부정 접근 금지법에 의해 금지되는 행위
부정접근금지법 (정식 명칭 ‘부정 접근 행위의 금지 등에 관한 법률’)은 2000년 2월에 시행되어, 2012년 5월에 개정된 것이 현재 유효하게 적용되고 있습니다. 이 법은 사이버 범죄를 예방하고 전자통신에 관한 질서유지를 목표로하는 법률로, 총 14조로 구성되어 있습니다.
‘부정 접근 행위의 금지 등에 관한 법률’ (목적)
제1조 이 법은, 부정접근행위를 금지하고, 이에 대한 처벌과 재발방지를 위한 도도부현 공안위원회에 의한 지원조치 등을 정함으로써, 전자통신회선을 통해 이루어지는 전자계산기 관련 범죄의 예방 및 접근 제어기능에 의해 실현되는 전자통신에 관한 질서의 유지를 도모하고, 고도정보통신사회의 건전한 발전에 기여하는 것을 목표로 한다.
부정접근금지법은 구체적으로 어떤 행위를 금지하고 있는지, 실제로 어떤 사례가 있으며, 형사·민사 상에서 어떤 대책을 취해야 하는지에 대해 알아보겠습니다. 또한, 부정접근금지법의 개요와 피해를 입었을 경우의 대책에 대해 설명하겠습니다.
부정접근금지법에 의해 금지되는 행위
부정접근금지법에 의해 금지되고 처벌되는 행위는 크게 다음 세 가지입니다.
- 부정접근행위의 금지 (제3조)
- 부정접근행위를 조장하는 행위의 금지 (제5조)
- 타인의 식별코드를 부정하게 획득·보관·입력 요구하는 행위의 금지 (제4, 6, 7조)
부정접근행위란
구체적으로는 제2조 4항이 규정하고 있지만, ‘사칭행위’와 ‘보안구멍공격 행위’입니다. 부정접근금지법에서는 타인의 컴퓨터에 부정하게 접근하는 행위가 금지됩니다.
‘사칭행위’란, 인터넷 서비스 제공자를 이용할 때, 컴퓨터에 ID나 비밀번호 등의 식별코드를 입력해야 하는데, 이때 타인의 식별코드를 본인 동의없이 입력하는 행위를 말합니다.
조금 이해하기 어려울 수 있지만, 여기서 말하는 ‘타인’이란, 이미 타인이 생성(및 사용)하고 있는 ID나 비밀번호를 말하며, ‘사칭행위’란, 쉽게 말해 타인이 이미 사용하고 있는 트위터 등의 SNS 계정 등을 ‘해킹’하는 행위를 말합니다.
일반적으로 ‘사칭’라고 하면, 타인의 성명이나 얼굴 사진 등을 사용하여 새로운 계정을 생성하고, 그 타인인 척하여 트위터 등의 SNS를 이용하는 행위를 가리키지만, 이와는 다릅니다.
‘보안구멍공격 행위’란, 타인의 컴퓨터의 보안 구멍(안전 대책상의 미비)을 공격하여, 그 컴퓨터를 이용할 수 있게 하는 행위입니다. 공격용 프로그램 등을 사용하여 식별코드 이외의 정보나 지시를 공격대상에게 제공하여, 타인의 컴퓨터의 접근제어기능을 우회하고, 무단으로 컴퓨터를 이용합니다.
이러한 부정접근행위를 하면, ‘3년 이하의 징역 또는 100만 엔 이하의 벌금’이 부과될 수 있습니다 (제11조).
부정접근행위를 조장하는 행위란
부정접근금지법에서 금지하는 부정접근행위를 조장하는 행위란, 타인의 ID나 비밀번호를, 본인의 동의 없이 제3자에게 제공하는 것입니다. 전화나 이메일, 홈페이지를 통해 등 수단을 불문하고, ‘○○의 ID는 ××, 비밀번호는 △△’ 등과 같이 타인에게 알리거나 공지하여, 타인이 임의로 사람의 데이터에 접근할 수 있게 하면, 부정접근조장행위에 해당합니다.
부정접근행위를 조장하는 행위를 하면, ‘1년 이하의 징역 또는 50만 엔 이하의 벌금’이 부과될 수 있습니다 (제12조 2호).
또한, 부정접근이라는 목적을 모르고 비밀번호를 제공했을 때도, 30만 엔 이하의 벌금이 부과될 수 있습니다 (제13조).
타인의 식별코드를 부정하게 획득·보관·입력 요구하는 행위란
부정접근금지법에서는, 타인의 식별코드(ID·비밀번호)를 부정하게 획득·보관, 입력을 요구하는 행위가 금지됩니다.
제4조 타인의 식별코드를 부정하게 획득하는 행위의 금지
제6조 타인의 식별코드를 부정하게 보관하는 행위의 금지
제7조 타인의 식별코드를 부정하게 입력 요구하는 행위의 금지
이 금지행위의 대표적인 것이 ‘입력요구행위’로, 이른바 피싱행위입니다. 예를 들어, 금융기관을 가장하여, 진짜와 똑같은 가짜 홈페이지에 피해자를 유도하고, 그 가짜 홈페이지에서 피해자의 비밀번호나 ID 등을 입력하게 하는 것입니다.
피싱행위에 의해 획득한 식별번호를 이용하여, 경매사기에 이용되거나, 예금이 임의로 다른 계좌로 이체되는 등의 사기 피해가 빈번하게 발생하고 있습니다.
이러한 행위를 하면, 1년 이하의 징역 또는 50만 엔 이하의 벌금이 부과됩니다(제12조 4호).
부정접근행위 이외의 사이버 범죄를 단속하는 법률은
이와 같이, 부정접근금지법은 이른바 사이버 범죄의 일부 유형에 대응하기 위한 법률입니다. ‘사이버 범죄’ 전체에 대해서 말하면, 전자 계산기 손상 등 업무 방해죄나 허위업무방해죄, 명예훼손죄 등, 다른 법률도 문제가 되는 경우가 있습니다.
접근 관리자의 의무
부정접근 금지법은 부정접근 행위와 벌칙을 정의할 뿐 아니라, 서버 등의 관리에서도 부정 접근을 방지하는 관리자의 의무를 부과하고 있습니다.
접근 관리자에 의한 방어 조치
제8조 접근제어기능을 특정 전자 계산기에 부가한 접근 관리자는, 해당 접근제어기능에 관련된 식별 코드 또는 이를 해당 접근 제어 기능에 의해 확인하기 위해 사용하는 코드의 적절한 관리에 노력하며, 항상 해당 접근 제어 기능의 유효성을 검증하고, 필요하다고 인정될 때는 즉시 그 기능의 고도화 및 기타 해당 특정 전자 계산기를 부정 접근 행위로부터 방어하기 위해 필요한 조치를 취하도록 노력해야 한다.
‘식별 코드를 적절하게 관리하는 것’, ‘항상 접근제어기능의 유효성을 검증하는 것’, ‘필요에 따라 접근 제어 기능의 고도화’가 의무화되어 있지만, 이들은 노력 의무이므로, 이러한 조치를 게을리 한다고 해서 벌칙이 있는 것은 아닙니다.
그러나, 관리자는 ID나 비밀번호가 유출된 흔적이 있다면, 즉시 계정삭제나 비밀번호 변경 등의 접근제어를 실시해야 합니다.
부정 접근 금지법 위반 사례
여학생들에게 인기 있는 남학생의 트위터 계정을 해킹
동급생인 남학생의 트위터 계정을 해킹하여 본인인 척하고 여고생들에게 300회 이상 메시지를 보낸 혐의로, 2017년 1월 30일(헤이세이 29년)에 효고현 경찰은 같은 지역 고등학교 3학년 남학생(18세)을 일본의 ‘부정 접근 금지법’ 위반 혐의로 체포했습니다.
체포혐의는 전년 9월부터 11월까지 여학생들에게 인기 있는 남학생(18세)의 트위터 인증 서버에 비밀번호를 입력하여 총 63회 로그인하고, 다른 학교의 여학생들에게 ‘몸을 보여주자’, ‘에로틱한 이야기를 하자’ 등의 음란한 메시지를 보낸 것입니다.
페이스북 등에 부정접근
페이스북 등에 부정접근을 반복하여 개인 정보를 획득한 혐의로 ‘부정접근 금지법’ 위반 혐의가 제기된 사례에서, 도쿄지방법원은 2016년 8월 3일(헤이세이 28년)에 피고인(29세)에게 여성 7명의 페이스북 등에 총 238회 부정 접근한 것으로 판단하고, 범행은 상습적이고 고집스럽게 이루어졌으며, 부정접근 성공시의 성취감을 얻고 싶다는 동기에 대해 감경의 여지는 없다고 판단하여 징역 2년 6개월의 판결을 내렸습니다. 그러나, 엿본 정보를 유출하지 않았다는 점, 전과가 없다는 등의 사정을 고려하여 집행 유예 4년을 선고했습니다.
근무하는 회사의 고객 정보를 부정으로 획득
도쿄지방법원은 2009년 11월 12일(헤이세이 21년)에 회사의 정보 시스템 개발, 운영, 일반 위탁자 지원 등의 업무를 담당하고 있던 회사원(45세)이 회사가 보유하고 있는 고객 정보를 부정으로 획득하고 판매하려고 한 부정 접근 행위 및 CD-R을 절취한 사건에 대해 징역 2년의 실형 판결을 내렸습니다.
정보 판매로 약 350,000엔의 이익을 얻은 점을 무시할 수 없다고 판단하였고, 전과가 없는 점, 근무처에서 징계 해고 등 일정한 사회적 제재를 받고 있다는 사정을 최대한 고려하더라도, 형의 집행을 유예할 수 있는 사건이라고는 할 수 없다고 판단하였습니다.
사이버 공격범에게 징역 8년의 실형 판결
도쿄지방법원은 2017년 4월 27일(헤이세이 29년)에 피싱 메일이나 원격조작 바이러스 등을 이용하여 여러 기업의 인터넷 뱅킹의 식별코드를 부정으로 획득하고, 부정 로그인이나 이어서 부정송금을 실시하였으며, 또한 데이터베이스에 대한 공격으로 메일주소를 획득하거나, 원격 조작 바이러스를 전송하여 실행 가능한 상태로 만든 피고인(32세)에게 ‘부정접근 행위의 금지 등에 관한 법률’ 위반, 전자계산기 사용 사기, 사적 전자기록 부정제작 공급, 부정 지시 전자 기록 공급, 전파법 위반으로 유죄 판결을 내리고 징역 8년의 실형 판결을 내렸습니다.
다양한 방법을 이용하여 사이버 공격을 실시하였고, 또한 범행 발각을 피하기 위해 미리 부정으로 획득한 암호화 키를 이용하여 다른 사람의 무선 LAN 접속 포인트에 연결하였고, 때로는 중계 서버를 통해서도 접속원을 숨기고, 또한 부정 송금 전에는 연락용 이메일 주소를 변경하는 등의 행위를 하였으며, 이러한 범행의 방식이 교묘하고 악질적이었으며, 또한 부정 송금에 의한 재산적 피해는 총 5,190,000엔 이상이었으며, 또한 동종 전과에 의한 전형의 가석방 후 곧바로 이러한 범행에 이르렀기 때문에, 이러한 중대한 죄가 되었습니다.
또한, 이러한 유형의 공격 과정에서 범인이 보낸 전자 메일이 있는 경우, 그 전자 메일을 단서로 범인을 특정하는 방법이 가능한 경우도 있습니다. 그러나, 민사 수준에서는 이것이 일반론으로는 어렵습니다.
부정 접근을 받았을 경우의 대책
이메일이나 SNS 등을 이용하는 경우, 타인으로부터의 부정접근 피해를 받을 수 있습니다. 이런 경우, 어떤 대처가 가능할까요?
형사고소하기
먼저, 부정접근한 상대를 형사고소할 수 있습니다. 부정접근은 범죄이며, 부정접근한 사람은 형사처벌을 받게 됩니다. 위에서 설명한 바와 같이, 본인은 3년 이하의 징역 또는 100만 엔 이하의 벌금형을 받을 가능성이 있으며, 부추긴 사람이 있었다면, 1년 이하의 징역 또는 50만 엔 이하의 벌금형을 받을 가능성이 있습니다.
또한, ‘일본 부정접근금지법’ 위반은 비친고죄이므로, 고소가 없어도 경찰이 그 사실을 알게 되면 수사를 시작하고, 범인을 체포할 수 있습니다. 또한, 부정접근을 받은 본인이 아니더라도, 그 사실을 알게 된 사람은 경찰에 고발할 수 있습니다.
또한, 업무방해죄에 대한 기사에서도 언급했듯이, 친고죄는 ‘피해자에 의한 형사고소가 없으면 기소할 수 없는 범죄’이지만, ‘친고죄가 아니면 고소할 수 없다’는 것은 아닙니다. 비친고죄의 경우에도, 피해자는 범인을 고소할 수 있습니다.
비친고죄라 하더라도, 피해자가 형사고소하면 피의자의 상황은 악화되고, 처벌이 무거워질 가능성이 있습니다. 만약 부정접근을 당한 사실을 알았다면, 변호사와 상담하고, 경찰에 피해 신고서나 고소장을 제출하는 것이 좋습니다. 피해 신고서를 접수하면, 경찰은 신속하게 수사를 진행하고, 피의자를 체로하거나 송치하게 됩니다.
민사 손해배상 청구하기
부정접근에 의한 피해를 받았을 경우, 가해자에게 민사적으로는, ‘일본 민법 제709조’에 따라, 손해배상을 청구할 수 있습니다.
일본민법 제709조
고의 또는 과실로 타인의 권리 또는 법률상 보호되는 이익을 침해한 자는, 이로 인해 발생한 손해를 배상할 책임을 진다.
가해자가 부정접근하여, 그곳에서 얻은 개인정보를 확산한 경우, 소셜게임의 아이템을 훔친경우, 신용카드나 은행계좌 등의 데이터에 접근하여 재산적 피해를 발생시킨 경우 등에는, 위로금 등을 청구하여 손해배상을 청구하십시오. 물론, 신용카드나 은행계좌 등의 데이터에 접근되어, 실제로 재산적 피해가 발생한 경우에는 그에 대한 배상청구도 가능합니다.
그러나, 가해자에게 손해배상 청구를 하기 위해서는, 범인을 특정해야 하며, 그 범인이 실제로 부정접근을 했다는 증거를 모아야 하므로, 고도의 전문적 지식이 필요합니다. 부정접근에 의한 피해를 받았다면, 인터넷 문제에 대한 경험이 풍부한 변호사에게 상담하여 절차를 의뢰하는 것이 필요합니다.
Category: IT
Tag: CybercrimeIT
