있는 것은 아닙니다.
그러나, 관리자는 ID나 비밀번호가 유출된 흔적이 있다면, 신속하게 계정 삭제나 비밀번호 변경 등의 접근 제어를 실시해야 합니다.
부정 접근을 받았을 경우의 대책
이메일이나 SNS 등을 이용하는 경우, 타인으로부터 부정 접근 피해를 받을 수 있습니다. 이런 경우, 어떤 대처가 가능할까요?
형사고소하기
먼저, 부정 접근한 상대를 형사고소할 수 있습니다. 부정 접근은 범죄이며, 부정 접근한 사람은 형사 처벌을 받게 됩니다. 위에서 설명한 것처럼, 본인은 3년 이하의 징역 또는 100만 엔 이하의 벌금형을 받을 가능성이 있으며, 부정 접근을 조장한 사람이 있다면, 1년 이하의 징역 또는 50만 엔 이하의 벌금형을 받을 가능성이 있습니다.
또한, 부정 접근 금지법 위반은 비친고죄이므로, 고소가 없어도 경찰이 그 사실을 알게 되면 수사를 시작하고, 범인을 체포할 수 있습니다. 또한, 부정 접근을 받은 본인이 아니더라도, 그 사실을 알게 된 사람은 경찰에 고발할 수 있습니다.
또한, 업무방해죄에 대한 기사에서도 언급했듯이, 친고죄는 ‘피해자에 의한 형사고소가 없으면 기소할 수 없는 범죄’이지만, ‘친고죄가 아니면 고소할 수 없다’는 것은 아닙니다. 비친고죄의 경우에도, 피해자는 범인을 고소할 수 있습니다.
비친고죄라 하더라도, 피해자가 형사고소하면 피의자의 상황은 악화되고, 처벌이 무거워질 가능성이 있습니다. 만약 부정 접근당했다는 것을 알았다면, 변호사에게 상담하고, 경찰에 피해신고서나 고소장을 제출하는 것이 좋습니다. 피해신고서를 접수하면, 경찰은 신속하게 수사를 진행하고, 피의자를 체포하거나 송치하게 됩니다.
민사 손해배상 청구하기
부정 접근에 의한 피해를 받은 경우, 가해자에 대해 민사적으로는, 민법 709조에 따라, 손해배상을 청구할 수 있습니다.
민법 제709조
고의 또는 과실로 타인의 권리 또는 법률상 보호되는 이익을 침해한 자는, 이로 인해 발생한 손해를 배상할 책임을 진다.
가해자가 부정 접근하여, 그곳에서 얻은 개인 정보를 확산한 경우, 소셜 게임의 아이템을 훔친 경우, 신용카드나 은행 계좌 등의 데이터에 접근하여, 재산적 피해를 발생시킨 경우 등에는, 위로금 등을 청구하여 손해배상 청구를 하십시오. 물론, 신용카드나 은행 계좌 등의 데이터에 접근되어, 실제로 재산적 피해가 발생한 경우에는, 그러한 배상 청구도 가능합니다
그러나, 가해자에게 손해배상 청구를 하기 위해서는, 범인을 특정해야 하며, 그 범인이 실제로 부정 접근을 했다는 증거를 모아야 하므로, 고도의 전문적 지식이 필요합니다. 부정 접근에 의한 피해를 받았다면, 인터넷 문제에 대한 경험이 풍부한 변호사에게 상담하고 절차를 의뢰하는 것이 필요합니다.
요약
불법 접근 금지법(Japanese Unauthorised Access Prohibition Law)은 앞으로 IT화가 진행되는 현대 사회에서 점점 더 중요한 의미를 가지게 될 것입니다. 그러나 실제로 불법 접근에 의한 피해를 입었을 경우에도 피해자 자신이 가해자를 특정하는 것은 기술적으로 어려운 경우가 많습니다.
또한, 불법 접근 금지법 위반은 형사 처벌의 대상이므로 경찰에 피해 신고를 하는 경우도 있지만, 새로운 범죄 유형이기 때문에 반드시 경찰이 즉시 사건을 이해해주는 것은 아닙니다. 이 때문에, 피해 신고를 할 때에는 경찰의 이해를 돕기 위해 법적 관점과 기술적 관점에서 세심한 설명이 필요합니다. 이런 의미에서, 불법 접근 금지법에 대한 대응은 매우 전문성이 높기 때문에, IT의 기술적 측면에도 능통한 변호사에게 상담하는 것이 중요하게 됩니다.
Category: IT
Tag: CybercrimeIT
