컴퓨터바이러스에 따른 損害에 대한 法的 責任

金玟中 법무부 2003 선진상사법률연구 Vol.- No.18

컴퓨터사용자라면 누구나 한번쯤 컴퓨터바이러스의 감염으로 인하여 고통을 받은 경험을 가지고 있다. 어느 날 갑자기 컴퓨터바이러스로 인하여 부팅·시스템의 속도가 저하되는 경우나 소중한 문서파일이 사라지는 경우도 있고, 심하면 컴퓨터바이러스를 퇴치하기 위하여 몇 시간 혹은 며칠을 고생하다가 결국은 컴퓨터를 완전히 포맷하고 새로 프로그램을 인스톨하는 경우도 있다. 컴퓨터바이러스가 감염되면 컴퓨터사용자로서는 어느 경우이든 크고 작은 손해를 입게 된다. 컴퓨터바이러스로 인하여 컴퓨터사용자에게 손해가 생기면 손해배상책임이 문제될 수 있다. 컴퓨터바이러스에 따른 손해에 대한 법적 책임으로서는 계약책임과 불법행위책임이 고려된다. 또한 손해배상책임의 주체로서는 바이러스유포자, 소프트웨어제작자, 인터넷서비스제공자(ISP), 국가, 컴퓨터사용자를 들 수 있다. 예를 들어 바이러스유포자에 대하여는 원칙적으로 불법행위책임만이 성립한다. 컴퓨터바이러스에 감염된 소프트웨어를 만든 소프트웨어제작자에 대하여는 계약상의 책임과 불법행위책임이 모두 성립할 수 있다. 컴퓨터바이러스에 따른 손해에 대한 소프트웨어제작자의 계약책임으로서는 적극적 계약침해나 불완전이행에 기한 계약책임 및 하자담보책임이 문제되고, 불법행위책임으로서는 민법상 일반불법행위책임과 제조물책임법에 의한 제조물책임이 문제된다. 역시 인터넷서비스제공자에게도 컴퓨터바이러스에 따른 손해에 대한 계약책임과 불법행위책임이 성립한다. 그리고 국가나 컴퓨터사용자에게는 컴퓨터바이러스의 감염에 따른 손해에 대하여 원칙적으로 불법행위책임이 성립한다. Computerviren sind Programme, die sich selbst reproduzieren, indem sie sich an andere Programme anhängen. Computerviren können in verschiedene Klassen eingeteilt werden, je nachdem, auf welche Art sie das System infizieren. Es gibt z.B. Bootsektorviren, Dateiviren, Makroviren, Polymorphe Viren, Retroviren, Script-Viren, Slack Viren, Stealthviren. Mit Computerwürmer sind aber keine Viren im klassischen Sinne, sondern eine damit verwandte Störprogramme, die jedoch auch Viren enthalten können. Trojanische Pferde sind streng genommen keine Viren, da es sich dabei nicht um Programme handelt, die sich selbst reproduzieren und ausführen können. Unter Hoaxe versteht man Meldungen über Malware, die es gar nicht gibt. Fast immer enthalten Computerviren einen Programmteil, der Schaden verursacht. Tatsächlich entstehen durch Viren jährlich weltweit Schäden, die in die Milliarden gehen. Viren richten Schäden, indem sie Daten löschen, verfälschen, Fehlkonfigurationen, Systemüberlastungen oder -abstürze herbeiführen. Das Ausmass von Schaden durch Computerviren reicht von einfachen Bildschirmanimationen bis zur Zerstörung aller Programme und Daten auf Disketten und Festplatten. Die Frage, welche rechtlichen Konsequenzen sich aus Programmierung, Anwendung von Viren ergeben kann, wird bisher nicht viel behandelt. Wer virenverseuchte Programme vorsätzlich oder fahrlässig verbreitet und somit das Eigentum(z.B. die Hadware) oder ein sonstiges Recht(z.B. das Nutzungsrecht an einer Software) eines anderen widerrechtlich verletzt, ist zum Ersatz des daraus entstandenen Schadens verpflichtet(KBGB §750). Zunächst haftet für den durch Computerviren entstandenen Schadens, wer einen virulenten Programmcode herstellt. Es haftet allerdings auch jener Programmhersteller, der vorsätzlich oder fahrlässig ein Progamm mit einem Computervirus verbreitet hat. Produkthaftungsgesetz gewährt insbesondere dem Geschädigten einem Schadensersatz für Körper- und Sachschäden, wenn diese durch den Fehler eines Produkts verursacht werden. Computerprogramme gelten als Produkt im Sinne des Produkthaftungsgesetztes. Der Software-Hersteller haftet daher nach dem Produkthaftungsgesetz für Schäden, die durch Computerviren entstanden sind. Ein juristisches Urteil ist wesentlich schwieriger, wenn es um die unabsichtlichen Virenversender geht. Im Prinzip ist bei privater Nutzung jeder Nutzer selbst für den Virenschutz verantwortlich.

컴퓨터 바이러스 등 유해 프로그램의 법적 규제 검토 - 미국의 제정법과 판례를 중심으로 -

김형석,전용태 사단법인 한국법이론실무학회 2019 법률실무연구 Vol.7 No.2

바이러스의 시작은 정확히 1987년말부터이다. 1987년 10월에 Delaware 대학교에서 Brain이라는 바이러스가 발견되었다. 같은 해 11월 18일 펜실베니아 Lehigh 대학교에서 Lehigh바이러스가 발견되었으며, 12월에 이스라엘의 Hebrew 대학교에서 예루살렘 바이러스가 발견되었다. 이후에는 컴퓨터 바이러스는 엄청나게 증가하였다. 이와 관련하여 컴퓨터 사용자들이 컴퓨터 바이러스에 대처하는 방법으로는 컴퓨터 바이러스 진단 및 치료 하는 프로그램인 바이러스 백신 프로그램으로 확산을 막는 방법이 사용되고 있다. 그러나 사이버 공간의 주요 구성요소의 보안 약점에 대한 우려가 지속적으로 증가하고 있고, 시장의 힘만으로 사이버 보안을 위한 경제적 인센티브를 제공하지 못하고 있기 때문에, 정부가 취할 수 있는 규제적 인센티브를 포함한 사이버 보안강화를 위한 정책 대안들을 제시해야 한다. 그래서 본고에서는 미국 연방법의 컴퓨터 부정접근에 관한 제1030조에 대한 검토 결과를 논의하였고, 이어서 각 주의 컴퓨터 범죄 중 바이러스 범죄에 대처하기 위한 방안을 살펴보았다. 제정법상 어떠한 조항을 갖는 것을 중심으로 그 검토 결과를 논의하였다. 또한 구체적인 판례에 대해 개관하고 멜리사 사건에 대한 처리를 시간 순으로 검토하였다. The start of the virus is exactly from the end of 1987. In October 1987, a virus named Brain was found at the University of Delaware. The Lehigh virus was found at Lehigh University in Pennsylvania on November 18 of the same year, and the Jerusalem virus was found at Hebrew University in Israel in December. Since then, computer viruses have increased tremendously. In this regard, computer users are coping with computer viruses as a way to prevent the spread of computer viruses through antivirus programs, which are programs to diagnose and treat computer viruses. However, as concerns about the security weakness of major components of cyberspace continue to increase and market forces alone are not providing economic incentives for cyber security, and it including regulatory incentives that governments can take Policy alternatives for. Therefore, this article discussed the results of the review of Article 1030 of the United States federal law regarding computer misappropriation, and then examined ways to combat virus crimes in each state computer crime. The results of the review were discussed focusing on the provision of certain provisions in the enactment law. In addition, a detailed case was reviewed and the process of Melissa case was reviewed in time order.

마코프 체인을 이용한 컴퓨터 바이러스 발생 빈도수 예측 모델링

정영석(Young-Suk Chung),박구락(Koo-Rack Park),안우영(Woo-Young Ahn) 한국컴퓨터정보학회 2013 한국컴퓨터정보학회 학술발표논문집 Vol.21 No.1

최초의 컴퓨터 바이러스인 브레인 바이러스가 만들어진 이후로, 현재까지 컴퓨터 바이러스로 인한 피해는 늘어나고 있다. 이에 따라 컴퓨터 바이러스를 막기 위한 여러 가지 노력이 현재도 진행 중에 있다. 컴퓨터 바이러스로 인한 피해 방지와 예방을 위한 대책을 수립하기 위해서는 컴퓨터 바이러스의 발생 빈도수를 예측 하는 것이 필요하다. 본 논문은 다양한 예측 연구에 활용되고 있는 마코프 체인을 적용하였다. 본 논문은 마코프 체인을 적용하여 컴퓨터 바이러스 빈도수를 예측하는 모델링을 제안한다.

컴퓨터범죄에 관한 연구

박윤해 숭실대학교 법학연구소 2006 法學論叢 Vol.16 No.-

현대 사회는 컴퓨터의 보급과 인터넷의 급속한 확대로 인하여 고도의 정보화 사회로 들어서고 있다. 컴퓨터의 이용이 확대되면서 남용 및 오용으로 인류에게 피해를 초래하는 역기능적인 측면이 여러 가지 형태로 나타나고 있는데 그중 가장 중요한 것이 컴퓨터범죄이다. 컴퓨터범죄는 미국, 독일, 일본 등 선진 제국에서는 1960년대 이후 속출하고 있으며, 이로 인한 피해는 기존의 범죄들에 비하여 엄청나게 크다. 그래서 이들 국가에서는 이러한 신종범죄에 대한 법적 평가와 이를 방지하기 위한 입법 및 연구가 활발히 진행되고 있다. 우리나라도 1995년에 형법을 개정하여 컴퓨터범죄 처벌과 관련하여 새로운 조항의 신설 및 기존 법조문을 보완하였다. 그러나 이러한 새로운 규정만으로 현재 발생하고 있는 컴퓨터범죄를 억제하고 예방하는데 한계가 있다. 컴퓨터범죄는 종래의 전통적인 범죄와는 그 유형을 달리하기 때문에 새로운 범죄개념이 요구되고 있으나, 학자에 따라서는 컴퓨터 자체는 범죄적인 것이 아니므로 개념자체가 부정확할 뿐 아니 라 불명확한 사건들의 단순한 집합체에 불과하다고 하여 컴퓨터범죄의 개념을 부인하기도 한다. 그러나 대부분의 학자들은 컴퓨터범죄의 개념을 인정하고 있다. 컴퓨터범죄의 특징은 행위측면과 행위자측면에서의 특징으로 나눌 수 있다. 행위측면의 특징은 범행의 영속성, 행위의 자동성, 고의의 입증곤란, 발각과 증명이 어렵다는 점이다. 행위자측면의 특징으로는 컴퓨터의 전문가나 회사 내부인에 의해 범행이 많이 이루어지고, 주로 젊은층이며 죄의식이 희박하고 초범이 많다는 것이다. 컴퓨터를 행위의 수단 또는 목적으로 하는 모든 범죄적 현상인 컴퓨터범죄는 그 형태가 일정치 않고 여러 가지 모습으로 나타나기 때문에 컴퓨터범죄 행위를 일정한 기준에 따라 분류해 보려는 시도는 많이 행해지고 있으나, 아직은 분류방법이 확립되어 있지 않고 학자에 따라 각각 그 유형을 달리하고 있다. 본 논문에서는 컴퓨터범죄를 컴퓨터의 데이터처리·보존기능과의 관여형태를 기준으로 분류하는 일반적 견해에 따라 컴퓨터 부정조작, 컴퓨터 파괴, 컴퓨터 스파이, 컴퓨터 무권한사용으로 구분하였다. 현실적으로 이러한 새로운 유형의 컴퓨터범죄들에 대하여 형법 및 각종 특별법에서 완벽하게 대처하지 못하고 있는 실정이다. 이러한 범죄에 대한 형법 및 각종 특별법상 구성요건의 해석이나 적용상의 문제점, 재판관할, 수사상 문제점 등에 대하여 보다 많 은 논의와 연구가 필요하다할 것이다. 컴퓨터범죄 특히 사이버범죄에 대한 수사와 관련하여 인터넷의 세계성과 초국경성 때문에 실질적 국제공조가 필수불가결하다. 인터넷 공간에서의 범죄는 일정 국가에만 국한되는 문제가 아니고, 전세계의 모든 나라에 피해를 확산시킬 수 있는 성질을 가진다. 특히 형사소송분야에서의 압수·수색 등의 강제수사 및 범인 인도, 증거보전 및 증거사용에 관한 국제협력체계의 구축, 일정범위 내의 법규정의 단일화 작업 등이 필요하다. 컴퓨터범죄에 관한 대책으로는 범죄가 발생하기 이전에 그것을 예방하는 것이 최선의 방법이다. 이를 위해서는 컴퓨터에 관한 안전대책을 수립하여 근원적으로 범죄의 발생을 막는 것이 요청된다. 그러나 이러한 사전예방적 조치가 범죄의 발생을 감소시킬 수는 있으나 완전히 그것을 근절시킬 수는 없다고 본다. 따라서 사전예방책과 함께 사후의 규제방안도 함께 마련하지 않으면 안 된다. 컴퓨터범죄에 대하여는 주로 형법이 규율하고 있고, 사이버범죄에 대하여는 산발적인 행정형법 내지 특별형법에 의하여 규제되고 있다. 따라서 새로이 발생하고 있는 사이버범죄에 대한 규정들이 산재하고 있거나 때로는 미비하므로 이에 대하여 효과적으로 규율하기 위해 형법 규정을 보완하는 외에 가칭 '사이버범죄특별법' 의 제정이 필요하다 할 것이다. 앞으로도 컴퓨터범죄에 대한 활발한 연구와 논의를 토대로 한 적극적이고도 구체적인 대책의 마련과 아울러 해킹이나 컴퓨터바이러스의 침투 등 컴퓨터범죄에 대한 범죄의식 확산 등 사회 인식을 전환하고 정보윤리의 확립을 위한 노력도 병행되어야 할 것이다. We live in the modern society that is the high level of information society for the spread of computer and rapid expansion of internet. As the use of computer is gradually spreaded, the dysfunctional aspects bringing the damages on the humankind with abuse and misuse come into a view in various forms, in special, the most important thing is the computer crime. The computer crime has occurred one after another since 1960years in advanced country such as USA, Germany, and Japan and it caused severe damages in contrast to the existing crimes. By reason of this, the appropriate countries tried to study and enact legislation against the new criminals as well as to evaluate it legally. Korea also established the new provisions regarding to computer crime punishment and made up for the weak points in the existing provisions of law by revising the criminal law in 1995. However, these new provisions reached the limit in the restraint and prevention of current computer crime. Computer crime requires a new criminal concept because it is different from existing traditional crimes, but some scholars tend to deny its concept. They thought that the concept of computer crime was not correct and it is a simple set of indefinite cases as well. However, most of scholars acknowledge the concept of computer crime. The computer crime has two characteristics in the scope of the action and the actor. For the characteristics in the action is that it is the perpetuity of crime, the automation of action, difficulty to decide whether criminal's action was accidental or deliberate and to detect or prove the case. In contrast, for the characteristics in the actor is that the crimes are committed by computer specialists or insider of company mainly and the criminals are youngman who lack a sense of sin and is a first offender. As the computer crime making bad use of the computer as means or purposes has not definite type and appeared as various kinds of form, it is widely prevalent to try to classify the action of computer crimes in specific criteria, but the classification method is not established yet and some scholars have different one. This article is divided into the computer manipulation, computer sabotage, computer spionage, and time-theft, according to common opinion that the computer crime is classified on the base of connection with data processing, reserved function of computer. Currently, the criminal law and kinds of special law is not even cope with these new types of computer crime. It is necessary to discuss and study the problems on interpretation of requirements under criminal law and various special laws, or application, jurisdiction and investigation against these crimes. The best way to prevent from computer crime is to take steps to deal with the situation before it occurs. To do this, it is necessary to stop the occurrence of crime by establishing the safety countermeasures for computer use. However, I think that have to establish the preventive measures and to prepare the subsequent regulations as well. The computer crime is mainly defined by criminal law, while the cyber crime is regulated by sporadical administrative law or special criminal law. As the regulations against the new cyber crime lie scattered or were incomplete, to restrict it effectively, it is necessary to enact the comprehensive cyber crime special act and to compensate the regulations of criminal law as well. In conclusion, I think that we have to make every effort to convert the awareness of society by spreading the concept of computer crimes such as hacking or virus diffusion and to establish the moral information as well as to take the active and concrete countermeasures based on the lively study and discussion against the computer crime in the future.

컴퓨터 바이러스 통제를 위한 보안행위의도 모형

김종기,전진환 한국정보사회진흥원 2006 정보화정책 Vol.13 No.3

사회전반에 걸쳐 정보화가 급속히 진행되면서 정보보안이 중요한 이슈로 대두되고 있다. 그 가운데 컴퓨터 바이러스는 정보시스템 사용자가 일상적으로 접하는 정보보안 문제이며, 조직 차원에서도 다루기 힘든 이슈이다. 본 연구는 컴퓨터 바이러스 통제를 위해 사용자의 보안행위의도를 형성하는 일련의 요인들을 연구모형으로 설정하였다. 특히, 보안행위 의도에 선행하는 주요요인인 위험인식에 대해서는 정보보안 위험분석 방법론에 기초하여 정보자산, 위협 및 취약성을 영향요인으로 설정하였다. 설문조사 결과에 따르면 사용자는 컴퓨터 바이러스의 위협이 강하고, 취약성이 높을수록 보안위험을 크게 인지하는 것으로 나타났다. 하지만 정보자산은 컴퓨터 바이러스의 위험을 인식하는데 영향을 미치지 않는 것으로 분석되었다. 컴퓨터 바이러스 통제에 대한 사용자의 보안태도는 위험인식, 사용자특성 및 보안정책으로부터 형성되며, 이러한 보안태도는 사용자가 적극적인 보안행위의도를 가질 수 있도록 상당한 영향을 미친다는 것을 확인하였다.

國際法上 情報戰에 관한 硏究

문규석(Kyu-Seok Moon) 대한국제법학회 2003 國際法學會論叢 Vol.48 No.1

사이버상에서 발생할 수 있는 범죄는 행위자가 누구이냐에 따라서 사인인 경우와 국가인 경우로 나눌 수 있고, 국가에 의한 사이버범죄는 정보전으로서 국가의 활동과 관련된다. 사인에 의한 사이버범죄는 행위지와 결과발생지가 각각 다름으로 인하여 형사관할권의 문제, 죄형법정주의의 문제 및 형사사법공조의 문제가 있다. 반면에 정보전은 악성 컴퓨터프로그램으로 행한 다른 국가의 컴퓨터네트워크에 대한 공격이 UN헌장 제2조 4항에서 금지하고 있는 무력행사에 포함되는지 여부이다. 전시에 행해지는 정보전은 전쟁의 수단과 방법의 일부분으로 볼 수 있으므로 평시에 전개되는 정보전으로 한정하면, 첫째, UN헌장 제2조 4항에서 금지하고 있는 무력행사의 의미가 기동력이 있는 물리적인 힘으로 표출되는 다양한 형태의 군사활동으로 볼 수 있다. 둘째, 다른 국가의 컴퓨터네트워크에 대한 공격도 4가지의 근거 및 5가지의 전제조건하에 무력의 행사로 볼 수 있다. 셋째, 침략의 정의에 관한 UN총회의 결의에 따르면 최초의 무력의 행사는 침략 개시의 증거로 보고 있으므로 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사를 의미할 때 그것이 침략행위를 의미하는지 의문이 제기된다. 넷째, 컴퓨터바이러스는 비살상무기로 분류되고, 비살상무기로 침략행위가 개시된 사례가 없으므로 컴퓨터네트워크에 대한 공격 그 자체는 침략행위로 보기 어렵다. 다섯째, 다른 국가의 컴퓨터네트워크에 대한 공격이 5가지의 조건하에 무력의 행사로 본다고 하더라도 비례성의 원칙에 견지에서 보면 재래식무기로 자위조치도 할 수 없다. 여섯째, 현재까지 사이버공격으로 발생한 문제는 인명살상이 아니라 물질적 손실로 한정되고 또 모든 국가가 국제분쟁의 평화적 해결의무를 부담하고 있으므로 평화적인 방법으로 해결할 수 있다. 일곱째, 구체적으로 사이버공격과 관련된 범죄행위는 국제불법행위로서 국가책임과 개인에 대한 형사책임의 이론으로 처리가 가능하다. 현행 국제법의 패러다임은 주권과 영토의 개념이 전제가 된 국가를 기초로 한 구조로 되어 있다. 이러한 패러다임은 가상의 공간에서 또는 가상의 공간을 통하여 발생할 수 있는 국가의 범죄에 관련된 문제는 현행 국제법으로 규율할 수 없다. 따라서 인터넷을 통하여 형성된 사이버공간에 대한 새로운 패러다임의 형성이 필요하다. Cyber criminals can be grouped into state-actors and non-state actors. There are three main issues involved for non-state actors who attack a computer system or network on foreign soil because the place to be committed a crime and the place to be occurred the result of the crime are different states respectively. These are ① which country has criminal jurisdiction?, ② the issue of nulla poena sine lege, and ® the issue of mutual assistance in criminal matters. Cybercrime committed by a state-actor can be referred to information warfare(IW). The main issue in information warfare from the standpoint of international law is whether computer network attack(CNA) of any state by a state-actor can be considered as "the use of force" prohibited in Article 2(4) of U.N. Charter. During wartime, IW is a part of means and method of armed conflict. However, it is questionable whether it can be considered as a means of armed conflict during peace time. In this paper, I discuss this issue with the following seven points. First, the term of use of force prohibited in Article 2(4) of U.N. Charter is armed force described as various forms of kinetic or physical force related to military activity of a state. Second, CNA can be included the meaning of use of force under the four grounds and five pre-conditions. Third, the use of force is, in itself, aggression in accordance with Article 2 of Definition of Aggression(XXIX) under the Resolution of U.N. General Assembly, which prescribes, "the first use of force by a state in contravention of the Charter shall constitute prima facie evidence of an act of aggression…. However, the arising question is whether CNA is considered the act of aggression if CNA meets the five pre-conditions to be considered as "the use of force". Fourth, CNA can not be act of aggression because of two facts. One is that malicious computer-program such as 'I Love You virus' and hacking programs which deny, destroy, corrupt, or exploit the enemy's information and its functions can be categorized non-lethal weapon. The other is that there is not even a case to have invaded with non-lethal weapon. Fifth, it is not legitimate to invoke the right of self-defence using conventional weapons against CNA in the light of the principle of proportion even though CNA is contained the meaning of use of force under five pre-conditions. Sixth, the problem raised by the attack through cyberspace can be solved by peaceful means because damage occurred is only limited by economic loss, not casualties, and all countries should be imposed the obligation of pacific settlement of disputes under Chapter Ⅵ of U.N. Charter as well. Finally, the act of crime related to CNA can be composed of state responsibility as an international wrongful act, and the actor of the crime who hold a position as an official capacity such as a Head of State or Government can be punished with the theory of individual criminal responsibility. Current paradigms of international law focus on a state-based structure that is preoccupied with the notions of sovereignty and territory. The problems raised through cyberspace or in the cyberspace can not be applied to current international law. So, tomorrow's world will require new paradigms which accommodate the imminent transnational society through Internet.

컴퓨터 면역시스템 개발을 위한 생체 면역시스템 모델링

선상준(Sang-Joon Sun),심재윤(Jae-Yoon Sim),심귀보(Kwee-Bo Sim) 한국지능시스템학회 2001 한국지능시스템학회논문지 Vol.11 No.2

생체 면역시스템은 바이러스나 병원균 등의 외부 침입자로부터 자신을 보호한다. 본 논문에서는 이러한 기능을 컴퓨터 면 역시스템에 적용하기 위하여 생체 면역시스템의 기본 요소인 T세포를 모델링하였다. 모델링한 T세포는 MHC 인식부와 항원 인식부를 가지고 있으며, 매칭을 통하여 컴퓨터내의 램덤 파일로부터 자기 파일과 비자기 파일을 구분할 수 있다. 모델링한 T세포의 유효성을 보이기 위해서 컴퓨터 바이러스의 문제에 적용하여 자기-비자기 구분이 가능함을 보인다. Biological immune system protects self from intrusion such as virus, pathogenic bacteria. In this paper, we make a model of the T-cell of biological immune system to adopt this function into computer immune system. The modeled T-cell possesses the ability to be able to distinguishes self files from random files in computer. The T-cell consists of MHC perception and antigen perception, and distinguishes self from non-self through matching file which we must test. The preliminary experiments illustrate how the modeled T-cell might be applied to the problem of computer virus.

악성프로그램의 정의와 해석에 관한 법적 문제

정연덕(Chung, Yeun-Dek) 동아대학교 법학연구소 2011 東亞法學 Vol.- No.53

악성프로그램이 정보통신망을 공격하여 이용자의 정상적인 이용을 방해하고 있으며 많은 피해가 발생하고 있다. 악성 프로그램의 공격 형태는 다양하다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)은 악성프로그램을 ‘정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조 또는 그 운용을 방해할 수 있는 프로그램’으로 정의하고 있으나 명확하게 의미를 알기가 쉽지 않다. 악성프로그램이 일반적으로 컴퓨터바이러스 또는 인터넷웜(worm)을 의미한다고 볼 수 있지만 구체적으로 어떠한 행위나 프로그램을 말하는 것인지 명확하지가 않다. 우리 대법원 판결은 악성프로그램에 대한 구체적인 해석을 하지는 않았고 개별 사건에서 프로그램이 악성프로그램에 해당하는지 여부를 판단한바 있을 뿐이다. 데이터 또는 프로그램 등의 운용을 방해하는 모든 프로그램을 악성프로그램이라고 보는 것도 타당하지 못하다. 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조는 상대적으로 쉽게 현실에서 해석을 하고 적용이 가능하지만 운용이라는 의미는 기술적인 특징, 구체적인 상황에 따라 합리적으로 판단하여야 할 것이다. 따라서 가급적이면 모호한 동작으로 인해 원치 않을 수 있는 동작을 보이는 응용 프로그램이 악성 프로그램인지를 판단할 때는 사용자의 의도를 중요시하여 판단을 하여야 할 것이다. 또한 프로그램이 설치될 때 사용자의 의사에 의하여 프로그램이 설치되었는지도 고려해야할 요소이다. 인터넷 사용자의 명시적 동의에 따라 설치되었는지 단순히 클릭 라이센스에 의해 사용자가 인식하지 못하는 사이에 설치되었는지도 고려해야 할 점이다. 또한 이러한 프로그램을 쉽게 삭제하거나 제거할 수 있는지도 고려해야 할 것이다. 운용으로 인하여 컴퓨터 시스템에 실질적인 손해나 피해를 주었는지 잠재적인 위협이 될 정도로 설치만 되었는지도 고려해야 할 사항으로 보인다. 악성프로그램의 정의와 이에 따른 해석은 상황에 따라 프로그램의 특성, 사용자의 의식, 피해의 정도 등을 고려하여 판단을 하여야 할 것으로 보인다. Malware (malicious software) consists of programming designed to disrupt or deny operation, gather information that leads to loss of privacy or exploitation, gain unauthorized access to system resources, and other abusive behavior. There are many types of malicious software attacks in Korea. Definition of malware in Information and Communications Network Utilization and Information Protection Act is not clear. Typically malware contain a computer virus, worm virus, or Troy virus. but the meaning of malware in this act is not clear to understand. Korean Supreme Court presented several cases in these matter. Unfortunately these cases do not deal with interpretation of meaning of mal ware. Thus, this study suggest standard to define malicious program. This factor include software characteristics, depending on the situation, the user’s consciousness or consent, considering the extent of the damage.

웹 접근성 / 보안 : 정보보안정책, 보안통제 및 사용자특성이 정보보안효과에 미치는 영향: 컴퓨터 바이러스를 중심으로

김종기,전진환 한국정보시스템학회 2005 한국정보시스템학회 추계 학술발표논문집 Vol.2005 No.-

사이버범죄에 관한 입법동향과 전망

이정훈(Jeong-Hoon Lee) 사이버커뮤니케이션학회 2006 사이버 커뮤니케이션 학보 Vol.20 No.1

인터넷의 발전은 인류에게 무한한 풍요와 진보를 가져다 주고는 있지만 그 반면에 대량의 위험을 야기하는 새로운 범죄의 기회를 제공하기도 한다. 소위 사이버범죄의 등장이 그것이다. 한국사회에서 사이버범죄는 90년대 중반 이후로 꾸준히 증가해오고 있으며 그 피해 또한 가히 폭발적으로 늘어나고 있다. 이러한 사이버범죄에 대처하기 위하여 형법 개정이나 정보통신망법과 같은 특별법의 제정 내지 개정을 추진해오고는 있으나 기술적ㆍ시간적 한계 때문에 입법적 대처만으로는 부족한 것이 사실이다. 본 연구는 우리 나리에서의 사이버 범죄 현황과 입법적 대응을 살펴봄으로써, 사이버범죄 대처를 위한 기본적인 방향을 제시하고자 한다. 이를 위하여 사이버범죄의 다양한 유형과 그에 대한 법원의 판결 등을 소개하고 앞으로 사이버범죄에 대한 입법을 위해 고려해야 할 점들을 지적하였다. The expansion of Internet leads the human into wealth and progress but also bring about the opportunity of new crimes. We call it as Cybercrime. The numbers of cybercrime increase since the midle of the year 1995 and cause the explosive damages. Against cybercrime, Korea provides for the punishment on cybercrimes in the Criminal Act concerning traditional crimes committed by means of a computer, and in various other laws. The most relevant of these are the Act on the Promotion of Information and Communications Network Utilization and Information Protection, etc. (hereafter: Information and Communications Network Act) and the Information and Communications Infrastructure Protection Act, which are special additions to the Criminal Act. Besides, the following laws are also relevant: the Framework Act on Electronic Commerce and Digital Signature Act concerning E-commerce, the Act on the Punishment of Sexual Crimes and the Protection of the Victims Thereof, concerning cyber-sexual harassment, the Act on the Protection of Juveniles' Sex, etc., concerning child pornography, the Copyright Act or Computer Program Protection Act concerning on-line copyright infringement, the Sound Records. Video Products. and Game Software Act. and the Act on Special Cases Concerning Regulation and Punishment of Speculative Acts, etc., concerning on-line games. Among these laws, I have briefly considered the Criminal Act and the Information and Communications Network Act, which function as the basic laws against cybercrime. But these provisions are not sufficent measure as preparing for cybercrime because of technical or timing gap of enforcement between the present and future. This essay aims to introduce some legal issues on cybercrime and suggest the direction of legislation against cybercrime for the future.