“현행 정보통신망법, 사이버범죄 규정에 한계 드러내”

[아이티데일리] “정보통신망법은 1990년대에 통신사업자의 물리적 망을 보호하기 위해 만들어졌다. 그 영향으로 여전히 침해 대상을 ‘망(Network)’ 중심으로 판단한다. 때문에 최근 발생하는 침해 사고 처벌이나 취약점 탐지 활동을 규정하기에 모호하다. 관련 법령 체계 정비가 필요한 이유다.”

성균관대학교 과학수사학과 김기범 교수가 3일 세종대학교 광개토관에서 열린 ‘인터넷거버넌스 공개세미나’에서 ‘사이버범죄의 유형과 대응’을 주제로 이 같은 내용을 발표했다.

사이버범죄를 처벌하는 핵심 법률인 ‘정보통신망이용촉진등에관한법률(이하 정보통신망법)’ 제48조는 1999년 제정됐다. 제48조 제1항은 “누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하여서는 아니된다”고 규정한다.

김기범 교수는 “제48조가 규정하는 ‘침입’은 대중이 일반적으로 생각하는 해킹에 해당한다. 다만 여기서 침입은 불법적으로 접근해 권한만 획득한 상태다. 침입 이후 발생하는 데이터 유출, 삭제 등 추가적 위법 행위까지 포괄하지는 않는다”고 설명했다.

정보통신망법 제48조가 침입 행위 그 자체에만 초점을 맞춘 이유는 ‘망’ 보호가 본래 취지였기 때문이다. 김기범 교수는 “정보통신망법을 민감한 데이터를 보호하자는 취지로 만들어지지 않았다”며 “이와 달리 미국은 컴퓨터, 독일은 데이터를 해킹의 기준으로 보고 있다. 그런 측면에서 우리나라 현행법은 다양화된 사이버범죄의 양상을 규정하기에 역부족이다”고 말했다.

‘망 침입’이라는 행위 자체에만 초점을 맞춘 기준은 사이버보안 생태계 발전에 걸림돌이 되기도 한다. 대표적 예는 보안 취약점을 찾아 알리는 화이트 해커(White Hat Hacker) 활동이다. 선의의 목적으로 취약점 점검을 위해 통신망에 침입하는 행위도 정보통신망법상 침입죄로 형사 처벌될 수 있기 때문이다.

이와 달리 미국에서는 취약점 탐지 목적 침입 행위에 대해 불기소 정책을 마련했다. 2022년 미국 법무부는 ‘컴퓨터 사기 및 남용법(CFAA)’ 위반 범죄와 관련, ‘선의의 보안 연구(Good-faith Security Research)’는 기소하지 않기로 주요 정책을 개정했다.

또 다른 정보통신망법의 허점은 악성 프로그램 규정에서도 드러난다. 정보통신망법 제48조 제2항은 악성 프로그램의 ‘전달’과 ‘유포’ 행위만을 처벌 대상으로 삼는다. ‘제작’과 ‘개발’은 빠져 있다.

김기범 교수는 이러한 문제가 사이버범죄 관련 규정이 여러 특별법에 흩어져 있기 때문이라고 진단했다. 그는 “사이버범죄 관련 형사처벌 조항이 특별법 형태로 존재하다 보니 법률가들조차 제대로 다루지 않는 문제가 있다”고 말했다.

이어 김 교수는 “앞으로는 사이버범죄 관련 특별법을 형법으로 올리는 등 전체 법 체계를 개선하는 작업이 이뤄져야 한다”고 조언했다.