단순해킹의 가벌성에 관한 비교법적 연구 : 독일 형법 및 사이버범죄방지조약을 중심으로

박희영 法務部 商事法務課 2006 선진상사법률연구 Vol.- No.34

오늘날 단순해킹은 정보통신망의 안전을 위협하는 가장 기본격인 범죄가 될 수 있다는 전제에서 단순해킹의 가벌성의 문제를 비교법격인 차원에서 검토하였다. 우선 단순해킹의 가벌성을 검토하기 위해서는 해킹의 실체를 제대로 반영할 수 있는 해킹개념을 정립하여야 한다. 단순해킹은 해커가 데이터에 침입하는 순간 모니터에 데이터가 강제적으로 나타난다는 점에서 단순해킹이란 권한없이 타인의 컴퓨터 시스템에 접근하여 그곳에 저장된 프로그램이나 데이터를 해커의 모니터상에 불러내어 보는 것이라고 정의할 수 있다. 이러한 개념 정립을 바탕으로 우리의 1995년 개정 형법 입법 당시 모델이 되었던 독일 형법상의 단순해킹에 대한 적용법규를 비교법격 차원에서 검토하였다. 독일의 경우 1985년 형법 개정 당시 단순해킹에 대한 불가벌의 의사를 밝힌 입법자의 태도와는 달리 구성 요건의 해석을 통하여 단순해킹의 가벌성을 도출할 수 있다. 우리의 경우 이미 특별법을 통하여 단순해킹의 가벌성을 인정하고 있지만 형법의 해석을 통해서도 단순해킹의 가벌성을 인정할 수 있는 가능성이 존재한다. 하지만 형법의 적용 범위는 극히 제한적이다. 오늘날 단순해킹은 세계적인 차원에서 처벌의 필요성이 인정되어 사이버범죄방지조약에서도 이를 범죄로 규정할 것을 요구하고 있다. 동 조약의 수용에 따른 우리의 적용법규 검토에서는 특별한 개정이나 입법은 요구되지 않는다고 보아진다. 다만 사이버범죄방지조약과 같이 정보통신망의 '침해'라는 문언보다는 '접근'이라는 보다 일반적인 문언으로 변경하는 것이 앞으로의 다양한 해킹 유형에 잘 대처할 수 있을 것이라 생각된다. Um die Strafbarkeit des bloße Hacking zu pfrüfen, soll dieses Begriff vor allem werden definiert. Im Augenblick des Eindringens werden immer und somit zwangsläufig auch Daten des betroffen Computers auf seinem Bildschirm sichtbar. Das Hacking lässt sich deshalb als das Endringen in fremde Computernetze und Ansehen der dort gespeicherten Programme, Dateien und Daten durch Aufruf auf dem Bildschirm des Handelnden definieren. Im deutschen Strafgesetzbuch fehlt es an einem speziell gegen das Hacken gerichteten Straftatbestand. Eine Strafbarkeit des Hackers kam aber gleichwohl gemäß § 202a StGB in Betracht kommen Die Auslegung der Tathandlung nach ihrem Wortlaut und ihrem Bedeutungszusammenhang führt in Ergeben dazu, dass benähe jede Aneignung von elektronischen Daten, die gegen unberechtigten Zugang besonders gesichert sind, ein Verschaffen darstellt und deshalb strafbar ist. Dieses Resultat widerspricht der Intention des Gesetzgebers, der in seiner Begründung des 2 WiKG das Hacking als bloßes Endringen in ein Computersystem straflos bleiben sollte Aber das Hacken ist keinesfall nur ein harmloses, technisches Abenteuer ist, sondern eine objektive Gefahr für die Integrität und Sicherheit von Computersystem. Deshalb stellt es kriminelles Unrecht. In Korea ist das Hacking gemäß § 63 Abs. 1 Gesetz zur Information und Kommunikation Netzwerkein strafbar. Wie im deutschen Strafgesetzuch kann das bloßes Endringen in ein Computersystem auch nach Auslegung des Tathandlung des § 316 Abs. 2 bejaht werden. Am 1. Juli 2034 wird in Kraft die Convention on Cybercrime des Europarates, die der erste völkerrechtliche Vertrag zur Bekämpfung der Internet- und Computerkriminalität ist, treten In der Cybercrime-Konventi on wird gefordert, dass die Unterzeichnerstaaten einen Straftat bestand schaffen, der bereits allein den vorsätzlichen unberechtigten Zugang zu einem Computersystem bzw. einem Teil des Computersystems erfasst. In Bezug auf dem Hacking bedürfen der Brgängzung bzw. strafrechtlichen Reform des koreanischen Gesetzes nicht.

개인정보 해킹사건을 통해서 본 기업의 보안정책 방향과 대응전략에 관한 연구 : 현대캐피탈 해킹사건을 중심으로

이대영 보안공학연구지원센터 2013 보안공학연구논문지 Vol.10 No.4

본 연구에서 살펴보고자하는 현대캐피탈 해킹사건은 2011년 4월에 발생한 사건으로서 당해 연도에 발생한 한국엡손 홈페이지 해킹사건, 농협 전산망 해킹사건, 넥슨 해킹사건, 네이트 개인정보 해킹사 건, 삼성카드 해킹사건 등 다수의 해킹 사건에 비해 해킹사건 대응방식과 해결 방법이 탁월하여 언론 사 및 관계기관들의 대응 및 평가가 돋보였던 사건이었다. 여타 다른 해킹사건들은 기업의 위기관리 실패에 대하여 신랄하게 비판을 받았으며, 그 2차 피해마저도 걱정되는 현실이었다. 또한 매년 비슷 한 사건이 반복적으로 발생하고 있었으나 각 기업들의 대응조치나 재발방지 조치들이 적절치 못하고 재발을 방지하기에는 소극적인 대처수준이었다. 그러나 현대캐피탈 해킹사고는 보안 사고에 대한 적 절한 대처로 인하여 위기관리의 정석을 보여준 것으로 평가받고 있다. 따라서 이 사례연구를 통하여 기업의 보안사고 위기관리 대처에 대한 ‘신속성’, ‘개방성’ 및 ‘투명성’ 이라는 패러다임 제시가 가능하 며 다양한 보안활동영역에 있어서 체계적이고 효율적인 보안활동 프레임워크(관리적보안, 기술적보안, 물리적보안)를 통해 ‘보안정책개발’, ‘보안조직구축’, ‘보안솔루션도입’, ‘보안교육’ 및 ‘보안점검 및 감 사’라는 5가지 기업대응전략의 필요성을 확인시켜 주었다.

해킹사고 주의의무 판단기준으로서 최선의무 도입에 관한 일고

송태원(Taewon Song) 인하대학교 법학연구소 2019 法學硏究 Vol.22 No.2

법원은 해킹으로 인한 정보유출에 대한 일련의 민사판결에서 정보처리자의 배상책임을 부정하고 있다. 손해배상이 인정되지 않는 이유는 정보유출만으로 실질적 권리침해가 인정되지 않는다는 점, 사업자의 주의의무 위반이 인정되지 않는다는 점 등 다양한 이유가 있다. 본 논문은 이중 해킹 방지를 위한 정보통신서비스 제공자의 주의의무 측면을 논의하였다. 정보통신망법과 그 하위규정인 방송통신위원회의 고시는 해킹 방지를 위한 기술적, 관리적 보호조치 수준을 정하고 있다. 동 고시는 사업자가 지켜야할 주의의무 수준에 대한 하나의 기준을 제공할 수 있지만, 그것만이 사업자와 서비스 이용자간 계약으로 정하여지는 정보보호 수준을 정하는 척도가 될 경우에는 이용자 정보보호에 미흡할 수 있다. 종래 판례는 옥션 해킹 정보유출 사건과, KT 해킹 정보유출 사건에서 공법상기준을 사업자가 준수하면 책임이 없다는 태도로 판단하여 많은 비판을 받았다. 네이트·싸이월드 정보유출 사건에서는 종전보다 진일보하여, 공법상 주의의무 위반이 없더라도 사회통념상 요구되는 일반적 주의의무 위반이 있는 경우 배상책임이 인정될 수 있음을 판시하였다. 대법원 판결이 해킹으로 인한 정보유출 손해배상 사건에서 정보유출만으로 배상책임을 인정하지 않는 것은 그 책임이 과실책임의 영역이고, 또한 해킹 방지는 정보통신서비스 제공자와 서비스 이용자간의 이익균형이 필요한 문제이기 때문인 것으로 이해된다. 다만 앞으로 정보를 기반으로 하는 서비스가 더 많아지고 정보보호 필요성은 더욱 부각된다는 점에서, 본고에서는 본 KT 해킹 정보유출 사건의 하급심 판결인 서울중앙지방법원 2017. 2. 17. 선고 2014가소413127 판결의 이유에 착안하며, 정보처리자가 자율적으로 정보보호에 대한 주의의무 수준을 높이는 방안이 정착될 수 있도록 사업자에게 정보보호에 관한 최선의무를 부과하는 방안을 논의하였다. The court denies the informant’s liability for damages in a series of civil rulings on information leakage due to hacking. There are various reasons such as the fact that infringement of actual rights is not recognized solely due to information leakage, and that a violation of the duty of care by the operator is not recognized. This paper discusses the careful aspects of information and communication service providers to prevent double hacking. The notification of the Korea Communications Commission, which is the information network law and its subordinate regulations, establishes the level of technical and managerial safeguards to prevent hacking. The notification may provide a single standard for the level of attention required of the operator, but it may be insufficient to protect the user’s information if it is a measure of the level of information protection defined by the contract between the operator and the service user. The previous case was judged by the attitude that the auction hacking information leakage case and the KT hacking information leakage case are not responsible if the company adheres to the standard of the public law. In case of Nate Cyworld information leak, it was found that the liability of compensation can be recognized even if there is no violation of the obligation to pay attention to public law. The Supreme Court ruling does not recognize liability for information leakage due to hacking because it is a matter of fault liability and prevention of hacking is a problem that requires balance of profit between information communication service provider and service user. However, since more information-based services are needed in the future and the necessity of information protection is more emphasized, this article focuses on the reasons for the subordination of this KT hacking information leakage case, And discussed ways to impose the best efforts obligation on information security to businesses so that measures to raise the level can be settled.

이용자의 기술놀이

조동원(Dongwon Jo) 사단법인 언론과 사회 2014 언론과 사회 Vol.22 No.1

이 글은 해킹을 이용자의 기술 재설정 행위능력으로 보고 그것을 기술놀이로 규정하면서, 개인용컴퓨터가 도입되고 그 이용자가 형성되기 시작한 1980년대 초중반 어떻게 해킹이 국내에 처음 나타나게 됐는지 그리고 당시 해킹이 기술놀이로서 어떻게 전개되었는지를 문헌 조사와 면접 조사를 통해 추적한다. 국내에 처음 출현한 해커는 새로운 기술이 도입되고 복제되며 새로 개발되는 공간 전체가 기술 학습의 장이었던 세운상가에서 하드웨어와 게임 복제에 빠져든 십대 이용자였고, 교육용컴퓨터라는 이름으로 초중등학교에 컴퓨터가 보급되었지만 교육을 위해 쓸 수 있는 소프트웨어가 턱없이 부족한 상황에서 흥미를 잃지 않고 프로그래밍을 배우며 직접 소프트웨어를 창작한 이용자였다. 이들 초기 이용자의 해킹 활동과 사례를 분석하며 그 의의를 세 가지로 제시한다. 첫째, 해킹은 처음에 기술놀이로서 프로그래밍을 배우는 일로 시작되었다. 해킹은 무언가에 해를 입히는 행위가 아니라 컴퓨터 자체에 열성적으로 빠져들며 그 자체를 탐구하는 즐거움을 느끼는 일이었고, 그것을 위한 프로그래밍 학습은 기술에 통달하며 컴퓨터를 해킹할 줄 아는 것, 다시 말해 기술의 재설정 행위능력을 갖게 되는 과정이었다. 둘째, 당시 해킹은 개인용컴퓨터의 개념 자체를 재설정했다. 당시 초기이용자의 컴퓨터 이용 문화는 컴퓨터가 교육이나 업무만이 아니라 게임이나 멀티미디어 창작의 문화적 활동을 위해 쓰일 수 있도록 그 이용 방식을 확장시키는데 기여한 것이다. 셋째, 1980년대 해킹은 개인용컴퓨터의 재설정뿐만 아니라 이용자 스스로를 (재)형성했다. 프로그래밍을 학습하고 컴퓨터의 다른 쓰임을 탐구하며 이용자는 기술에 대한 통제력과 창조력을 갖는 능동적 기술 재설정의 행위능력을 갖는 것으로 주체화될 수 있었다. Assuming that hacking is user agency of reconfiguration of the technology and is defined as technical play at least in its origin, this article investigates on how hacking firstly emerged and how it was unfolded as technical play in the early to mid 1980s when personal computer (PC) was introduced and new user subjectivity was formed at the same time. Both historical literature review and in-depth interviews were taken as research method for this techno-cultural and historical investigation. It was the first generation of hacker users in Korea that were teen hackers enthusiastically excited with hardware hacking and proprietary game software code-breaking in Sewoonsanga as a place for technical learning where new information technologies (IT) were being introduced, reproduced, and newly developed on one hand. there were active hacker users who creatively wrote software in the school where useful educational softwares were lacking, whereas so called educational PCs were introduced by the government. This article draws three significances and implications of early hacker user"s activities based on the analysis of them. Firstly, hacking was emerging for the first time as technical play, starting with programming learning by the early PC users. Hacking was a kind of specific activity some users enthusiastically got immersed into and felt joy in exploiting principal knowledge of technology (computer) rather than something negative or illegal like today. Programming learning was the way how they mastered the technology and the process in which they acquired the agency of reconfiguration of the technology. Secondly, computer hacking at that time involved reconfiguring the very concept of personal computer by user’s inventive usage. The early user’s active interaction with PC contributed to expansion of socio-cultural usage of computer not only for education or business as given, but also for game-playing or creation of multimedia. Lastly, user‘s hacking in the early to mid 1980s involved re-shaping of the user itself as well. Throughout the interactions between PC and user, especially hacking, the user was (re)formed as the active agent to reconfigure the technology so that it was able to take control of it and even create new ones.

해킹에 관한 법률적 대응

이미나 서울대학교 기술과법센터 2010 Law & technology Vol.6 No.4

인터넷이 비약적으로 발전하면서 해킹 역시 발달하기 시작했다. 그러나 해킹은 인터넷 세상에서 중요하고 비중 있는 위협이 되고 있다. 이 글에서는 “해커”를 범죄의도를 가지고 권한 없이 컴퓨터 시스템에 접근하는 컴퓨터 사용자라고 정의하기로 한다. 이 글은 해킹에 대한 법적 대응에 관한 것이다. 해킹은 범죄의 일종으로서, 형사 법률에 의하여 제재를 받는다. 그러나 해킹을 범죄화 하는 것에 대한 논란은 있다. 비범죄화 하게 되었을 때 서비스 사용자들에게 자율 규제의 기회를 줄 수 있어, 피해를 일으키지 않은 해킹을 제재하는 것이 최선의 정책은 아니라는 것이다. 해로운 해킹을 막는 것으로 온라인 서비스 제공자에게 불법행위 책임을 지우거나 계약상 책임을 지우는 것이 있다. 온라인 서비스 사용자에게 해를 입힌 해커를 찾아내어 책임을 묻는 것은 매우 어려운 일이다. 따라서 온라인 서비스 사용자들은 온라인 서비스 제공자를 상대로 민사소송을 제기할 수 있다. Along with the phenomenal growth of the Internet has come the growth of hacking. But hackinghas grown into a mature and sophisticated threat to the open nature of the Internet. In this articlethe term “Hacker”defines a computer user who gain unauthorized access to a computer systemwith criminal intent. This article is about legal action against hacking. Hacking is a kind of cyber-crime, so it is prohibited by criminal law. However, there is discussion about the criminalization ofhacking. Decriminalization reinforces service providers’incentives to self-regulation, so it is notthe best policy to prohibit hacking with no harm done. To deter harmful hacking impose tort liabilityor contract obligation on online service provider. It is very difficult to find a Hacker who damageonline service users and claim responsibility for the attacks. Consequently online service users canfile suit against Online service provider.

자동차 통신 네트워크 해킹의 위험 및 대책

손정아,허경미 한국경찰연구학회 2013 한국경찰연구 Vol.12 No.1

오늘날 새로운 사회문화를 창출하는 유비쿼터스 환경체계는 이에 따른 역기능도 함께 보이고 있다. 대표적으로 통신네트워크에 관한 사이버공격은 나날이 지능화 및 고도화되는 추세이며, 이를 악용한 범죄까지 발생하고 있다. 그럼에도 불구하고 통신네트워크 기술은 여러 산업기술 분야에 응용되고 있으며, 자동차 기술 분야에까지도 적용되고 있다. 21세기의 자동차는 컴퓨터 플랫폼을 자동차에 장착하여 통신네트워크를 구축함으로써 텔레매틱스 서비스와 엔터테인먼트 기능에 의해 차량이 운전자를 지원하는 지능형 운송수단으로 변화하였다. 즉 일반 컴퓨터에서 발생되는 해킹이 자동차의 전자제어시스템을 통해 야기되는 위험이 그만큼 높아진 것이다. 국토해양부에 따르면 우리나라는 2.75명당 자동차 1대를 보유하고 있으며, 이 가운데 승용차가 전체 자동차의 76.7%를 차지한다. 그 중에서도 전자제어시스템의 적용범위가 큰 중형 및 대형승용차는 총 81.9%로 이들 자동차가 주로 전자제어시스템 및 텔레매틱스를 교란하는 해킹의 대상이 될 위험이 있다. 따라서 본 연구는 자동차 통신네트워크 해킹을 통해 발생될 수 있는 문제점을 살펴보고, 그에 따른 대응 정책 방향을 첫째, 관련 법령의 개정 및 법령 제정의 제안, 둘째, 기존의 해킹대응센터 및 종합상황실 운영과 같은 제도적 체계화와 전문인력의 양성, 자동차 통신네트워크 사용에 대한 보안수칙을 규정, 언론 및 교육훈련기관을 통한 예방홍보활동의 강화, 셋째, 자동차 통신네트워크 해킹사고를 예방하기 위한 보안백신 및 취약성 진단 소프트웨어 프로그램의 개발 등으로 제안하였다.

사이버 공간에서 디지털 자구행위(Digital self-help) 법제도화를 위한 해킹백(Hacking Back)에 관한 소고

김성용(Kim, Sungyong) 국민대학교 법학연구소 2021 법학논총 Vol.34 No.1

오늘날 인터넷의 발전으로 언제 어디서든 원하는 정보통신 서비스를 받을 수 있는 편리한 세상이 된 반면, 인터넷은 해커가 바이러스를 제작·전파하여 사이버위협을 가하는 매개역할도 하고 있다. 이 때문에 우리는 안티바이러스 백신과 방화벽 등 소극적 사이버 방어로 대응하고 있지만, 적의 공격에 반격을 가하는 등의 적극적 대응은 하지 못하고 있다. 그 이유는 현행법상 공격자를 식별하고 도난당한 데이터를 찾아오거나 파괴하는 등의 적극적 대응(해킹)을 시도할 경우 컴퓨터 사기 및 남용에 관한 법률(Computer Fraud and Abuse Act, ‘CFA Act’ U.S. Code 18 § 1030)에 의거하여 형사(또는 민사) 책임에 직면하기 때문이다. 우리나라 역시 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제48조 제1항에 따라 적극적 대응(해킹)을 금지하며, 이를 어길 경우 동법 제71조 제1항 제9호에 따라 처벌하고 있다. 그러나 진화하는 해킹기술과 그로 인한 피해에 적극적으로 대응해야 할 필요성이 제기되는 가운데, 사이버공간에서 해킹백을 수단으로 하는 자구행위 실현의 우려 섞인 기대가 공존하고 있다. 주지하다시피 현실세계에서는 상대 공격에 대한 자위권적 대응으로 자구행위를 인정하지만, 사이버공간에서는 이를 인정하고 있지 않다. 이런 가운데 미 의회에서는 2017년 민간으로 하여금 해킹의 유연한 대처를 위해 CFA Act를 개정하기 위한 능동 사이버 방어 확실성법(Active Cyber Defense Certainty Act, ACDC Act)을 발의했다. 지금까지 정부 등 소수 기관만이 해킹을 할 수 있었다는 점에서 ACDC Act는 논쟁의 중심에 서게 됐다. 이에 본 논문에서는 해외에서의 해킹백 논의와 사례를 시작으로 현실세계에서의 자구행위를 사이버공간으로 유추 적용하는 이른바 ‘디지털 자구행위’ 논증의 기원으로 평가받는 19세기 영국의 ‘용수철 총(spring guns)’ 사건을 살펴 자구행위에 대한 이해의 폭을 넓힌다. 그리고 후반부에서는 규제법적 접근방법을 통해 디지털 자구행위의 국내 도입을 위한 몇 가지 제안을 하고, 국내법으로의 적용에 문제는 없는지 헌법적 차원에서의 기본권 인정 문제, 해킹백이 형법 제23조 제1항의 자구행위로 포섭될 수 있는지에 대한 문제 그리고 윤리적 해커의 망 접근을 제한하고 있는 정보통신망법 제48조 제1항을 검토한다. Today, the development of the Internet has made a convenient world to get the desired information and communication services anytime, anywhere. On the other hand, the Internet has been misused as a tool for hackers to produce and spread viruses and pose cyber threats. Hence we are responding with passive cyber defenses such as anti-virus vaccines and firewalls which are not active. Under current law, an aggressive attempt to identify an attacker and retrieve or destroy stolen data faces criminal (or civil) responsibility under the Computer Fraud and Abuse Act (CFA Act" U.S. Code 18 § 1030). Korea(ROK) also prohibits active response(hacking) under Article 48 (1) of ACT on Promotion of Information and Communications Network Utilization and Information Protection(Act on Information and Communications Network), and punishes violations under Article 71 (1) 9 of the same Act. However, amid the need to actively respond to evolving hacking technology and the damage caused by it, there are mixed expectations for realizing self-help as a means of hacking back in cyberspace. As you can see, the real world acknowledges self-help as a self-defense response to the opponent"s attack, but cyberspace does not recognize it. Meanwhile, the U.S. Congress proposed the Active Cyber Defense Certificate Act (ACDC Act) in 2017 to revise the CFA Act to provide a flexible response to hacking. The ACDC Act has been at the center of controversy since only a small number of organizations, including the government, have been able to hack so far. In this paper, we expand our understanding on self-help by looking at the 19th century British Spring Guns which is considered the origin of demonstration on “digital self-help” applying self-help in the real world to the cyberspace and the foreign discussions and cases regarding hacking Back. In the latter half, we make some suggestions for the domestic introduction of digital self-help through the regulatory laws approach, examine the application to domestic law is subject to the breach of fundamental rights from constitutional perspective, possibility to include hacking bags as self-help under Article 23 (1) of the Criminal Act and review Article 48 (1) of the Act on Information and Communications Network, which restricts ethical hackers" access to the networks.

해킹을 방지하지 못한 사업자의 법적 책임 판단기준의 문제점 * 60) - 행정제재⋅형사처벌의 기준과 민사상 과실판단 기준의 차이점을 중심으로 -

전승재(Jeon, Seung Jae),권헌영(Kwon, Hun Yeong) 한국정보법학회 2017 정보법학 Vol.21 No.2

본 연구에서는 해킹을 방지하지 못해 고객의 개인정보를 유출 당한 사업자의 법위반 여부가 다투어진 4개 사건을 다룬다. 첫째, 옥션은 매우 초보적인 보호조치를 하지 않아 해킹을 당했지만, 그 당시 정보 통신망법 및 그 하위 행정규칙에 당해 보호조치를 요구하는 의무규정이 없었다는 이유로 대법원은 옥션의 손해배상책임이 없다고 판결했다. 둘째, 옥션 대법원 판결 직후에 선고된 싸이월드 항소심 판결의 경우에도 민사사건 임에도 마치 행정사건처럼 SK컴즈의 행위를 방통위 고시에서 정한 제재 구성요건에 대입하여 손해배상책임이 없다고 판단했다. 셋째, KT 마이올레 해킹 사건에서 방통위는 제재처분의 근거규정으로는 어울리지 않는 추상적⋅포괄적 의무 조항을 과징금 부과처분의 이유로 삼았다가 서울행정법원 에서 패소했다. 그 후 관련 민사사건들은 대부분 행정사건의 판결이유를 그대로 차용 하며 “공법적 의무 위반이 없으면 민사상 주의의무 위반도 없다”고 판단했다. 넷째, KT N-STEP 해킹 사건은 해커의 공격기법 및 그 원인된 취약점이 위 마이올레 해킹 사건과 유사한 면이 있었는데, 방통위는 과징금을 부과하지 않았고 민사법원은 손해배상책임을 인정했다. 이상의 판결들은 기존 불법행위법의 기본 법리로는 이해하기 어려운 판시를 하기도 하였고, 일부 판결들 사이에서는 각 해킹의 난이도와 사업자의 법적 책임 사이의 규칙성을 찾기 어려울 정도로 그 상호간 결론이 조화되기 어려운 측면도 발견된다. 이러한 혼란이 발생한 이유는, 해킹에 관한 판례가 충분히 축적되지 못한 탓도 있겠지만, 근본적으로는 공법적 책임의 요건과 사법상 책임의 요건이 다른 것을 법원이 사실상 인정하지 않고 있기 때문이다. 공법상 제재의 근거조항은 죄형법정주의 원칙상 구체적⋅개별적인 의무만을 규정해야만 한다. 이와 대비하여 민사불법행위에서 과실판단의 기준이 되는 주의의무에는 법규정에서 정한 의무에서 더 나아가 당해 업종의 평균인에게 요구되는 추상적⋅포괄적 의무 또한 포함된다. 옥션 판결 이후 법원은 양자의 요건을 동일시하는 경향이 있는데, 이는 불법행위법의 기본 법리 및 정보 보호 기술의 특성에 비추어 수긍하기 어렵다. This study deals with four judicial cases that customer ‘s personal information divulged by hacking. First, Auction Case was hacked because it did not take a very basic technical measure, but the Supreme Court ruled that Auction did not have any liability for damages because there was no obligation to require that protection measures in the law at that time. Second, Cyworld Case, that was sentenced at Appellate Court immediately after the Auction Supreme Court ruling, even if it is a civil case, it was judged that SK Communications action is not liable for damages because it does not comply with the punishment requirements set forth in the law. Third, KT MyOlleh Case, an abstract and inclusive obligation clause was adopted as a rule of administrative penalty. Because the clause is not appropriate as the basis for disposing of sanctions, Korea Communications Commission (KCC) lost in the Seoul Administrative Court. After that, most of the related civil cases quoted the reason for the administrative case as “there is no civil illegal act unless there is an administrative legal obligation violation”. Fourth, KT N-STEP Case was similar to the case of the hacker’s attack technique and its weak point caused by the hacking of the KT MyOlleh Case. In spite of the similarity, KCC did not charge a penalty, and the civil court recognized the liability for damages at KT N-STEP Case. These four judicial cases are in conflict with the basic tort liability law, and among the rulings, it is difficult to find the regularity between the difficulty of hacking and the liability of the corporation. The reason for this confusion is that the case law on hacking does not accumulate enough, but basically, the court does not recognize the difference between the requirements of administrative legal sanctions and the requirements of the civil liability. The basis of the sanctions under the administrative ;aw must be specified only by specific and individual obligations in accordance with the principle of ‘Nulla poena sine lege’. In contrast, civil obligations that are the basis for judging negligence in tort include not only the obligations set forth by law, but also the abstract and inclusive obligations required of the average person in the industry concerned. After Auction Case ruling, the court tends to identify requirements of both parties. This is not correspond to the basic tort liability law and the nature of information protection techniques.

해킹방지를 위한 역공정규정의 새로운 해석방안

정진근 한국저작권위원회 2009 계간 저작권 Vol.22 No.4

초고속인터넷강국인 우리나라는 DDos(Distribute Denial of Service) 사건 등 해킹(hacking)으로 인한 사회적 혼란을 겪어왔다. 그동안 해킹사건은 적극적인 반해킹(anti-hacking)노력에 의해 진화되었으나, 반해킹을 위한 노력은 해킹프로그램을 역공정(reverse engineering) 또는 역분석(reverse analysis)하는 행위가 필수불가결하기 때문에 저작권을 침해하는 행위로 볼 수 있다는 점에서 문제가 있다. 종래의 프로그램역분석 규정의 해석은 호환성(interoperability) 확보를 위한 역분석만이 정당한 행위이고, 그 외의 목적에 의한 역분석은 임시적인 중간복제(intermediate copying)가 복제권 침해에 해당한다고 해석해왔는데, 이러한 해석은 반해킹을 위법한 행위로 해석하는 것이기 때문이다. 그러나 저작권법 제101조의4의 프로그램역분석 규정은 제101조의3 제6호 및 공정사용의 원칙(fair use doctrine)과 조화롭게 해석되어야 한다. 따라서 프로그램코드역분석은 2단계의 법적 구조를 통해 허용하는 것이 바람직하다. 즉, 경쟁프로그램을 개발하지 않는 목적의 프로그램코드역분석은 제101조의3 제1항 제6호의 규정 또는 공정사용의 원칙에 따라 가급적 넓게 인정함으로써, 아이디어의 독점을 불허하는 저작권법의 이념에 부합하도록 해석하는 것이다. 다만, 역분석에 의해 얻게 된 정보를 이용하여 경쟁프로그램을 개발하거나 호환성 확보의 목적으로 역분석된 프로그램의 창작성 있는 부분을 차용하는 경우에는 제101조의4에 규정한 프로그램역분석 규정을 이용하여야 할 것이다. 이러한 해석은 반해킹과 같이 사회적 요구가 있는 역공정을 합법적으로 해석하는데 필수적일 뿐만 아니라, 미국 법원의 해석과도 같은 결과를 낳을 수 있다는 점에서 장점이 있다. 특히, 한미FTA의 체결에 따라 양국의 역공정허용은 같은 수준에서 이루어져야 한다는 점과 공정사용의 원칙을 도입하는 저작권법 개정안의 목적에도 부합하는 것이다.

사이버 테러의 추세와 관련 법·제도에 관한 고찰 : 해킹 범죄를 중심으로

조성택(Cho, Sung-Taek) 한국테러학회 2008 한국테러학회보 Vol.1 No.1

본 연구는 최근 빈발하는 사이버테러, 특히 해킹의 최근 동향과 이에 대응하기 위한 법 제도를 살펴보는데 목적이 있다. 사이버테러는 개인 컴퓨터의 정보와 프로그램뿐만 아니라 기업, 국가 차원의 전산시스템의 장애와 마비를 가져오고 국가 중요정보의 유출, 위․변조 등을 야기할 수 있다. 해킹은 다른 범죄에 비해 컴퓨터와 인터넷에 관련된 지식과 기술을 습득하고 있는 사람들에 의해 저질러지고 있으며, 테러조직에 의해 조직적으로 시도되고 있다. 1일 평균 1천만 건에 이르는 해킹 시도가 있다는 최근 보고에도 불구하고, 우리나라는 정보보안 수준이 매우 미흡한 것이 현실이다. 해킹으로 인한 심각한 피해는 2003년 '인터넷 대란'의 경험을 통해 국가전산망의 혼란 사태, 국자 중요 정보의 유출, 기업의 정보 유출을 통한 기업경쟁력 약화 등으로 나타나고 있다. 해킹을 예방하기 위해서는 전담조직 운영의 활성화, 교육․연구의 강화, 국제적 수사 협력 등이 필요하다. This research is looking at the cyber terrorism, especially the recent trends of hacking and the corresponding laws and institutions. Cyber-terrorism can cause the information leakage of personal computer as well ad the enterprise computer system. It may also cause the national computer system failure and paralysis and the leakage and forgery of national confidential secrets. Unlike other crime, the hacking crime is carried out systematically by criminal and with high level knowledge and skills of computer and internet. In spite of the recent report that there is one day an average 10 million cases of hacking attempts, it is reality that our country is relatively inadequate and infirm in terms of information security. Serious damage caused by the hacking had been experienced in 2003 called as ""Internet crisis"" which had caused the chaos of national network, the leakage of national confidential information and the enterprise weakness in market competition due to its information leakage. In order to prevent the hacking, it is required to have the active operation of dedicated organization, the strengthening of education and research, and the cooperation of international hacking crime investigation.