본문 바로가기
AhnLab 칼럼

정의의 여신 디케의 눈으로 본 악성코드

by 보안세상 2020. 4. 21.

2010.01.04

 

악성코드는 1988년부터 본격적으로 세계적인 문제가 되었다. 당시 컴퓨터 보급으로 관련 범죄가 증가한 일부 국가를 제외한 대부분의 나라에는 관련 법률이 없어 윤리적인 문제로 치부되었다. 하지만, 이후 여러 나라에서 악성코드와 관련된 법이 제정되었다. 국내 악성코드 관련 법률 및 다른 나라 현황에 대해 알아보자.

poem23.com/attach/1/491a577a2fc35E1.jpg

대한민국의 악성코드 관련 법률

 

악성코드와 해킹 등과 관련된 법률은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘전기통신사업법’, ‘정보통신기반보호법’, ‘통신비밀보호법’ 등 특별법에 사이버범죄에 관한 조항을 신설하여 법적 규제가 가능하도록 하고 있다.

 

이중 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’이 대표적이며 1997년과 2001년에 시행된 개정 형법에서는 해킹 및 바이러스 관련 사이버범죄에 대응할 수 있는 규정들을 신설, 개정하여 처벌이 가능하도록 되었다. 법률을 위반한자는 5년 이하의 징역 또는 5천 만원 이하의 벌금에 처해진다.

 

‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 중 악성코드와 관련된 주용 내용은 다음과 같다.

제48조 (정보통신망 침해행위 등의 금지)

 

① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.

 

② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다.

 

③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.

 

제71조 (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

 

9. 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포한 자
 
10. 제48조제3항을 위반하여 정보통신망에 장애가 발생하게 한 자

 

[전문개정 2008.6.13]

 

국내에서는 1998년에 바이러스 제작 그룹 멤버와 바이러스 배포자들이 경찰에 검거되면서 국내 바이러스 제작자들은 급속히 감소했다. 장난으로 시작한 바이러스를 제작 및 배포가 죄가 된다는 걸 사람들이 인식하기 시작한 것이다. 하지만, 현행법으로 처벌이 어려운 해외 악성코드, 악성코드 제작으로 벌어들이는 벌금 5천 이상의 금전적 이익, 국내법을 교묘하게 빠져나가는 애드웨어 등으로 악성코드로 인한 피해는 줄어들지 않고 있다.

 

각국의 악성코드 관련 법률

 

대부분의 국가는 악성코드 배포를 처벌하고 있으며 일부 국가는 악성코드 제작을 제재하는 경우도 있다. 캐나다의 경우 바이러스 제작은 불법이 아니지만 러시아의 경우 악성코드를 제작만 해도 벌금형에 처해진다고 한다. 한편 일부 국가에서는 최근까지도 악성코드 제작 및 배포에 대한 법률이 없는 경우도 있었다. 예를 들어 2000년 필리핀에서 제작한 러브레터 바이러스(VBS/Love_Letter virus)의 경우 당시 필리핀에는 악성코드 제작 및 배포에 대한 법률이 없어 제작자는 무죄로 풀려났다. 중국의 경우 2000년에 제정된 관련 법이 있으며 2007년 2월 델보이 바이러스(일명 판다 바이러스) 제작자 일당 검거되었다. 이후 증가하는 다양한 사이버 범죄로 2009년에 강화된 법이 개정된다. 이로 이전에는 거의 합법화해 있던 악성코드, 해킹 등이 지하로 잠적하게 된다.

 

법률의 한계점

 

사회적 변화 후 법이 재정되는 한계상 빠르게 변화하는 사이버 범죄를 법이 따라가지 못하고 있다. 예를 들어 2003년부터 본격적으로 문제가 되기 시작한 애드웨어 문제가 있다. 현행 법률로는 사용자 동의 하에 설치되는 광고 기능을 가지는 애드웨어가 악성코드로 분류되지 않는다. 대부분의 사용자가 약관을 제대로 읽지 않으므로 이들 프로그램으로부터 사용자 불편과 불만은 계속 증가하고 있지만 현행 법률로 제재하는 데는 한계가 있다. 이외 다른 나라에서 제작되고 배포되는 악성코드에 대한 수사 및 처벌도 한계가 있다. 국내에서 발생하는 악성코드의 대부분이 주변국에서 제작되어 배포되므로 악성코드 제작자 및 배포자 검거는 국가간 공조도 필요하다.

 

참고자료

 

[1] 정보통신윤리위원회, 2004 심의자료집
[2] 국가법령정보센터 (http://www.law.go.kr)
[3] Stefano Toria, “The Italian way to virus prevention”, Virus Bulletin Conference, September 1993
[4] David Black, ‘Virus threats from the Canadian perspective’, Virus Bulletin Conference, September 1999
[5] Meiring de Villiers, ‘Computer viruses and the law legal liability for inadvertent virus transmission’, Virus Bulletin Conference, September 2002 Ahn


악성코드 분석가 차민석 
안철수연구소에서 악성코드 분석 및 연구를 하고 있으며 “안랩 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=3&seq=15473&columnist=0&dir_group_dist=0&dir_code=보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D