우리나라의 악성프로그램은 정보통신망법 제48조 제3항에 정의되어 있는바, ‘정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램’이 그것이다.
따라서 악성프로그램의 유형은, a) 정보통신시스템, 데이터 또는 프로그램 등을 ‘훼손’하는 프로그램, b) 정보통신시스템, 데이터 또는 프로그램 등을 ‘멸실’하는 프로그램, c) 정보통신시스템, 데이터 또는 프로그램 등을 ‘변경’하는 프로그램, d) 정보통신시스템, 데이터 또는 프로그램 등을 ‘위조’하는 프로그램, e) 정보통신시스템, 데이터 또는 프로그램 등의 ‘운용을 방해’할 수 있는 프로그램으로 나눌 수 있다.
이 중에서 e) 운용 방해 프로그램 유형의 실제 사례 적용과 관련하여 요즘의 법 실무에 대하여 논하고, 그 문제점을 지적하고자 한다.
악성 프로그램이라 하면, 통상 바이러스, 웜, 트로이 목마, 스파이웨어 등을 의미하고 그 외에 요즘 유행하고 있는 랜섬웨어도 악성 프로그램으로 생각하는 게 일반적이다.
그런데, 마우스 입력을 자동화하는 등 단순 반복 작업을 자동으로 프로그램화해 처리하는 소프트웨어인 ‘매크로 프로그램’이나 일련의 작업들을 하나의 작업 단위로 묶어 연속적으로 일괄 처리하는 ‘배치 프로그램’ 등도 악성 프로그램인가라고 물으면 많은 사람들이 고개를 갸우뚱한다.
그럼에도 불구하고 현재 실무적으로 매크로성 프로그램이나 배치성 프로그램에 대하여 악성프로그램으로 인정하려는 흐름이 있다. 원래 바이러스나 웜 등에 대처하려고 만든 정보통신망법 제48조 제2항이 그 모호함 때문에 적용 범위를 마구 넓혀가고 있는 것이다. 최근 정보통신망법 제48조 제2항의 형이 최고 5년 징역에서 7년 징역으로 상향 조정되었고 그렇다면 그 적용이 더 엄격해져야 함에도 불구하고, 오히려 그 적용은 더 확대되어 가고 있다.
그 이유는 e) 정보통신시스템, 데이터 또는 프로그램 등의 ‘운용을 방해’할 수 있는 프로그램 부분 때문이다. ‘운용 방해’라는 의미의 모호함 때문에 조금만 트래픽이 증가해도 정보통신망법 제48조 제2항을 적용하려는 경향이 생긴 것이다.
일부 기업들은 단순히 회사의 정책에 반하는 프로그램 즉 어뷰징 프로그램을 형사처벌 대상인 악성 프로그램이라고 주장하곤 해서 정보통신망법 제48조 제2항의 오용 문제점을 가중시키고 있다.
객관적으로 ‘운용 방해’는 어떤 의미일까? 아무리 고민해도 너무나 모호하고 너무나 폭넓고 너무나 다양해서 뭐라 획정할 수 없다. ‘운용 방해’라고 하면 프로그램과 관련하여 안 걸리는 행위가 없을 정도이다. 그런데 이 조항을 위반하면 최고 7년 징역이라는 중형에 처해질 수 있다는 것이니, 과도하다 아니 할 수 없다.
정보통신망법 제48조 제2항은 2001년에 도입되었는데, 태생적으로 바이러스나 웜 등을 제작하거나 유포하는 행위를 처벌하기 위하여 나온 조문이다. 스턱스넷(Stuxnet)처럼 내부망에 침입하여 시스템을 훼손하거나, 데이터를 위조하여 오동작을 유도하는 기능을 하는 프로그램에 대비하기 위하여 도입된 조문이 이제는 그 본연의 기능은 제대로 하지 못하고, ‘운용 방해’라는 모호함을 내세워 엉뚱한 매크로성 프로그램, 배치성 프로그램, 어뷰징 프로그램 등을 형사 법정에 세우는 일에 주력하고 있다.
정보통신망법 제48조 제2항의 ‘운용 방해’ 부분은 모호하고 불명확해서 위헌성이 있는 조항으로 생각된다. 위헌성 있는 정보통신망법 제48조 제2항이 그 모호함을 이용하여 ‘악성 프로그램’의 범위를 마구 넓히는 것에 대하여 우려와 경계를 하지 않을 수 없다. 사회적으로 이를 막을 필요성이 있어 보이며, 좀 더 명확하고 예측 가능한 조문, 그에 상응하는 적절한 처벌 조항으로써 대처하는 게 바람직하다고 생각한다.
* 법무법인 민후 김경환 대표변호사, 디지털데일리(2017. 7. 10.) 기고.