지난 호에서 피싱 범죄의 피해자들이 대부분 대형 업체, 특히 신뢰를 쌓았거나 신뢰를 기반으로 하는 서비스 제공자(주로 금융기관, 유명 포털업체, 전자상거래, 엔터테인먼트 사이트)와 해당 방문자·고객들이므로 서비스 제공자 입장에서 금전적 손실은 물론 사회적 불명예를 안게 되고 한순간에 신뢰를 무너뜨리는 결과를 안게되는 위험성에 대하여 피싱 범죄의 특징과 동향, 주요 대상 사이트들을 사례별로 나누어 살펴보았다.
이번 호에서는 2005년 하반기까지 나타난 피싱 범죄를 중심으로 그 전형과 앞으로의 발전 전망을 예측해 보고, 이러한 피싱 범죄에 대한 현행법을 적용하여 분석하기로 한다. 특히 형사법과 정보통신망이용촉진및정보보호등에관한법률(이하 ‘정보통신보호법’이라 한다)에서 피싱 범죄에 적용할 만한 규정들을 살펴보고, 서비스 제공자 차원과 이용자 차원으로 나누어 피싱 범죄에 대처할 수 있는 가이드라인을 제시해본다
미국에서는 피싱 범죄로 정부와 민간 기업마다 촉각을 곤두세우고 각종 보고서와 기사에서 피해자 수와 피해 액에 관해 언급하고 있다. 온라인 금융거래가 우리나라처럼 활발한 편도 아니고 보안 시스템도 미비한 수준이어서 피싱 범죄의 온상으로 삼기에 적합한 환경이라고 생각한다.
반면에 우리나라는 금융기관마다 해킹에 대비한 보안 프로그램을 철저하게 운영하고 있지만 그것으로 피싱 범죄를 대비하는 해결책이 결코 아니다. 더구나 이메일로 고객들에게 인터넷 뱅킹 내역을 발송하고 있는 현재의 시스템에서 오히려 미국보다도 더 큰 위험을 초래할 수 있다.
초기 피싱 범죄의 전형과 진화 전망
아직까지 피싱 범죄의 유형이 다양한 편은 아니지만, 미국과 영국을 중심으로 각종 자료에서 보고하는 피해자 수와 피해액이 전세계적으로 적지 않은 점을 감안하면 향후 피싱 범죄는 인터넷을 기반으로 더욱 다양한 기법을 동원해 전개할 것이다.
아직까지 초기 상태라 할 수 있는 2003~2005년 상반기까지의 피싱 범죄는 대체로 유명한 웹사이트의 형태와 디자인, 로고 등을 유사하게 모방한 후 이 내용을 이메일로 전송해, 수신자로 하여금 하이퍼링크 형태의 변조된 웹사이트의 주소에 접속해서 정해진 양식에 따라 자신의 개인정보를 기입하도록 하는 방식이었다.
로그인할 때의 ID와 패스워드, 신용정보의 업데이트를 유도하면서 수집한 신용카드번호, 패스워드, 유효기간 등을 전송받아 이를 데이터베이스화 하여 또다른 목적으로 악용하는 형태다. 그러나 향후 피싱 범죄는 해킹과 컴퓨터바이러스, 스파이웨어 방식을 접목하여 더욱 교묘하고 치밀한 수법으로 발전할 것이고 단순히 이메일에 의한 속임수가 아니라 웹사이트들의 곳곳에서 방문자들의 개인정보를 빼내려는 시도를 일삼을 것이다. 또한 유명 브랜드에 대한 고객의 신뢰를 깨뜨리기 위한 ‘신용 훼손과 업무 방해’ 목적으로 악용할 가능성도 있다. 이는 형법상 업무방해죄 또는 신용훼손죄와 연관한다. 향후 피싱 기술은 더욱 정교해질 것이 분명하다.
인터넷 기술을 잘 알지 못하는 이들에게는 아무리 보아도 본래의 웹사이트와 피싱 사이트를 구별하기 어려울 정도의 피싱 사이트를 제작할 것이고, 더불어 이를 분별하기 위한 분석기술과 프로그램 개발도 활발하게 진행할 것이다. 피싱 사기를 우려하는 많은 사이트에서 이 분석기술에 의한 프로그램을 사용할 것이고 그만큼 IT시장에서 유력한 보안 프로그램으로 각광받을 것이다.
한편 불특정 일반인의 개인정보를 빼내는 현재의 수법에서 나아가 지위와 신분에 따른 개인정보 침해로 분화할 것이다. 우수 고객과 일반 고객의 개인정보를 차별적인 공격대상으로 삼을 것이 그 한 예라 할 수 있다. 또 특정 부류의 사람들을 피싱 범죄의 주요 타깃으로 선정함으로써 피해자가 피해를 드러내고 싶지 않아 하거나 아예 범죄를 인식조차 못하는 상태에서 피해를 입게 될 것이다.
현재의 피셔들이 쓰는 스팸메일 방식의 개인별 정보수집보다는 해킹 기법을 결합하여 서비스 제공자가 축적한 개인정보 DB 자체를 노릴 것이다. 이는 서비스 제공자마다 수집 · 축적한 개인정보를 DB화 하고 CRM 마케팅으로 고객 맞춤 서비스를 강화하는 과정에서 공격의 목표와 대상으로 삼기에 더 쉽기 때문이다.
피싱 범죄에 대한 현행법 적용
피싱 범죄에서는 가해자에 대하여 피해자가 동시에 둘이 된다. 하나는 개인정보를 도용당한 자(ex. 개인, 법인)이고 다른 하나는 본래 웹사이트의 운영주체(ex. 금융기관, 서비스 제공자)다. 따라서 개인에 대한 법적 책임과 본래 웹사이트의 운영주체에 대한 법적 책임으로 나누어 현행법 적용 여부를 살펴보기로 한다.
(1) 개인정보 주체인 ‘개인’에 대한 법적 책임형법상 절도죄, 사기죄, 컴퓨터사용사기죄 적용 여부
남모르게 정보를 훔쳐서 자기의 의도대로 악용하는 것은 절도요, 도용이며 해킹에 해당한다. 예컨대 쿠키파일이나 스파이웨어, 백도어 프로그램 등을 이용해서 정보주체가 모르는 사이에 그 컴퓨터에서 개인정보를 빼내는 행위가 정보 절도다.
피싱 범죄는 타인을 속여서 착오에 빠진 그의 개인정보를 받아 금전을 목적으로 악용하는 경우로써 정보 절도라기보다는 정보 사기에 가깝다. 일반적인 피싱 범죄에 대해서는 현행 형법상 절도죄(형법 제328조)나 사기죄(형법 제347조)가 아니라1) 컴퓨터 사용사기죄(형법 제347조의 2)에 해당한다.
여기서 참고로 피싱 범죄가 목표로 하는 개인정보가 재물죄인 절도죄나 사기죄에 해당하지 않는 이유를 짚고 가자.
재물은 ‘유체물 및 전기 기타 관리할 수 있는 동력(형법 제346조, 민법 제98조 참조)’을 말한다. ‘유체물’은 일정한 공간을 차지하고 통제가 가능한 물체로서 고형물(固形物) 및 액체·기체로 된 것도 포함된다.
문서로 유체화되지 않은 권리(예 : 청구권)는 재물이라고 할 수 없다. 민법상 소유권의 객체가 되지 않는 것(예 : 해, 공기)도 재물이 되지 않는다. 그러나 전기, 열, 냉기, 수력, 압력, 빛 등 관리가 가능한 무체물은 형법상 재물이 된다. 사람의 신체는 재물이 될 수 없으나 신체에서 분리된 모발, 혈액, 장기 등은 재물로서 보호받을 수 있다. 법률상 소유·소지가 금지된 금제품(예 : 마약, 불법무기, 위조통화)이라 할지라도 절대적으로 금지(소유·소지가 금지되는 경우 : 위조통화)되는 것이 아닌 한 소지가 가능하다면 재물로서 인정된다. 재물에 경제적 (교환)가치가 없어도 무방하다(예 : 타인의 주민등록증, 사진).
대법원 판례(대판 1981. 8. 24, 80도509)는 재물에 대한 ‘사실상의 지배’와 관련하여 “절도죄란 재물에 대한 타인의 사실상의 지배 즉 소지를 침해함으로서 성립하는 것인바, 어느 누가 재물을 사실상 지배하느냐 하는 것은 재물의 크기, 형상, 개성의 유무, 시간적·장소적 관계 등을 종합하여 사회 통념에 비추어 결정해야 할 것이고, 객관적으로 어떤 사람이 재물을 사실상 지배하고 있다고 인정되는 이상 다른 특별한 사정이 없는 한 그 사람은 그 재물에 대한 지배의사를 가지고 있다고 봄이 상당하다 할 것이다.”하여 점유의 범위를 사회적·규범적 요소로서 넓게 해석하고 있다(‘사회적·규범적 점유’).
사이버 절도의 많은 부분을 차지하는 것 중에 시스템 내부의 정보를 절취하는 경우를 들 수 있다. 정보를 빼내오기 위하여 때로는 학교 사무실 등의 컴퓨터 자체를 훔치거나, 하드디스크 드라이브를 떼내어 절취하기도 한다. 물론 이 경우에는 형법상 절도죄가 성립된다. 컴퓨터나 하드디스크 드라이브라는 재물을 절도한 것이기 때문이다.
판례(1999. 2. 24. 98도3140)에 의하면 컴퓨터 파일의 경우 재산죄의 재물은 물론 형법상의 ‘물건’에도 해당되지 않는다. 따라서 친구의 집에 가서 친구의 컴퓨터에 저장된 파일을 몰래 복사해 온 경우 파일 자체는 절도죄의 객체인 재물이 되지 않기 때문에 절도죄는 성립되지 않는다. 또한 자신의 디스켓에 복사를 해 오는 경우 디스켓에 대한 절도죄도 성립되지 않게 된다.
따라서 형법은 347조의 단순 사기죄 외에 347조의 2에서 ‘컴퓨터등 사용사기죄’를 별도로 규정하고 있다. 형법상 사기죄는 사람에 대한 기망행위와 그 사람이 착오로 처분행위를 하고 그에 따라 재물 또는 재산상 이득을 취하는 경우에 성립되는 것을 전제로 하기 때문에 사람이 아닌 컴퓨터 등을 대상으로 하는 특례를 별도로 규정한 것이다. 컴퓨터등 사용사기죄는 최근의 해킹과 정보 도용을 규율하는 형법상의 대표적 규정이다. 즉, 컴퓨터등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력 · 변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 함으로 성립하는 범죄로 10년이하의 징역 또는 2천만원이하의 벌금(법정형은 형법 제347조의 단순사기죄와 동일)으로 규정하고 있다.
이 죄와 관련하여 가장 전형적인 사례가, 다른 사람의 정보를 도용하여 인터넷 뱅킹이나 현금자동입출금기 등에서 자금이체를 하거나 현금을 인출하는 경우다. 2003년 이후로 미국과 유럽에서 확산해 최근 아시아에서도 발생하는 피싱 범죄도 이에 해당한다.
(2) 본래 웹사이트의 운영주체인 ‘서비스 제공자’에 대한 법적 책임형법상 컴퓨터등 업무방해죄, 정보통신보호법상 정보통신망 침해행위와 비밀침해 적용 여부
형법 제314조제2항에서 컴퓨터등 업무방해죄를 규정하고 있다. 즉, 컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 경우에 5년이하의 징역 또는 1천5백만원이하의 벌금에 처하게 된다. 피싱 범죄는 ‘정보처리장치에 허위의 정보 또는 부정한 명령을 입력’한 것은 확실하나 ‘장애를 발생’하게 한 것은 아니다. 컴퓨터 자체의 처리과정에서 일정한 정보나 명령을 입력함으로 시스템상의 장애를 유발한 것이 아니기 때문이다.
해킹과 컴퓨터바이러스의 유해를 규제하기 위해 입법한 정보통신망이용촉진및정보보호등에관한법률 제48조(정보통신망 침해행위 등의 금지) 제1항부터 제3항의 규정을 면밀히 살펴보면 피싱 범죄에서 가해자가 본래 웹사이트를 변조해 유사한 웹사이트를 제작, 운영한 경우에 적용할 수 있는 규정이다. 이메일을 보내거나 게시판에 방문자를 유혹하는 문구의 메시지를 삽입한 것으로는 제1항의 “정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입”한 것으로 볼 수 없고, 제2항의 “악성프로그램을 전달 또는 유포”한 것에도 해당하지 않는다. 또 변조한 웹사이트를 운용한 자체만으로는 제1항과 제2항에 해당할 여지가 없다.
문제는 제3항에서 규정하는 “누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하여서는 아니된다.”는 내용의 적용여부인데, 피싱 범죄는 ‘정보통신망의 안정적 운영을 방해할 목적’이라기 보다는 타인을 기망해 정보를 빼가는 것으로 네트워크의 운영 방해와는 거리가 멀다. 게다가 ‘부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게’ 한 것으로 인정하기도 어렵다.
그렇다면 가해자가 본래의 웹사이트를 변조해서 그 신뢰와 경제적 손실을 입힌 행위에 대하여 아무런 법적 책임을 물을 수 없다는 말인가.
정보통신보호법 제49조에서는 “누구든지 정보통신망에 의하여 처리 · 보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해 · 도용 또는 누설하여서는 아니된다.”는 비밀 등의 보호 규정을 두고 있다. 피싱 범죄는 정보통신망에 의해 처리 · 전송되는 타인의 정보 또는 비밀을 침해 · 도용한 행위에 해당하고 바로 이 규정이 피싱 범죄를 규율하는 적확한 법문이다.
피싱 범죄에 대한 대처 방안
미국과 영국 등 피싱 범죄 피해 사례가 심한 국가에서는 피싱 범죄에 대처하기 위한 전문 기구나 부서를 운용할 정도로 피싱 범죄에 대한 인식이 고조되고 있다. 국내는 아직까지 피싱사례가 극히 저조한 편이지만 향후의 피해를 염두하지 않을 수 없다. 실제의 메일과 피싱 메일을 구분하는 것이 일반인 입장에서는 쉽지 않기 때문에 이에 대한 서비스 제공자 차원의 대책과 이용자 차원의 대처방안으로 나누어 다음에서 몇가지 가이드라인을 제시하고자 한다.
(1) 서비스 제공자 차원
서비스 제공자 입장에서는 특히 일정한 회원수와 지명도를 가진 사이트일수록 피싱 범죄에 대비한 보안 대책을 서둘러야 한다. 전자상거래나 금융거래 사이트를 주로 모방하는 추세지만 그 외에 공공기관, 학교, 단체 등도 피싱사이트에 대비해야 한다.
이러한 사이트들은 검색 기능을 통해서 자사가 운영하지 않는 유사한 사이트를 수시로 추적해 색출해야한다. 고객 서비스 센터(사이트)에 별도의 ‘피싱 사기 신고 게시판’을 만들어 이용자간, 이용자와 서비스 제공자간 피싱 사기에 관한 정보를 교환할 수 있는 창구를 마련하는 것도 하나의 방편이다.
이용자 특히 회원들에게는 피싱 사기의 위험성과 자사와 관련해 유포된 피싱 메일의 유형과 특성을 알려주어 회원들이 주의할 수 있도록 적극적으로 공지해야 한다. ‘단계별 피싱 경계 경보’를 발령하는 것도 하나의 방법이다. 자사가 고객을 대상으로 보내는 이메일(특히 고객이 회원으로 가입할 때 선택한 이메일 수신 여부와 내역에 따라 선별된 이메일)을 보내는 경우 그 내용과 피싱 메일로 신고된 메시지를 비교 분석하여 회원들에게 주기적으로 주의 사항을 고지해야 한다.
(2) 이용자 차원
이용자 입장에서는 일단은 개인정보를 요구하는 이메일 내용에 즉시 응답(회신)하지 말라. 수신한 이메일이나 게시판 등에 삽입된 메시지 본문에서 하이퍼링크를 좇아서 접속하기보다는 웹브라우저를 열고 직접 도메인 주소를 기입하여 방문할 것을 권한다.
특정한 서비스 제공자에게서 이메일로 받은 내용에서 시스템 문제, 회원정보 업데이트를 설명하면서 로그인을 유도하거나 개인정보 제공을 요구하는 경우에 해당 사이트를 직접 방문해 공지사항을 살펴보거나 전화로 문의해 보는 것도 신중한 처세다. 평소에 이메일 내용의 진위를 파악할 수 있는 안목과 주의를 요하고, 피싱메일로 의심되면 그 이메일을 복사하여 해당 서비스 제공자의 웹사이트를 방문해서 고객센터, 신고 게시판 등에 적극적으로 보고해야 한다.
피싱관련된 불법행위를 마무리하며...
이상으로 최근 2년여간 전세계 인터넷 이용자들을 혼란에 빠뜨리고 있는 피싱 범죄의 위험성과 동향, 유형, 각국의 사례 전형, 앞으로의 전망과 대처방안에 대해 살펴보았다.
피싱 범죄는 현재 신뢰를 기반으로 해야 하는 전자상거래와 인터넷 금융거래 발전 과정에서 큰 암초로 자리하고 있음에 틀림없다. 스팸메일에 시달리는 이용자들이 스팸메일 중에서 애써 중요한 이메일을 선별했음에도 불구하고 그것이 피싱 사기 메일이고 계속해서 금전적, 정신적 피해를 당하게 된다면 인터넷 자체의 신뢰를 상실할 수 있다.
누군가 이것을 해결해 주기만 기다리는 어리석음을 보인다면 피셔들은 계속해서 피싱 메일을 인터넷이라는 바다에 드리울 것이다. 서비스 제공자 입장에서는 이용자의 주의만 촉구할 것도 아니고, 이용자 입장에서는 서비스 제공자가 보호해 주기만을 바랄 것도 아니다.
서로가 ‘합심(合心)’하여 적극적이고 주체적으로 피싱 범죄에 대처하는 노력을 기울여야 한다.
이메일 주소의 불법 수집과 피싱 범죄 Ⅲ
이메일 원리와 관련 불법행위 ④
지난 호에서 피싱 범죄의 피해자들이 대부분 대형 업체, 특히 신뢰를 쌓았거나 신뢰를 기반으로 하는 서비스 제공자(주로 금융기관, 유명 포털업체, 전자상거래, 엔터테인먼트 사이트)와 해당 방문자·고객들이므로 서비스 제공자 입장에서 금전적 손실은 물론 사회적 불명예를 안게 되고 한순간에 신뢰를 무너뜨리는 결과를 안게되는 위험성에 대하여 피싱 범죄의 특징과 동향, 주요 대상 사이트들을 사례별로 나누어 살펴보았다.
이번 호에서는 2005년 하반기까지 나타난 피싱 범죄를 중심으로 그 전형과 앞으로의 발전 전망을 예측해 보고, 이러한 피싱 범죄에 대한 현행법을 적용하여 분석하기로 한다. 특히 형사법과 정보통신망이용촉진및정보보호등에관한법률(이하 ‘정보통신보호법’이라 한다)에서 피싱 범죄에 적용할 만한 규정들을 살펴보고, 서비스 제공자 차원과 이용자 차원으로 나누어 피싱 범죄에 대처할 수 있는 가이드라인을 제시해본다
미국에서는 피싱 범죄로 정부와 민간 기업마다 촉각을 곤두세우고 각종 보고서와 기사에서 피해자 수와 피해 액에 관해 언급하고 있다. 온라인 금융거래가 우리나라처럼 활발한 편도 아니고 보안 시스템도 미비한 수준이어서 피싱 범죄의 온상으로 삼기에 적합한 환경이라고 생각한다.
반면에 우리나라는 금융기관마다 해킹에 대비한 보안 프로그램을 철저하게 운영하고 있지만 그것으로 피싱 범죄를 대비하는 해결책이 결코 아니다. 더구나 이메일로 고객들에게 인터넷 뱅킹 내역을 발송하고 있는 현재의 시스템에서 오히려 미국보다도 더 큰 위험을 초래할 수 있다.
초기 피싱 범죄의 전형과 진화 전망
아직까지 피싱 범죄의 유형이 다양한 편은 아니지만, 미국과 영국을 중심으로 각종 자료에서 보고하는 피해자 수와 피해액이 전세계적으로 적지 않은 점을 감안하면 향후 피싱 범죄는 인터넷을 기반으로 더욱 다양한 기법을 동원해 전개할 것이다.
아직까지 초기 상태라 할 수 있는 2003~2005년 상반기까지의 피싱 범죄는 대체로 유명한 웹사이트의 형태와 디자인, 로고 등을 유사하게 모방한 후 이 내용을 이메일로 전송해, 수신자로 하여금 하이퍼링크 형태의 변조된 웹사이트의 주소에 접속해서 정해진 양식에 따라 자신의 개인정보를 기입하도록 하는 방식이었다.
로그인할 때의 ID와 패스워드, 신용정보의 업데이트를 유도하면서 수집한 신용카드번호, 패스워드, 유효기간 등을 전송받아 이를 데이터베이스화 하여 또다른 목적으로 악용하는 형태다. 그러나 향후 피싱 범죄는 해킹과 컴퓨터바이러스, 스파이웨어 방식을 접목하여 더욱 교묘하고 치밀한 수법으로 발전할 것이고 단순히 이메일에 의한 속임수가 아니라 웹사이트들의 곳곳에서 방문자들의 개인정보를 빼내려는 시도를 일삼을 것이다. 또한 유명 브랜드에 대한 고객의 신뢰를 깨뜨리기 위한 ‘신용 훼손과 업무 방해’ 목적으로 악용할 가능성도 있다. 이는 형법상 업무방해죄 또는 신용훼손죄와 연관한다. 향후 피싱 기술은 더욱 정교해질 것이 분명하다.
인터넷 기술을 잘 알지 못하는 이들에게는 아무리 보아도 본래의 웹사이트와 피싱 사이트를 구별하기 어려울 정도의 피싱 사이트를 제작할 것이고, 더불어 이를 분별하기 위한 분석기술과 프로그램 개발도 활발하게 진행할 것이다. 피싱 사기를 우려하는 많은 사이트에서 이 분석기술에 의한 프로그램을 사용할 것이고 그만큼 IT시장에서 유력한 보안 프로그램으로 각광받을 것이다.
한편 불특정 일반인의 개인정보를 빼내는 현재의 수법에서 나아가 지위와 신분에 따른 개인정보 침해로 분화할 것이다. 우수 고객과 일반 고객의 개인정보를 차별적인 공격대상으로 삼을 것이 그 한 예라 할 수 있다. 또 특정 부류의 사람들을 피싱 범죄의 주요 타깃으로 선정함으로써 피해자가 피해를 드러내고 싶지 않아 하거나 아예 범죄를 인식조차 못하는 상태에서 피해를 입게 될 것이다.
현재의 피셔들이 쓰는 스팸메일 방식의 개인별 정보수집보다는 해킹 기법을 결합하여 서비스 제공자가 축적한 개인정보 DB 자체를 노릴 것이다. 이는 서비스 제공자마다 수집 · 축적한 개인정보를 DB화 하고 CRM 마케팅으로 고객 맞춤 서비스를 강화하는 과정에서 공격의 목표와 대상으로 삼기에 더 쉽기 때문이다.
피싱 범죄에 대한 현행법 적용
피싱 범죄에서는 가해자에 대하여 피해자가 동시에 둘이 된다. 하나는 개인정보를 도용당한 자(ex. 개인, 법인)이고 다른 하나는 본래 웹사이트의 운영주체(ex. 금융기관, 서비스 제공자)다. 따라서 개인에 대한 법적 책임과 본래 웹사이트의 운영주체에 대한 법적 책임으로 나누어 현행법 적용 여부를 살펴보기로 한다.
(1) 개인정보 주체인 ‘개인’에 대한 법적 책임형법상 절도죄, 사기죄, 컴퓨터사용사기죄 적용 여부
남모르게 정보를 훔쳐서 자기의 의도대로 악용하는 것은 절도요, 도용이며 해킹에 해당한다. 예컨대 쿠키파일이나 스파이웨어, 백도어 프로그램 등을 이용해서 정보주체가 모르는 사이에 그 컴퓨터에서 개인정보를 빼내는 행위가 정보 절도다.
피싱 범죄는 타인을 속여서 착오에 빠진 그의 개인정보를 받아 금전을 목적으로 악용하는 경우로써 정보 절도라기보다는 정보 사기에 가깝다. 일반적인 피싱 범죄에 대해서는 현행 형법상 절도죄(형법 제328조)나 사기죄(형법 제347조)가 아니라1) 컴퓨터 사용사기죄(형법 제347조의 2)에 해당한다.
여기서 참고로 피싱 범죄가 목표로 하는 개인정보가 재물죄인 절도죄나 사기죄에 해당하지 않는 이유를 짚고 가자.
재물은 ‘유체물 및 전기 기타 관리할 수 있는 동력(형법 제346조, 민법 제98조 참조)’을 말한다. ‘유체물’은 일정한 공간을 차지하고 통제가 가능한 물체로서 고형물(固形物) 및 액체·기체로 된 것도 포함된다.
문서로 유체화되지 않은 권리(예 : 청구권)는 재물이라고 할 수 없다. 민법상 소유권의 객체가 되지 않는 것(예 : 해, 공기)도 재물이 되지 않는다. 그러나 전기, 열, 냉기, 수력, 압력, 빛 등 관리가 가능한 무체물은 형법상 재물이 된다. 사람의 신체는 재물이 될 수 없으나 신체에서 분리된 모발, 혈액, 장기 등은 재물로서 보호받을 수 있다. 법률상 소유·소지가 금지된 금제품(예 : 마약, 불법무기, 위조통화)이라 할지라도 절대적으로 금지(소유·소지가 금지되는 경우 : 위조통화)되는 것이 아닌 한 소지가 가능하다면 재물로서 인정된다. 재물에 경제적 (교환)가치가 없어도 무방하다(예 : 타인의 주민등록증, 사진).
대법원 판례(대판 1981. 8. 24, 80도509)는 재물에 대한 ‘사실상의 지배’와 관련하여 “절도죄란 재물에 대한 타인의 사실상의 지배 즉 소지를 침해함으로서 성립하는 것인바, 어느 누가 재물을 사실상 지배하느냐 하는 것은 재물의 크기, 형상, 개성의 유무, 시간적·장소적 관계 등을 종합하여 사회 통념에 비추어 결정해야 할 것이고, 객관적으로 어떤 사람이 재물을 사실상 지배하고 있다고 인정되는 이상 다른 특별한 사정이 없는 한 그 사람은 그 재물에 대한 지배의사를 가지고 있다고 봄이 상당하다 할 것이다.”하여 점유의 범위를 사회적·규범적 요소로서 넓게 해석하고 있다(‘사회적·규범적 점유’).
사이버 절도의 많은 부분을 차지하는 것 중에 시스템 내부의 정보를 절취하는 경우를 들 수 있다. 정보를 빼내오기 위하여 때로는 학교 사무실 등의 컴퓨터 자체를 훔치거나, 하드디스크 드라이브를 떼내어 절취하기도 한다. 물론 이 경우에는 형법상 절도죄가 성립된다. 컴퓨터나 하드디스크 드라이브라는 재물을 절도한 것이기 때문이다.
판례(1999. 2. 24. 98도3140)에 의하면 컴퓨터 파일의 경우 재산죄의 재물은 물론 형법상의 ‘물건’에도 해당되지 않는다. 따라서 친구의 집에 가서 친구의 컴퓨터에 저장된 파일을 몰래 복사해 온 경우 파일 자체는 절도죄의 객체인 재물이 되지 않기 때문에 절도죄는 성립되지 않는다. 또한 자신의 디스켓에 복사를 해 오는 경우 디스켓에 대한 절도죄도 성립되지 않게 된다.
따라서 형법은 347조의 단순 사기죄 외에 347조의 2에서 ‘컴퓨터등 사용사기죄’를 별도로 규정하고 있다. 형법상 사기죄는 사람에 대한 기망행위와 그 사람이 착오로 처분행위를 하고 그에 따라 재물 또는 재산상 이득을 취하는 경우에 성립되는 것을 전제로 하기 때문에 사람이 아닌 컴퓨터 등을 대상으로 하는 특례를 별도로 규정한 것이다. 컴퓨터등 사용사기죄는 최근의 해킹과 정보 도용을 규율하는 형법상의 대표적 규정이다. 즉, 컴퓨터등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력 · 변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 함으로 성립하는 범죄로 10년이하의 징역 또는 2천만원이하의 벌금(법정형은 형법 제347조의 단순사기죄와 동일)으로 규정하고 있다.
이 죄와 관련하여 가장 전형적인 사례가, 다른 사람의 정보를 도용하여 인터넷 뱅킹이나 현금자동입출금기 등에서 자금이체를 하거나 현금을 인출하는 경우다. 2003년 이후로 미국과 유럽에서 확산해 최근 아시아에서도 발생하는 피싱 범죄도 이에 해당한다.
(2) 본래 웹사이트의 운영주체인 ‘서비스 제공자’에 대한 법적 책임형법상 컴퓨터등 업무방해죄, 정보통신보호법상 정보통신망 침해행위와 비밀침해 적용 여부
형법 제314조제2항에서 컴퓨터등 업무방해죄를 규정하고 있다. 즉, 컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 경우에 5년이하의 징역 또는 1천5백만원이하의 벌금에 처하게 된다. 피싱 범죄는 ‘정보처리장치에 허위의 정보 또는 부정한 명령을 입력’한 것은 확실하나 ‘장애를 발생’하게 한 것은 아니다. 컴퓨터 자체의 처리과정에서 일정한 정보나 명령을 입력함으로 시스템상의 장애를 유발한 것이 아니기 때문이다.
해킹과 컴퓨터바이러스의 유해를 규제하기 위해 입법한 정보통신망이용촉진및정보보호등에관한법률 제48조(정보통신망 침해행위 등의 금지) 제1항부터 제3항의 규정을 면밀히 살펴보면 피싱 범죄에서 가해자가 본래 웹사이트를 변조해 유사한 웹사이트를 제작, 운영한 경우에 적용할 수 있는 규정이다. 이메일을 보내거나 게시판에 방문자를 유혹하는 문구의 메시지를 삽입한 것으로는 제1항의 “정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입”한 것으로 볼 수 없고, 제2항의 “악성프로그램을 전달 또는 유포”한 것에도 해당하지 않는다. 또 변조한 웹사이트를 운용한 자체만으로는 제1항과 제2항에 해당할 여지가 없다.
문제는 제3항에서 규정하는 “누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하여서는 아니된다.”는 내용의 적용여부인데, 피싱 범죄는 ‘정보통신망의 안정적 운영을 방해할 목적’이라기 보다는 타인을 기망해 정보를 빼가는 것으로 네트워크의 운영 방해와는 거리가 멀다. 게다가 ‘부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게’ 한 것으로 인정하기도 어렵다.
그렇다면 가해자가 본래의 웹사이트를 변조해서 그 신뢰와 경제적 손실을 입힌 행위에 대하여 아무런 법적 책임을 물을 수 없다는 말인가.
정보통신보호법 제49조에서는 “누구든지 정보통신망에 의하여 처리 · 보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해 · 도용 또는 누설하여서는 아니된다.”는 비밀 등의 보호 규정을 두고 있다. 피싱 범죄는 정보통신망에 의해 처리 · 전송되는 타인의 정보 또는 비밀을 침해 · 도용한 행위에 해당하고 바로 이 규정이 피싱 범죄를 규율하는 적확한 법문이다.
피싱 범죄에 대한 대처 방안
미국과 영국 등 피싱 범죄 피해 사례가 심한 국가에서는 피싱 범죄에 대처하기 위한 전문 기구나 부서를 운용할 정도로 피싱 범죄에 대한 인식이 고조되고 있다. 국내는 아직까지 피싱사례가 극히 저조한 편이지만 향후의 피해를 염두하지 않을 수 없다. 실제의 메일과 피싱 메일을 구분하는 것이 일반인 입장에서는 쉽지 않기 때문에 이에 대한 서비스 제공자 차원의 대책과 이용자 차원의 대처방안으로 나누어 다음에서 몇가지 가이드라인을 제시하고자 한다.
(1) 서비스 제공자 차원
서비스 제공자 입장에서는 특히 일정한 회원수와 지명도를 가진 사이트일수록 피싱 범죄에 대비한 보안 대책을 서둘러야 한다. 전자상거래나 금융거래 사이트를 주로 모방하는 추세지만 그 외에 공공기관, 학교, 단체 등도 피싱사이트에 대비해야 한다.
이러한 사이트들은 검색 기능을 통해서 자사가 운영하지 않는 유사한 사이트를 수시로 추적해 색출해야한다. 고객 서비스 센터(사이트)에 별도의 ‘피싱 사기 신고 게시판’을 만들어 이용자간, 이용자와 서비스 제공자간 피싱 사기에 관한 정보를 교환할 수 있는 창구를 마련하는 것도 하나의 방편이다.
이용자 특히 회원들에게는 피싱 사기의 위험성과 자사와 관련해 유포된 피싱 메일의 유형과 특성을 알려주어 회원들이 주의할 수 있도록 적극적으로 공지해야 한다. ‘단계별 피싱 경계 경보’를 발령하는 것도 하나의 방법이다. 자사가 고객을 대상으로 보내는 이메일(특히 고객이 회원으로 가입할 때 선택한 이메일 수신 여부와 내역에 따라 선별된 이메일)을 보내는 경우 그 내용과 피싱 메일로 신고된 메시지를 비교 분석하여 회원들에게 주기적으로 주의 사항을 고지해야 한다.
(2) 이용자 차원
이용자 입장에서는 일단은 개인정보를 요구하는 이메일 내용에 즉시 응답(회신)하지 말라. 수신한 이메일이나 게시판 등에 삽입된 메시지 본문에서 하이퍼링크를 좇아서 접속하기보다는 웹브라우저를 열고 직접 도메인 주소를 기입하여 방문할 것을 권한다.
특정한 서비스 제공자에게서 이메일로 받은 내용에서 시스템 문제, 회원정보 업데이트를 설명하면서 로그인을 유도하거나 개인정보 제공을 요구하는 경우에 해당 사이트를 직접 방문해 공지사항을 살펴보거나 전화로 문의해 보는 것도 신중한 처세다. 평소에 이메일 내용의 진위를 파악할 수 있는 안목과 주의를 요하고, 피싱메일로 의심되면 그 이메일을 복사하여 해당 서비스 제공자의 웹사이트를 방문해서 고객센터, 신고 게시판 등에 적극적으로 보고해야 한다.
피싱관련된 불법행위를 마무리하며...
이상으로 최근 2년여간 전세계 인터넷 이용자들을 혼란에 빠뜨리고 있는 피싱 범죄의 위험성과 동향, 유형, 각국의 사례 전형, 앞으로의 전망과 대처방안에 대해 살펴보았다.
피싱 범죄는 현재 신뢰를 기반으로 해야 하는 전자상거래와 인터넷 금융거래 발전 과정에서 큰 암초로 자리하고 있음에 틀림없다. 스팸메일에 시달리는 이용자들이 스팸메일 중에서 애써 중요한 이메일을 선별했음에도 불구하고 그것이 피싱 사기 메일이고 계속해서 금전적, 정신적 피해를 당하게 된다면 인터넷 자체의 신뢰를 상실할 수 있다.
누군가 이것을 해결해 주기만 기다리는 어리석음을 보인다면 피셔들은 계속해서 피싱 메일을 인터넷이라는 바다에 드리울 것이다. 서비스 제공자 입장에서는 이용자의 주의만 촉구할 것도 아니고, 이용자 입장에서는 서비스 제공자가 보호해 주기만을 바랄 것도 아니다.
서로가 ‘합심(合心)’하여 적극적이고 주체적으로 피싱 범죄에 대처하는 노력을 기울여야 한다.