랜섬웨어와 같은 악성 프로그램 때문에 많은 기업과 개인들이 고초를 겪고 있고, 급기야 한 인터넷 기업은 악성 프로그램 때문에 거액의 합의금을 해커에게 보내주기도 했다. 이에 우리 법은 악성 프로그램에 대해 어떻게 정의하고 처벌하고 있는지 살펴보기로 한다.

악성 프로그램의 개념은 정보통신망법 제48조 제2항에 언급되어 있으며, '정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램'이라고 정의되어 있다. 물론 악성 프로그램이 정보통신망법에만 등장하는 것은 아니다.

그러나 현재 실무상 정보통신망법 제48조 제2항의 정확한 의미에 대해서는 해석이 많이 갈리고 있다. 그럼에도 이 조항을 위반하는 경우에는 다소 높은 수준의 형사처벌이 이루어지고 있기 때문에, 지금과 같은 모호한 규정과 갈팡질팡하는 해석은 프로그램 개발자들에게 심각한 악영향을 주고 있다. 이에 본 글에서는, 위 조항의 정확한 해석에 대해 찬찬히 살펴보고자 한다.

첫째, 악성 프로그램 규정은 '정보통신시스템, 데이터 또는 프로그램 등의 보유자'를 보호하기 위한 조항이다. 다시 말하면 악성 프로그램이 설치된 정보통신시스템, 데이터 또는 프로그램 등의 보유자를 보호하기 위한 조항이 바로 정보통신망법 제48조 제2항이다.

둘째, 악성 프로그램은 정보통신'망'에 악영향을 주는 것이 아니라 '정보통신시스템, 데이터 또는 프로그램 등'에 악영향을 주는 프로그램으로 정의되어 있다는 점을 발견할 수 있다. 통상 정보통신'망'은 '정보통신시스템, 데이터 또는 프로그램 등'보다는 넓게 해석하는 것이 일반적이기 때문에, 악영향을 주는 범위를 일부러 줄인 것으로 파악된다. 이는 네트워크에 영향을 주는 것은 제외하고 실제 시스템이나 데이터, 프로그램에 영향을 주는 것으로 한정하기 위한 것으로 이해된다.

그 차이는 무엇인가? 네트워크에 영향을 준다는 것은 트래픽이 단순히 증가된 경우인 바, 악성 프로그램을 결정할 때 단순히 트래픽이 증가한 경우는 제외하겠다는 취지로 볼 수 있는 것이다.

셋째, '훼손·멸실·변경·위조'는 시스템·데이터·프로그램 등의 전부 또는 일부를 제거하거나 파괴하거나 또는 임의로 변경하거나 다른 코드를 집어넣는 등 위조하는 경우를 의미한다. 예컨대 시스템 부팅을 못하게 하거나 프로그램 가동을 못하게 하거나, 데이터 사용을 못하게 하는 경우가 이에 해당한다.

넷째, 악성 프로그램은 시스템·데이터·프로그램 등의 '운용을 방해'하는 경우에도 해당한다. 문제는, 여기서 '운용 방해'의 범위가 모호하기 때문에 획정된 해석이 어렵다는 점이다.

그래서 다른 법령이나 조문을 참조해 그 범위를 결정할 수밖에 없다. 예컨대 정보통신망법 제2조 제7호는 침해행위와 침해사고를 정의하고 있는데, 침해행위는 '해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위'이고 침해사고는 '그로 인하여 발생한 사태'라고 규정되어 있다.

이 중 정보통신망법 제48조 제2항과 관련된 부분은 '컴퓨터바이러스, 논리폭탄, 메일폭탄'이다. 결국 운용 방해는 정보통신망법 제2조 제7호를 참조하건대, 논리폭탄이나 메일폭탄과 같은 정도에 이르러야 한다는 결론이 가능하다. 단순히 트래픽을 증가시켜 주는 매크로 프로그램은 악성 프로그램이 아니라는 결론에 도달할 수 있다.

참고로 논리 폭탄은 일정한 조건이 갖추어지면 특정 파일을 삭제하는 등 악영향을 주는 프로그램을 의미하고, 메일 폭탄은 대량 메일을 임의로 보내는 프로그램을 의미한다.

이상의 논의를 근거로 악성 프로그램을 정의하면, 전체 정보통신망을 대상으로 하는 게 아니고 정보통신시스템·데이터·프로그램에 대한 영향을 고찰하여 결정하되, 훼손·멸실·변경·위조하는 경우뿐 아니라 운용 방해도 포함한다. 그리고 여기서 운용 방해는 논리 폭탄이나 메일폭탄 정도가 되어야 한다.

다섯째, 정보통신망법 제48조 제2항은 악성 프로그램에 대해 '전달 또는 유포' 행위에 대해 처벌하고 있는데, '전달 또는 유포'가 어떤 의미인지 살펴볼 필요가 있다.

'전달 또는 유포'가 판매 등을 의미한다고 해석하는 견해도 있지만, 다른 법령과 비교해 보고, 정보통신망법 제48조 제2항의 입법 취지를 고려할 때, 이는 판매 등을 의미하거나 포함한다고 해석할 수는 없으며, 시스템에의 투입을 의미한다고 보아야 한다.

이상 악성 프로그램에 대하여 살펴봤다. 대부분의 해킹이 악성 프로그램을 이용해 발생한다는 점에서 악성 프로그램에 대한 명확한 법해석은 반드시 선행되어야 한다.

※ 외부필자의 원고는 IT조선의 편집방향과 일치하지 않을 수 있습니다.

김경환 법무법인 민후 대표변호사는 서울대 전자공학과에서 학·석사를 했고, 조지워싱턴대 국제거래법연수를 마쳤습니다. 사법연수원 제36기를 수료하고, 국회사무처 사무관(법제직) 과 남앤드남 국제특허법률사무소(특허출원, 특허소송, 민사소송 변호사), 서울지방변호사회 법제위원회 위원을 거쳤습니다. 현재는 방위산업기술보호위원회 위원, 연세대 법학전문대학원 개인정보보호 최고전문가과정 강의, 지식재산위원회 해외진출 중소기업 IP전략지원 특별전문위원회 전문위원,한국인터넷진흥원 민원처리심사위원회 위원 등 다양한 분야에 조정 자문을 맡고 있습니다.