http://dx.doi.org/10.16960/jhlr.20.1.201902.

31

랜섬웨어 공격에 대한 형사법적 고찰

양종모
(영남대학교 법학전문대학원)

【초 록】

전 세계적으로 랜섬웨어 공격이 계속되고 그로 인한 파급효과나 피해규모가 막대하다.

랜섬웨어 공격은 몸값(ransom)으로 지급하는 금전적 피해 외에도 그로 인한 업무 마비나
신용 훼손 등 간접적 피해도 초래한다. 랜섬웨어 공격은 새삼스러울 것도 없는 오래된 것이
지만, 최근 다양한 형태와 더불어 그 공격 알고리즘의 성능 수준이 높아 일단 파일이 암호
화되면, 돈을 지급하고 복호화할 수밖에 없을 정도로 골치 아픈 존재가 되었다. 특히 그
파일의 암호화로 인해 생명이나 신체에 직접 위해를 가할 수 있는 병원 등에 대한 반복적
공격은 모두를 경악케 하고 있고, 그 과정에서의 막대한 범죄수익 때문에 많은 유사 범행이
뒤따르고 있다.
최근 비트코인의 등장으로 랜섬웨어 공격 후에 범인들이 비트코인으로 랜섬을 지불하도
․
록 요구하는 바람에 추적 적발이 거의 불가능에 가깝고, 특히 외국 범죄자에 의한 랜섬웨
어 공격도 많아 범인을 검거하여 처벌하는 것이 쉽지는 않지만, 랜섬웨어 공격의 처벌에
대한 검토가 빠질 수는 없다. 랜섬웨어 공격 자체는 정보통신망법에 의하여 처벌하고, 돈을
요구하여 받아 챙기는 행위는 공갈죄로 의율하면 족하다는 것이 일반적 시각이지만, 공갈
죄 적용 여부의 문제를 비롯하여 갖가지 문제가 생긴다. 정보통신망법 자체도 규정이 지나
치게 모호하고, 포괄적이라 랜섬웨어나 정보통신망 침입 등 특정 범행 자체에 대한 묘사의
디테일이 떨어져서 적용상 문제가 많다.
따라서 이러한 랜섬웨어 공격과 관련하여 과연 현행 정보통신망법 체계로 규율하는 데
32 홍익법학 제20권 제1호 (2019)

있어 문제가 없는지, 새로운 법 규정의 신설이 필요한 것이 아닌가 하는 검토가 필요하다.

․
정보통신망법의 악성 프로그램 전달 유포 처벌 규정은 그것을 수단으로 다른 범죄를
행한다는 의도 부분을 반영하는 등 좀 더 구체화할 필요가 있고, 랜섬웨어 공격과 같이 빈
번하고 피해 규모가 큰 범죄의 경우 DDos공격을 처벌하기 위한 정보통신망법 제48조 제3
항과 같이 어떤 특정 범죄 규율만을 목적으로 하는 새로운 규정의 신설이 모색되어야 하는
․
데, 기본적으로 악성 프로그램의 전달 유포와 금품 요구 등이 결합된 형태가 되어야 한다.
․
뿐만 아니라, 이러한 랜섬웨어 공격에 사용된 악성 프로그램을 제작 배포하는 행위 및 그
소지행위를 처벌하는 규정 신설도 필요하다.

주제어 : 랜섬웨어, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 공갈죄, 악성 프로그램 유포,

서비스형 랜섬웨어.
 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 33

【차 례】

Ⅰ. 서론 Ⅳ. 랜섬웨어 공격 대처 관련 법령 정비 방안 검토
1. 문제의 제기
Ⅱ. 랜섬웨어 공격의 정의와 대응방안
2. 처벌 프레임의 검토
1. 랜섬웨어 공격의 정의
3. 랜섬웨어 처벌 규정의 구체적 방향
2. 형사처벌 이외의 대응방안
4. 범인의 강요에 따른 악성 프로그램의 배포 가
Ⅲ. 처벌법규와 구체적 구성요건 해당성 검토 담 행위의 처벌 여부
1. 악성 프로그램 전달.유포 5. 랜섬웨어 개발․제공자의 책임 문제
2. 전자기록등 손괴 업무방해 6. 랜섬웨어 소지 행위 처벌 여부
3. 공갈죄
Ⅴ. 결론
4. 전 단계의 사회공학적 방법 자체에 대한 처벌
여부

Ⅰ. 서론

2017 년 5월, ‘WannaCry’ 랜섬웨어 공격이 전 세계적 규모로 발생하여 150개국에 걸쳐 30

만 명이 넘는 사람들이 피해를 입었다. 이 랜섬웨어는 미국 정부가 사용하던 해킹 툴을 1)

해커들이 입수하여 개작한 것이라는 점이 놀랍다. 랜섬웨어가 창궐하는 이유는 랜섬웨어 2)

공격으로 인한 범죄 수익이 막대하기 때문인데, 가상화폐의 등장으로 범죄수익을 거두어들

이는 것이 수월하고, 적발가능성도 적어졌다. 어떤 종류의 랜섬웨어의 등장으로 범죄수익
을 거두어 들였다는 것이 알려지면, 그와 유사한 모방범죄가 속출하는 경향이 있다. 이러한
모방범죄의 속출은 서비스형 랜섬웨어(Ransomware as a Service ․ RaaS) 때문이다. 서비스
형 랜섬웨어의 등장으로 랜섬웨어를 제작할 기술적 역량이 없는 사람들도 랜섬웨어 공격
으로 범죄 수익을 얻을 수 있는 길이 열렸고, 서비스형 랜섬웨어 제작자는 이러한 범죄수익
을 분배받는다.
한국에서도 2017년 6월 10일 각종 쇼핑몰들이 이용하는 웹 호스팅 업체 ‘인터넷 나야나’
가 랜섬웨어 공격을 받아 13억 원을 지불하고도 데이터 복구에 차질을 빚은 사건이 발생했
다. 돈(ransom)을 지불할 수밖에 없었던 것은 데이터가 복구되지 않을 경우 각종 쇼핑몰
3)

1) Yu Liang, “Analytical Insights on Criminal Law Legislation of Anti-Cyberterrorism”, 6 China

Legal Sci. 69(2018), p.70.

2) Lawrence J. Trautman & Peter C. Ormerod, Industrial Cyber Vulnerabilities: Lessons from

Stuxnet and the Internet of Things, 72 U. Miami L. Rev. 761, 797 (2018), p.822.
34 홍익법학 제20권 제1호 (2019)

등이 입을 연쇄적인 피해가 엄청날 것으로 예상되었기 때문이다. 랜섬웨어 공격으로 인한

막대한 피해상황이 더 이상 강 건너 불이 아닌 상황이 되었다.
랜섬웨어 공격 대상으로 널리 알려진 것은 병원 시스템이다. 2016 년 미국의 Methodist

Hospital, Medstar Health, 2017 년 Emory Healthcare 에 대한 공격은 피해규모의 막대함으

로 인해 언론의 주목을 받았는데, 이는 병원 시스템이 디지털화되면서 종이문서로 관리하
던 정보들이 네트워크로 이동하는 생태 변화로 랜섬웨어의 좋은 공격 대상이 되었기 때문
이다. 랜섬웨어 공격 대상에는 키에프의 국제공항이나 체르노빌 원전의 운영 시스템도 있
4)

다. 이런 공격 대상의 특징은 그 데이터나 시스템의 운영이 매우 중요하고, 그 데이터의

5)

소실이나 시스템 마비가 가져올 피해나 여파가 아주 크기 때문에 요구하는 금액도 클 수밖

에 없다.
랜섬웨어 공격이 공공기관 등에 행하여지고, 그 피해도 광범위할 뿐만 아니라 피해규모
도 막대하여 이를 사이버테러로 규정하고, 이에 대한 사이버 보안차원의 방지책 등을 강구
하는 것도 분명 의미 있지만, 랜섬웨어 공격의 본질은 악성 프로그램의 유포로 인한 정보통
신망 장애라는 점이며 이를 형사적으로 어떻게 규율할 것인가 하는 점이 간과되어서는 아
니 된다. 우리 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법이라
․
약칭)이 악성프로그램의 전달 유포를 처벌하는 규정을 두고 있어 법적 장치는 충분하다
고 보는 시각이 일반적이며, 이러한 랜섬웨어에 대한 법적 고찰 자체가 희소할 뿐만 아니라
형법의 관점에서 본격적으로 다룬 연구는 거의 없다시피 하다. 정부나 국회 차원의 대응으
로 위원회가 개최되기는 하지만, 그곳에서의 법적 논의 수준은 미흡하기 짝이 없다.
현행 정보통신망법의 체계나 규정은 이러한 랜섬웨어 공격을 비롯한 사이버 범죄를 규
율하는 데 그 체계나 법정형 등에서 여러 가지 문제점이 있다.
본고에서 정보통신망법의 악성프로그램 전달 유포 규정을 비롯한 여러 가지 조항이 가 ․
진 문제점 등을 검토하고 랜섬웨어 공격을 규율하기 위한 규정 신설 등 여러 가지 방안을
논의하고자 한다.

3) …
이효상, “랜섬웨어 몸값 딜레마 인터넷 나야나 13억 지불에 해커와 협상 나쁜 선례 지적”, 경향신문,
2017. 6. 15. 자, http://news.khan.co.kr/kh_news/khan_art_view.html?art_id=201706152120015
(2018. 12. 15. 최종방문).

4) Ryan M. Krisby, “HeathH Care Held Ransom: Modifications To Data Breach Security & The

Future of Heath Care Privacy Protection”,28 Health Matrix 365, P.367.

5) Marc Mehlman, “How CFOs Can Mitigate the Risk of Ransomware”, 70 Tax Executive 92 (2018),

p.92.
 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 35

Ⅱ. 랜섬웨어 공격의 정의와 대응방안

1. 랜섬웨어 공격의 정의

(1) 협의의 랜섬웨어 공격

랜섬웨어는 컴퓨터 장치 또는 시스템의 데이터를 암호화한 다음 소유자가 돈을 지불할

때까지 해당 데이터에 대한 접근 또는 복구를 금지하는 악성 프로그램이다. 랜섬웨어 공격
은 이러한 악성 프로그램을 이용하여 데이터에 대한 접근을 막고 시스템이 제대로 작동하
지 못하도록 한 다음, 그 데이터의 복구를 조건으로 돈을 요구하는 행위인데, 법적 개념으
․
로는 정보통신망법 제48조 제2항의 데이터 또는 프로그램 등을 훼손 변경하거나 정보통
신시스템의 운용을 방해할 수 있는 프로그램 악성프로그램 의 전달․유포와 그로 인한 데 ( )

이터 훼손․변경 즉 전자기록 등 손괴로 정보처리에 장애를 야기하는 형법 제 조 제 항 314 2

의 업무방해, 데이터 복구를 빌미로 금품을 요구하는 행위로 정의할 수 있다. 이러한 유형
의 위협은 1989년 이후 존재했지만 지난 6)
2015 년부터 부쩍 그 공격 빈도와 피해가 늘었
다. 이메일 혹은 업데이트로 위장하여 침입한 후 사용자의 디바이스 내 데이터를 암호화
7)

한다. 즉 전자 메일 첨부 파일이나 전자 메일 내부 링크로 자체를 변조하여 컴퓨터의 방어

8)

벽을 지나쳐 버리는데, SecureWorks 보고서에 따르면 이러한 악성 프로그램은 '부재중 팩

스'또는 '음성 메일'과 같은 무해한 제목을 포함하는 이메일로 전송된다. 랜섬웨어가 컴퓨 9)

터 하드 드라이브에 침투하면 그 컴퓨터 내의 모든 데이터 파일과 그 컴퓨터와 연결된 외

장 드라이브의 다른 파일을 자동으로 암호화한다. 10)

랜섬웨어의 공격 대상은 컴퓨터 시스템만 있는 것은 아니다. 스마트폰 등 다른 체제의

기기도 대상이 되며, IoT 디바이스를 대상으로 하는 랜섬웨어나 웨어러블 디바이스를 대상

6) 랜섬웨어는 1989년 Joseph Popp이라는 생물학자(biologist)가 World Health Organization의 AIDS

회의 참석자에게 디스켓으로 배포한 AIDS Trojan인데 파일을 암호화한 후, 그 복호화를 조건으로
189달러를 PC Cyborg Corporation에 송금하도록 요구하는 메시지를 화면에 띄운다. Mellissa

Gallegos ․ Deborah Ludford, “Ransomware: Legal Issues to Avoid Being Held Hostage”, 2017

ACBO Fall Conference October 23-25, 2017.

7) James A. Sherer et al., “Ransomware-Practical And Legal Considerations For Confronting The

․ 『한국정보과학회 학술발표논문집』
New Economic Engine of The Dark Web”, 23 Rich. J. L. & Tech. 1 (2017), p.1.

8) 서규원 김호원, “랜섬웨어의 종류와 앞으로의 동향”, 한국

, (

정보과학회, 2016), 1116면.

9) Joe Dysart, “Data Kidnapping”, 101 A.B.A. J. 31 (2015), p.31.

10) id.
36 홍익법학 제20권 제1호 (2019)

으로 하는 랜섬웨어 공격의 출현도 예상된다. 대부분 웨어러블 디바이스는 안드로이드와

같은 OS로 동작되는데, 이러한 OS에 악성코드를 전달 유포하는 것은 상대적으로 용이하 ․
기 때문에 웨어러블 디바이스를 감염시킨 후 금전을 요구할 가능성이 크다. 11)

일반적인 랜셈웨어 공격의 경우 가상화폐 등 디지털화폐로 몸값이 지불되어야 데이터

등에의 액세스가 복원될 것이라고 사용자에게 경고한다. 12)
랜섬웨어 프로그램은 종종 스피
어피싱(특정 개체에 대한 피싱 대상 캠페인)을 통해 전달 유포되지만 보다 정교한 방법으 ․
로는 최종 사용자의 취약점을 악용하는 방법이 있다. 13)
랜섬웨어 공격으로 인해 타격을 크
게 받은 대표적 분야는 의료계인데, 이러한 랜섬웨어 공격은 전체 네트워크 자체를 인질로
하거나 시스템의 운영을 방해할 뿐만 아니라 운영기관의 평판을 저해하며, 지불하는 돈뿐
만 아니라 수반되는 사업 손실 , 복구비용 등으로 인한 재정적 손실도 초래한다. 14)

점점 기세를 떨치고 있는 랜섬웨어 공격 중에서 악의적인 변종인 CryptoWall이 범죄자

들 사이에서 인기를 얻고 있다. 15)
Dell SecureWorks가 발표한 2014년 10 월 보고서에 따르
면 2013년 2월 이후 전 세계적으로 60만 명이 넘는 희생자가 이 랜섬웨어에 당한 것으로
알려졌다. 16)

랜섬웨어는 종종 맬웨어 유형으로 간주되지만 맬웨어와는 랜섬웨어 공격은 다른 유형의

사이버 범죄라고 보아야 한다. 17)
따라서 정보통신망법의 악성 프로그램 전달 유포와는 다 ․
른 처벌 규정이 필요한 것이 아닌가 하는 논의도 따라야 한다.

(2) 광의의 랜섬웨어

협의의 랜섬웨어 즉 피해자의 파일을 암호화하고 그 복호화를 조건으로 돈을 요구하는

전형적 형태 외에도 정보통신망을 이용한 몸값 요구는 다양하다. 협의의 랜섬웨어 공격에
는 포함하기 어렵지만, 정보통신망을 이용하여 돈을 요구하는 경우는 광의의 랜섬웨어라고
할 수 있겠다. 그 유형 중 하나로 자마이카에서 유래된 은 피해자가 요구한
lottery scheme

금액을 주지 않으면 피해자의 신체에 위해를 가하겠다는 메일을 보내거나 전화를 하는 비

11) ․
서규원 김호원, 앞의 각주 8)의 논문, 면
1117

12) Elkin Girgenti, “Computer Crimes”, 55 Am. Crim. L. Rev. 911(2018), p.916.

13) id. at 917.

14) id.

15) Joe Dysart, supra note 9.

16) id.

17) Peter N. McClelland, “From Gibberish to Jargon: A Look at the Technical and Legal Issues

Surrounding New Technologies and How they Necessitate Active Engagement by Attorneys

in Client Decision-Making”, 10 Elon L. Rev.331(2018), p.349.

 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 37

교적 전통적 유형의 범죄인데, 심지어 구글어스로 확보한 피해자 집 주위 사진을 첨부하여

마치 협박 범인이 피해자 집 인근에 거주하고 있어 피해자에게 실제 위해를 가할 수 있다
고 믿게끔 한다. 18)

위 유형보다는 협의의 랜셈웨어에 가까운 또 다른 유형의 범행은 피해자의 브라우저에

서 수집한 정보를 토대로 피해자가 아동포르노 소지나 불법 다운로드를 하였다고 하면서
체포나 기소를 면하려면 100 불에서 수백불에 이르는 벌금을 내야한다고 협박하는 메일을
보내어 돈을 갈취하는 것이다. 19)

그밖에 Anti-Virus 프로그램으로 위장한 악성 프로그램을 전달한 후 피해자의 컴퓨터 화

면에 마치 그 컴퓨터가 악성 코드에 감염된 것처럼 메시지를 띄우고, 악성 코드 치료를 위
하여 금원을 지급하고 치료 프로그램을 구입토록 하여 돈을 편취하는 유형도 있는데, 이런
경우도 광의의 랜섬웨어다.
우리 정보통신망법에서 정보통신망을 비교적 넓게 정의하고 있으므로, 위의 유형도 광
의의 랜섬웨어로 분류할 수 있다.

2. 형사처벌 이외의 대응방안

이러한 랜섬웨어 공격에 대하여 예방이 최선이라고들 한다. 랜섬웨어 공격 가능성을 대

비해 중요 데이터를 백업해두는 것이 최상이라는 게 일반적인 해법이다. 사이버 범죄의
특성 상 일반 사용자들이 여러 형태의 사이버 범죄 동향에 대하여 보다 관심을 가지고 주
의를 기울이는 것만으로도 피해를 줄일 수 있기에 예방적 대책의 중요성이 강조된다. 20)

물론 이러한 랜섬웨어 공격에 대하여 피해자 입장에서 가해자에게 민사적인 손해배상을

구하는 것도 하나의 방안이지만, 소송의 상대방인 범인 특정 등을 비롯한 여러 가지 난점
이 있다.

18) Jonathan J. Rusch, “The Flood Tide of Cyberfraud”, 62 U.S. Att’ys Bull. 1(2014), p.4.

19) id.

20) Kitti Mezei, “The Regulation of Crimes against Information Systems in Hungary”, 2017 J. E.

-Eur. Crim. L. 203(2017), p.215.

38 홍익법학 제20권 제1호 (2019)

Ⅲ. 처벌법규와 구체적 구성요건 해당성 검토

1. 악성 프로그램 전달․유포

랜섬웨어 공격은 장치 또는 시스템에서 데이터를 암호화하는 것이 기본인데 이와 같이

장치 또는 시스템에서 데이터를 암호화할 때, 사용되는 악성 프로그램이 장치나 시스템에
탑재되어야 한다. 이러한 탑재 과정에는 통상 사회공학적 방법이 사용되거나 기타 방법으
․
로 악성 프로그램을 공격 대상 장치나 시스템에 전달 유포하는 것이 필요하다. 이러한 전
․
달 유포과정은 정보통신망법에 처벌 규정이 있다. 바로 정보통신망법 제70조의2 규정이
다. 즉 “제48조 제2항을 위반하여 악성프로그램을 전달 또는 유포하는 자는 7년 이하의 징
역 또는 7천만 원 이하의 벌금에 처한다.”고 규정하고, 동법 제48조 제2항은 “누구든지 정
ㆍ ㆍ ㆍ
당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸실 변경 위조하거
나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하
여서는 아니 된다.”고 규정하고 있다. 랜섬웨어는 위 법 제48조 제2항이 규정하는 전형적인
․
악성 프로그램이다. 데이터 자체에 대한 접근이 불가능하도록 변경 훼손하는 프로그램이
기 때문이다.

2. 전자기록등 손괴 업무방해

랜섬웨어 공격으로 인해 데이터가 암호화됨으로 인해 접근 불가능한 상태가 되는 것은

랜섬웨어라는 악성 프로그램의 작동 때문인데, 이것이 형법 제314조 제2항의 업무방해 구
성요건을 충족하는지 따져본다. 우선 암호화된 데이터는 전자기록 등 특수매체기록이다.
데이터의 암호화로 인해 전자기록 자체가 멸실되는 것은 아니지만 접근 불가능하게 변
․
경 훼손되어 정보처리에 장애가 생기는데, 이를 손괴 개념에 포섭시킬 수 있느냐가 문제
된다. 완전히 파괴하여 사용하지 못하게 하는 정도가 아니라도 중요 기능을 상실케 하는
정도도 손괴에 해당하므로 컴퓨터에 수록된 데이터를 삭제하는 것뿐만 아니라 본래의 내
용을 변경하거나, 이들 데이터를 읽을 수 없는 상태에 빠지게 하는 것도 손괴라고 보아야
한다. 따라서 이런 전자기록 등 손괴로 정보처리의 장애와 이로 인한 업무방해라는 이중의
결과도 충족하므로, 형법 제314조 제2항의 전자기록 등 손괴 업무방해죄에 해당한다.
 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 39

3. 공갈죄

데이터를 암호화하여 액세스나 복구를 조건으로 돈을 요구하는 행위는 일응 형법 제350

조의 공갈죄 구성요건에 해당하는 것처럼 보인다. 통상 몸값(ransom)으로 요구하는 것이
비트코인인데, 이러한 비트코인의 재산성에 대하여는 우리 판례는 비트코인에 대하여 경제
적인 가치를 디지털로 표상하여 전자적으로 이전, 저장 및 거래가 가능하도록 한, 이른바
가상화폐’의 일종으로 재산적 가치가 있다고 판단하였다.
‘ 21)

타인의 정보를 볼모로 삼고, 해당 정보를 사용할 수 없도록 하는 것은 협박이라고 볼 수

있다면서 강요죄나 공갈죄가 성립할 수 있다고 하는 견해가 있다. 22)
그러나 파일 등을 암
호화하고 복호화 등을 조건으로 돈을 요구하여 받은 행위가 공갈죄의 구성요건을 충족하
는지에 대하여는 의문이 많다. 해악을 고지하여 상대방에게 공포심을 일으키는 것을 개념
으로 삼고 있는 협박의 개념을 살펴볼 때 이런 행위를 협박이라 보기 어렵다. 즉 공갈죄의
수단으로서 협박은 사람의 의사결정의 자유를 제한하거나 의사실행의 자유를 방해할 정도
로 겁을 먹게 할 만한 해악을 고지하는 것을 말하고, 해악의 고지는 반드시 명시의 방법으
로 해야 하는 것은 아니고 언어나 거동으로 상대방으로 하여금 어떠한 해악에 이르게 할
것이라는 인식을 갖게 하는 것이면 충분하며, 재물의 교부에 응하지 아니한 때에는 부당한
불이익을 초래할 위험이 있다는 위구심을 야기한 경우, 해악의 고지로 보기에 족하지만, 23)

악성프로그램 유포 및 그를 이용한 암호화가 피해자도 인식하지 못하는 사이 이루어지며

파일의 암호화로 이미 부당한 불이익이 초래된 후에 비로소 금전 요구가 있는 것이므로,
부당한 불이익을 초래할 위험이 있다는 위구심을 야기한 것이 아니라, 오히려 그러한 불이
익 상태 해소를 위해서는 재물을 교부하라는 요구이므로 이를 전형적인 협박으로 해석하
는 데는 무리가 따른다. 강요죄도 협박이라는 요건을 구비하기 어렵다. 물론 이미 해악 또
는 부당한 불이익 상태가 초래된 단계에서도 재물을 교부하지 않음으로써 복호화가 되지
않아 재산이나 신체, 신용 등에 대한 영향이 지속될 것이라는 외포심을 가질 것이지만, 이
를 공갈죄의 해악의 고지 또는 협박으로 보는 데는 해석상 문제가 있다. 또한 이런 랜섬웨
어 공격을 재산범죄로 규정하려는 것도 랜섬웨어 공격의 특성 상 맞지 않다.

대법원 2018. 5. 30. 선고 2018도3619 판결.

『범죄수사학연구』 제 권 제 호
21)

22) 이원상, “형사법적 관점에서의 랜섬웨어 대응방안”, , 3 1 ( 경찰대학

수사과학연구센터, 2017), 85쪽.
23) 대법원 2012. 9. 13. 선고 2012도7461 판결.
40 홍익법학 제20권 제1호 (2019)

4. 전 단계의 사회공학적 방법 자체에 대한 처벌 여부

통상 랜섬웨어의 경우, 피해 정보통신망에 대한 통제가 가능하여야 한다. 이러한 통제를

얻기 위해 정보통신망에 침입하는 소위 해킹은 정보통신망법에 별도의 처벌 규정이 있다.
이러한 정보통신망 침입을 위해서는 악성 프로그램의 유포를 통하여야 하는 경우도 있는
데, 이러한 경우, 이러한 악성 프로그램의 유포 또는 피해 정보통신망에의 탑재는 악성 프
로그램의 유포를 처벌하는 정보통신망법 규정에 저촉된다.
그러나 이러한 정보통신망법에 의하여 처벌이 불가능한 부분이 있다. 소위 사회공학적
방법(social 은 공격 대상 정보통신망에 전화나 이메일 등을 이용하여 접근하
engineering)

는 인간을 통한 접근방법인데, 이러한 경우 이러한 행위 자체로 처벌이 가능한가 하는 부분

이 문제된다. 특정한 이메일로 링크를 보내어 이것을 클릭하게 하는 것이 전형적 수법인데,
물론 피해자가 이러한 링크를 클릭하여 악성 프로그램을 유포하는 등 정보통신망법이 규
정하는 위법행위를 하는 경우는 크게 문제될 바 없다. 그러나 피해자가 이러한 링크를 클릭
하지 않는 경우, 악성 프로그램으로 유도하는 링크를 보낸 전단계의 행위를 처벌할 수 있는
가?
정상적인 이메일로 위장하기 위해서는 금융기관이나 정부기관 등의 명의로 발송할 필요
가 있다. 이런 경우를 소위 문서위조죄 차원에서 검토하면서 문서는 시각적인 가독성을 지
닌 계속적 기능을 기준으로 판단하여야 하는데 이메일의 문서성을 부정하는 것이 타당하
다는 견해도 24)
이러한 이메일 송부행위를 기존 형법의 틀에서 검토하기 때문에 나온 것으
로, 이러한 논의의 당부를 떠나 이러한 정상적 이메일 위장행위가 갖는 실질적 기능과는
무관한 논의일 수밖에 없다. 기존 형법상의 구성요건을 새롭게 해석하여 새로운 범죄현상
을 해결하고자 하는 무리한 시도로 보인다. 이것은 앞서 지적한 바와 같이 일종의 예비행위
로서 그러한 예비행위의 가벌성은 그 후행행위의 심각성이나 법정형과의 균형을 생각할
필요가 있다. 처벌의 가능성을 떠나 이와 같은 이메일을 끊임없이 보내는 행위 자체를 벌칙
으로 규율할 필요가 전혀 없다고 보긴 어렵다.
정상적인 홈페이지를 위장하여 악성 프로그램을 유포하는 행위를 하는 경우, 그러한 정
상적 홈페이지처럼 위장 홈페이지를 만든 행위 자체를 상표법이나 사전자기록위작죄 등으
로 처벌 가능한지 하는 논의도 정작 이러한 행위가 악성 프로그램 유포행위의 예비행위라

24) 김성룡, “피싱(Phishing)의 가벌성”, 『

IT 』
와 법연구 , 제4권 제4호(경북대학교 와 법연구소,
IT

면.
2010), 264
 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 41

는 점과는 무관한 논의로 실질적으로 사전자기록위작죄 규정을 두고 있는 취지와 부합하

는지는 의문이다. 뿐만 아니라 이러한 전자기록위작죄의 대상은 기록이거나 증명적 기능을
가져야 하는데, 홈페이지가 증명적 기능을 갖지 아니할 뿐만 아니라, 이를 기록으로 보기도
어렵다. 25)

Ⅳ. 랜섬웨어 공격 대처 관련 법령 정비 방안 검토

1. 문제의 제기

2016 년 9월, 캘리포니아는 랜섬웨어 사용을 2년 내지 4년의 징역형에 처하도록 형법 개

정안을 통과 시켰고, 와이오밍 주도 랜섬웨어를 징역 10년 이하에 처하도록 하는 형법 개정
안을 통과시켰다. 캘리포니아의 개정안에는 랜섬웨어에 대한 정의된 포함하는데, "데이터
를 암호화하고, 암호화를 해제하기 위하여 지불을 요구하는 것이라고 규정하고 있다. 26)
앞
서 본 바와 같이 랜섬웨어 공격의 금품 요구는 우리 형법의 공갈죄 규정으로 포섭하기 어
렵고, 정보통신망법은 랜섬웨어 공격의 수단격인 악성 프로그램 전달 유포만 규정하고 있 ․
을 뿐이어서 랜섬웨어 프로그램 유포와 그로 인한 데이터 암호화와 정보처리 장애 업무 ․
방해, 그 후의 금품 요구를 제대로 규율하는데 혼선이 적지 않으므로, 이러한 일련의 행위
들을 통일적으로 규율하기 위한 조항의 신설 여부 등을 중심으로 검토할 필요가 있다.

2. 처벌 프레임의 설계

(1) 사이버 영역 규율의 특성화 필요

오늘날 일상생활은 컴퓨터와 인터넷으로 대변되는 정보기술과 긴밀히 결부되어 있어 현

대사회는 정보기술이 개인이나 사회 모든 영역을 지배하는 소위 정보화 사회임이 틀림없
다.27)
이런 정보화 사회에서 특히 컴퓨터와 인터넷이 결합된 영역인 사이버공간 또는 정보

25) 강동범, “사이버범죄 처벌 규정의 문제점과 대책”, 『형사정책』 제 , 권 제2호(한국형사정책학회,

19

면.
2017), 40

26) Law Offices of Salar Atrizadeh, “What Are Ransomware Laws?”, Internet Lawyer Blog,

최종방문).
『법철학연구』
https://www.internetlawyer-blog.com/what-are-ransomware-laws/(2019. 1. 5.

27) 이재일, “형법적 가벌성의 확장을 위한 원인과 현상”, , 제13권 제1호( 한국법철학
42 홍익법학 제20권 제1호 (2019)

통신망에서 발생하는 위해는 거대규모일 뿐만 아니라 피해양상에 있어서도 직접 피해뿐만

아니라 간접피해도 커서 28)
전래적 형법의 규율대상이던 생활상의 위해와는 질적인 차이를
보이고, 전래적 형법으로서는 규율하기가 어렵다. 이러한 상황에서 온라인상의 행위를 평
가할 때 오프라인상의 행위 분석에 활용되던 범죄이론을 그대로 연장하여 적용한다든가
오프라인상의 행위 분석에 활용되던 범죄이론의 수정 으로는 대처하기 어렵다. 사이버 공 29)

간에서 활동이 소위 ‘가상현실’이 아니라 ‘현실 세계’(real world) 로 편입되어 명확한 경계

가 사라졌다. 종전에는 컴퓨터 범죄가 컴퓨터 네트워크를 조기에 도입한 정부나 은행, 조직
등을 주요 표적으로 삼았지만, 컴퓨터와 인터넷의 사용이 일상화되고, 일반 가정, 일상적
경제활동에까지 확대됨에 따라 대부분의 일상적 영역이 컴퓨터 범죄의 잠재적 표적이 되
었다. 30)
모든 생활 양상이 정보통신망에서 이루어지는 새로운 세상이며, 온라인 또는 사이
버 세상에서 이루어져서 물리적 실체가 없다는 이유만으로 그 범죄의 중대성이 가벼워지
는 것은 아니라, 오히려 물리적 세계보다 사이버 세계에 집착하는 현상을 보이고 있다. 이
러한 새로운 형태의 범죄의 피해 중대성에 비해 형법적 대응이 너무 느슨하며, 보다 가혹한
처벌을 요구하는 것은 자연스럽다. 31)
새로운 정보통신망 등 특유의 카테고리에 집중할 필
요가 있고, 이러한 새로운 특성의 공간을 규율함에 있어 형법적 수단의 재무장이 요구된다.
이런 상황에서 전통 형법의 이론과 도그마틱을 그대로 고수하면서 전통 형법에서 포섭하
려는 시도는 역으로 기존에 정합성을 지니던 형법의 보편성 통일성의 체계 자체를 붕괴 ․
시킬 위험이 있다. 사이버공간으로 통칭되는 정보통신망 상의 여러 가지 범죄를 기존 형법
으로 규율하려는 시도는 결국 이와 같은 새로운 구성요건이 기존 형법 구성요건의 체계와
상이하기 때문에 형법 규정 체계가 무너질 가능성이 크다.
오히려 정보통신망으로 대변되는 사이버 공간에서 일어나는 범죄는 그 규율에 있어 사
이버 영역의 특성을 온전히 반영할 필요가 있을 뿐만 아니라 그 생활영역을 통일적으로
규제한다는 차원에서 정보통신망법에 통합적으로 규정할 필요가 있다.

회, 면.
․
2010), 321

28) Kevin V. Ryan Mark L. Krotoski,“Caution Advised: Avoid Undermining The Legitimate

Needs of Law Enforcement To solve Crimes Involving The Internet In Amending The

Electronic Communications Privacy Act”, 47 U. S. F. L. Rev. 291, p.302.

심희기, “온라인상의 범죄행위에 대한 오프라인상의 범죄이론 연장의 가부: 링크(link)를 포함한

『 』
29)

일련의 연결수단부여행위와 ‘공연전시’”, 고시연구 , 통권 제357호(고시연구사, 2003), 191면.

30) Charlotte Decker, “Cyber Crime 2.0: And Argument To Update The United States Criminal

Code to Reflect The Changing Nature Of Cyber Crime”, 81 S.Cal.L. Rev 2007-2008, p.961.

31) Matthew Ashton, “Debugging the Real World: Robust Criminal Prosecution in the Internet of

Things”, 59 Ariz. L. Rev. 805 (2017), p.810.

 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 43

(2) 악성 프로그램의 유포 목적에 따른 세분의 필요

악성 프로그램도 단순한 컴퓨터 프로그램이다. 랜섬웨어의 경우도 C와 같은 각종 컴퓨

터 언어를 사용하여 만들어진다. 를 사용하여 만들어진 한 랜섬웨어 소스 코드 를 보
C++ 32)

면 14개의 작은 파일로 나누어져 있고, 헤더파일 등을 제외하면 실행에 관여하는 핵심적인

파일은 UltraRans.cpp, stdafx.cpp 두 가지이다. 의 경우
UltraRans.cpp 14개의 함수로 구성
되어 있다. 랜섬웨어는 봇(bot)으로도 분류하는데, 컴퓨터 프로그램이 사람을 대신하여 어
떤 임무(동작)를 처리하는 일종의 에이전트 역할을 한다. 그래서 봇을 에이전트라고 하기도
한다. 범죄에 사용되는 봇넷(botnet) 때문에 봇(bot) 자체가 마치 범죄에 사용되는 도구 개
념인양 오인되고 있지만, 봇이라는 것은 가치중립적이다. 따라서 단순한 컴퓨터 프로그램
․
의 전달 유포를 바로 위법하다고 평가할 수는 없다. 오래전부터 웹상의 정보를 수집하기
위한 로봇 에이전트, 정보수집 에이전트가 도입되어 사용되고 있다. 이러한 에이전트의 도
․
입으로 빅데이터의 수집 분류와 분석을 통한 활용이 가능해졌다. 이러한 정보 수집 에이
전트 프로그램과 랜섬웨어는 근본적 실행 과정은 같다. 사람을 대신하여 어떤 특정한 임
․
무 동작을 수행한다. 악성 프로그램이라고 해서 그 프로그램 자체가 악성을 나타내지 않
는다. 그래서 정보통신망법 제48조 제2항도 악성 프로그램을 “ 정보통신시스템, 데이터 또
․ ․ ․
는 프로그램 등을 훼손 멸실 변경 위조하거나 그 운용을 방해할 수 있는 프로그램”이
라고 규정하고 있다. 그러나 행위를 “전달 또는 유포하여서는”이라는 식으로 규정하여서는
갖가지 사이버 범죄 유형을 적확하게 표현해낼 수가 없다. 악성 프로그램의 정의 부분을
용어의 정의와 관련된 정보통신망법 제2조로 이동시키고, “악성 프로그램이란 정보통신시
․ ․ ․
스템, 데이터 또는 프로그램 등을 훼손 멸실 변경 위조하거나 그 운용을 방해할 수 있
는 프로그램을 말한다.”라고 규정하면서, 제48조 제2항은 “누구든지 정당한 사유 없이 악성
․
프로그램을 전달 유포하여 데이터 또는 프로그램 등을 훼손 멸실”이라는 식으로 구성요 ․
건을 바꾸는 것이 더 나아 보인다.
뿐만 아니라 해킹, 랜섬웨어 등 사이버 공격과 관련된 법 규정의 경우, 그 공격의 의도가
법 규정에 명백히 반영되는 것이 바람직하다. 33)
미국의 경우 이러한 의도가 구성요건에 명
시되어 있다. 즉 United States Code, Section 1030(a)(2) 는 “누구든지 정당한 접근권한 없이
또는 허용된 접근권한을 넘어 의도적으로 정보통신망에 침입하여 금융기관의 재무기록 등

32) https://github.com/popescuadi/Ransomware(2019. 1. 10. 최종방문).

33) Wolfgang McGavran, “Intended Consequences: Regulating Cyber Attacks”, 12 Tul. J. Tech. &

Intell. Prop. 259 2009, p.271

44 홍익법학 제20권 제1호 (2019)

이 포함된 정보를 획득하여서는 아니 된다.”고 규정하고 있는 것에서 보듯 침입의 의도 부

분이 규정에 명시되어 있다.
반면 우리 정보통신망법은 같은 유형의 범죄에 대하여 제48조 제1항은 “누구든지 정당
한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.”라
고만 규정하고 있을 뿐이어서 정보통신망 침입이 행하여지는 목적에 따라 경범죄와 중범
죄로 구분하기까지 하는 미국의 규정 에 비해 세밀성이 부족하다. 34)

전통적 형법 범죄는 그 구성요건의 추상성이 크게 문제가 되지 않는다. 형법 제250조의

“사람을 살해”라는 구성요건의 해석에서는 그 의도라는 요소를 배제하더라도 그런 행위를
다른 구성요건과 구별하는데 문제가 없다. 그러나 사이버범죄와 같은 기술적 범죄의 경우,
그 의도는 다른 범죄와 구별 짓는 중요한 요소가 된다.
정보통신망법 제48조 제2항은 이러한 세밀성 부족의 문제뿐만 아니라, 규정 방식에도 문
제가 없지 않다. 범죄객체를 ‘정보통신시스템, 데이터 또는 프로그램 등’으로 나열하고 있
는데 이들 개념은 병렬적으로 나열하기에는 간극이 너무 크고, 또 ‘훼손 멸실 변경 위 ․ ․ ․
조’와 ‘운용방해’ 부분도 행위태양이 너무 달라 적용 시에 혼란을 야기할 수 있다. 35)

3. 랜섬웨어 처벌 규정의 구체적 방향

(1) 악성 프로그램 전달․유포 규정의 문제점

앞서 정보통신망 침입과 관련하여 미국과 우리나라의 법 규정을 대비하여 그 차이점을

살펴보았다. 우리 법 규정은 지나치게 포괄적으로 규정하고 있어 적용 과정에서 여러 가지
해석상의 의문을 남긴다. 이런 단점은 랜섬웨어 공격의 토대인 악성 프로그램의 전달 유 ․
포와 관련된 정보통신망법 제48조 제2항 규정에도 그대로 드러난다. 미국도 애초 정부 컴
퓨터 시스템에 대한 해킹을 주로 규율하기 위하여 Computer Fraud Abuse Act 를 제정한
것인데 점차 민간 피해에 대하여도 규율하는 방향으로 확대되었다. 36)
뿐만 아니라 법원의
경우도 컴퓨터 범죄에 대하여 이러한 규정을 점차 확대해석하는 쪽으로 운용하다보니 현

34) Tiffany Curtiss, “Computer Fraud And Abuse Act Enforcement: Cruel, Unusual, And Due For

『형사법의 신동향』 제
Reform”, 91 Wash. L. Rev. 1841.

35) 양종모, “사물인터넷(IoT) 관련 사이버범죄 동향 및 형사법적 규제”, , 호

48

대검찰청, 2015), 339면.

(

36) Kelsey T. Patterson, “Narrowing It Down To One Narrow View: Clarifying And Limiting The

Computer Fraud And Abuse Act”, 7 Charleston L.Rev. 489, pp.492-493.

 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 45

재에 이르러 이러한 확대해석 경향에 대한 비판과 더불어, 위 법령 규정이 지나치게 모호하

고, 광범위한 범위를 규제대상으로 하는 데 따른 여러 부작용에 대한 논의가 끊이지 않는
다. 뿐만 아니라 그 법정형에서조차 비례성을 상실했다고 비판하면서 이의 개정을 요구하
는 목소리가 높다. 37)
그럼에도 불구하고 미국의 악성 프로그램 전달 유포 규정의 경우 랜 ․
섬웨어 공격에 대하여 비교적 명백한 규정 형태를 갖추고 있다. 즉 U.S. Code Section

1030(a)(7)(C) 는 랜섬웨어 등 악성프로그램을 전달 유포하여 컴퓨터 등에 장애를 발생케 ․

하고, 그것과 관련하여 금품 등을 요구하는 행위인 랜섬공격에 딱 들어맞는 규정으로 묘사
의 세밀성이 돋보인다. 38)
이러한 규정의 특징은 통상 법 규정이 가지는 추상성이나 모호성
이 아닌 구체적 범죄 양상에 맞는 상세한 묘사로 명백성 요구를 충족한다. 갈취(extortion)
를 용이하게 할 목적으로 컴퓨터 장애를 초래하고, 그와 같은 장애와 관련하여 금품 요구를
하는 것으로 규정되어 있는데, 재물 교부까지 포함하는 구성요건은 아니다. 따라서 피해자
로부터 금품을 받아내는 것에 따라 기수와 미수가 갈리는 일은 없다. 우리 공갈죄 등 재산
범죄와는 성격이 상이하다. 오히려 U.S. 가 우리 형법의 협박
Code Section 1030(a)(7)(A)39)

행위 태양과 흡사한 측면이 있어 우리의 공갈죄 구성요건과 공통점이 있다. 즉 컴퓨터 등

정보통신망에 어떤 장애를 야기하겠다고 협박하면서 돈을 요구하는 행위를 규정하여 위
U.S. Code Section 1030(a)(7)(C) 규정과 대비된다. 처음부터 컴퓨터 등 장애 유발과 관련하
여 컴퓨터 등 장애와 협박의 선후 관계를 염두에 두고 의도적으로 구분하여 별개로 규정한
것으로 해석된다.

(2) 추상성과 모호성의 해소

일반적으로 법규는 그 규정의 문언에 표현력의 한계가 있을 뿐만 아니라 그 성질상 어느

정도의 추상성을 가지는 것은 불가피하다. 40)
또한 그 법규 해석 문제의 복잡성은 부분적으
로는 의미의 다양성에서 기인한다. 41)
그렇다고 해서 그 규정의 해석에 있어 언어의 추상성
과 다의성으로 인하여 그 적용범위가 무한히 확장되어서는 곤란하다.
입법과정에서도 이러한 추상성이나 다의성으로 인한 문제를 가능한 한 줄여야 한다. 기

§
37) Tiffany Curtiss, supra note 34, at 1845.

38) 18 U.S.C. 1030(a)(7)(C)(demand or request for money or other thing of value in relation to

§
damage to a protected computer, where such damage was caused to facilitate the extortion).

39) 18 U.S.C. 1030(a)(7)(A)(threat to cause damage to a protected computer).

40) 대법원 2008. 12. 24. 선고 2008도9581 판결.

41) Stephen Kloepfer, “Ambiguity and Vagueness in the Criminal Law: An Analysis of Types”,

27 Crim. L.Q. 94(1984), p.95.

46 홍익법학 제20권 제1호 (2019)

․
존 규정의 해석을 통한 미봉책만으로 위와 같은 추상성 다의성 문제를 해결하지 못할 때
에는 명백한 개념 등으로 무장한 새 규정 신설로 이런 추상성 모호성을 해결할 필요가 ․
있다. 그렇지 아니하면 형법이 가지는 모호성이나 불확실성 때문에 법관은 어떤 규정을 해
․
석할 때 관련된 의미 자체가 아니라 법적 사회적 맥락을 감안하여 그 중 하나의 의미를
선택하고 다른 것을 배제하여야 하는 선택을 할 수밖에 없다. 42)

우리 정보통신망법에 랜섬웨어 공격에 대한 처벌 규정을 마련할 때에도 가능한 한 구체

적인 용어선택과 개념, 행위 기술로 이와 같은 추상성 모호성을 해소하면서 정보통신망․
상의 범죄 행위 규율이라는 특성을 고려하고 규율 대상의 속성을 우선시할 필요가 있다.
앞서 검토한 바와 같이 정보통신망 상에서 이루어지는 범행 형태를 규정할 때 범행 의도
(intent) 의 중요성을 간과하기 어렵다. 따라서 적어도 랜섬웨어 공격의 전제인 악성 프로그
․ ․
램 전달 유포행위를 규율하기 위해서는 그 전달 유포의 의도를 명백히 규정할 필요가
있다. 물론 범행 의도가 분명치 규명되지 않는 경우에 생기는 처벌의 공백에 대한 우려도
없지 않다. 그러나 범행 의도가 구성요건에 포함된 규정을 신설하면서도 단순한 악성 프로
․
그램의 전달 유포에 대한 처벌 규정을 존치하고 다만 그 법정형에 경중을 두면 된다.

(3) 랜섬웨어 공격 특유 규정의 신설

․
악성프로그램의 전달 유포와 별개로 랜섬웨어 공격이라는 행위에 특유한 처벌 규정을
둘 필요가 있다. 즉 랜섬웨어 공격은 악성 프로그램의 전달 유포 외에도 그로 인한 데이터 ․
․
훼손 변경 즉 전자기록 등 손괴로 정보처리에 장애를 야기한 부분 및 업무방해, 재물이나
재산상 이익 요구 부분이 있는데 이들을 하나의 구성요건에서 소화할 필요가 있다. 정보통
․
신망에 악성 프로그램을 전달 유포하는 행위와 그 이후의 정보처리 장애 및 업무 방해,
금품 요구 등 수반행위를 결합시켜 규율하고자 하는 것이다. 이는 범죄 현상의 실제와도
부합하거니와 랜섬웨어 공격의 현상을 전체적으로 의미 있게 파악하여 규율한다는 면에서
필요하다. 이러한 해법이 반영된 규정이 정보통신망법에 이미 존재한다. DDos 공격에 대
한 규정인 제48조 제3항이 그것인데, “누구든지 정보통신망의 안정적 운영을 방해할 목적
으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로
정보통신망에 장애가 발생하게 하여서는 아니 된다.”라는 규정은 다른 유형의 정보통신망
관련 범죄에 적용하기 부적합한 DDos 공격 특유의 규정이다. 다만 DDos 공격의 경우도

42) id. at 119.

 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 47

․
그 수단으로 악성 프로그램 전달 유포가 사용되는데, 그 정작 DDos 공격에 대한 벌칙은
․
수단인 악성 프로그램 전달 유포에 비해 낮다는 문제점을 가지고 있어 랜섬웨어 공격에
특유한 규정의 신설 시에 그런 점을 고려하여야 할 것이다. 또한 이러한 DDos 공격에 의해
정보통신망에 장애가 발생하면 그로 인해 필연적으로 업무방해의 결과도 초래되는데, 현행
법제 하에서는 여전히 형법 제314조 제2항의 규율 대상이다. 따라서 정보처리 장애에 수반
되는 이러한 업무방해의 결과에 대하여도 위 제48조 제3항이 적용될 수 있도록 개정할 필
요가 있다. 랜섬웨어 공격과 관련된 규정을 신설할 때에도 마찬가지로 암호화로 인한 정보
처리 장애와 그로 인한 업무방해를 한 규정에 포함할 필요가 있는 것은 물론이다.

(4) 악성 프로그램의 전달․유포 규정의 존치 여부

․
위와 같이 악성 프로그램 전달 유포와 그로 인한 정보통신망 장애, 재물이나 재산상 이
․
익 요구까지 결합하는 구성요건을 창설하는 경우 악성 프로그램의 전달 유포를 처벌하는
규정을 별도로 존치할 필요가 있는가? 악성 프로그램 유포는 그를 이용한 여러 범죄의 수
단 역할을 한다. 일종의 바퀴축(hub)인 셈인데, 이러한 허브도 존치할 필요가 있다. 드물지
않게 악성 프로그램 유포만 행하여지고, 후속행위가 없는 경우와 같은 일종의 예비행위도
․
처벌할 필요가 없지 않기 때문이다. 형법에 폭행 협박행위를 수단으로 하는 강간, 강도,
공무집행방해죄와는 별개로 폭행죄, 협박죄가 존재하는 것과 같은 이유다.

(5) 재물․재산상 이익 취득의 구성요건 포함 여부

다만 재물이나 재산상이익의 취득을 구성요건에 포함할 것인가 하는 문제가 남는데, 랜

섬웨어 공격의 본질은 데이터 엑세스 거부 상황에서 복호화를 위한 금품 요구가 본질이므
로, 그 이후의 재물이나 재산상이익 취득에 방점을 둘 필요가 없다. 굳이 재산죄 범주에
넣어야 필요가 없고, 또 재물이나 재산상이익 취득의 성공 여부에 따라 기수와 미수로 구별
․
하는 것도 부적절하기 때문이다. 랜섬웨어 전달 유포와 데이터 접근 거부, 금품 요구행위
까지 있게 되면 랜섬웨어 공격은 일응 기수에 이른 것이며, 재물이나 재산상이익 취득이라
는 부수적 사정 때문에 미수가 되어 임의적 감경 사유가 되는 것은 적절치 않다. 특정범죄
가중처벌 등에 관한 법률 제5조의2 제2항 제1호는 “약취 또는 유인한 미성년자의 부모나
그 밖에 그 미성년자의 안전을 염려하는 사람의 우려를 이용하여 재물이나 재산상의 이익
을 취득하거나 이를 요구한 경우에는 무기 또는 10 년 이상의 징역에 처한다.”고 규정하고
있는데, 재물이나 재산상이익을 취득한 것뿐만 아니라 요구한 경우도 같은 법정형으로 규
48 홍익법학 제20권 제1호 (2019)

정하고 있는 것은 참고가 된다.

4. 범인의 강요에 따른 악성 프로그램 배포 가담 행위의 처벌 여부

랜섬웨어 중 Popcorn Time 은 복호를 조건으로 랜섬웨어를 유포하는 링크를 다른 사람

에게 전송토록 강요하는데, 43)
이러한 강요에 의하여 랜섬웨어의 유포를 한 경우 악성 프로
․
그램의 전달 유포라는 구성요건을 충족하는 것은 분명하다. 다만 이러한 행위가 강요에
의한 것이기 때문에 형법 제12조의 강요된 행위로 볼 수 있는지가 문제된다. 그러나 자기
․
또는 친족의 생명 신체에 대한 위해를 방어할 수 없는 협박이라고 보기 어려워, 강요된
행위로 평가할 수 없다고 하여야 한다. 따라서 본인만 피해를 당할 수 없다는 심리 때문에
이런 요구에 응하거나, 나아가 이러한 링크를 보낼 대상을 선정함에 있어 평소 적대관계에
있는 사람에게 보내는 경우와 같이 비난가능성이 있는 경우뿐만 아니라 데이터 복구 욕심
에 다른 선량한 피해자에게 랜섬웨어를 전달 유포한 경우에도 정보통신망법 제48조 제2 ․
항 위반의 책임을 지는 것은 물론 형법 제314조 제2항의 전자기록 등 손괴 업무방해 등에
대하여도 공모책임을 져야 한다.

5. 랜섬웨어 개발․제공자의 책임 문제

랜섬웨어 공격을 행하는 자는 고도로 숙련된 전문적 프로그래머에 국한되지 않는다. 프

로그래밍에 문외한인 초심자도 랜섬웨어 공격으로 막대한 수익을 취할 수 있다. 이는 서비
스형 랜섬웨어 때문인데, 랜섬웨어 개발자는 자신의 코드와 전문지식을 제공하여 누구나
랜섬웨어 공격을 행할 수 있게 한다. 랜섬웨어 개발자는 심지어 아무런 대가 없이 랜섬웨어
코드와 전문지식을 공개하기도 한다. 44)
이런 경우 랜섬웨어 프로그램을 개발하여 다른 사
람의 랜섬웨어 공격을 조장하는 개발자의 책임이 문제된다.
랜섬웨어 공격을 행한 자가 랜섬웨어를 개발하여 랜섬웨어를 전달 유포하고 돈을 요구 ․
하는 경우가 주종이라면 랜섬웨어 개발 자체를 별도로 처벌할 필요성이 크지 않다. 랜섬웨

43) Richard Henderson, “Legal and ethical implications of ransomware”, ITProPortal(2017. 4.),

https://www.itproportal.com/features/legal-and-ethical-implications-of-ransomware/(2018. 12.

최종방문).
․
29.

44) Malcolm Harkins Anthony M. Freed, “The Ransomware Assault on the Healthcare Sector, 6

J. L. & Cyber Warfare 148 (2018), p.152

 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 49

․
어 개발 자체는 랜섬웨어 전달 유포 등 후행행위에 흡수되기 때문이다. 그러나 랜섬웨어
를 개발하여 제공하는 사람과 이를 사용하여 협박하여 돈을 갈취하는 사람이 따로 있는
서비스형 랜섬웨어의 경우 개발자를 처벌할 수 있는지가 문제가 된다. 현행 법령 상 개발행
위 자체를 처벌할 수 있는 규정은 없다. 랜섬웨어 공격과 같은 정보통신기술범죄가 창궐하
는 데는 그 범죄수단을 제공하는 ‘Crime as Service’와 같은 범죄 환경 기반이 문제다. 따라
서 해킹 툴과 같이 사이버 범죄에 이용될 수 있는 소프트웨어를 만들어서 제공하는 행위
및 보유에 대한 처벌조항의 신설이 필요하다. 45)

독일 형법의 경우 정보에의 접근을 가능케 하는 컴퓨터 프로그램을 만들거나 입수, 유

․
포 공개를 통해 컴퓨터 범행을 예비한 자를 처벌하는 규정을 두고 있다. 46)

미국에서도 랜섬웨어 개발행위를 처벌하여야 한다는 견해가 있을 뿐만 아니라, 47)

실제
악성 코드 개발자에 대하여 형사적 책임을 물은 경우가 없지 않은데, 2014 년 1월 United

States v. Panin 사건에서 법원은 러시아 국적의 범인에게 ‘spyeye’ 라는 악성 프로그램을

․
개발 배포한 행위에 대하여 유죄판결을 하였다. 물론 이때 적용된 US code 1030(a)(5)(A)

에 대하여 확대해석 또는 유추해석의 위험을 지적하며 개정하여야 한다는 견해가 있기 하

지만 48)
어떻든 이러한 행위의 가벌성은 부정하지는 않는다.

6. 랜섬웨어의 소지 행위 처벌 여부

랜섬웨어를 배포하고, 파일을 암호화한 후 금품을 요구한 행위를 처벌하는 문제와 별개

로 랜섬웨어 소지 자체를 처벌할 것인지 여부가 문제된다. 랜섬웨어의 확산이나 근절을 위
해서는 랜섬웨어 공격 자체를 처벌하는 문제와 별개로 그 전단계인 랜섬웨어의 유통을 막
는 것도 유효한 수단이 될 수 있기 때문이다. 따라서 개발행위를 규제하는 것 이외에 이런
랜섬웨어를 구입하여 소지하는 행위 자체를 처벌할 필요성 여부도 함께 검토되어야 한다.

양종모, 앞의 각주 35)의 논문 329면: 지유미, “사이버범죄에 대한 형법적 대책”, 비교형사법연 『

』
45)

구 ,제19권 제4호(한국비교형사법학회, 2018), 445면.

46) 제202조c 【
정보 탐지 및 피싱의 예비 】①
다음 각호의 1에 해당하는 수단을 만들거나 입수하거나
타인으로 하여금 입수하게 하거나, 판매하거나, 타인에게 양여하거나, 유포하거나 기타 방법으로
공개함으로써 제202조a 또는 제202조b의 범행을 예비한 자는 1년 이하의 자유형 또는 벌금형에
처한다.
1. 정보에의 접근(제202조a 제2항)을 가능하게 하는 비밀번호 또는 기타 비밀코드

2. 그러한 범행을 목적으로 하는 컴퓨터 프로그램

47) Jonathan J. Rusch, supra note 18, at 5.

48) Marcelo Triana, “Is Selling Malware A Federal Crime?”, 93 N.Y.U.L. Rev. 1311(2018.11), p.1315.
50 홍익법학 제20권 제1호 (2019)

우리 형법에는 아편 등의 소지를 처벌하는 조항(형법 제198조)이나 정당한 이유 없이 범

죄에 공용될 우려가 있는 흉기나 그 밖의 위험한 물건을 휴대하는 행위를 처벌하는 조항
폭력행위 등 처벌에 관한 법률 제7조) 등을 두고 있어 랜섬웨어 등 범죄에 공용될 우려가
(

있는 악성 프로그램의 소지 자체를 처벌하는 규정 신설을 터무니 없는 발상으로 여길 것은

아니다. 앞서 본 바와 같이 독일은 이러한 소지행위를 처벌할 수 있는 규정이 있고, 프랑스
형법의 경우도 컴퓨터 범죄를 범하기 위하여 고안된 컴퓨터 프로그램 등을 부정하게 수입
하거나 보유하거나 제공하거나 양도하거나 가동하는 행위를 처벌하는 조항을 두고 있다. 49)

미국 와이오밍 주에서는 단순한 랜섬웨어 소지행위를 처벌하는 법률을 제정하였다. 50)

따라서 소지행위를 처벌하는 규정 신설이 필요한데, 그 규정형식은 “정당한 이유 없이

범죄에 공용될 우려가 있는 악성 프로그램을 소지한 자는 ∼에 처한다 라는 식이면 족할
.”

것이다.
그러나 랜셈웨어 공격 피해자의 컴퓨터에도 랜섬웨어가 존재하기 때문에 이러한 규정을
신설하면 선량한 랜섬웨어 피해자도 랜섬웨어 소지죄로 처벌받을 가능성이 있다고 지적하
며 우려를 표하는 견해도 있다. 51)
그러나 이는 랜섬웨어 공격이나 피해 상황 자체를 제대
로 파악하지 못하기 때문에 나온 오해다. 랜섬웨어 공격을 당한 경우와 범행 목적으로 랜섬
웨어 프로그램을 소지하는 경우는 형태적으로 명백히 구별할 수 있기 때문이다. 랜섬웨어
공격을 당한 경우, 컴퓨터 등은 데이터 엑세스가 되지 않고 금품 요구 메시지가 화면에 계
속 뜨는 등의 상태가 된다. 반면 범행 목적으로 랜섬웨어를 소지하고 있는 경우는 그런 현
상이 보이지 않는다. 따라서 랜섬웨어 공격을 위한 범행 목적 소지와 피해 시스템에 랜섬웨
어 프로그램이 존재하는 형태는 명백히 구별되므로, 위 견해에서 우려하는 혼란은 없다고
보아야 한다.

49) 【 】
제323-3-1조 전산정보처리장치 부정이용 제323-1조 내지 제323-3조까지에 규정된 범죄를 범하
기 위해 특별히 적응되거나 고안된 장치, 도구, 컴퓨터 프로그램, 정보를 부정하게 수입하거나 보
유하거나 제공하거나 양도하거나 가동하는 행위는 각 죄에 정한 형 또는 그 가중형에 처한다.
50) Alan Neuhauser, “Can the Law Stop Ransomware”, usnews, https://www.usnews.com/

news/national-news/articles/2018-04-13/can-the-law-stop-ransomware(2018. 8. 30 최종방문).
51) id.
 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 51

Ⅴ. 결론

인터넷 사용의 증가로 인해 사이버공간은 본격적인 생활공간으로 자리 잡게 되었고, 다

양한 형태의 사이버 범죄가 생겨나게 되었다. 그러한 사이버 범죄 중의 하나인 랜섬웨어
공격의 횡행이나 막대한 피해 상황에 직면하면서 그에 대한 여러 가지 대책이 강구된다.
․
확실히 정부 공공단체나 회사는 랜섬웨어 공격을 방어할 수 있는 보안대책을 강구할 필
요가 있고, 일반 개인도 경각심을 가지고 중요 데이터를 컴퓨터 장치와 분리된 별개의 저장
장치에 보관하는 등 정보보호에 관한 인식 변화와 주의가 필요하다. 나아가 이러한 공격으
로 인한 침해사고 발생 시 침해 관련 데이터 주체 등에 대한 통지 등 개인정보 누출 차원의
조치도 중요한 문제인 것은 틀림없다. 그러나 이러한 일반적인 예방책 등과는 별개로 발생
하였거나 향후 발생할 수 있는 랜섬웨어 공격이라는 범죄를 어떻게 처벌할 것인가 하는
문제 또한 검토되어야 한다. 기존 법령만으로도 충분히 대처할 수 있다지만, 새로운 현상에
․
대하여 기존 법령을 적용하여 대처하려는 것은 확대 유추 해석의 비판에서 자유롭지 못
할 뿐만 아니라 랜섬웨어 공격과 같은 범죄의 특성을 제대로 반영하지 못하고 있어 기존법
령만으로는 랜섬웨어 공격의 규율에서 상당한 문제점을 노출한다. 랜섬웨어 공격은 사이버
범죄로 인한 피해가 사이버공간이 아닌 현실에서 나타나는 것을 보여주는 전형적인 범죄
다. 이러한 문제에 대한 근본적인 해결책은 랜섬웨어 공격 등 사이버 범죄의 특성을 정확히
묘사하는 새로운 규정의 신설이다. 사이버 범죄는 전통적 범죄와는 다른 측면이 있어, 일반
적 규범으로서의 역할보다는 구체적 범죄 양상에 맞는 규정이 필요하다. 따라서 랜섬웨어
․
공격에 관한 규정은 범행의도가 명백히 규정된 악성 프로그램의 전달 유포와 전자기록
등 손괴로 인한 정보처리 장애 야기 및 업무방해, 재물이나 재산상이익 요구나 취득을 결
합한 구성요건이어야 한다.
․
나아가 역병과 같이 퍼지고 있는 랜섬웨어의 확산 지속을 막기 위해서는 랜섬웨어 공
격 외에 랜섬웨어 개발자에 대한 처벌 규정의 신설도 필요한 것으로 보인다.
52 홍익법학 제20권 제1호 (2019)

∎ 참고문헌

1. 국내문헌
강동범, “ 사이버범죄 처벌 규정의 문제점과 대책”, 『형사정책』 제 , 19권 제2호(한국형사정책학회,
2017).

김성룡, “피싱(Phishing)의 가벌성”, 『IT 와 법연구 』 제 권 제 호 경북대학교

, 4 4 ( IT 와 법연구소, 2010).

․
서규원 김호원, “랜섬웨어의 종류와 앞으로의 동향”, 한국정보과학회 학술발표논문집, (한국정보과
학회, 2016).

심희기, “온라인상의 범죄행위에 대한 오프라인상의 범죄이론 연장의 가부: 링크(link)를 포함한 일련의
연결수단부여행위와 ‘공연전시“, 『고시연구』 , 통권 제357호(고시연구사, 2003).

양종모, “사물인터넷(IoT) 관련 사이버범죄 동향 및 형사법적 규제”, 『형사법의 신동향』 제 , 호(대

48

검찰청, 2015).

이원상, “형사법적 관점에서의 랜섬웨어 대응방안”, 『범죄수사학연구』 제 권 제 호 경찰대학 수사 , 3 1 (

과학연구센터, 2017).

지유미, “ 사이버범죄에 대한 형법적 대책”, 비교형사법연구 『 』제 , 19 권 제4호(한국비교형사법학회,

2018).

2. 외국문헌
Charlotte Decker, “Cyber Crime 2.0: And Argument To Update The United States Criminal Code

to Reflect The Changing Nature Of Cyber Crime”, 81 S.Cal.L. Rev 2007-2008.

Elkin Girgenti, “Computer Crimes”, 55 Am. Crim. L. Rev. 911(2018).

James A. Sherer et al., “Ransomware-Practical And Legal Considerations For Confronting The New

Economic Engine of The Dark Web”, 23 Rich. J. L. & Tech. 1 (2017).

Joe Dysart, “Data Kidnapping”, 101 A.B.A. J. 31 (2015).

Kelsey T. Patterson, “Narrowing It Down To One Narrow View: Clarifying And Limiting The

Computer Fraud And Abuse Act”, 7 Charleston L.Rev. 489.

Kevin V. Ryan ․ Mark L. Krotoski,“Caution Advised: Avoid Undermining The Legitimate Needs

of Law Enforcement To solve Crimes Involving The Internet In Amending The Electronic

Communications Privacy Act”, 47 U. S. F. L. Rev. 291.

Kitti Mezei, “The Regulation of Crimes against Information Systems in Hungary”, 2017 J. E. -Eur.

Crim. L. 203(2017).

Lawrence J. Trautman & Peter C. Ormerod, Industrial Cyber Vulnerabilities: Lessons from Stuxnet

and the Internet of Things, 72 U. Miami L. Rev. 761, 797 (2018).

Malcolm Harkins ․ Anthony M. Freed, “The Ransomware Assault on the Healthcare Sector, 6 J. L.

& Cyber Warfare 148 (2018).

Marc Mehlman, “How CFOs Can Mitigate the Risk of Ransomware”, 70 Tax Executive 92 (2018).

Marcelo Triana, “Is Selling Malware A Federal Crime?”, 93 N.Y.U.L. Rev. 1311(2018.11).

Matthew Ashton, “Debugging the Real World: Robust Criminal Prosecution in the Internet of
 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 53

Things”, 59 Ariz. L. Rev. 805 (2017).

Mellissa Gallegos ․ Deborah Ludford, “Ransomware: Legal Issues to Avoid Being Held Hostage”,

2017 ACBO Fall Conference October 23-25, 2017.

Peter N. McClelland, “From Gibberish to Jargon: A Look at the Technical and Legal Issues

Surrounding New Technologies and How they Necessitate Active Engagement by

Attorneys in Client Decision-Making”, 10 Elon L. Rev.331(2018).

Ryan M. Krisby, “HeathH Care Held Ransom: Modifications To Data Breach Security & The Future

of Heath Care Privacy Protection”,28 Health Matrix 365.

Stephen Kloepfer, “Ambiguity and Vagueness in the Criminal Law: An Analysis of Types”, 27

Crim. L.Q. 94(1984).

Tiffany Curtiss, “Computer Fraud And Abuse Act Enforcement: Cruel, Unusual, And Due For

Reform”, 91 Wash. L. Rev. 1813.

Wolfgang McGavran, “Intended Consequences: Regulating Cyber Attacks”, 12 Tul. J. Tech. & Intell.

Prop. 259 2009.

투고일자 2019. 01. 31. 심사개시일자 2019. 02. 07. 게재확정일자 2019. 02. 15.
54 홍익법학 제20권 제1호 (2019)

Hongik Law Review, Vol. 20, No. 1(2019)

【ABSTRACT】

The criminal law aspects of Ransomware Attack

Yang, Jongmo

Ransomware attacks are continuing throughout the world and the amount of damages

caused by them continues to be enormous. In addition to the financial damage that

ransomware victim has to pay for ransom, it also causes indirect damages such as

business disruption or credit crush. Ransomware is an old one, but it has recently

become more troublesome because it has a high level of algorithm with various forms,

so once the file is encrypted, ransom has to be paid to decode encrypted files. Repeated

attacks on hospitals, especially those that can directly threaten life or the body, due to

the encryption of the files, are making everyone afraid, followed by many similar crimes

that have been deceived by the enormous Ransom paid in the process.

Recently, with the advent of Bitcoin, the criminals demand to pay Ransom after the

ransomware attack. Therefore, tracking and seizure is almost impossible. Especially, there

are many ransomware attacks by foreign criminals. However, the question of how to

punish ransomware attacks should not be overlooked. The ransomware attack itself can

be punished by Act on Promotion of Information and Communications Network

Utilization and Information Protection Etc, and the act of extorting money can be done

by applying the criminal act, but there are various problems including the application

of Extortion Article. The Act on Promotion of Information and Communications Network

 양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 55

Utilization and Information Protection Etc itself is too obscure and comprehensive, so the

detail of the description of the specific crime itself, such as ransomware attack or the

infiltration of the information network itself, is falling, which is problematic in

application.

Therefore, it is necessary to examine whether there is a problem in punishment under

the present law or whether the establishment of a new legal regulation is necessary in

relation to the attack of ransomware.

It is necessary to further refine the distribution of malicious programs in the Act on

Promotion of Information and Communications Network Utilization and Information

Protection Etc by reflecting its intention to commit other crimes by means of it, and to

punish DDos attacks in case of frequent and large-scale crimes such as Ransomware

attacks As stated in Article 48(3) of the Act on Promotion of Information and

Communications Network Utilization and Information Protection Etc, the establishment

of a new criminal code aiming only at a specific crime regulation should be sought.

Basically, it should be a combination of distribution of malicious programs and demands

for money. In addition, there is a need to establish new rules to penalize creating and

distributing malicious programs used in such Ransomware attacks and possessions of

that program.

Key Words ： Ransomware, Act on Promotion of Information and Communications

Network Utilization and Information Protection Etc, extortion,

Spreading malicious programs, Ransomware as a Service.