해킹미수 처벌 논의에 대한 고찰

이원상 ( Won Sang Lee ) 한국비교형사법학회 2011 비교형사법연구 Vol.13 No.2

When we describe a hacker in 21st century, we often refer to someone who tries to break into confidential computer systems. According to the current phenomenon of cyberspace expansion, the hackers have not only broadened their spatial boundaries, but also intensified the strength of the attack. Especially, the number of DDoS-Attack in prior years have been in steady inclination worldwide and its damage was of serious level. However, current prevention, detection, and investigation methodology and/or penal measure specified mainly for attempted hacking is suffering from its shortcomings. As the investigative agency acknowledged that these processes have become more intricate over the years, they have planned to punish hacking in pre-criminalization stage. During the discussion, the legislation of penal measure on attempted hacking has been a part of the debate. However, the range of discussion on attempted hacking is limited mainly for two of the following reasons. First, most of hacking process reach completion, because the hacker`s engineering skill is, so called, an ``Elite level.`` Second, it is not easy for investigation agency to charge a hacker with attempted hacking, because the operation time of the attack is ambiguous. Therefore, it is a rather difficult process to implement efficient penal measure for such narrow boundary of attempted hacking. As a result, one of the recommendations was to punish the preparation of hacking, rather than attempted hacking. However, number of scholars put forward counter-arguments to the punishment of the preparation of hacking. Nevertheless, with evidences from previous investigation practices and advocation of numerous scholars, regulation for preparation hacking was introduced. Procedures of hacking is becoming more organized, intelligent, and dangerous as we are reaching towards the Software Era. It is necessary to inflict severe punishment on the conduct of hacking. As a conclusion, we should discuss the introduction of regulation of preparation of hacking in depth rather than its principle and theory.

사물인터넷(IoT) 범죄에 대한 형사법적 해결을 위한 제언

김재현 한국테러학회 2019 한국테러학회보 Vol.12 No.1

The object Internet refers to the concept of establishing a global human-object network by connecting people and things using the Internet, and further communicating and sharing information between objects. Since the operation structure of Internet of things is enlarged compared with general computer networking, and the gateway terminal is low, hacking becomes a main threat. In order to prevent crime, technological supplement will be needed first, and as a normative countermeasure, current laws are protected by laws for protecting information. However, these laws do not rule out secondary crimes using the Internet of things. Of course, secondary crimes can be punished by the criminal law and the special criminal law, but it is important to prevent crimes before they occur. Therefore, it is necessary to examine not only the punishment for the hacking, which is the beginning of the Internet crime, but also the punishment of the unauthorized person, and the preliminary punishment for the hacking. And the Internet of things is used as a means of secondary crime, it is necessary to examine the establishment of a new constitutional requirement in view of the possibility of a penalty gap in this regard. For example, a constitutional requirement for dealing with privacy crimes using an IP camera or a dron with a camera is newly established, and in the case of a crime using a thing Internet, the problem of interpretation of a special assault or special injury criminal carrying the dangerous object is solved It is necessary to revise the 'carrying' of a dangerous object by 'using' or 'using'. And because Internet crime is a premise of hacking, information network law and information communication infrastructure protection law are often applied. Especially, when the Information Communication Infrastructure Protection Act is applied, the hacking act itself is regarded as an unauthorized person, so there is a problem that it is impossible to punish the hacking act. In other words, there is an unreasonable punishment rule for the hacking act in the Information and Communication Network Act, but there is no unlawful punishment for the hacking act under the Information Communication Infrastructure Protection Act. In order to solve these problems, it is appropriate to amend the act of hacking under the Act to be a criminal offense and to establish a new offense against it. Furthermore, it is a problem whether a driver can take responsibility for the accident when a traffic accident occurs in an autonomous vehicle. In the Traffic Accident Handling Special Act or the Road Traffic Act, it is defined as a 'driver'. It is difficult to interpret the driver 's passenger in the category of' driver 'so it is necessary to revise the law. Finally, there is a possibility that the recognition of constitutional and intentional deliberation may be a problem in case of secondary crime using the Internet of things. Object The Internet crime is often carried out through a network, so it is difficult to assume that there is a real perception of the object of crime. Therefore, it will be necessary to reconsider the interpretation of 'awareness' which constitutes deliberate contents. 사물인터넷이란 인터넷을 활용하여 사람과 사물을 연결하고, 나아가 각종 사물이 서로 통신하고 정보를 공유하게 하여 범세계적인 인간-사물 네트워크를 구축하는 개념을 지칭한다. 사물인터넷의 작동구조는 일반 컴퓨터 네트워킹에 비해 확대되어 있고 게이트웨이 단말이 저사양이라 해킹이 주된 위협요소가 되므로 사물인터넷 활용분야가 매우 넓은 만큼 범죄의 증가도 예상된다. 범죄를 예방하기 위해서는 우선 기술적인 보완이 필요할 것이며, 규범적인 대응방향으로서는 현행법상 정보보호를 위한 법들에 의해 보호받고 있다. 하지만 이러한 법률들이 사물인터넷을 이용한 2차적 범죄까지 규율하고 있는 것은 아니다. 물론 2차적 범죄는 형법 및 특별형법 등으로 처벌이 가능하겠지만 사물인터넷 범죄가 발생하지 않도록 사전에 예방하는 것이 중요하다. 따라서 사물인터넷 범죄의 발단인 해킹에 대한 처벌뿐만 아니라 미수범의 처벌, 나아가 해킹 예비죄 처벌도 검토해볼 필요가 있다. 그리고 사물인터넷이 2차적 범죄를 위한 수단으로 이용되는 이상 이와 관련하여 처벌의 공백이 발생할 수 있는 부분을 염두에 두고 새로운 구성요건의 신설을 검토해 보아야 한다. 예컨대, IP카메라나 카메라가 장착된 드론 등을 이용한 사생활 침해 범죄를 취급하기 위한 구성요건을 신설하거나, 사물인터넷을 이용한 범죄의 경우 위험한 물건을 휴대한 특수폭행 내지 특수상해죄의 해석상 따라오는 문제를 해결하기 위하여 위험한 물건의 ‘휴대’를 ‘이용하여’ 또는 ‘사용하여’로 개정하는 것이 필요하다. 그리고 사물인터넷 범죄는 해킹을 전제로 하므로 정보통신망법과 정보통신기반 보호법이 적용되는 경우가 많다. 특히 정보통신기반 보호법이 적용되는 경우에는 해킹행위 자체를 미수범으로 취급하고 있으므로 정작 해킹행위에 대한 미수범을 처벌할 수 없는 문제도 발생한다. 즉, 정보통신망법상 해킹행위는 미수범 처벌규정이 있는 반면 정보통신기반 보호법상의 해킹행위는 미수범 처벌규정이 없다. 이러한 문제를 해결하려면 동법상의 해킹행위를 기수범의 형태로 개정하고 이에 대한 미수범 처벌규정을 신설하는 것이 타당하다. 나아가 자율주행자동차의 교통사고 발생 시 탑승자에게 과실책임을 물을 수 있는지 문제된다. 교통사고처리특례법이나 도로교통법에서는 ‘운전자’라고 규정되어 있는데, ‘운전자’의 범주에 자율주행자동차의 탑승자를 포섭하여 해석하는 것이 어려우므로 법률의 개정이 필요하다. 마지막으로 사물인터넷을 이용한 2차적 범죄발생에 있어서 경우에 따라 구성요건적 고의의 인정여부가 문제될 소지가 있다. 사물인터넷 범죄는 네트워크를 통해 이루어지는 경우가 많아 범죄의 객체 대한 사실상의 인식이 있는 경우는 상정하기 어렵다. 따라서 고의의 내용을 구성하고 있는 ‘인식’에 대한 해석을 다시금 재고해볼 필요가 있을 것이다.

Survey on Analysis and Countermeasure for Hacking Attacks to Cryptocurrency Exchange

홍성혁 한국융합학회 2019 한국융합학회논문지 Vol.10 No.10

As the value of technical information increases, hacking attacks are trying to steal technical information through hacking. Recently, hacking of cryptocurrency exchanges is much easier to monetize than existing technical information, making it a major attack target for hackers. In the case of technical information, it is required to seize the technical information and sell it to the black market for cashing.In the case of cryptocurrency, most hacking attacks are concentrated on cryptocurrency exchanges because it is easy to cash out and not easy to track when successful hacking. Although technology cannot be hacked, cryptocurrency transactions traded on cryptocurrency exchanges are not recorded on the blockchain which is simply internal exchanges, so insiders may manipulate the quotes and leave gaps or leak out. Therefore, this research analyzes the recent hacking attacks of cryptocurrency exchanges and proposes solutions to secure cryptocurrency trading.

가상화폐 해킹에 대한 사례 연구

김문환 한국산업보안연구학회 2019 한국산업보안연구 Vol.9 No.2

After the 2008 global economic crisis, bitcoin, a Virtual currency, was born in 2009 due to distrust and dislike of the existing centralized monetary system. More than 1,500 virtual currencies have emerged in the world since the idea of creating a new, decentralized monetary system. The problem is that the countries that have witnessed the closures, such as the price fluctuations caused by Virtual currency, are struggling but do not have a clear policy. As a result, actual policy attitudes are becoming different. In this reality, hacking crimes related to virtual currencies have become a new global topic. This paper deals with the important hacking events in the Virtual currency space. Since the advent of Bitcoin, there have been about 60 major hacking crimes involving virtual currencies, mostly in August 2016, with damages approaching $ 2 billion. In particular, Japan's Mt. Two exchanges, Gox and Coincheck, lost about $ 1 billion in hacking. The unusual problem is that hacking crimes related to Virtual currency are less likely to identify or catch criminals, so the head of the crime is invisible but the tail is invisible. In that regard, efforts should be made to find the culprit. The hacking attack on Virtual currency will become more sophisticated in the future, and the direction of countermeasures should be developed to study the aggressive eradication of crime beyond the growth pain. 2008년 세계 경제위기 이후 기존의 중앙집권적 통화제도에 대한 불신과 반감으로 2009년에 가상화폐인 비트코인이 탄생하였다. 평등하고 분산적인 통화제도를새로이 만들어보자는 구상아래 세계적으로 지금껏 1,500여 종의 가상화폐가 출현하였다. 문제는 가상화폐가 초래한 가격등락과 같은 폐단을 목도한 각국이 고심은하면서도 확실한 정책을 내놓지 못하는 상황이다. 그에 따라 실제의 정책태도는 상이한 모습이 되고 있다. 이러한 현실에서 가상화폐와 관련한 해킹범죄는 새로운 글로벌 화두가 되었다. 본 논문에서는 가상화폐 공간에서 발생한 중요한 해킹사건을 다루어 보았다. 비트코인이 출현한 이후 2016년 8월까지 대체로 가상화폐와 관련한 60건의 중요한해킹범죄가 있었으며, 그에 따른 피해액은 20억 달러에 육박하고 있다. 특히 2014 년 일본의 Mt. Gox와 Coincheck 등 2개 거래소는 해킹으로 10억 달러 가량의 손실을 보았다. 특이한 문제로는 가상화폐와 관련한 해킹범죄는 범인을 파악하거나 잡는 경우가적어 범죄의 머리는 있으나 꼬리는 보이지 않는 성질을 가진다. 그러한 점에서 범인을 색출하는 노력이 강화되어야 한다. 앞으로 가상화폐에 대한 해킹공격은 더욱정교해 질 것인 점에서 그 대책의 방향도 가상화폐에 대한 해킹은 성장통이란 측면을 넘어 범죄의 적극적인 근절에 대한 연구 쪽으로 전개되어야 할 것이다.

해킹사고 주의의무 판단기준으로서 최선의무 도입에 관한 일고

송태원(Taewon Song) 인하대학교 법학연구소 2019 法學硏究 Vol.22 No.2

법원은 해킹으로 인한 정보유출에 대한 일련의 민사판결에서 정보처리자의 배상책임을 부정하고 있다. 손해배상이 인정되지 않는 이유는 정보유출만으로 실질적 권리침해가 인정되지 않는다는 점, 사업자의 주의의무 위반이 인정되지 않는다는 점 등 다양한 이유가 있다. 본 논문은 이중 해킹 방지를 위한 정보통신서비스 제공자의 주의의무 측면을 논의하였다. 정보통신망법과 그 하위규정인 방송통신위원회의 고시는 해킹 방지를 위한 기술적, 관리적 보호조치 수준을 정하고 있다. 동 고시는 사업자가 지켜야할 주의의무 수준에 대한 하나의 기준을 제공할 수 있지만, 그것만이 사업자와 서비스 이용자간 계약으로 정하여지는 정보보호 수준을 정하는 척도가 될 경우에는 이용자 정보보호에 미흡할 수 있다. 종래 판례는 옥션 해킹 정보유출 사건과, KT 해킹 정보유출 사건에서 공법상기준을 사업자가 준수하면 책임이 없다는 태도로 판단하여 많은 비판을 받았다. 네이트·싸이월드 정보유출 사건에서는 종전보다 진일보하여, 공법상 주의의무 위반이 없더라도 사회통념상 요구되는 일반적 주의의무 위반이 있는 경우 배상책임이 인정될 수 있음을 판시하였다. 대법원 판결이 해킹으로 인한 정보유출 손해배상 사건에서 정보유출만으로 배상책임을 인정하지 않는 것은 그 책임이 과실책임의 영역이고, 또한 해킹 방지는 정보통신서비스 제공자와 서비스 이용자간의 이익균형이 필요한 문제이기 때문인 것으로 이해된다. 다만 앞으로 정보를 기반으로 하는 서비스가 더 많아지고 정보보호 필요성은 더욱 부각된다는 점에서, 본고에서는 본 KT 해킹 정보유출 사건의 하급심 판결인 서울중앙지방법원 2017. 2. 17. 선고 2014가소413127 판결의 이유에 착안하며, 정보처리자가 자율적으로 정보보호에 대한 주의의무 수준을 높이는 방안이 정착될 수 있도록 사업자에게 정보보호에 관한 최선의무를 부과하는 방안을 논의하였다. The court denies the informant’s liability for damages in a series of civil rulings on information leakage due to hacking. There are various reasons such as the fact that infringement of actual rights is not recognized solely due to information leakage, and that a violation of the duty of care by the operator is not recognized. This paper discusses the careful aspects of information and communication service providers to prevent double hacking. The notification of the Korea Communications Commission, which is the information network law and its subordinate regulations, establishes the level of technical and managerial safeguards to prevent hacking. The notification may provide a single standard for the level of attention required of the operator, but it may be insufficient to protect the user’s information if it is a measure of the level of information protection defined by the contract between the operator and the service user. The previous case was judged by the attitude that the auction hacking information leakage case and the KT hacking information leakage case are not responsible if the company adheres to the standard of the public law. In case of Nate Cyworld information leak, it was found that the liability of compensation can be recognized even if there is no violation of the obligation to pay attention to public law. The Supreme Court ruling does not recognize liability for information leakage due to hacking because it is a matter of fault liability and prevention of hacking is a problem that requires balance of profit between information communication service provider and service user. However, since more information-based services are needed in the future and the necessity of information protection is more emphasized, this article focuses on the reasons for the subordination of this KT hacking information leakage case, And discussed ways to impose the best efforts obligation on information security to businesses so that measures to raise the level can be settled.

해킹사고의 사법적 평가에 대한 비판 - 소위 `옥션` 판결에 대한 평석을 중심으로 -

오길영 ( Oh Kil-young ) 민주주의법학연구회 2016 민주법학 Vol.0 No.62

본고는 해킹사건에 대하여 우리 대법원이 수립한 과실판단 법리의 모순과 오류를 지적하기 위한 글이다. 이를 위하여 이 글은 대표적인 해킹사건이자 사회적으로 큰 이슈가 되었던 바 있는 소위 `옥션 사건`을 대상으로 대법원 판단의 문제점을 각쟁점별로 분석하는 형태로 진행된다. 글의 전반부에는 `옥션 사건`의 사실관계를 분석한다. 이와 더불어 실제 `옥션 사건`에서 발생했던 기술적인 상황들을 이해하고 그 과실의 존부를 쉬이 인지케 하기 위하여, 일반적인 해킹 기법에 대한 간략한 설명을 사전적으로 설명하였다. 글의 중반부에는 `옥션 사건`에서 과실판단의 대상이 된 주요한 쟁점들을 상세하게 검토하였다. 관리자 계정의 기본값 설정, 방화벽의 부재, 침입탐지시스템 등 보안체계상의 미비 등의 부인할 수 없는 과실들에 대한 판단에 있어 법원의 판단미진이나 오류가 존재함을 밝힌다. 글의 후반부에서는 해킹 사건의 과실에 대한 대법원의 평가를, 앞서 살핀 내용들을 토대로 하여 비판한다. 특히 그 판단에 있어 사실상 절대적인 기준으로 채택한바 있는 `기술적·관리적 보호조치`의 문제점을 살핌으로써, 대법원이 수립한 법리가 전체적으로 타당하지 못함은 물론 모순이 내재하고 있음을 밝힌다. This paper aims to point out the contradiction and errors of the Supreme Court`s decision regarding judgement on negligence about a hacking case. For that purpose, the Supreme Court`s judicial opinion about the so-called `Auction Case`, a typical hacking case which raises a social issues, by the point in dispute, is analyzed. The first part of this article focuses on the analysis of a fact relevance of the `Auction Case`. At the same time, we provide a brief description of the general hacking technique in order to understand the technical situation, as well as to easily ascertain the existence of negligence in the actual time of the `Auction`s hacking`. Next, we undertake a detailed examination on the major issues that are the subjects of a judgement on negligence, i.e. the default setting of the system administrator account, the nonexistence of firewall, the inadequate security system, including the intrusion detection system, etc. From these undeniable negligence aspects, we can find and reveal the lack of judgment and misunderstanding in the court`s decision. In the concluding part of this article, the Supreme Court`s evaluation of the negligence on a hacking case is criticized on the basis of a previous review. By analyzing the problem of `the Appropriate Technical and Organizational Measures` adapted as the actual and absolute criteria regarding judgement of negligence about a hacking case, we conclude that the Supreme Court`s principle has a contradiction and is not generally valid.

사이버 공간에서 디지털 자구행위(Digital self-help) 법제도화를 위한 해킹백(Hacking Back)에 관한 소고

김성용(Kim, Sungyong) 국민대학교 법학연구소 2021 법학논총 Vol.34 No.1

오늘날 인터넷의 발전으로 언제 어디서든 원하는 정보통신 서비스를 받을 수 있는 편리한 세상이 된 반면, 인터넷은 해커가 바이러스를 제작·전파하여 사이버위협을 가하는 매개역할도 하고 있다. 이 때문에 우리는 안티바이러스 백신과 방화벽 등 소극적 사이버 방어로 대응하고 있지만, 적의 공격에 반격을 가하는 등의 적극적 대응은 하지 못하고 있다. 그 이유는 현행법상 공격자를 식별하고 도난당한 데이터를 찾아오거나 파괴하는 등의 적극적 대응(해킹)을 시도할 경우 컴퓨터 사기 및 남용에 관한 법률(Computer Fraud and Abuse Act, ‘CFA Act’ U.S. Code 18 § 1030)에 의거하여 형사(또는 민사) 책임에 직면하기 때문이다. 우리나라 역시 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제48조 제1항에 따라 적극적 대응(해킹)을 금지하며, 이를 어길 경우 동법 제71조 제1항 제9호에 따라 처벌하고 있다. 그러나 진화하는 해킹기술과 그로 인한 피해에 적극적으로 대응해야 할 필요성이 제기되는 가운데, 사이버공간에서 해킹백을 수단으로 하는 자구행위 실현의 우려 섞인 기대가 공존하고 있다. 주지하다시피 현실세계에서는 상대 공격에 대한 자위권적 대응으로 자구행위를 인정하지만, 사이버공간에서는 이를 인정하고 있지 않다. 이런 가운데 미 의회에서는 2017년 민간으로 하여금 해킹의 유연한 대처를 위해 CFA Act를 개정하기 위한 능동 사이버 방어 확실성법(Active Cyber Defense Certainty Act, ACDC Act)을 발의했다. 지금까지 정부 등 소수 기관만이 해킹을 할 수 있었다는 점에서 ACDC Act는 논쟁의 중심에 서게 됐다. 이에 본 논문에서는 해외에서의 해킹백 논의와 사례를 시작으로 현실세계에서의 자구행위를 사이버공간으로 유추 적용하는 이른바 ‘디지털 자구행위’ 논증의 기원으로 평가받는 19세기 영국의 ‘용수철 총(spring guns)’ 사건을 살펴 자구행위에 대한 이해의 폭을 넓힌다. 그리고 후반부에서는 규제법적 접근방법을 통해 디지털 자구행위의 국내 도입을 위한 몇 가지 제안을 하고, 국내법으로의 적용에 문제는 없는지 헌법적 차원에서의 기본권 인정 문제, 해킹백이 형법 제23조 제1항의 자구행위로 포섭될 수 있는지에 대한 문제 그리고 윤리적 해커의 망 접근을 제한하고 있는 정보통신망법 제48조 제1항을 검토한다. Today, the development of the Internet has made a convenient world to get the desired information and communication services anytime, anywhere. On the other hand, the Internet has been misused as a tool for hackers to produce and spread viruses and pose cyber threats. Hence we are responding with passive cyber defenses such as anti-virus vaccines and firewalls which are not active. Under current law, an aggressive attempt to identify an attacker and retrieve or destroy stolen data faces criminal (or civil) responsibility under the Computer Fraud and Abuse Act (CFA Act" U.S. Code 18 § 1030). Korea(ROK) also prohibits active response(hacking) under Article 48 (1) of ACT on Promotion of Information and Communications Network Utilization and Information Protection(Act on Information and Communications Network), and punishes violations under Article 71 (1) 9 of the same Act. However, amid the need to actively respond to evolving hacking technology and the damage caused by it, there are mixed expectations for realizing self-help as a means of hacking back in cyberspace. As you can see, the real world acknowledges self-help as a self-defense response to the opponent"s attack, but cyberspace does not recognize it. Meanwhile, the U.S. Congress proposed the Active Cyber Defense Certificate Act (ACDC Act) in 2017 to revise the CFA Act to provide a flexible response to hacking. The ACDC Act has been at the center of controversy since only a small number of organizations, including the government, have been able to hack so far. In this paper, we expand our understanding on self-help by looking at the 19th century British Spring Guns which is considered the origin of demonstration on “digital self-help” applying self-help in the real world to the cyberspace and the foreign discussions and cases regarding hacking Back. In the latter half, we make some suggestions for the domestic introduction of digital self-help through the regulatory laws approach, examine the application to domestic law is subject to the breach of fundamental rights from constitutional perspective, possibility to include hacking bags as self-help under Article 23 (1) of the Criminal Act and review Article 48 (1) of the Act on Information and Communications Network, which restricts ethical hackers" access to the networks.

실험의 의미 재고를 통한 현상중심의 실험교육의 필요성 제안 -이언 해킹(Ian Hacking)의 현상의 창조를 중심으로-

최진현,전상학 한국과학교육학회 2024 한국과학교육학회지 Vol.44 No.1

본 연구에서는 이언 해킹(Ian Hacking)의 실험 철학에 대한 철학적관점을 탐구하고 이 관점이 학교 실험 교육에 미칠 영향에 대한 논의하였다. 그간 다수의 철학자들은 실험이 이론을 검증할 때에만 중요하다는 이론 선행적인 관점을 주장하였다. 이와 마찬가지로 학교 교육에서도 실험의 주요 목적은 이론의 확인과 입증에 초점을 맞춘 관점이 주류를 이룬 것으로 보인다. 그러나 이러한 이론 선행적인 관점과는 대조적으로 해킹을 포함한 실험 철학자들은 실험 자체가 자율성과 생명력을 갖는다는 주장을 제안하였다. 해킹은 개입하기와 조작하기를 통해 실험의 이론 자율적인 성격을 강조하면서 실험에서 그동안상대적으로 간과되었던 도구 사용, 재료, 과학자의 솜씨와 같은 요소들의 중요성을 강조하였고, 과학 활동에서의 실험의 역할과 그의 중요성을 재고하였다. 본 연구에서는 이러한 철학적 입장이 학교 실험교육에도 적용할 수 있는 것으로 보았으며, 본 연구에서 제시하는현상중심의 관점을 통해 도구 사용, 실험자의 개입, 모델링 활동과같은 과학적 실천을 가르치는 데 도움이 될 것으로 예상한다. In this study, we explored the philosophical perspective of Ian Hacking on experimentation and discussed its potential impact on science education in schools. Traditionally, many philosophers have advocated a theory-driven view of experimentation, emphasizing its importance primarily in validating theories. Similarly, in the context of education, the prevailing perspective has been to focus on experimentation primarily as a means of confirming and proving theories. However, in contrast to this theory-driven perspective, philosophers like Hacking have proposed that experimentation itself possesses autonomy and vitality. Through their discussions, they have brought to light the significance of previously overlooked elements in experiments, such as tool usage, materials, and the involvement of scientists. They have prompted a reevaluation of the role and importance of experiments in scientific activities. Therefore, in this study, we consider the application of this philosophical standpoint to school experimental education. We anticipate that the phenomenon-centered perspective we propose in this research will be beneficial for teaching scientific practices, including tool usage, the involvement of experimenters, and modeling activities.

해킹을 방지하지 못한 사업자의 법적 책임 판단기준의 문제점 * 60) - 행정제재⋅형사처벌의 기준과 민사상 과실판단 기준의 차이점을 중심으로 -

전승재(Jeon, Seung Jae),권헌영(Kwon, Hun Yeong) 한국정보법학회 2017 정보법학 Vol.21 No.2

본 연구에서는 해킹을 방지하지 못해 고객의 개인정보를 유출 당한 사업자의 법위반 여부가 다투어진 4개 사건을 다룬다. 첫째, 옥션은 매우 초보적인 보호조치를 하지 않아 해킹을 당했지만, 그 당시 정보 통신망법 및 그 하위 행정규칙에 당해 보호조치를 요구하는 의무규정이 없었다는 이유로 대법원은 옥션의 손해배상책임이 없다고 판결했다. 둘째, 옥션 대법원 판결 직후에 선고된 싸이월드 항소심 판결의 경우에도 민사사건 임에도 마치 행정사건처럼 SK컴즈의 행위를 방통위 고시에서 정한 제재 구성요건에 대입하여 손해배상책임이 없다고 판단했다. 셋째, KT 마이올레 해킹 사건에서 방통위는 제재처분의 근거규정으로는 어울리지 않는 추상적⋅포괄적 의무 조항을 과징금 부과처분의 이유로 삼았다가 서울행정법원 에서 패소했다. 그 후 관련 민사사건들은 대부분 행정사건의 판결이유를 그대로 차용 하며 “공법적 의무 위반이 없으면 민사상 주의의무 위반도 없다”고 판단했다. 넷째, KT N-STEP 해킹 사건은 해커의 공격기법 및 그 원인된 취약점이 위 마이올레 해킹 사건과 유사한 면이 있었는데, 방통위는 과징금을 부과하지 않았고 민사법원은 손해배상책임을 인정했다. 이상의 판결들은 기존 불법행위법의 기본 법리로는 이해하기 어려운 판시를 하기도 하였고, 일부 판결들 사이에서는 각 해킹의 난이도와 사업자의 법적 책임 사이의 규칙성을 찾기 어려울 정도로 그 상호간 결론이 조화되기 어려운 측면도 발견된다. 이러한 혼란이 발생한 이유는, 해킹에 관한 판례가 충분히 축적되지 못한 탓도 있겠지만, 근본적으로는 공법적 책임의 요건과 사법상 책임의 요건이 다른 것을 법원이 사실상 인정하지 않고 있기 때문이다. 공법상 제재의 근거조항은 죄형법정주의 원칙상 구체적⋅개별적인 의무만을 규정해야만 한다. 이와 대비하여 민사불법행위에서 과실판단의 기준이 되는 주의의무에는 법규정에서 정한 의무에서 더 나아가 당해 업종의 평균인에게 요구되는 추상적⋅포괄적 의무 또한 포함된다. 옥션 판결 이후 법원은 양자의 요건을 동일시하는 경향이 있는데, 이는 불법행위법의 기본 법리 및 정보 보호 기술의 특성에 비추어 수긍하기 어렵다. This study deals with four judicial cases that customer ‘s personal information divulged by hacking. First, Auction Case was hacked because it did not take a very basic technical measure, but the Supreme Court ruled that Auction did not have any liability for damages because there was no obligation to require that protection measures in the law at that time. Second, Cyworld Case, that was sentenced at Appellate Court immediately after the Auction Supreme Court ruling, even if it is a civil case, it was judged that SK Communications action is not liable for damages because it does not comply with the punishment requirements set forth in the law. Third, KT MyOlleh Case, an abstract and inclusive obligation clause was adopted as a rule of administrative penalty. Because the clause is not appropriate as the basis for disposing of sanctions, Korea Communications Commission (KCC) lost in the Seoul Administrative Court. After that, most of the related civil cases quoted the reason for the administrative case as “there is no civil illegal act unless there is an administrative legal obligation violation”. Fourth, KT N-STEP Case was similar to the case of the hacker’s attack technique and its weak point caused by the hacking of the KT MyOlleh Case. In spite of the similarity, KCC did not charge a penalty, and the civil court recognized the liability for damages at KT N-STEP Case. These four judicial cases are in conflict with the basic tort liability law, and among the rulings, it is difficult to find the regularity between the difficulty of hacking and the liability of the corporation. The reason for this confusion is that the case law on hacking does not accumulate enough, but basically, the court does not recognize the difference between the requirements of administrative legal sanctions and the requirements of the civil liability. The basis of the sanctions under the administrative ;aw must be specified only by specific and individual obligations in accordance with the principle of ‘Nulla poena sine lege’. In contrast, civil obligations that are the basis for judging negligence in tort include not only the obligations set forth by law, but also the abstract and inclusive obligations required of the average person in the industry concerned. After Auction Case ruling, the court tends to identify requirements of both parties. This is not correspond to the basic tort liability law and the nature of information protection techniques.

북한의 암호화폐 탈취에 대한 국제법적 대응책 검토: 해킹백을 통한 사이버 억지력 제고

김자희,이경민 한국국방연구원 2024 국방정책연구 Vol.39 No.4

본고는 북한의 암호화폐 탈취 문제를 법적, 전략적 관점에서 분석하고, 이에 대한 해결 방안을 모색한다. 북한은 경제 제재로 인한 어려움을 극복하고 핵개발 자금을 조달하기 위해 암호화폐 탈취를 지속하고 있다. 이에 본고는 2001년 ILC 국가책임 초안에 따라 북한 해커조직의 암호화폐 탈취 행위는 국제법 위반으로 간주되며, 피해국의 해킹백은 대응조치로서의 요건하에 그 위법성이 조각될 수 있음을 설명한다. 나아가 이를 바탕으로 해킹백이 피해 회복 및 사이버 억지력 제고에 기여할 수 있음을 밝힌다. 암호화폐 탈취가 북한의 안보 및 전략적 목적에 이용되는바, 국제 공조와 국가 안보 차원에서의 적극적 대응을 촉구한다. This paper examines North Korea's cryptocurrency heist from both legal and strategic perspectives, and proposes possible solutions. North Korea continues to steal cryptocurrency in order to evade economic sanctions and finance its nuclear development. The paper explains that according to the 2001 ILC Draft articles on Responsibility of States for Internationally Wrongful Acts, cryptocurrency heist by North Korean hackers are considered a violation of international law. It also stipulates that hacking-back taken as countermeasures in accordance with its requirements is lawful because its wrongfulness is precluded. Furthermore, it highlights that hacking-back can contribute to the immediate recovery of damages and the enhancement of a state's cyber deterrence. Given that the cryptocurrency heist is used for North Korea's security and strategic purposes, the paper urges active international cooperation and responses at the national security level.