정보통신/개인정보
피고인 A는 전문 해커로 활동하며 텔레그램 채널을 통해 해킹 의뢰를 받아 웹서버를 해킹하여 대규모 개인정보를 탈취하고 판매했으며, DDoS 공격을 감행했습니다. 피고인 B는 도박 사이트 운영자 V의 지시를 받아 피고인 A에게 경쟁 도박 사이트 해킹 및 DDoS 공격을 의뢰했고, V 및 다른 공범들과 함께 악성 프로그램을 제작하고 유포한 혐의로 기소되었습니다. 재판 과정에서 피고인 B는 증거의 위법성 및 악성 프로그램 유포 혐의에 대해 다투었습니다.
피고인 A는 텔레그램 채널을 통해 불상의 고객들로부터 해킹을 의뢰받아 전문 해커로 활동했습니다. 2020년 8월경 투자자문회사 직원 E의 의뢰를 받아 J, K 등 주식 관련 회사 웹서버에 침입하여 216,219건의 고객 개인정보를 탈취했습니다. 또한 2020년 9월부터 2021년 12월까지 여러 웹서버에 총 105회 무단 침입하여 개인정보를 탈취(기수)하고 280회 침입을 시도했지만 실패(미수)했습니다. 탈취한 개인정보와 과거 취득한 개인정보를 포함하여 총 7,141,288건을 텔레그램을 통해 다른 사람들에게 판매하고 3천만 원을 받았습니다. 한편 피고인 B는 도박 사이트 운영자 V의 지시를 받아 피고인 A에게 경쟁 도박 사이트에 대한 DDoS 공격 및 해킹을 의뢰했습니다. 이에 피고인 A는 2020년 5월부터 2021년 12월까지 22회에 걸쳐 DDoS 공격으로 정보통신망에 장애를 발생시키거나 웹서버에 침입을 시도하여 개인정보를 빼냈습니다. 피고인 B는 V, X, Y와 공모하여 DDoS 공격에 사용할 좀비 PC를 만드는 악성 프로그램('Z')을 제작하고 유포했습니다. 이 악성 프로그램은 2022년 2월경 특정 사이트에 게시되어 불특정 다수인의 PC를 좀비 PC로 만들었습니다.
피고인 B는 악성 프로그램 유포 혐의와 관련하여, 수사기관이 영장 없이 텔레그램 대화내역을 취득하여 증거로 삼은 것이 위법수집증거에 해당하며, 개발이 완료되지 않은 프로그램은 악성 프로그램으로 볼 수 없고, 자신은 단순히 테스트에만 관여했을 뿐 유포 행위를 하지 않았다고 주장했습니다. 이에 대해 법원은 영장 기재 혐의사실과의 객관적 관련성을 인정하고, 프로그램 자체의 특성과 유포 행위를 판단하는 법리를 적용하여 피고인 B의 주장을 모두 배척했습니다.
[피고인 A] 징역 1년 6월에 처하고, 30,000,000원을 추징하며, 추징액에 상당하는 금액의 가납을 명합니다. [피고인 B] 징역 1년에 처하되, 이 판결 확정일로부터 3년간 위 형의 집행을 유예하고, 보호관찰을 받을 것과 120시간의 사회봉사를 명합니다.
피고인 A는 정보통신망 침입 횟수가 많고 불법 제공된 개인정보 건수가 700만 건 이상이며 취득 이득액도 3천만 원에 달합니다. 또한 동종 전과로 징역형의 집행유예를 선고받은 전력이 있음에도 계속하여 범행을 저질러 재범의 위험성이 높다고 판단되어 실형이 선고되었습니다. 피고인 B는 범행 전반에 가담한 정도가 적지 않음에도 불구하고 범행을 부인하거나 단순 전달자 역할을 하였다고 변명한 점이 불리하게 작용했습니다. 다만, 1회의 벌금형 전과만 있고 구금되어 있으면서 반성의 시간을 가진 것으로 보이는 점이 유리한 정상으로 참작되어 집행유예가 선고되었으며 보호관찰과 사회봉사가 함께 명해졌습니다. 법원은 피고인 B의 증거능력 및 악성 프로그램 유포 관련 주장을 모두 받아들이지 않았습니다.
본 사건은 주로 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'과 '개인정보 보호법' 위반에 해당합니다. 먼저, '정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항'은 누구든지 정당한 접근권한 없이 정보통신망에 침입해서는 안 된다고 규정하며, 위반 시 '제71조 제1항 제9호'에 따라 처벌됩니다. 피고인 A가 타사 웹서버에 무단 침입하여 개인정보를 탈취한 행위와 피고인 B가 A에게 해킹을 의뢰하여 침입한 행위가 이에 해당합니다. 미수범도 처벌 대상입니다. 다음으로, '정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조'는 정보통신망에 의해 처리·보관되는 타인의 비밀을 침해·도용 또는 누설해서는 안 된다고 명시하며, 위반 시 '제71조 제1항 제11호'에 따라 처벌됩니다. 피고인 A가 탈취한 고객 개인정보가 이 비밀에 해당합니다. '개인정보 보호법 제70조 제2호'는 거짓이나 부정한 수단으로 취득한 개인정보를 영리 또는 부정한 목적으로 제3자에게 제공하는 행위를 금지하며, 위반 시 '제74조의2'에 따라 처벌됩니다. 피고인 A가 탈취한 개인정보를 판매하여 수익을 얻은 행위가 이에 해당하고, 이로 인한 범죄 수익은 추징될 수 있습니다. '정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제3항'은 정보통신망의 안정적 운영을 방해할 목적으로 DDoS 공격 등을 통해 장애를 발생하게 해서는 안 된다고 규정하며, 위반 시 '제71조 제1항 제10호'에 따라 처벌됩니다. 피고인 A와 B가 경쟁 도박 사이트에 DDoS 공격을 가한 행위가 여기에 해당합니다. 또한 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제2항'은 정보통신시스템 등을 훼손하거나 운용을 방해할 수 있는 프로그램을 정당한 사유 없이 유포하는 것을 금지하며, 위반 시 '제70조의2'에 따라 처벌됩니다. 피고인 B가 공범들과 함께 악성 프로그램을 제작하고 유포한 행위가 이에 해당하며, 법원은 프로그램 자체를 기준으로 사용용도, 기술적 구성, 작동 방식 등을 종합적으로 고려하여 악성 프로그램 여부를 판단합니다. 이 외에 '형법 제30조'의 공동정범 규정은 2인 이상이 공동으로 범죄를 실행한 경우에 각자를 정범으로 처벌함을 명시하여 여러 피고인들이 공모한 범행에 적용되었습니다. 증거능력과 관련하여 '형사소송법 제215조 제1항'은 압수수색영장의 혐의사실과 객관적 관련성이 있는 경우에만 압수된 증거를 사용할 수 있다고 규정하지만, 본 사건에서는 피고인 B의 스마트폰에서 발견된 대화내역이 당초 영장 혐의사실과 다르더라도 간접증거나 정황증거로 사용될 수 있어 객관적 관련성이 인정된다고 판단되었습니다. 또한 법원은 수사기관의 위반행위가 적법절차의 실질적인 내용을 침해하는 예외적인 경우가 아니면 증거능력을 배제하지 않을 수 있다는 입장도 제시했습니다.
다른 사람의 정보통신망에 정당한 권한 없이 침입하는 행위는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 따라 처벌되는 중대한 범죄입니다. 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공하는 행위는 '개인정보 보호법'에 의해 엄격히 금지되며, 위반 시 강력한 처벌과 함께 범죄 수익이 추징될 수 있습니다. DDoS 공격 등으로 타인의 정보통신망 운영을 방해하는 행위 또한 정보통신망법 위반으로 처벌 대상이 됩니다. 정보통신시스템 등을 훼손하거나 그 운용을 방해할 수 있는 악성 프로그램을 제작하거나 유포하는 행위는 정보통신망의 안정성을 심각하게 해치는 행위로, 단순히 프로그램을 제작하거나 유포하는 행위만으로도 처벌 대상이 되며, 실제로 시스템에 피해가 발생하지 않았더라도 범죄가 성립될 수 있습니다. 사이버 범죄에 연루된 경우, 범행에 가담한 정도와 역할에 따라 공동정범으로 처벌될 수 있으며, 주도적인 역할을 하지 않았다고 해도 법적 책임을 피하기 어렵습니다. 개인정보를 다루는 서비스 운영자는 웹서버의 보안 취약점을 상시 점검하고 강화하여 해킹 피해를 예방해야 합니다. 또한 출처가 불분명하거나 의심스러운 프로그램은 절대로 다운로드하거나 실행하지 않아야 합니다.
