국문요약 11
제1장 서 론 31
제1절 연구의 배경 및 목적 31
제2절 연구의 내용 및 방법 36
제2장 사이버테러리즘의 개념과 특징 39
제1절 개 념 39
1. 테러리즘의 개념 39
2. 사이버범죄의 개념 48
가. 컴퓨터범죄와의 구별 48
나. 정보범죄와의 구별 50
다. 하이테크범죄와의 구별 50
라. 사이버범죄의 개념 51
3. 사이버테러리즘의 개념 55
제2절 특 징 64
1. 에이전트화․분산화․자동화․은닉성 65
2. 저비용성․맹목성 66
3. 비폭력성․무형성 67
4. 인터넷 시스템의 취약성으로 인한 필연성 67
5. 피해자의 부주의에 의한 자초성 68
6. 전통적 테러 내지 전쟁의 예비단계로서의 가능성 70
7. 경제적 독점자의 이용 가능성 71
제3장 사이버테러리즘의 유형 73
제1절 사이버테러리즘의 유형 분류기준 73
제2절 사이버테러리즘의 제 유형 75
1. 해 킹 75
가. 개 념 75
나. 동 기 84
다. 기 술 88
라. 최근 동향 103
2. 바이러스 유포 104
가. 개 념 104
나. 감염에 따른 증상과 피해 107
다. 최근 동향 109
3. 웜 바이러스 유포 111
4. 트로이의 목마 사용 114
5. 고출력전자총 사용 117
6. 나노머신․마이크로브즈․쿠키․스파이웨어․카니보어 이용 118
7. 주요 정보통신기반시설에 대한 사이버테러 120
8. 정보전 126
가. 개 념 126
나. 개념 등장의 배경 127
다. 특 징 129
라. 군의 정보전과 시스템의 취약성 131
마. 유 형 132
바. 수 법 134
제4장 외국의 사이버테러리즘 대응법규 139
제1절 들어가며 139
제2절 미국의 대응법규 141
1. 주요 연방법률 142
가. 제1030조의 컴퓨터관련 사기 및 관련범죄 143
나. 제2701조의 저장된 통신내용에 대한 불법적 접근 144
다. 제2703조의 정부에 의한 접근의 요건 145
라. 제2704조의 백업의 보존 147
2. 국가정보통신기반에 대한 보호법제 150
제3절 영국의 대응법규 159
제4절 독일의 대응법규 161
제5절 일본의 대응법규 168
제6절 유럽이사회의 사이버범죄방지조약 초안 173
제7절 기타 각국의 대응법규 178
제5장 우리나라의 사이버테러리즘 대응법규 183
제1절 들어가며 183
제2절 정보통신망 침해행위 대응법규 184
1. 해 킹 184
가. 단순해킹 185
나. 해킹에 의한 비밀침해 190
다. 해킹에 의한 자료삭제 200
라. 해킹에 의한 자료변경 211
마. 해킹에 의한 업무방해 215
2. 바이러스 유포 217
가. 문제의 소재 217
나. 신설된 정보통신망법상 악성프로그램 전달․유포죄 검토 218
제3절 주요 정보통신기반시설 침해행위와 정보통신기반보호법 222
1. 정보통신기반보호법의 제정 배경 222
2. 국가정보기반보호규정 224
3. 정보통신기반보호법 제정 225
4. 정보통신기반보호법의 목적 및 전체적 체계 226
5. 정보통신기반보호법의 내용 228
가. 정보통신기반시설의 개념 228
나. 정보통신기반보호위원회 설치 229
다. 주요정보통신기반시설의 개념 및 지정 230
라. 중앙행정기관의 소관분야 주요정보통신기반시설
보호계획 수립․시행 234
마. 관리기관의 장의 주요정보통신기반시설 보호대책의
수립․시행 236
바. 관리기관의 장의 주요정보통신기반시설 취약점 분석․평가 237
사. 침해사고의 발생시 조치 및 복구 239
아. 비밀유지의무 240
자. 벌칙규정 241
제4절 테러방지법안 검토 249
제5절 입법론적 문제점 정리 252
제6장 결 론 257
참고문헌 271
영문요약 285
제1장 서 론
2001년 9월 11일 미국에서 민항기를 이용한 테러참사가 발생한 요즈음 사이버테러의 심각성은 더욱 강조되는 것으로 보인다. <워싱턴포스트>는 최근 사이버테러의 위험성이 커지고 있다며 대표적인 테러 대상 분야로 ○○항공․철도․지하철 ○○전력․상수도 ○○가스․석유 공급망 ○○은행․증권 등을 꼽았을 뿐만 아니라 안팎으로 사이버 테러에 대한 경고가 잇따르고 있다.
미국 9․11 테러의 여파는 우리나라에도 미치고 있다. 국가정보원은 자체 테러 수사권을 갖고 대테러임무에 동원된 군 병력에 현장보호 및 경비임무를 주고 경찰권을 부여하는 내용을 골자로한 ‘테러방지법안’을 2001년 11월 12일 입법예고했다. 이 법안에 따르면 국가안보에 중대 영향을 미치는 대테러 대응을 협의하기 위해 국무총리를 의장으로 하는 ‘국가대테러대책회의’를 두고, 국내외 대테러 정보수집․작성․기획․조정․수사 등을 위해 관계기관 합동으로 ‘대테러센터’를 국정원에 설치하도록 하는 등 테러리즘에 대하여 강력히 대응할 수 있는 근거를 마련하고 있다.
사실 우리나라의 경우 사이버테러리즘(Cyberterrorism)과 관련하여서는 이미 2001년 1월 정보통신망이용촉진및정보보호등에관한법률과 정보통신기반보호법이 공포되어 현재 시행되고 있다는 점에서 일단 사이버테러리즘에 대한 기본적 법률을 갖추고 있다고 할 수 있다. 그러나, 이처럼 사이버테러가 빈발하고 그 피해는 심각하여 현대정보사회의 근간을 위협하는 지경에까지 도달하였다는 데 대한 일정한 공감대가 형성되어 정부차원에서 그 대응책을 마련함에 부심하고 있음에도 불구하고, 정작 ‘사이버테러리즘’의 개념이 무엇이고 그 유형에는 어떠한 것들이 있으며 그 특징들은 어떠한가에 대한 확립된 합의가 이루어지고 있지 않음은 형사정책적 관점에서 문제가 아닐 수 없다.
따라서 본 연구에서는 사이버테러리즘의 개념과 유형과 그 특징들을 파악하고 이에 대한 외국 각국의 대응법규들을 살펴보며 우리나라의 현재의 대응법규들을 검토함으로써 장래 사이버테러리즘에 대응할 수 있는 효과적․체계적인 입법대책을 제시하고자 한다.
위와 같은 목적을 달성하기 위하여 수행된 본 연구의 내용을 간단히 개괄하자면 다음과 같다.
우선 사이버테러리즘의 개념과 특징을 살펴보기 위하여 사이버테러리즘의 관련개념이라고 할 수 있는 테러리즘 및 사이버범죄에 대한 개념정의가 필요하다. 현실적으로 테러리스트들에 의하여 사이버테러리즘이 행하여질 수 있다는 점 즉, 폭탄, 납치 또는 암살과 같은 일반적인 테러폭력행위들의 사용에서 비롯되는 결과와 유사한 결과를 얻기 위하여 컴퓨터를 사용하거나 혹은 컴퓨터를 목표로 삼을 수 있다는 점을 고려하여야 하고, 또한 사이버테러리즘이라는 것이 하나의 사이버범죄라는 관점에서 파악될 수 있다는 점에서 테러리즘 및 사이버범죄에 관한 간단한 설명이 필요하기 때문이다. 위와 같이 사이버테러리즘 관련개념들을 파악하면서 사이버테러리즘의 개념과 그 특징들을 살펴보기로 하겠다. 기존의 테러리즘에 대한 수많은 연구와는 달리 아직까지도 사이버테러리즘에 대하여는 뚜렷한 개념정의가 없다는 점에서 본 연구에서는 이를 정리하기로 하며, 전통적 테러리즘과의 비교와 최근의 동향 등에 의하여 사이버테러리즘의 특징이 어디에 있는가를 고찰하기로 하겠다(제2장 사이버테러리즘의 개념과 특징).
그리고, 사이버테러리즘의 유형에 대하여는 종래 부분적 측면에서만 시도되어왔던 설명들을 종합하여 해킹, 바이러스, 웜바이러스, 트로이의 목마 그리고 고출력전자총 등을 상세히 살펴보기로 하겠다. 또한 이러한 정보통신망 침해행위 중에서도 그 대상이 국가나 사회의 주요기간전산망일 경우 입법적으로 보다 가중된 형태의 형벌적 수단을 사용할 수 있게 되며 우리 법제에서도 정보통신기반보호법을 통하여 이를 실현하고 있다는 점에서, 다소 중복되는 감은 없지 않지만 이러한 가중된 형태의 사이버테러를 주요정보통신기반시설에 대한 사이버테러라는 항목으로 구성하여 간단히 설명해보기로 하겠다. 그리고 최근의 현대전에서 주목되는 정보전의 유형도 사이버테러의 유형과 관련시켜 설명해보기로 하겠다(제3장 사이버테러리즘의 유형).
또한 외국 각국의 사이버테러 대응법제를 살펴봄으로써 우리나라의 대응책 수립에 도움을 주고자 한다. 특히 미국, 영국, 독일 및 일본과 같은 선진국들의 대응법제에 대하여는 보다 상세한 접근을 통하여 실질적인 내용을 고찰해보기로 하며 유럽이사회의 사이버범죄방지조약 초안과 기타 외국 각국의 입법례들도 소개해보기로 하겠다(제4장 외국의 사이버테러리즘 대응법규).
그리고 난 후, 해킹 및 바이러스 등의 정보통신망 침해행위와 주요사회정보기반시설에 대한 사이버테러에 적용될 수 있는 우리나라의 현행법규들을 제시하며 철저한 해석론을 통하여 입법적 공백이나 입법체계적 불균형이 없는지 검토해보기로 하겠다. 특히 2001년 제정된 정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법이라 함)과 정보통신기반보호법(이하 정보기반법이라 함)에 대하여는 상세한 검토가 필요하다고 생각한다. 또한 2001년 11월 입법예고된 테러방지법안도 사이버테러의 관련법률이 된다는 점에서 그 내용을 소개하고 문제점을 검토해보기로 하겠다(제5장 우리나라의 사이버테러리즘 대응법규).
마지막으로 사이버테러를 위시한 사이버범죄에 대한 궁극적 입법대책 등을 제시하며 본 연구의 결론에 갈음하기로 하겠다(제6장 결론).
기술한 연구목적을 달성하고 위와 같은 내용의 연구를 수행하기 위하여 본 연구는 국내외의 단행본과 논문 및 각종 언론보도 등의 문헌들을 참고하여 수행되었다는 점도 아울러 밝혀둔다.
제2장 사이버테러리즘의 개념과 특징
사이버테러리즘의 개념을 파악하기 위해서는 그 관련개념으로서 테러리즘과 사이버범죄의 개념을 정확히 파악하는 것이 전제가 되어야 한다. 다만, 본 연구의 초점은 사이버테러리즘이라는 신종 테러리즘에 맞추어져 있으므로 테러리즘의 유형이나 사이버범죄의 분류기준 및 그 유형에 관한 논의는 생략하기로 하겠다.
사전적으로 테러리즘이라 함은 “특히 강제력을 사용하여 공포를 느끼게 하는 조직적인 행위”, “불안감을 조성하거나 정부를 전복시키기 위한 조직에 의하여 행해지는 폭력행위(들)” 또는 “정치적 목적을 달성하기 위해 정부나 대중 또는 개인에게 위해를 가하거나 예측할 수 없는 폭력을 사용하는 조직적 행위”를 의미한다고 설명되고 있다. 이렇듯 종래의 테러리즘이라 함은 보통 정치적 동기를 가져야 하고, 그 효과로서 공포를 줄 수 있는 것이어야 하며, 좌익이나 우익 어느 편에서도 감행될 수 있고, 폭력이나 위협이 사용되어야 한다고 말할 수 있다.
그러나 주지하다시피 시대의 변화는 테러리즘의 개념 및 성격에 대한 획일적 개념규정을 어렵게 하고 있다. 여기서 강조하고 싶은 점은 테러리즘의 정의에 있어 시대적 상황에 따라 테러의 목표와 유형 등이 변화하기 때문에 그 개념도 변화될 가능성이 있다는 점이다. 그러므로 이제는 테러리즘의 목표 자체도 정치적 목표뿐만 아니라 민족성이나 문화적 차이에서 비롯되는 경우가 많으며 과학기술의 발달과 새로운 테크놀러지의 등장에 따라 일정한 기술적 수단을 이용함으로써 폭력행사 없이도 국가나 사회에 공포심이나 불안감을 조성할 수 있는 여지가 있음을 직시해야 할 것이다. 즉, 테러리즘의 목표나 패턴 자체는 미리 예측이 불가능할 정도로 다양해졌다는 점에서 오늘날 테러리즘의 개념에 있어서 무조건적으로 ‘폭력성’을 요구하는 것은 적절하지 못하다고 생각되며, 오히려 테러리즘이란 테러행위로 인한 결과가 ‘어느 사회나 국가에 공포심이나 불안감을 조성하게 한다는 점’에서 그 핵심을 파악해야 할 것으로 생각된다. 이러한 점에서 현재 국가정보원에 의하여 입법이 추진되어 2001년 11월 27일 국무회의에서 의결된 ‘테러방지법안’상 테러의 개념규정은 다소 협소한 감이 없지 않다.
다음으로, 사이버범죄(cybercrime)라 함은 ‘정보통신공간-사이버공간-과 관련하여 일어나는 모든 범죄행위’를 말한다. 여기서 정보란 “특정한 목적을 위하여 광 또는 전자적 방식으로 처리하여 부호, 문자, 음성, 음향 및 영상 등으로 표현한 모든 종류의 자료 또는 지식”이라고 정의될 수 있으며, ‘정보통신공간’이라는 것은 정보통신망을 통하여 형성된 공간이라고 할 수 있다. 정보통신망이라 함은 전기통신기본법 제2조 제2호의 규정에 의한 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체제를 말한다(정보통신망법 제2조 제1항 제1호). 또한 보통 범죄라 하면 현행법상 구성요건에 해당하는 행위로서 형벌이 과해질 수 있는 행위를 말한다. 그러나 정보통신범죄의 영역은 입법적 대응이 완결된 영역이 아니라 이제 대응해나가야 할 신종범죄라는 특성을 가지고 있다. 그러므로 여기서의 ‘범죄’란 현행법 위반행위와 더불어 반사회적 유해성을 가지는 행위를 총칭하는 개념이다.
사실, 우리 사회의 사이버테러라는 용어에 대한 남용현상을 고려해볼 때 사이버테러리즘이 무엇인가를 확정하는 문제는 매우 중요하다. 이와 관련하여 사이버테러가 개인이나 기업에 대한 모든 공격적 행위를 포섭한다고 이해하는 광의의 개념설정은 재고되어야 한다. 이는 우선 ① 테러리즘의 중요한 요소인 국가나 사회에 대한 공포심 내지 불안감의 조성이 없음에도 불구하고 사이버공간을 이용하여 행하여졌다는 이유만으로 사이버 ‘테러리즘’이라고 인정하는 것은 불합리하다는 점, ② 사이버테러가 침해 내지 위협하는 법익은 국가 내지 사회기반시설의 안정성 또는 현대정보사회의 근본구조인 정보망 자체의 안전성인 데 비하여 다른 사이버범죄들이 위협하는 법익들은 개인의 재산권이나 사회의 건전한 성풍속 및 청소년의 건전한 성적 발달, 개인의 의사결정의 자유 내지 온전함이라는 점에서 보호법익의 차이가 있다는 점, ③ 단순한 해킹이나 바이러스전달에서 그치는 사이버범죄와 그러한 사이버범죄가 사회적․국가적으로 불안감을 유발시키는 단계로 발전된 사이버테러리즘은 명백하게 구별되어야 한다는 점, 그리고 ④ 방법론적으로도 사이버테러리즘이라는 대응대상을 정확히 선정하여 이에 대한 형사정책적 대응방안을 고찰하는 것이 효과적이라는 점 등을 고려해야 하기 때문이다.
위와 같은 점들과 국제사회의 사이버테러에 대한 개념규정과 우리나라의 현행법제를 종합하여 생각건대, 사이버테러리즘 내지 사이버테러의 개념은 대체로 “해킹․바이러스유포․웜 바이러스유포․논리폭탄전송․대량정보전송 및 서비스거부공격․고출력전자총 등을 통신망에서 사용하는 ‘컴퓨터 시스템 운영방해행위’ 내지 ‘정보통신망 침해행위’ 또는 ‘전자적 침해행위’에 의하여 국가적․사회적으로 공포심 내지 불안감을 조성하는 행위”라는 것이라고 정의할 수 있다고 본다. 즉, “컴퓨터시스템운영방해행위 내지 정보통신망위협․침해행위와 테러리즘(terrorism)의 결합”이야말로 사이버테러의 개념요소라고 할 수 있다. 이러한 개념을 채택한다고 하여 1명 혹은 소수의 개인의 컴퓨터 시스템에 대한 사이버공간상의 공격이 사이버테러의 범위에서 반드시 제외된다고는 보지 않는다. 만약 그것이 결과적으로 ‘한 사회나 국가에 공포심 내지 불안감을 조성할 수 있는 정도’에 도달한다면 사이버테러리즘이라고 부를 수 있기 때문이다. 반대로 다수의 피해자의 전산망에 대하여 사이버공격을 하였다 하더라도 그 결과로서 테러의 결과라고 볼 수 있는 피해가 발생하지 않았다면 이러한 공격행위를 사이버테러리즘이라고 보기는 어렵다고 생각한다.
사이버테러리즘의 특징에 대하여 생각해본다면, 전통적인 테러리즘의 가장 큰 특징은 정치적 목적성과 폭력성이었다면 사이버테러리즘의 특징은 뉴테러리즘(New Terrorism)이 가지는 특징들과 마찬가지로 기존의 테러리즘과는 다소 다른 ‘탈 테러리즘적 특성’이라고 요약될 수 있다. 즉 사이버테러리즘은 종래의 테러리즘과 비교할 때 보다 더 손쉽게, 보다 더 은밀하게, 보다 더 싸게, 보다 더 자주, 보다 더 비폭력적으로, 보다 더 죄의식없이, 보다 더 많은 사람이 범하고 있다고 할 수 있다. 전통적 테러리즘의 연장선에서만 사이버테러리즘을 파악해서는 그 개념파악 내지 대비책 마련이 불가능하다는 점에서 사이버테러리즘을 특별하게 다루어야 하는 이유를 발견할 수 있는 것이다.
즉, 전통적 테러의 경우 이를 준비하고 실행하는 데 막대한 경제적 비용이 소요되는 데 비하여 정보전과 같은 사이버테러의 경우 인적․경제적 비용은 훨씬 덜 소요될 수 있다(저비용성). 또한 전통적 테러리즘과 사이버테러리즘을 비교할 때 전통적 테러행위의 예로 제시되는 암살, 항공기납치, 인질극 등과 같은 행위는 테러리스트 자신들도 자신의 목숨을 걸어야 한다는 점이나 테러행위에는 일정한 메시지가 담겨져 있어 그 추구하는 목표가 공언되는 것이 보통인데 비하여, 사이버테러리즘의 경우 사이버테러리스트 자신의 희생이 거의 없을 수 있고 또한 특정한 정치적․경제적 목적없이 맹목적으로 타인의 사이트 등을 공격하는 경우나 장난삼아 감행되는 경우가 많아 전통적 테러와는 다른 특징을 보여주고 있다(비정치성, 맹목성).
또한 전통적 테러리즘은 최근 미국의 세계무역센터나 국방부 건물에 대한 테러에서 보여지듯이 유형적인 폭력행위가 수반되는 데 비하여 사이버테러리즘에는 가상공간상에서의 무형적 폭력행위가 사용된다는 점도 중대한 차이라고 볼 수 있다(비폭력성, 무형성).
그리고 사이버테러가 보통의 테러행위보다 빈발할 수 있는 것은 인터넷이 가지고 있는 시스템의 취약성(Vulnerability of systems)에 기반한다. 실제적으로 인터넷 보안망은 라우터라는 일종의 중계기로 연결되어 있기 때문에, 그것만 교란시키면 쉽게 인터넷망이 마비 될 수 있다(인터넷 시스템의 취약성으로 인한 필연성).
한편, 컴퓨터 보안상에 취약점이 있다는 것은 위에서 본 바와 같은 인터넷 시스템상 취약성뿐만 아니라 인적 원인(human factor)도 약점을 제공하기도 한다. 사실 컴퓨터시스템을 해킹하는 많은 사례들이 알아내기 쉬운 패스워드의 구성에서 기인하고 있다. 또한 시스템의 중요한 운영요소인 인간의 취약점을 이용하여 타인의 시스템에 침입하기 위하여 대인 공작(human engineering) 내지 사회적 공작(social engineering)을 하는 경우도 있을 수 있다(피해자의 부주의에 의한 자초성).
또한, 1991년 걸프전 개전시 미 해군이 전자공격무기의 일종인 전자기탄두를 장착한 미사일을 사용하여 이라크 남부 국경에 있는 방공망을 마비시킨 바 있듯이 사이버테러는 전통적 테러 내지 전쟁의 예비행위로 수행될 가능성도 배제할 수 없다. 일단 사이버테러행위는 위에서 살펴본 바와 같이 전통적 전투행위보다 은밀하고 쉽게 수행될 수 있기 때문이다. 또한 미국이나 영국과 같은 초강대국들을 상대하면서 화력에 의한 전면전에 의하여 승산이 없다고 생각하는 국가의 경우도 사이버테러리즘을 동원할 가능성이 있을 수 있다(전쟁 내지 전통적 테러리즘의 예비단계로서의 가능성).
그리고, 전통적 테러리즘이 주로 이슬람원리주의자들이나 테러집단에 의하여 행해진다면 사이버테러리즘은 반대로 강대국에 의하여 이용될 여지가 있다. 물론 확증은 없지만 하나의 가설로서 전세계적으로 독점적 지위를 가지고 보급되어 있는 Microsoft Windows나 Netscape Navigator와 같은 프로그램에 스파이웨어나 트로이의 목마와 같은 프로그램이 잠복되어 있다면 그 결과는 자명하다(경제적 독점자에 의한 이용가능성).
제3장 사이버테러리즘의 유형
기술한 바와 같이 사이버테러리즘이라 함은 해킹․바이러스유포․웜 바이러스유포․논리폭탄전송․대량정보전송 및 서비스거부공격․고출력전자총 등을 통신망에서 사용하는 전자적 침해행위에 의하여 사회적․국가적으로 공포심 내지 불안감을 조성하는 행위라고 파악된다. 그러므로 단순한 개인이나 기업에 대한 사이버공간상의 공격행위를 모두 사이버테러라고 포섭할 수는 없다. 따라서 사이버테러리즘의 유형을 분류함에 있어 피해자가 누구인가를 기준으로 하는 것은 적합하지 못하다고 생각한다. 이러한 이유에서 사이버테러리즘의 유형을 그 대상 또는 피해자를 기준으로 하여 개인에 대한 테러, 기업에 대한 테러 그리고 국가에 대한 테러로 나누어 파악하는 견해는 설득력이 크지 않다고 생각된다.
그러므로, 여기서는 技術的으로 어떤 침해방법을 사용하는가에 따라 사이버테러리즘의 유형을 분류해보기로 하겠다. 따라서 우선 해킹, 바이러스, 웜바이러스, 트로이목마, 고출력전자총 및 나노머신․마이크로브즈․쿠키․스파이웨어․카니보어 등으로 나누어 사이버테러의 유형을 살펴보기로 한다. 그리고 가장 주목되는 사이버테러리즘의 유형이라고 할 수 있는 해킹에 대하여는 그 세부유형을 분류하여 전자우편폭탄과 서비스거부공격, 백도어와 백오리피스, 스푸핑, 패킷 스니퍼링, 시스템의 버그를 이용한 공격, 패스워드 짐작에 의한 공격, 무료메일계정사이트 등을 통한 패스워드 습득 그리고 주위정보 등을 이용하는 사회공학적 해킹으로 나누어 설명해보기로 하겠다.
또한 이러한 정보통신망 침해행위 중에서도 그 대상이 국가나 사회의 주요기간전산망일 경우 보다 가중된 형태의 형벌적 수단을 사용할 수 있게 되며 우리 법제에서도 정보통신기반법을 통하여 이를 실현하고 있다. 따라서 행위유형상 다소 중복되는 감은 없지 않지만 이러한 가중된 형태의 사이버테러를 ‘주요정보통신기반시설에 대한 사이버테러’라는 항목으로 구성하여 설명해보기로 하겠다.
그리고 현대에는 위와 같은 정보통신망 침해행위에 의하여 전쟁의 양상까지 띠는 정보전 개념이 제시되고 있다는 점에서 이 또한 사이버테러리즘의 한 유형으로 보기로 하여 여기에서 설명하기로 하겠다.
제4장 외국의 사이버테러리즘 대응법규
정보통신기반시설에 대한 전자적 침해행위의 위험성이 뚜렷하게 증가됨에 따라 외국 각국은 범정부 차원의 정책과 정보보호기술의 연구개발을 통하여 그 대책을 마련하고 있는데, 미국․일본 등 선진국은 자국의 국가 정보통신 기반구조를 구축하는 과정에서 최근 급증하고 있는 해킹․컴퓨터 바이러스 등의 사이버테러로부터 정보 및 정보통신 기반을 안전하게 보호하기 위한 정책과 정보보안 기술의 개발을 범정부 차원에서 추진하고 있다.
미국의 경우 지난 98년 5월 사이버테러와의 전쟁을 선포하면서 급증하는 사이버테러로부터 자국 내 정보통신 기반구조를 보호하기 위해 범정부 차원에서 대응체계를 마련하고 시행해 나가고 있다. 미국은 지난 99년부터 오는 2004년까지 사이버테러 대응에 필요한 정보보안 기술 개발을 위해 총 40억달러를 투자키로 하고 계획을 전개하고 있다. 99년에는 국가 주요 기반시설에 대한 사이버테러에 대응하기 위해 15억달러를 투자한 바 있고 국방부는 첨단 해킹방지 기술 개발을 추진하면서 정보시스템이 공격자로부터 침해를 입더라도 시스템의 가용성을 보장할 수 있는 기술과 최소한의 필수시스템을 가동할 수 있는 기술 개발에 주력하고 있다.
또한 영국은 지난해 3월 국가 기간시설에 대한 안전․보장대책을 효율적으로 마련하기 위해 정부 내 ‘MI-5’가 주관하는 ‘국가기반시설 보안조정기구’를 설립했고, 독일은 컴퓨터 긴급대응팀인 ‘DFN-CERT(Digital Freedom Network-CERT)’를 운영하고 있다. 유럽연합(EU) 집행위원회도 사이버공간에서 보안조치 강화 및 첨단 기술개발 등을 골자로 한 대책안을 마련하는 등 사이버테러에 대한 대책 강구를 서두르고 있다.
일본의 경우 관방성 주도하에 사이버테러 대책을 수립, 시행 중이다. 지난 97년 8월에는 ‘대규모 공장설비 네트워크 보안대책 위원회’를 구성해 네트워크 보호기술 및 운용체계 표준화를 추진하고 99년 9월에는 관방성․경찰청․금융감독청 등 13개 기관 국장급으로 정보보안 관계부처회의체인 ‘정보보안 관련부처 국장 회의’를 구성, 운영하고 있다. 이에 따라 통산성은 보안대책 관련예산을 지난 99년 6억엔에서 지난해 19억엔으로 늘렸고 우정성은 지난해 2월 부정액세스방지법을 시행했다. 방위청의 경우 미래전에 대비해 사이버전 부대 창설 등 방위력 증강에 본격적으로 착수하는 등 범정부 차원에서 사이버테러 방지대책을 마련하고 있다.
또한 최근 2001년 6월 유럽이사회(Council of Europe)가 마련한 사이버범죄방지조약 초안이 유럽의회 제50차 형사문제위원회에서 최종 승인됨에 따라 2001년 11월 유럽이사회의 채택을 거쳐 2002년부터 발효될 예정에 있다.
이 장에서는 미국, 영국, 독일 그리고 일본의 사이버테러 대응법제를 차례로 살펴보기로 하겠다. 다만, 사이버테러리즘에 대한 입법도 일반적인 컴퓨터범죄 및 사이버범죄에 대한 입법과 더불어 진행되었다는 점에서 여기서는 사이버범죄 일반에 대한 대응법제들을 폭넓게 살펴보도록 하겠다. 더불어 유럽의회의 사이버범죄방지조약을 소개하며 다른 국가의 입법례도 참고할 만한 것이 있으면 소개해보기로 하겠다.
제5장 우리나라의 사이버테러리즘 대응법규
사이버테러행위는 해킹이나 바이러스 유포 등에 의하지 않고 타인의 저작권이나 개인정보 또는 영업비밀에 대한 침해행위를 통하여서도 일어날 수 있다는 점에서 저작권법, 컴퓨터프로그램보호법, 공공기관의 개인정보에 관한 법률, 부정경쟁방지 및 영업비밀보호에 관한 법률 등이 적용법규로서 논의될 수 있을 것이다. 그러나 이러한 법률들은 적어도 사이버테러에 대한 본격적 대응법규라고 보기에는 무리가 있고, 사이버범죄를 논할 때 하나의 독자적인 영역인 저작권침해, 개인정보침해 그리고 영업비밀침해와 같은 주제에 속한다고 할 수 있다는 점을 고려할 때 본 연구의 검토대상에서 제외하기로 하겠다.
사이버테러리즘이라고 하면 광범위한 행위유형을 포함하지만 본 연구에서는 해킹․바이러스 등의 정보통신망 침해행위와 주요 정보통신기반시설에 대한 사이버테러 그리고 정보전으로 분류한 바 있다. 여기서 정보전의 경우는 그 수행하는 행위유형에 따라 이 장에서 설명하는 처벌법규들의 적용을 고스란히 받게 된다. 그러나 이는 어디까지나 정보전의 행위방법에 대하여 적용되는 처벌법규일 따름이다. 사실 정보전이란 국가 대 국가나 국가 대 테러집단의 차원에서 주로 발생할 것이라는 점에서 이에 대하여는 국내적 차원의 형벌법규 적용의 문제가 중점이 되는 것이 아니라 특히 국제법적 문제 내지는 정치적․정책적 문제가 주된 관심사가 될 것이다.
결국 정보전과 같은 전쟁의 성격을 띤 행위에 대하여는 마땅한 형사처벌법규를 논하기 어렵다는 점에서, 이 장에서는 해킹 및 바이러스 유포와 같은 정보통신망 침해행위에 대한 처벌법규와 주요 정보통신기반시설에 대한 전자적 침해행위에 대한 처벌법규의 영역으로 구분하여 그 국내 대응법규들을 해석하고 입법적 관점을 제시하기로 하겠다. 특히 주요 정보통신기반시설에 대한 전자적 침해행위에 관하여는 이에 대응하여 2001년 1월 ‘정보통신기반보호법’이 신설되었으므로 이를 상세히 검토해보기로 하겠다. 그리고 최근 2001년 11월에 입법예고된 ‘테러방지법안’의 내용도 간단히 검토해야 할 필요가 있다고 생각된다. 위 법안에서 사이버테러에 대하여는 규정되어 있지 않지만 사이버테러라는 것도 신종 테러리즘의 일종이라는 점에서 관련법규로 볼 수 있기 때문이다.
위와 같은 국내의 사이버테러리즘 대응법규들에 대한 자세한 해석을 통하여 문제되는 입법론적 문제점들을 요약하여 정리해보자면 다음과 같다.
① 해킹범죄 자체에 대한 정보통신망법 제48조 제1항의 구성요건은 “누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입하여서는 아니된다”고 규정하고 있는데, 이러한 해킹범죄 규정방식은 급속하게 발전하는 해킹기술에는 한계를 드러낼 수밖에 없다는 문제점이 있다. 즉, 보호조치에 대한 침해나 훼손행위가 수반되지 않거나 정보통신망의 외부에서 내부에로의 침입행위가 수반되지 않은 부정접근으로 인한 타인정보침해행위가 행해질 수 있다는 점이 고려되어야 할 것이다. 구체적으로는 단순해킹의 입법방식은 “타인의 정보통신망에 부정하게 접근 내지 침입하거나 정보통신망에 설치된 보호조치를 무력화시키는 행위”라고 규정하는 것이 타당하다고 본다.
② 해킹에 의한 무단침입 및 비밀침해행위에 대한 형사처벌상의 공백은 일단 없다고 할 수 있지만, 오히려 해킹에 의하여 침해한 비밀의 종류에 따라 지나치게 처벌조항이 산재되어 있다는 것이 문제점이라고 지적할 수 있다. 또한 형법상 비밀침해죄의 법정형이 3년 이하의 징역이나 금고 또는 500만원 이하의 벌금(형법 제316조)인데 비하여 정보통신망법상 정보통신망 비밀침해죄의 법정형이 5년 이하의 징역 또는 5천만원 이하의 벌금(정보통신망법 제62조 제6호 및 제49조)으로 가중처벌되도록 규정되고 있다. 양죄간에 불법이나 책임의 경중에 있어서 차이가 있는지 의문이 든다. 그리고 비밀이 아닌 통신내용을 감청하는 행위에 적용되는 통신비밀보호법이 비밀일 경우의 적용법규인 정보통신망법보다 중한 법정형을 채택하고 있는 것도 문제가 있다. 결국 해킹에 의한 비밀침해행위를 처벌하는 법규는 되도록 정보통신망법으로 단일하게 규율하고 통신비밀보호법위반죄의 형량을 재조정하는 개정이 요구된다 할 것이다.
③ 해킹에 의한 자료삭제 행위에 대하여도 역시 동일한 유형의 행위에 대하여 처벌규정이 도처에 산재하고 있다는 점이 문제다. 형법상의 전자기록손괴나 공용전자기록무효죄 그리고 공공기관개인정보보호법상 공공기관개인정보말소죄는 필요한 입법이라 인정한다 하여도, 물류정보․신용정보․무역정보에 대한 훼손이나 삭제행위를 처벌하는 규정을 해당법률마다 두고 있는 것은 불필요하다고 본다. 정보통신망이용촉진법상 정보통신망상 정보훼손죄(제28조)를 두고 있는 이상 보호법익에 있어서 특별한 차이가 발견되지 않는 물류정보․신용정보․무역정보 훼손행위에 대한 처벌규정을 별도로 둘 필요는 없다. 또한 신용정보훼손죄는 다른 법률에 비하여 법정형이 경한데(신용정보의이용및보호에관한법률 제32조 제11호 : 3년이하의 징역 또는 3천만원이하의 벌금), 신용정보라 하여 그 훼손행위의 불법이 가볍다고 단정할 수는 없다. 그리고 정보통신망법 제28조 등에서 정보훼손행위와 비밀침해행위가 하나의 조문에 함께 규정되어 있는 것도 입법체계상 문제로 지적될 수 있다. 또한 형법상 전자기록손괴죄(형법 제366조)의 법정형보다 정보통신망법상 정보통신망 정보훼손죄(제49조)의 그것이 가중되어 있다는 점도 입법상 재고를 요하는 부분이다.
④ 해킹에 의한 자료변경행위의 경우에도 공공기관개인정보변경죄와 공공기관개인정보말소죄는 동일한 법조문(공공기관개인정보보호법 제23조 제1항)에서 동일한 법정형으로 규정되어 있는데, 양죄의 보호법익이 다르다는 점을 고려한다면 이러한 입법방식은 부적절하다고 보여진다. 그리고 신용정보변경죄(신용정보보호법 제32조 제11호)에서도 신용정보변경죄와 신용정보삭제등죄 뿐만 아니라 신용정보무권한검색․복제등죄와 같이 해킹에 의한 무단침입 및 비밀침해행위까지 같이 규정되어 있는데 이 역시 입법체계상 문제점으로 지적될 수 있다. 분리하여 규정하는 것이 바람직하다고 생각한다.
⑤ 해킹에 의한 업무방해 및 바이러스프로그램 전달․유포행위와 관련하여서는 형법상 컴퓨터업무방해죄(제314조 제2항)의 미수범을 신설하지 않고 별도의 특별법에서 악성프로그램전달․유포죄 즉 바이러스 전달․유포행위의 처벌을 위한 구성요건 신설(정보통신망법 제62조 제5호 및 제48조 제2항 및 제3항)이 과연 입법체계적인 정당성이 있는가에 대하여는 의문이다. 그리고 바이러스프로그램을 유포하여 타인의 업무를 방해한다는 등의 목적을 가지고 바이러스를 제작하는 행위 자체가 처벌되어야 할 것인가의 문제에 대하여 긍정적인 견해가 있으며 나아가 과실행위까지도 가벌성을 인정해야 한다는 견해도 있으나, 이러한 처벌의 확장문제는 신중한 검토가 필요하다고 본다.
⑥ 정보통신기반법 제12조의 주요정보통신기반시설침해죄에 관하여, 우선 동조 제1호는 주요정보통신시설에 ‘저장된 데이터’를 조작하는 등의 행위를 처벌하고 있는데 ‘저장된 데이터’로 규정되어 있다는 점에서 일정한 기록성을 요한다고 보아야 하므로 전송중인 데이터를 파괴․은닉․유출하는 행위는 본죄에 해당한다고 보기 어렵다는 처벌상 공백이 발생한다. 또한 위 제1호의 행위유형안에는 해킹, 월권적 자료조작, 자료파괴․은닉, 자료유출행위가 모두 포섭되어 있는데 이는 주요정보통신기반시설의 업무의 원활성뿐만 아니라 당해 데이터 내용 자체의 비공개성까지도 함께 규정함으로써 성격이 다른 범죄유형을 한데 규정한 것이라는 입법체계적 문제점이 있다. 다음, 동조 제2호에서는 바이러스, 논리폭탄․메일폭탄 등의 악성프로그램을 투입하는 행위만 하면 기수가 된다고 규정하고 있는 데 비하여, 제3호에서는 서비스거부공격이나 고출력 전자총 등을 사용하여 정보처리에 오류를 발생하게 하는 일정한 결과 내지 현실적 위험발생이 있어야 기수가 되는 방식의 구성요건을 취하고 있는데, 위와 같은 불균형이 존재할 근거가 없다는 점에서 동조 제3호의 규정은 제2호에 흡수시켜 통합시키는 것이 간명한 입법방식이라고 여겨진다.
⑦ 정보통신기반법 제29조의 업무상 비밀누설죄의 법정형으로 5년 이하의 징역, 10년 이하의 자격정지 또는 5,000만원 이하의 벌금이 규정되어 있는 바, 이는 형법상 공무상 비밀누설죄(제127조)의 법정형인 2년 이하의 징역이나 금고 또는 5년 이하의 자격정지를 상회하는 형량이라는 점에서 지나치게 형량이 중하다고 생각된다. 형벌법규는 과잉금지의 원칙 내지 죄형균형의 원칙을 지켜야만 그 정당성이 담보된다는 점에서 법정형을 낮추는 방향의 법률개정이 필요하다고 생각된다.
⑧ 마지막으로 테러방지법안에 있어서는 다른 입법론적 문제점은 차치하더라도 동 법안에서 테러의 개념규정(동법안 제2조 제1호)을 둔 이상 사이버테러리즘의 유형도 포섭되어야 할 것이다.
제6장 결 론
본 연구의 결론으로서 사이버테러를 비롯한 사이버범죄에 대한 입법적 측면 이외의 대응방안과 입법적 대응방안으로 2분하여 제시하기로 하겠다.
입법 이외의 대응방안으로서는 ① “정보통신기반보호법의 성실한 이행”, ② “정보윤리교육 및 정보보안교육”, 그리고 ③ “대 사이버테러 대응기술의 마련 및 집행”이 요구된다.
입법적 대응방안으로 위 제5장에서 제시한 사이버테러에 대한 우리 법규의 입법적 문제점 이외에도 사이버테러리즘을 위시한 사이버범죄의 근본적․법률적 대책으로 제시하고자 하는 것은 다음과 같다 :
① 우선 입법적 대책의 전제조건으로서 첨단과학기술의 발달로 인한 새로운 테크놀로지 및 수법에 대한 범죄학적 연구가 필요하다. 예를 들어, 현행형법 및 특별법의 비밀침해행위 처벌법규가 타인의 비밀에로의 침입행위를 전제하는 데 비하여, 현실적으로는 컴퓨터통신망이나 타인의 데이터베이스에 대하여 권한을 가지고 있지 않은 채로 접근하는 행위가 일어나고 있다는 점에서 잘 나타나듯이 소위 해킹행위의 유형들은 어느 시점에 현존하는 형법적 구성요건보다 더욱 넓은 스펙트럼을 가지고 있을 수 있는데, 이러한 현상은 바로 발전된 테크놀로지의 반영이다. 따라서 정보보호기술에 대한 연구와 이에 대응하는 입법분야에 대한 연구가 상호 협력하에 병행되어야 할 것이다.
② 형법상 형사미성년자의 연령기준을 만14세로 규정하고 있으므로 형사미성년자에 대한 소년법상 보호처분의 내용이 보다 강화되어야 하는가의 점도 검토되어야 할 것이다. 이 점은 14세 이상 20세 미만의 범죄소년이라고 하여 예외가 아니다. 즉 보호처분의 내용으로서 인터넷접속금지처분과 사이버윤리교육이 실효성있는 전환적 대안인가가 검토되어야 한다.
③ 형벌론적 관점에서도 개정형법은 보호관찰․사회봉사명령․수강명령을 도입하고 있는데 사이버범죄자들에 대하여 이를 적극 강화하여 적용하는 법운용이 필요하다. 인터넷에의 접속금지나 일정 프로그램의 제작 내지 이용을 금지하거나 제한하는 보호관찰 프로그램이 개발되어야 할 것이다. 전통적인 형벌보다는 이러한 비형벌적 조치가 더욱 효과적일 것이라고 생각한다.
④ 효과적인 범죄예방의 관점에서 정보통신망이용자의 전산망 침해행위에 대한 처벌 일변도의 입법정책뿐만 아니라 정보통신망 보호조치를 성실하게 이행하지 않아 침해사고가 발생하도록 방치한 정보통신망 제공자에 대한 형사적 제재조치가 필요한가에 대하여도 심도깊은 논의가 필요하다. 특히 사이버범죄를 직접 행한 인터넷이용자를 현실적으로 검거하기 어렵다는 점을 고려할 때 온라인사업자 또는 정보통신서비스제공자 내지 인터넷서비스제공자(OSP, ISP)의 형사책임의 문제는 앞으로 활발하게 제기될 문제로 여겨진다.
⑤ 외국인 해커의 경우에도 형법상 보호주의 규정(제6조)에 의하여 법리적으로는 우리 형벌법규가 적용될 수 있지만, 사실상 외국인 해커를 처벌하기 위하여는 그 신병을 인도받아야 한다는 점에서 국제적인 대책이 요구된다. 범죄인 인도의 문제를 해결할 수 있는 국제적 대책은 크게 첫째, ‘형사사법공조조약’을 체결하여 수사상의 협력체제를 강화하고 범죄인인도조약을 체결하여 공식적으로 양국간의 범죄인인도를 받는 방안, 둘째, 범죄인인도조약 내지 국제형사사법공조조약이 체결되지 않았다 하더라도 검찰이나 인터폴을 매개로 한 양국의 경찰간의 협력을 통하여 ‘사실상의 인도’를 받는 방법, 그리고 셋째, 사이버테러를 위시한 사이버범죄를 ‘국제범죄’(International crime)로 지정하여 이를 자국의 형법으로 처벌할 수 있게끔 규정함으로써 사이버테러에 관해서는 세계주의의 원칙을 받아들이는 방안을 생각할 수 있다.
⑥ 형법의 전통적인 실행의 착수, 공동정범의 공동가공의 의사와 공동의 실행행위, 재물개념 및 재산개념이나 사기의 개념 등과 같은 전통적 형법상 개념들이 인터넷환경이 등장함에 따라 확장․변화해야 하는가도 짚고 넘어가야 할 문제이다. 물론 전통적 형법개념에서 설명하기 어려운 사회적 현상을 새로운 패러다임(paradigm)이 필요한 법률환경으로 인정해야 하는가는 학계와 실무계의 신중한 검토가 요구된다고 본다.
⑦ 사이버범죄에 대응하는 근본적․입법정책적인 측면에 대하여 그 원칙을 세움에 있어서는 신중을 기해야 한다. 정보통신범죄의 태양과 수법은 관련 컴퓨터 테크놀로지의 발달과 맞물려 계속 새로운 모습으로 나타나고 있기 때문에, 기존의 형법만으로는 대응이 어렵기 때문에 계속되는 입법작업이 요구된다는 점은 이미 기술한 바와 같기 때문에, 기존 형법에 대한 보충적 입법의 원칙을 취할 것인지 아니면 새로운 정보통신법제를 취하여 독자적인 법체계를 형성할 것인지는 근본적으로 중요한 문제이다. 형법의 보충성 내지 겸억성이라는 점을 고려한다면 현재와 같은 과도기적 시점에서는 성급하게 앞서나가는 정보통신형법의 입법은 자제해야 할 것이며, 기존의 형법에 대한 신중한 해석을 통하여 시급하게 보충되어야 할 처벌상의 공백이 있을 경우 이를 메꾸어나가는 보충적 입법정책이 타당하지 않을까 생각된다.
⑧ 신종 사이버범죄를 규정하는 세부적 입법기술적 측면에 대하여도 조심스러운 논의가 필요하다. 현재 발생되거나 장래 발생될 것이 틀림없는 사이버범죄의 구체적 행위유형을 특정하여 구성요건화시킬 것인가 아니면 날이 갈수록 급변하는 사이버범죄의 특성을 고려하여 추상적이고 개방적인 행위유형으로 포괄하여 구성요건화시킬 것인가는 상호 긴장관계에 있을 수 있는 입법기술이다. 생각건대, 외국과의 비교법적 고찰을 통하여 우리나라에서도 각 관련된 단행법에서 일반인이 무엇이 구체적으로 위법한 행위이고 무엇이 형사처벌의 대상행위가 아닌지를 명확히 알 수 있고 법집행과정에서도 의문의 여지가 없도록 상세히 규정해두는 것이 필요하다고 생각한다.