2024-03-28 23:35 (목)
[특별기고-이용재 변호사] 정보통신망 침입과 접근권한
상태바
[특별기고-이용재 변호사] 정보통신망 침입과 접근권한
  • 길민권 기자
  • 승인 2017.05.16 13:19
이 기사를 공유합니다

보안분야에 존재하는 불명확성 제거해야 할 필요성 있다

▲ 이용재 변호사(산건 법률사무소)
▲ 이용재 변호사(산건 법률사무소)
권한 없는 사람이 정보통신망을 침입하는 것은 금지되어 있습니다(정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항). 정보통신망 침입은 정당한 접근권한이 (원래) 없는 사람이 침입한 경우에도 성립하지만, 허용된 접근권한을 넘어서 침입한 경우에도 성립합니다(예 : 일정한 파일이나 디렉토리에만 접근할 수 있는 권한을 부여하였는데, 취약점을 이용해서 해당 계정에 접근을 허용하지 않은 파일이나 디렉토리에 접근한 경우). 그리고 금지된 정보통신망 침입을 한 경우에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)에 따라 형사처벌이 되며(정보통신망법 제71조 제1항 제9호), 정보통신망 침입 미수범도 처벌이 됩니다(정보통신망법 제71조 제2항).

그런데 판례는, 정보통신망에 접근할 수 있는 권한을 부여하거나 허용하는 주체는 정보통신망서비스제공자라고 보고 있습니다(대법원 2005. 11. 25. 선고 2005도870 판결, 대법원 2010. 7. 22. 선고 2010도63 판결 등). 따라서 이용자가 자신의 아이디와 비밀번호를 알려주며 사용을 승낙한, 제3자가 정보통신망을 사용한 경우에도, 서비스제공자가 권한을 부여한 것이 아니라면 정보통신망 침입에 해당합니다. 다만 판례는 다음과 같은 예외에 해당하면, 이용자가 아닌 제3자가 정보통신망 서비스를 이용하더라도 정보통신망 침입이 아니라고 보고 있습니다.

1) 제3자의 사용이 이용자의 사자 내지 사실행위를 대행하는 자에 불과할 뿐 이용자의 의도에 따라 이용자의 이익을 위하여 사용되는 경우와 같이 사회통념상 이용자가 직접 사용하는 것에 불과한 경우

2) 서비스제공자가 이용자에게 제3자로 하여금 사용할 수 있도록 승낙하는 권한을 부여하였다고 볼 수 있는 경우

3) 서비스제공자에게 제3자로 하여금 사용하도록 한 사정을 고지하였다면 서비스제공자도 동의하였으리라고 추인되는 경우

이러한 예외에 해당하지 않는다면, 법원은 정당한 권한이 있는 이용자의 아이디와 비밀번호를 알고 있다는 사정만으로는, (처음부터 권한이 없었거나 현재는 권한이 없는 사람이) 정보통신망에 접근한 것이 정당하다고 볼 수 없다고 판단하고 있습니다.

구체적으로 1) 과거 직무상 알게 된 아이디와 비밀번호로 퇴직 후 접속한 경우, 2) 우연히 알게 된 타인의 아이디와 비밀번호로 이용자의 승낙 없이 접속한 경우, 3) 이용자로부터 특정한 범위의 사용승낙을 받은 후 그 범위를 넘어 이용자의 계정을 사용한 경우에도 정보통신망 침입으로 유죄를 선고한 하급심 판결들이 있습니다.

또한 약 9개월이라는 짧지 않은 기간 동안 악성프로그램 등을 판매하기 위해, 비밀번호를 설정하지 않은 개인의 무선공유기에 접속해 인터넷을 사용한 행위는, 정당한 접근권한 없이 정보통신망에 침입하는 행위에 해당한다고 판단한 하급심 판결도 있습니다. 비밀번호를 설정해 놓지 않은 무선 공유기를, 다른 사람이 이용해서 인터넷에 접속한 것이 정보통신망 침입에 해당한다고 판단한 것입니다.

다만 약 9개월 동안 악성프로그램 판매라는 별도의 범죄행위를 하면서 단속을 피하기 위해 타인의 무선공유기를 이용하였다는 점과 함께, 해당 사건에서 문제가 된 행위는 스마트폰이나 태블릿 PC 등을 이용하여 비밀번호가 설정되지 않은 타인의 와이파이를 손쉽게 일시적으로 사용하는 경우와는 구별된다는 점을 판결이유에 명시하였던 것을 고려하면, 적어도 해당 사건의 항소심 법원은 일시적으로 무선공유기에 접속한 것은 정보통신망 침입이 아니라는 입장을 취하고 있다고 볼 수 있습니다.

항소심법원의 판결이유를 보면, 관공서, 대학교, 지하철, 커피전문점에 의해 공개된 와이파이존과 개인의 무선공유기를 구별하고 있는데, 그러한 공개된 와이파이 존을 범죄목적으로 이용한 경우에는 정보통신망 침입이라고 보는 것인지 명확하지 않습니다. 또한 범죄목적으로 공개된 와이파이존을 이용한 것이, 이용기간이 얼마나 오래되었는지에 따라 정보통신망 침입에 해당할 수도 있고, 정당한 권한이 있는 사용으로 볼 수도 있는 것인지도, 해당 사건의 판결문만으로는 알 수 없습니다. 1심 법원과 항소심 법원은 비밀번호를 설정하지 않은 무선공유기를 사용한 것이 정보통신망 침입에 해당한다고 판단하였지만, 피고인은 해당 부분에 대해서는 상고이유로 다투지 아니하여, 이에 대한 대법원의 직접적인 판단은 없습니다.

주거침입과 관련해서는, 일반인의 출입이 허용되더라도 영업주의 명시적 의사나 추정적 의사에 반하여 들어가거나, 범죄목적으로 들어가면 주거(건조물)침입죄가 성립한다는 것이 판례입니다. 약 9개월이라는 장기간 개인의 무선공유기를 이용하여 인터넷을 사용한 것이 정보통신망 침입에 해당한다는 (하급심) 법원의 판결은 있는 상황이지만, 범죄목적을 위해 일시적으로 다른 사람의 무선공유기를 통해 인터넷에 접속한 것이 정보통신망 침입에 해당하는지, 무선공유기가 일반개인의 것인지 혹은 관공서나 커피전문점 같은 공개된 와이파이존을 위해 제공된 것인지에 따라 침입 유무가 달라지는 것인지에 관하여는, 대법원의 명확한 판단이 없습니다.

정보통신망 침입과 관련해서는, 포트스캔이 정보통신망 침입에 해당하는지(적어도 미수에 해당하는지), 인터넷으로 서비스를 제공하는 업체의 취약점을 분석하는 업무를 실시간으로 하는 경우, 사이트 운영업체로부터 동의만 받으면 언제나 취약점 분석을 하기 위해 정보통신망을 이용하는 것이 적법하다고 볼 수 있는지 등 다양한 쟁점이 있습니다. 정보통신망법의 다양한 쟁점에 대해서 때로는 기술의 발전 속도를 법률이 따라잡지 못할 때도 있고, 법리 연구가 아직 부족한 부분도 있습니다. 이러한 부분들은 보안전문과 법률분야 종사자들이 같이 연구하여, 보안분야에 존재하는 불명확성을 제거해야 할 필요성이 있습니다.

[이용재 변호사(산건 법률사무소) 약력]
대한변협 법제연구원 일반연구위원
강원도 지방세심의위원회 위원
원주시 지방세심의위원회 위원
대•중소기업•농어업협력재단 기술보호전문가
대한변협 대의원

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★