【속보】레이와 5년(2023년)의 부정 액세스 인지 건수가 1년 만에 3배 증가

경찰청, 총무성 및 경제산업성은 2024년 3월 14일, 2023년 1월 1일부터 같은 해 12월 31일까지의 기간에 발생한 「부정 액세스 행위 발생 상황」[ja]을 공개했습니다.

이는 「부정 액세스 행위의 금지 등에 관한 법률」(부정 액세스 금지법)의 「국가공안위원회, 총무대신 및 경제산업대신은, 액세스 제어 기능을 가진 특정 전자계산기의 부정 액세스 행위로부터의 방어에 기여하기 위해, 매년 적어도 한 번, 부정 액세스 행위의 발생 상황 및 액세스 제어 기능에 관한 기술의 연구 개발 상황을 공개하도록 한다」(제10조 제1항)라는 규정에 기반한 것으로, 매년 3월에 경찰청, 총무성 및 경제산업성의 3개 부처에서 보도 발표되고 있습니다.

여기에서는 보도 자료 「부정 액세스 행위의 발생 상황 및 액세스 제어 기능에 관한 기술의 연구 개발 상황」을 바탕으로 2023년(레이와 5년)의 부정 액세스 상황에 대해 설명합니다.

부정 접근 행위 건수

2023년에 경찰청에 보고된 부정 접근 행위의 인지 건수는 6312건으로, 2022년의 2200건에서 4112건(약 186.9% 증가)으로 약 3배 증가해 지난 5년 중 최대치를 기록했습니다.

이는 ‘인터넷 뱅킹을 통한 부정 송금 등’이 1096건에서 5598건으로 급증했기 때문입니다.

부정 접근 행위의 인지 건수에 대해, 부정 접근 후에 이루어진 행위별 내역을 전체적으로 살펴보면, ‘인터넷 뱅킹을 통한 부정 송금 등’이 가장 많았으며(5598건), 그 다음으로 ‘이메일 도청 등 정보의 부정 취득'(204건), ‘인터넷 쇼핑에서의 부정 구매'(93건), ‘온라인 게임·커뮤니티 사이트의 부정 조작'(83건) 순이었습니다.

이와 관련하여, 2023년에 검거한 일본 부정 접근 금지법 위반 사건의 검거 건수·검거 인원은 521건·259명으로, 전년 대비 1건 감소·2명 증가해 거의 변동이 없었습니다.

용의자의 연령은 ’20~29세’가 가장 많았으며(103명), 그 다음으로 ’14~19세'(73명), ’30~39세'(53명) 순이었으며, 이 외에도 일본 부정 접근 금지법 위반으로 14세 미만의 소년 9명이 법에 접촉한 소년으로 보호되었지만, 14세 미만의 소년이기 때문에 검거 건수 및 검거 인원으로는 계상되지 않았습니다.

또한, 보호 또는 검거된 자 중에서 가장 어린 자는 11세, 가장 나이 많은 자는 61세였습니다.

출처: 일본 총무성｜부정 접근 행위의 발생 상황 및 접근 제어 기능에 관한 기술의 연구 개발 상황

부정 액세스 금지법 위반 사건의 검거 상황

부정 액세스 금지법에서 금지하고 처벌하는 것은,

• 부정 액세스 행위의 금지(제3조)
• 타인의 식별 부호를 부정하게 취득하는 행위의 금지(제4조)
• 부정 액세스 행위를 조장하는 행위의 금지(제5조)
• 타인의 식별 부호를 부정하게 보관하는 행위의 금지(제6조)
• 타인의 식별 부호를 부정하게 입력 요구하는 행위의 금지(제7조)

입니다. 식별 부호의 구체적 예로는 ‘ID·비밀번호’가 생각하기 쉬울 것입니다.

2023년(2023년)에 있어서 부정 액세스 금지법 위반 사건의 검거 건수·검거 인원에 대해, 위반 행위별로 내역을 보면, ‘부정 액세스 행위’가 487건·248명으로 전체의 90% 이상을 차지하고 있으며, ‘식별 부호 취득 행위’가 11건·8명, ‘식별 부호 제공(조장) 행위’가 13건·10명, ‘식별 부호 보관 행위’가 7건·6명, ‘식별 부호 부정 요구 행위’가 3건·2명이었습니다.

이 중에서 가장 많은 수를 차지하는 부정 액세스 행위는, 부정 액세스 금지법 제2조 제4항에서,

• 식별 부호 절도형(가장형)
• 보안 취약점 공격형

으로 규정되어 있으나, 2023년(2023년)에 있어서 부정 액세스 행위의 검거 건수 내역을 보면 ‘식별 부호 절도형’이 475건으로 전체의 90% 이상을 차지하고 있습니다.

이 ‘식별 부호 절도형’의 부정 액세스 행위의 수법별 내역을 보면, ‘이용권자의 비밀번호 설정·관리의 소홀함을 이용하여 취득’이 가장 많았으며(203건), 그 다음으로 ‘식별 부호를 알 수 있는 위치에 있던 전 직원이나 지인 등에 의한 범행'(68건), ‘이용권자로부터의 듣기나 엿보기'(40건), ‘타인으로부터 취득'(36건), ‘피싱 사이트를 통해 취득'(10건) 순이었습니다.

또한, ‘식별 부호 절도형’에 대해, 타인의 식별 부호를 사용하여 부정하게 이용된 서비스별 내역을 보면, ‘온라인 게임·커뮤니티 사이트’가 가장 많았으며(234건), 그 다음으로 ‘직원·회원용 등의 전용 사이트'(82건), ‘인터넷 쇼핑'(35건), ‘인터넷 뱅킹'(29건), ‘전자 메일'(3건) 순이었습니다.

관련 기사: 부정 액세스 금지법이 금지하는 행위·사례를 변호사가 해설[ja]

레이와 5년(2023년) 검거 사례

「부정 액세스 발생 상황」에는 매년 검거 사례가 참고 자료로 소개되고 있습니다.

전문학교생 남성(21세)이 2022년 10월 및 같은 해 12월에 정규 SNS를 가장한 피싱 사이트를 만들어 인터넷에 공개하고, 여러 정규 이용권한자로부터 ID·비밀번호를 부정하게 취득한 후, 취득한 ID·비밀번호를 사용하여 해당 SNS에 부정 액세스했습니다. 이 남성은 2023년 4월, 부정 액세스 금지법 위반(부정 액세스 행위, 식별 부호 부정 요구 행위 및 식별 부호 취득 행위) 및 사적 전자기록 부정 작성·동 공급죄로 검거되었습니다.

공무원 여성(30세)이 2022년 12월, 타인의 개인 번호 카드의 비밀번호를 명의자의 동의 없이 설정하고, 설정한 비밀번호를 사용하여 부정 액세스한 후, 자신이 이용하는 현금 없는 결제 서비스에 포인트를 부여했습니다. 이 여성은 2023년 4월, 공적 전자기록 부정 작성·동 공급죄, 부정 액세스 금지법 위반(부정 액세스 행위) 및 전자계산기 사용 사기죄로 검거되었습니다.

전문학교생 남성(18세)이 2023년 3월, 게임 계정 매매 사이트의 이용자에게 게임 계정 구매를 제안하고, 구매 희망자의 해당 사이트에 관한 식별 부호를 취득한 후, 해당 사이트에 부정 액세스하여 구매 희망자가 보유한 포인트를 부정하게 취득했습니다. 이 남성은 7월, 부정 액세스 금지법 위반(부정 액세스 행위) 및 전자계산기 사용 사기죄로 검거되었습니다.

회사원 남성(25세)이 2022년 8월부터 같은 해 11월까지 여러 SNS 계정에 대해 비밀번호를 추측하여 부정 액세스한 후, 해를 끼칠 것이라는 메시지를 정규 이용권한자로 가장하여 전송했습니다. 이 남성은 2023년 8월, 부정 액세스 금지법 위반(부정 액세스 행위) 및 협박죄로 검거되었습니다.

회사원 남성(43세)이 2023년 6월, 전 직장의 명함 관리 시스템에 대해 직원에게 할당된 식별 부호를 이직한 동료에게 제공한 후, 자신도 해당 시스템에 부정 액세스했습니다. 이 남성은 2023년 9월, 개인정보 보호법 위반, 부정 액세스 금지법 위반(부정 액세스 행위)으로 검거되었습니다.

무직 남성(20세) 등 2명이 공모하여 2023년 1월, SNS 사업자가 운영하는 웹사이트로 오인하게 하는 웹사이트를 해외 서버에 기록 보관하고, 정규 이용권한자에게 비밀번호 등을 입력하도록 요구하는 정보를 불특정 다수가 열람할 수 있는 상태에 두었습니다. 이들은 2023년 9월, 부정 액세스 금지법 위반(식별 부호 부정 요구 행위)으로 검거되었습니다.

관련 기사: 부정 액세스 금지법의 자세한 내용과 위반 사례에 대하여[ja]

요약: 불법 접근 대책은 시급, 전문가와 상담할 것

“불법 접근 행위 발생 상황”에서는, 증가 추세를 이어가는 불법 접근 행위에 대한 방어적 주의 사항으로, “이용권자가 취해야 할 조치”로는,

• 비밀번호의 적절한 설정 및 관리
• 피싱 대책
• 불법 프로그램 대책

이 언급되어 있으며, 또한 “접근 관리자가 취해야 할 조치”로는,

• 운영 체제 구축 등
• 비밀번호의 적절한 설정
• ID 및 비밀번호의 적절한 관리
• 보안 취약점 공격 대책
• 피싱 등에 대한 대책

이 제시되어 있습니다.

불법 접근 행위로 인한 범죄는 인터넷을 사용하는 기업이나 개인이라면 누구나 피해를 입을 가능성이 있으며, 그 피해는 큰 손실을 동반할 가능성이 높다고 할 수 있으므로, 이러한 조치에 주의를 기울여야 합니다.

불법 접근 행위로 피해를 입었을 경우, 형사 고소를 할 수 있으나, 그 시효는 3년으로 정해져 있습니다. 불법 접근 행위로 인한 피해가 발견되면, 가능한 한 빨리 불법 접근 금지법에 정통한 변호사와 상담하는 것이 좋습니다.

당사의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률사무소입니다. 최근 개인정보 유출은 큰 문제가 되고 있습니다. 만약 개인정보가 유출된다면, 기업 활동에 치명적인 영향을 미칠 수도 있습니다. 당사는 정보 유출 방지 및 대응책에 대해 전문적인 지식을 갖추고 있습니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.

모노리스 법률사무소의 처리 분야: 개인정보 보호법 관련 법무[ja]