변호사가 설명하는 '부정 접근 금지법의 처벌과 시효'에 대해
PC와 스마트폰의 보급이 확산되고 인터넷에 대한 의존도가 증가함에 따라, 불법 접근 등의 사이버 범죄는 증가하는 추세입니다. 불법 접근에 대한 처벌과 시효에 대해서는 일본의 ‘불법 접근 금지법’ (불법 접근 행위의 금지 등에 관한 법률)과 ‘형사 소송법’에 규정이 있습니다.
불법 접근 금지법을 위반한 경우, 어떤 처벌이 부과되는지 궁금하실 것입니다. 또한, 불법 접근 금지법 위반에 해당하는 범죄에는 시효가 있는지도 궁금하실 것입니다.
부정 접근 금지법이란?
부정 접근 금지법이란, 사이버 범죄의 예방과 접근 제어 기능을 통해 인터넷에 관한 질서를 유지하고, 고도 정보통신 사회의 건전한 발전에 기여하기 위해 제정된 법률입니다. (제1조)
부정 접근 금지법에서는, 다음의 행위가 금지되어 있습니다.
- 부정 접근 행위 (제3조)
- 부정 접근 행위를 조장하는 행위 (제5조)
- 타인의 식별 코드를 부정하게 획득·보유하는 행위 (제4, 6조)
- 타인의 식별 코드 입력을 부정하게 요구하는 행위 (제7조)
제3조의 부정 접근 행위란, ‘부정 로그인’과 ‘보안 구멍 공격’을 가리킵니다. 부정 로그인이란, 타인의 ID나 비밀번호를 무단으로 입력하여, 타인의 SNS 계정 등에 로그인하는 행위입니다. 보안 구멍 공격이란, 네트워크에 연결된 컴퓨터에 존재하는 보안상의 결함을 공격하는 것을 말합니다.
부정 접근 행위를 조장하는 행위란, 타인의 ID나 비밀번호 등을, 본인의 동의 없이 제3자에게 제공하여, 그 계정 등에 대한 부정 접근이 가능한 상태로 만드는 것입니다.
타인의 식별 코드를 부정하게 획득하는 행위란, 부정 접근을 위해 타인의 ID나 비밀번호 등을 획득하는 행위로 규정되어 있습니다. 또한, 타인의 식별 코드를 부정하게 보유하는 행위란, 부정 접근을 위해, 부정하게 획득된 타인의 ID나 비밀번호를 보유하는 것입니다.
타인의 식별 코드 입력을 부정하게 요구하는 행위란, 소위 피싱 행위입니다. 피싱 행위란, 실재하는 금융 기관 등의 사이트를 흉내 낸 가짜 사이트로 유도하여, ID, 비밀번호, 신용카드 번호 등의 개인 정보를 입력하게 해서 속여 빼앗는 행위입니다.
부정 접근 금지법의 세부 사항이나 사례에 대해서는, 아래 기사에서 자세히 설명하고 있습니다.
https://monolith.law/reputation/access-law-password[ja]
부정 접근 금지법의 처벌 규정
부정 접근 행위(제3조)를 행한 경우, 3년 이하의 징역 또는 100만 엔 이하의 벌금이 부과됩니다(제11조).
부정 접근 행위를 조장하는 행위(제5조), 타인의 식별 코드를 부정하게 획득·보유하는 행위(제4, 6조) 및 타인의 식별 코드 입력을 부정하게 요구하는 행위(제7조)를 행한 경우, 1년 이하의 징역 또는 50만 엔 이하의 벌금이 부과됩니다(제12조).
그러나, 부정 접근을 조장하는 행위에 대해서는, 부정 접근을 위해 사용하는 목적이라는 것을 모르고 타인의 ID나 비밀번호를 제공한 경우, 30만 엔 이하의 벌금이 부과됩니다(제13조).
부정 접근 금지법 위반에 따른 처벌은, 부정 접근 외의 범죄를 실행하거나, 실행할 의사가 없었더라도 대상이 됩니다. 즉, 부정 접근 행위 자체가 처벌의 대상이 됩니다. 예를 들어, 부정 접근 행위의 ‘부정 로그인’인 경우, 타인의 ID나 비밀번호를 입력하는 행위만으로도 벌금을 부과받게 됩니다. 부정 로그인을 한 후, 타인의 개인 정보를 악용하거나, 유출하지 않았더라도 처벌을 받게 됩니다.
부정 접근 금지법 위반으로 처벌된 사례
그렇다면, 부정 접근 금지법 위반으로 유죄 판결이 내려져 처벌된 사례에는 어떤 것들이 있을까요?
아래에는 실제 사례를 소개하겠습니다.
사이버 공격에 의한 개인 정보 유출 사건
컴퓨터 소프트웨어 저작권 협회(ACCS)의 서버에서 개인 정보를 부정하게 획득한 혐의로, 부정 접근 금지법 위반으로 기소된 전 대학 연구원의 판결 공판이 도쿄 지방법원에서 진행되었고, 징역 8개월, 집행 유예 3년(구형·징역 8개월)의 판결이 내려졌습니다.
전 연구원은 CGI 폼 전송용 HTML을 변조하여 서버 내의 개인 정보 파일에 접근한 것을 인정하고 있었으며, 이 행위가 부정 접근에 해당하는지 여부가 논점이었습니다. 재판장은 “문제의 파일에는 FTP 서버에서 ID와 비밀번호를 입력하여 접근하는 것이 일반적이며, CGI를 통한 접근은 부정 접근 행위에 해당한다”고 인정했습니다.
또한, 전 연구원은 보안 이벤트에서 사이트 공격 방법을 발표하고 있었습니다. 전 연구원은 부정 접근 방법을 발표한 것에 대해 “서버 관리자의 보안 대책을 촉진하기 위함”이라고 주장하였지만, 재판장은 “그 목적이라 하더라도, 관리자 측에 수정 기회를 주지 않고 발표한 것은 정당화할 수 없다. 모방범도 등장하고 있으며, 고도 정보 통신 사회의 발전을 방해하는 것은 명백하다”고 판단하였습니다.
집행 유예를 부여한 이유에 대해서는 “같은 보안 구멍을 가진 프로그램이 많고, 서버 관리자 측도 적절한 대책을 취해야 한다. 피고인은 이미 사회적 제재를 받았으며, 개인 정보가 유출되지 않았는지 확인하는 등 피해의 추가 확대를 방지하고 있다”고 밝혔습니다.
한편, 전 연구원은 유죄 판결에 불복하여 항소하였지만, 항소를 철회하여 유죄가 확정되었습니다.
대학에 대한 부정 접근 사건
재학 중이던 대학 네트워크의 비밀번호를 변경하여 부정하게 로그인한 혐의로, 부정 접근 금지법 위반 등의 죄로 기소된 회사원의 판결은 징역 1년 6개월, 집행 유예 3년(징역 1년 6개월)이었습니다.
재판관은 “다른 학생을 가장하여 이메일을 보내거나, 수강 등록을 변경하는 등, 실제 피해나 불편을 주었다”고 비판하였습니다. 한편, 대학에 사과하고 반성의 태도를 보여주고 있어서 집행 유예가 부여되었습니다.
연예인의 이메일 및 SNS에 대한 부정 접근 사건
여러 여성의 이메일이나 SNS 등에 부정하게 접근하여 개인 정보를 얻은 혐의로, 부정 접근 금지법 등의 죄로 기소된 피고인에게 내려진 판결은 징역 2년 6개월, 집행 유예 4년(구형 징역 2년 6개월)이었습니다.
재판관은 “여성의 개인 정보를 보고 싶어서 비밀번호를 추측하여 부정 접근한 동기나 과정에 고려할 사항은 전혀 없다”고 지적하였습니다. 한편, “전과가 없고, 해고 등의 사회적 제재도 받고 있다”고 하여, 집행 유예를 부여한 이유를 설명하였습니다.
고객 정보 유출 사건
증권 회사의 고객 정보 약 148만 명분을 부정하게 획득한 등의 혐의로, 부정 접근 금지법 위반과 절도의 죄로 기소된 동사 시스템 부 전 직원에게는 징역 2년의 실형 판결이 내려졌습니다.
판결에 따르면, 전 직원은 다른 직원의 ID와 비밀번호를 입력하여 고객 정보가 저장되어 있는 서버에 부정 접근하여 고객 정보를 획득하고, 고객 정보와 기업 개요 정보를 기록한 CD-R 총 3장을 훔쳐 나갔습니다.
재판관은 고객 정보와 기업 개요 정보를 판매 목적으로 훔쳐 유출시킨 점을 중대하게 보고 판결을 내렸습니다. 유출된 고객 정보에 대해서는 “근무지나 연봉 등 고도의 개인 정보가 기재되어 있으며, 금액으로 환산하는 것은 어렵다”고 지적하고, CD-R 1장분의 가치로 평가하는 것은 불가능하다고 하였습니다.
ID와 비밀번호를 악용하여 부정하게 이메일을 보낸 사건
전 연인의 ID와 비밀번호를 무단으로 사용하여 부정하게 이메일을 보낸 등의 혐의로, 부정 접근 금지법 위반과 명예훼손의 죄로 기소된 피고인의 판결은 징역 2년 집행 유예 3년(구형 징역 2년)이었습니다.
판결에 따르면, 피고인은 전 연인의 ID와 비밀번호를 사용하여 서버에 부정 접근하고, 여성과 연애 관계에 있는 것처럼 보이는 이메일을 여성의 지인들에게 보내 여성의 명예를 훼손하였습니다.
국내 첫 피싱 사건
피싱 사이트를 설립하고 위탁자의 개인 정보를 훔친 혐의로, 부정 접근 금지법 위반으로 기소된 전 회사원에게는 징역 1년 10개월, 집행 유예 4년(구형은 징역 2년)이 내려졌습니다.
피고인은 진짜 사이트의 저작권을 침해한 혐의로 저작권법 위반과, 가짜 사이트에 접근한 위탁자의 개인 정보를 악용하여 진짜 사이트에 부정하게 접근한 혐의로 부정 접근 금지법 위반으로 기소되었습니다.
판결은 “프라이버시를 침해한 책임은 무겁다”고 지적하였지만, “피해자들과 합의가 이루어지고, 충분히 반성하고 있다”는 점과 “획득한 정보를 사용하여 다른 범죄 행위를 저지르지 않았다”는 점으로 집행 유예가 부여되었습니다.
부정 접근 금지법의 시효
부정 접근 금지법 위반은 ‘장기 5년 미만의 징역 또는 금고 또는 벌금에 해당하는 죄’에 해당하므로, 공소시효는 3년으로 정해져 있습니다(일본형사소송법 제250조 2항 6호). 공소시효란, 범죄행위가 끝난 시점부터 공소를 제기할 수 있는 기간을 가리킵니다. 3년이 경과하면, 검찰관에 의한 기소가 불가능해지므로, 주의가 필요합니다.
요약
불법 접근에 의한 범죄는 최근에 증가 추세에 있으며, 인터넷을 사용하는 기업이나 개인이라면 누구나 피해를 입을 가능성이 있습니다. 또한, 그 피해는 큰 손실을 동반할 수도 있습니다.
불법 접근 금지법(Japanese Unauthorised Access Prohibition Law) 위반에 해당하는 범죄로 피해를 입었을 경우, 형사 고소를 할 수 있지만, 그 때효는 3년으로 정해져 있습니다. 따라서, 불법 접근 피해가 발견되면, 가능한 빨리 불법 접근 금지법에 대해 잘 아는 변호사에게 상담하도록 합시다.
Category: IT
Tag: CybercrimeIT