Professional Documents
Culture Documents
Kci Fi002440526
Kci Fi002440526
31
양종모
(영남대학교 법학전문대학원)
【초 록】
【차 례】
Ⅰ. 서론 Ⅳ. 랜섬웨어 공격 대처 관련 법령 정비 방안 검토
1. 문제의 제기
Ⅱ. 랜섬웨어 공격의 정의와 대응방안
2. 처벌 프레임의 검토
1. 랜섬웨어 공격의 정의
3. 랜섬웨어 처벌 규정의 구체적 방향
2. 형사처벌 이외의 대응방안
4. 범인의 강요에 따른 악성 프로그램의 배포 가
Ⅲ. 처벌법규와 구체적 구성요건 해당성 검토 담 행위의 처벌 여부
1. 악성 프로그램 전달.유포 5. 랜섬웨어 개발․제공자의 책임 문제
2. 전자기록등 손괴 업무방해 6. 랜섬웨어 소지 행위 처벌 여부
3. 공갈죄
Ⅴ. 결론
4. 전 단계의 사회공학적 방법 자체에 대한 처벌
여부
Ⅰ. 서론
2) Lawrence J. Trautman & Peter C. Ormerod, Industrial Cyber Vulnerabilities: Lessons from
Stuxnet and the Internet of Things, 72 U. Miami L. Rev. 761, 797 (2018), p.822.
34 홍익법학 제20권 제1호 (2019)
3) …
이효상, “랜섬웨어 몸값 딜레마 인터넷 나야나 13억 지불에 해커와 협상 나쁜 선례 지적”, 경향신문,
2017. 6. 15. 자, http://news.khan.co.kr/kh_news/khan_art_view.html?art_id=201706152120015
(2018. 12. 15. 최종방문).
4) Ryan M. Krisby, “HeathH Care Held Ransom: Modifications To Data Breach Security & The
5) Marc Mehlman, “How CFOs Can Mitigate the Risk of Ransomware”, 70 Tax Executive 92 (2018),
p.92.
양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 35
1. 랜섬웨어 공격의 정의
의 업무방해, 데이터 복구를 빌미로 금품을 요구하는 행위로 정의할 수 있다. 이러한 유형
의 위협은 1989년 이후 존재했지만 지난 6)
2015 년부터 부쩍 그 공격 빈도와 피해가 늘었
다. 이메일 혹은 업데이트로 위장하여 침입한 후 사용자의 디바이스 내 데이터를 암호화
7)
Gallegos ․ Deborah Ludford, “Ransomware: Legal Issues to Avoid Being Held Hostage”, 2017
7) James A. Sherer et al., “Ransomware-Practical And Legal Considerations For Confronting The
․ 『한국정보과학회 학술발표논문집』
New Economic Engine of The Dark Web”, 23 Rich. J. L. & Tech. 1 (2017), p.1.
10) id.
36 홍익법학 제20권 제1호 (2019)
11) ․
서규원 김호원, 앞의 각주 8)의 논문, 면
1117
12) Elkin Girgenti, “Computer Crimes”, 55 Am. Crim. L. Rev. 911(2018), p.916.
14) id.
16) id.
17) Peter N. McClelland, “From Gibberish to Jargon: A Look at the Technical and Legal Issues
Surrounding New Technologies and How they Necessitate Active Engagement by Attorneys
18) Jonathan J. Rusch, “The Flood Tide of Cyberfraud”, 62 U.S. Att’ys Bull. 1(2014), p.4.
19) id.
20) Kitti Mezei, “The Regulation of Crimes against Information Systems in Hungary”, 2017 J. E.
1. 악성 프로그램 전달․유포
2. 전자기록등 손괴 업무방해
3. 공갈죄
면.
2010), 264
양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 41
Ⅳ. 랜섬웨어 공격 대처 관련 법령 정비 방안 검토
1. 문제의 제기
2. 처벌 프레임의 설계
면.
2017), 40
26) Law Offices of Salar Atrizadeh, “What Are Ransomware Laws?”, Internet Lawyer Blog,
최종방문).
『법철학연구』
https://www.internetlawyer-blog.com/what-are-ransomware-laws/(2019. 1. 5.
27) 이재일, “형법적 가벌성의 확장을 위한 원인과 현상”, , 제13권 제1호( 한국법철학
42 홍익법학 제20권 제1호 (2019)
회, 면.
․
2010), 321
28) Kevin V. Ryan Mark L. Krotoski,“Caution Advised: Avoid Undermining The Legitimate
Needs of Law Enforcement To solve Crimes Involving The Internet In Amending The
Code to Reflect The Changing Nature Of Cyber Crime”, 81 S.Cal.L. Rev 2007-2008, p.961.
31) Matthew Ashton, “Debugging the Real World: Robust Criminal Prosecution in the Internet of
34) Tiffany Curtiss, “Computer Fraud And Abuse Act Enforcement: Cruel, Unusual, And Due For
『형사법의 신동향』 제
Reform”, 91 Wash. L. Rev. 1841.
36) Kelsey T. Patterson, “Narrowing It Down To One Narrow View: Clarifying And Limiting The
§
37) Tiffany Curtiss, supra note 34, at 1845.
38) 18 U.S.C. 1030(a)(7)(C)(demand or request for money or other thing of value in relation to
§
damage to a protected computer, where such damage was caused to facilitate the extortion).
․
존 규정의 해석을 통한 미봉책만으로 위와 같은 추상성 다의성 문제를 해결하지 못할 때
에는 명백한 개념 등으로 무장한 새 규정 신설로 이런 추상성 모호성을 해결할 필요가 ․
있다. 그렇지 아니하면 형법이 가지는 모호성이나 불확실성 때문에 법관은 어떤 규정을 해
․
석할 때 관련된 의미 자체가 아니라 법적 사회적 맥락을 감안하여 그 중 하나의 의미를
선택하고 다른 것을 배제하여야 하는 선택을 할 수밖에 없다. 42)
․
악성프로그램의 전달 유포와 별개로 랜섬웨어 공격이라는 행위에 특유한 처벌 규정을
둘 필요가 있다. 즉 랜섬웨어 공격은 악성 프로그램의 전달 유포 외에도 그로 인한 데이터 ․
․
훼손 변경 즉 전자기록 등 손괴로 정보처리에 장애를 야기한 부분 및 업무방해, 재물이나
재산상 이익 요구 부분이 있는데 이들을 하나의 구성요건에서 소화할 필요가 있다. 정보통
․
신망에 악성 프로그램을 전달 유포하는 행위와 그 이후의 정보처리 장애 및 업무 방해,
금품 요구 등 수반행위를 결합시켜 규율하고자 하는 것이다. 이는 범죄 현상의 실제와도
부합하거니와 랜섬웨어 공격의 현상을 전체적으로 의미 있게 파악하여 규율한다는 면에서
필요하다. 이러한 해법이 반영된 규정이 정보통신망법에 이미 존재한다. DDos 공격에 대
한 규정인 제48조 제3항이 그것인데, “누구든지 정보통신망의 안정적 운영을 방해할 목적
으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로
정보통신망에 장애가 발생하게 하여서는 아니 된다.”라는 규정은 다른 유형의 정보통신망
관련 범죄에 적용하기 부적합한 DDos 공격 특유의 규정이다. 다만 DDos 공격의 경우도
․
그 수단으로 악성 프로그램 전달 유포가 사용되는데, 그 정작 DDos 공격에 대한 벌칙은
․
수단인 악성 프로그램 전달 유포에 비해 낮다는 문제점을 가지고 있어 랜섬웨어 공격에
특유한 규정의 신설 시에 그런 점을 고려하여야 할 것이다. 또한 이러한 DDos 공격에 의해
정보통신망에 장애가 발생하면 그로 인해 필연적으로 업무방해의 결과도 초래되는데, 현행
법제 하에서는 여전히 형법 제314조 제2항의 규율 대상이다. 따라서 정보처리 장애에 수반
되는 이러한 업무방해의 결과에 대하여도 위 제48조 제3항이 적용될 수 있도록 개정할 필
요가 있다. 랜섬웨어 공격과 관련된 규정을 신설할 때에도 마찬가지로 암호화로 인한 정보
처리 장애와 그로 인한 업무방해를 한 규정에 포함할 필요가 있는 것은 물론이다.
․
위와 같이 악성 프로그램 전달 유포와 그로 인한 정보통신망 장애, 재물이나 재산상 이
․
익 요구까지 결합하는 구성요건을 창설하는 경우 악성 프로그램의 전달 유포를 처벌하는
규정을 별도로 존치할 필요가 있는가? 악성 프로그램 유포는 그를 이용한 여러 범죄의 수
단 역할을 한다. 일종의 바퀴축(hub)인 셈인데, 이러한 허브도 존치할 필요가 있다. 드물지
않게 악성 프로그램 유포만 행하여지고, 후속행위가 없는 경우와 같은 일종의 예비행위도
․
처벌할 필요가 없지 않기 때문이다. 형법에 폭행 협박행위를 수단으로 하는 강간, 강도,
공무집행방해죄와는 별개로 폭행죄, 협박죄가 존재하는 것과 같은 이유다.
5. 랜섬웨어 개발․제공자의 책임 문제
43) Richard Henderson, “Legal and ethical implications of ransomware”, ITProPortal(2017. 4.),
https://www.itproportal.com/features/legal-and-ethical-implications-of-ransomware/(2018. 12.
최종방문).
․
29.
44) Malcolm Harkins Anthony M. Freed, “The Ransomware Assault on the Healthcare Sector, 6
․
어 개발 자체는 랜섬웨어 전달 유포 등 후행행위에 흡수되기 때문이다. 그러나 랜섬웨어
를 개발하여 제공하는 사람과 이를 사용하여 협박하여 돈을 갈취하는 사람이 따로 있는
서비스형 랜섬웨어의 경우 개발자를 처벌할 수 있는지가 문제가 된다. 현행 법령 상 개발행
위 자체를 처벌할 수 있는 규정은 없다. 랜섬웨어 공격과 같은 정보통신기술범죄가 창궐하
는 데는 그 범죄수단을 제공하는 ‘Crime as Service’와 같은 범죄 환경 기반이 문제다. 따라
서 해킹 툴과 같이 사이버 범죄에 이용될 수 있는 소프트웨어를 만들어서 제공하는 행위
및 보유에 대한 처벌조항의 신설이 필요하다. 45)
6. 랜섬웨어의 소지 행위 처벌 여부
48) Marcelo Triana, “Is Selling Malware A Federal Crime?”, 93 N.Y.U.L. Rev. 1311(2018.11), p.1315.
50 홍익법학 제20권 제1호 (2019)
것이다.
그러나 랜셈웨어 공격 피해자의 컴퓨터에도 랜섬웨어가 존재하기 때문에 이러한 규정을
신설하면 선량한 랜섬웨어 피해자도 랜섬웨어 소지죄로 처벌받을 가능성이 있다고 지적하
며 우려를 표하는 견해도 있다. 51)
그러나 이는 랜섬웨어 공격이나 피해 상황 자체를 제대
로 파악하지 못하기 때문에 나온 오해다. 랜섬웨어 공격을 당한 경우와 범행 목적으로 랜섬
웨어 프로그램을 소지하는 경우는 형태적으로 명백히 구별할 수 있기 때문이다. 랜섬웨어
공격을 당한 경우, 컴퓨터 등은 데이터 엑세스가 되지 않고 금품 요구 메시지가 화면에 계
속 뜨는 등의 상태가 된다. 반면 범행 목적으로 랜섬웨어를 소지하고 있는 경우는 그런 현
상이 보이지 않는다. 따라서 랜섬웨어 공격을 위한 범행 목적 소지와 피해 시스템에 랜섬웨
어 프로그램이 존재하는 형태는 명백히 구별되므로, 위 견해에서 우려하는 혼란은 없다고
보아야 한다.
49) 【 】
제323-3-1조 전산정보처리장치 부정이용 제323-1조 내지 제323-3조까지에 규정된 범죄를 범하
기 위해 특별히 적응되거나 고안된 장치, 도구, 컴퓨터 프로그램, 정보를 부정하게 수입하거나 보
유하거나 제공하거나 양도하거나 가동하는 행위는 각 죄에 정한 형 또는 그 가중형에 처한다.
50) Alan Neuhauser, “Can the Law Stop Ransomware”, usnews, https://www.usnews.com/
news/national-news/articles/2018-04-13/can-the-law-stop-ransomware(2018. 8. 30 최종방문).
51) id.
양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 51
Ⅴ. 결론
∎ 참고문헌
1. 국내문헌
강동범, “ 사이버범죄 처벌 규정의 문제점과 대책”, 『형사정책』 제 , 19권 제2호(한국형사정책학회,
2017).
․
서규원 김호원, “랜섬웨어의 종류와 앞으로의 동향”, 한국정보과학회 학술발표논문집, (한국정보과
학회, 2016).
심희기, “온라인상의 범죄행위에 대한 오프라인상의 범죄이론 연장의 가부: 링크(link)를 포함한 일련의
연결수단부여행위와 ‘공연전시“, 『고시연구』 , 통권 제357호(고시연구사, 2003).
검찰청, 2015).
과학연구센터, 2017).
2. 외국문헌
Charlotte Decker, “Cyber Crime 2.0: And Argument To Update The United States Criminal Code
James A. Sherer et al., “Ransomware-Practical And Legal Considerations For Confronting The New
Kelsey T. Patterson, “Narrowing It Down To One Narrow View: Clarifying And Limiting The
Kevin V. Ryan ․ Mark L. Krotoski,“Caution Advised: Avoid Undermining The Legitimate Needs
of Law Enforcement To solve Crimes Involving The Internet In Amending The Electronic
Kitti Mezei, “The Regulation of Crimes against Information Systems in Hungary”, 2017 J. E. -Eur.
Crim. L. 203(2017).
Lawrence J. Trautman & Peter C. Ormerod, Industrial Cyber Vulnerabilities: Lessons from Stuxnet
Malcolm Harkins ․ Anthony M. Freed, “The Ransomware Assault on the Healthcare Sector, 6 J. L.
Marc Mehlman, “How CFOs Can Mitigate the Risk of Ransomware”, 70 Tax Executive 92 (2018).
Marcelo Triana, “Is Selling Malware A Federal Crime?”, 93 N.Y.U.L. Rev. 1311(2018.11).
Matthew Ashton, “Debugging the Real World: Robust Criminal Prosecution in the Internet of
양종모 / 랜섬웨어 공격에 대한 형사법적 고찰 53
Mellissa Gallegos ․ Deborah Ludford, “Ransomware: Legal Issues to Avoid Being Held Hostage”,
Peter N. McClelland, “From Gibberish to Jargon: A Look at the Technical and Legal Issues
Ryan M. Krisby, “HeathH Care Held Ransom: Modifications To Data Breach Security & The Future
Stephen Kloepfer, “Ambiguity and Vagueness in the Criminal Law: An Analysis of Types”, 27
Tiffany Curtiss, “Computer Fraud And Abuse Act Enforcement: Cruel, Unusual, And Due For
Wolfgang McGavran, “Intended Consequences: Regulating Cyber Attacks”, 12 Tul. J. Tech. & Intell.
투고일자 2019. 01. 31. 심사개시일자 2019. 02. 07. 게재확정일자 2019. 02. 15.
54 홍익법학 제20권 제1호 (2019)
【ABSTRACT】
Yang, Jongmo
Ransomware attacks are continuing throughout the world and the amount of damages
ransomware victim has to pay for ransom, it also causes indirect damages such as
business disruption or credit crush. Ransomware is an old one, but it has recently
become more troublesome because it has a high level of algorithm with various forms,
so once the file is encrypted, ransom has to be paid to decode encrypted files. Repeated
attacks on hospitals, especially those that can directly threaten life or the body, due to
the encryption of the files, are making everyone afraid, followed by many similar crimes
that have been deceived by the enormous Ransom paid in the process.
Recently, with the advent of Bitcoin, the criminals demand to pay Ransom after the
ransomware attack. Therefore, tracking and seizure is almost impossible. Especially, there
are many ransomware attacks by foreign criminals. However, the question of how to
punish ransomware attacks should not be overlooked. The ransomware attack itself can
Utilization and Information Protection Etc, and the act of extorting money can be done
by applying the criminal act, but there are various problems including the application
Utilization and Information Protection Etc itself is too obscure and comprehensive, so the
detail of the description of the specific crime itself, such as ransomware attack or the
application.
the present law or whether the establishment of a new legal regulation is necessary in
Protection Etc by reflecting its intention to commit other crimes by means of it, and to
punish DDos attacks in case of frequent and large-scale crimes such as Ransomware
of a new criminal code aiming only at a specific crime regulation should be sought.
for money. In addition, there is a need to establish new rules to penalize creating and
that program.