1. 정보통신 범죄 개요

1.1 왜 형법을 알아야 하는가?

보안 컨설팅 실무에서

알아야 하는 이유:

  1. 침해사고 대응 시 법적 조치 자문
  2. 고소·고발 지원
  3. 손해배상 청구 지원
  4. 고객사 법무팀과 커뮤니케이션

1.2 정보통신 관련 형법 체계

크게 3개 법률:

1. 형법

  • 일반 범죄 + 정보통신 범죄
  • 가장 기본

2. 정보통신망법

  • 정보통신망 특화 범죄
  • 형법의 특별법

3. 전기통신사업법

  • 통신비밀 침해
  • 통신 방해

1.3 처벌 수위

정보통신 범죄는 생각보다 무거움!

[주요 처벌 수위] - 해킹 : 10년 이하 징역 (정통기반법) - 개인정보 유출 : 5년 이하 징역 (개보법) - 명의도용 : 5년 이하 징역 (정통망법)

2. 형법상 정보통신 범죄

2.1 사기 관련

제347조의2 (컴퓨터등사용사기)

조문: “컴퓨터등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력·변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 한 자는 10년 이하의 징역 또는 3천만원 이하의 벌금에 처한다”

쉽게: 컴퓨터를 속여서 돈을 빼앗는 죄

구성 요건:

  1. 컴퓨터 등 정보처리장치
  2. 허위 정보 또는 부정한 명령 입력
  3. 재산상 이익 취득

[사례 1] 게임 아이템 해킹

[사건 내용] - A가 게임 서버에 부정한 명령을 보내서 아이템을 무한 복제 후 판매 - 적용 : 컴퓨터등사용사기죄 (O)

[사례 2] 은행 계좌 해킹

[사건 내용] - B가 은행 시스템을 해킹하여 타인 계좌에서 자기 계좌로 이체 - 적용 : 컴퓨터등사용사기죄 (O)

[사례 3] 포인트 부정 적립

[사건 내용] - C가 쇼핑몰 시스템 취약점을 이용해 포인트를 부정 적립 후 사용 - 적용 : 컴퓨터등사용사기죄 (O)

[사례 4] 피싱

[사건 내용] - D가 가짜 은행 사이트를 만들어 피해자의 계좌번호·비밀번호 입력받음 후 돈 인출 - 적용 : 컴퓨터등사용사기죄 (O) + 사기죄 (형법 제347조) 중복 가능

일반 사기죄와의 차이:

구분 사기죄 (제347조) 컴퓨터등사용사기죄 (제347조의2)
피해자 사람 컴퓨터
속이는 대상 사람을 속임 컴퓨터를 속임
예시 보이스피싱 (사람 속임) 게임 해킹 (컴퓨터 속임)

2.2 업무 방해 관련

제314조 (업무방해)

제1항 (위력에 의한 업무방해): “위력으로써 사람의 업무를 방해한 자는 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처한다”

제2항 (위계에 의한 업무방해): “위계로써 사람의 업무를 방해한 자도 제1항의 형과 같다”

예시:

[적용 사례] - 허위 정보 유포로 기업 이미지 훼손 - 업무 방해 - DDoS 공격으로 서비스 마비 - 컴퓨터등장애업무방해죄로 처벌

제314조의2 (컴퓨터등장애업무방해)

조문: “컴퓨터등 정보처리장치 또는 전자기록등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생하게 하여 사람의 업무를 방해한 자는 5년 이하의 징역 또는 1천500만원 이하의 벌금에 처한다”

쉽게: 컴퓨터를 망가뜨리거나 방해해서 업무를 못 하게 하는 죄

구성 요건:

  1. 컴퓨터 등 정보처리장치 손괴 or 정보처리 장애
  2. 업무 방해

[사례 1] DDoS 공격

[사건 내용] - A가 웹사이트에 DDoS 공격 - 서버 다운, 서비스 마비 - 적용 : 컴퓨터등장애업무방해죄 (O)

[사례 2] 랜섬웨어

[사건 내용] - B가 회사 서버에 랜섬웨어 감염 - 파일 암호화, 업무 중단 - 적용 : 컴퓨터등장애업무방해죄 (O)

[사례 3] 시스템 삭제

[사건 내용] - C가 퇴사 전 회사 서버 데이터 전체 삭제 - 업무 마비 - 적용 : 컴퓨터등장애업무방해죄 (O)

[사례 4] 악성코드 유포

[사건 내용] - D가 악성코드를 이메일로 대량 발송 - 여러 회사 PC 감염, 업무 장애 - 적용 : 컴퓨터등장애업무방해죄 (O)

처벌:

  • 5년 이하 징역 또는 1천500만원 이하 벌금

2.3 비밀 침해 관련

제316조 (비밀침해)

제1항: “봉함 기타 비밀장치한 사람의 편지, 문서 또는 도화를 개봉한 자는 3년 이하의 징역이나 금고 또는 500만원 이하의 벌금에 처한다”

제2항: “봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자도 제1항의 형과 같다”

쉽게: 남의 비밀 편지나 파일을 몰래 보는 죄

[사례 1] 이메일 해킹

[사건 내용] - A가 B의 이메일 계정을 해킹하여 이메일 내용을 열람 - 적용 : 비밀침해죄 (O)

[사례 2] 클라우드 해킹

[사건 내용] - C가 D의 클라우드 계정을 해킹하여 저장된 문서를 열람 - 적용 : 비밀침해죄 (O)

제한:

  • 개인 간 비밀만 해당
  • 회사 정보는 해당 안 될 수 있음 (판례 따라 다름)

2.4 재물 손괴 관련

제366조 (재물손괴등)

조문: “타인의 재물, 문서 또는 전자기록등 특수매체기록을 손괴 또는 은닉 기타 방법으로 기 효용을 해한 자는 3년 이하의 징역 또는 700만원 이하의 벌금에 처한다”

전자기록 손괴: 데이터를 삭제하거나 훼손하는 것

[사례 1] 데이터 삭제

[사건 내용] - 퇴사자가 회사 데이터 전체 삭제 - 적용 : 재물손괴죄 (O) + 컴퓨터등장애업무방해죄 중복 가능

[사례 2] 파일 암호화 (랜섬웨어)

[사건 내용] - 랜섬웨어로 파일 암호화 - 원래 파일 사용 불가 - 적용 : 재물손괴죄 (O)

3. 정보통신망법상 범죄

3.1 제48조 (벌칙)

제1호: 정보통신망 침해

조문: “다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다”

1호: “정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입한 자”

쉽게: 해킹

구성 요건:

  1. 정당한 권한 없이
  2. 정보통신망 침입

[사례 1] 웹사이트 해킹

[사건 내용] - A가 쇼핑몰 관리자 페이지를 해킹 - 권한 없이 침입 - 적용 : 정보통신망 침해죄 (O)

[사례 2] 데이터베이스 해킹

[사건 내용] - B가 SQL Injection 공격으로 데이터베이스에 접근 - 적용 : 정보통신망 침해죄 (O)

[사례 3] 계정 도용

[사건 내용] - C가 타인의 ID/PW를 알아내서 그 계정으로 로그인 - 적용 : 정보통신망 침해죄 (O) + 부정사용 (제49조)

처벌:

  • 5년 이하 징역 또는 5천만원 이하 벌금

제2호: 악성프로그램 전달·유포

조문: “정보통신망에 장애가 발생하게 하거나 정보를 훼손하는 등의 악성프로그램을 전달 또는 유포한 자”

[사례 1] 바이러스 유포

[사건 내용] - A가 바이러스를 이메일로 대량 발송 - 적용 : 악성프로그램 유포죄 (O)

[사례 2] 랜섬웨어 유포

[사건 내용] - B가 랜섬웨어를 웹사이트에 업로드 - 적용 : 악성프로그램 유포죄 (O)

처벌:

  • 5년 이하 징역 또는 5천만원 이하 벌금

제3호: 해킹 프로그램 제공

조문: “제1호 또는 제2호의 행위를 할 목적으로 프로그램을 제공한 자”

[적용 사례] - 해킹 툴 판매 - 해킹 프로그램 제공죄 (O) - 해킹 강의 (범죄 목적) - 해킹 프로그램 제공죄 (O)

3.2 제49조 (벌칙)

부정사용

조문: “다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다”

1호: “제48조제1호의 침해행위를 통해 취득한 타인의 정보를 사용하거나 다른 사람에게 제공한 자”

[사례 1] 개인정보 탈취 후 사용

[사건 내용] - A가 해킹으로 고객 정보 탈취 - 스팸 발송에 사용 - 적용 : 정보통신망 침해죄 (제48조) + 부정사용죄 (제49조)

명의도용

5호: “정당한 사유 없이 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설한 자”

[사례 1] 타인 명의 가입

[사건 내용] - A가 B의 주민번호로 쇼핑몰 가입 - B 명의로 물건 구매 - 적용 : 명의도용죄 (O)

[사례 2] 타인 계정 도용

[사건 내용] - C가 D의 아이디로 게임 접속 - 게임 머니 사용 - 적용 : 명의도용죄 (O)

처벌:

  • 3년 이하 징역 또는 3천만원 이하 벌금

3.3 제74조 (과태료)

기술적 조치 위반

조문: “다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다”

1호: “제28조를 위반하여 기술적 조치를 하지 아니한 자”

제28조 (기술적 조치): 정보통신서비스 제공자는 개인정보 보호를 위한 기술적 조치 의무

[위반 사례] - 암호화 안 함 - 과태료 (최대 3천만원) - 접근통제 안 함 - 과태료 (최대 3천만원)

4. 개인정보보호법상 범죄

4.1 제70조 (벌칙)

개인정보 부정 이용

조문: “다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다”

1호: “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위”

[사례 1] 개인정보 해킹

[사건 내용] - A가 웹사이트를 해킹하여 고객 개인정보 10만건 탈취 - 적용 : 부정 이용죄 (O) + 정보통신망 침해죄 (정통망법)

[사례 2] 내부자 유출

[사건 내용] - B (직원)가 권한 남용하여 고객 개인정보 복사 후 외부 판매 - 적용 : 부정 이용죄 (O)

2호: “업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자”

[사례 1] 직원 유출

[사건 내용] - 은행 직원이 고객 정보를 대출 브로커에게 판매 - 적용 : 누설죄 (O)

3호: “제59조제2호의 금지행위를 한 자”

제59조제2호: “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 처리하거나 처리하였던 자”

처벌:

  • 5년 이하 징역 또는 5천만원 이하 벌금

4.2 제71조 (벌칙)

안전조치 의무 위반

조문: “다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다”

5호: “제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자”

쉽게: 암호화 안 했는데 해킹당함 - 처벌

[사례 1] 암호화 미적용

[사건 내용] - 쇼핑몰이 주민등록번호를 평문 저장 - 해킹으로 유출 - 적용 : 안전조치 의무 위반 (O)

[사례 2] 접근통제 미적용

[사건 내용] - 병원이 의료 정보에 접근통제 안 함 - 직원 누구나 열람 가능 - 유출 - 적용 : 안전조치 의무 위반 (O)

처벌:

  • 2년 이하 징역 또는 2천만원 이하 벌금

5. 정보통신기반보호법상 범죄

5.1 제14조 (벌칙)

주요정보통신기반시설 침해

조문: “주요정보통신기반시설에 대하여 제2조제3호에 따른 전자적 침해행위를 한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다”

전자적 침해행위: 해킹, 바이러스, DDoS 등

주요정보통신기반시설: 국가가 지정한 핵심 기반시설 (Day 31 참고)

  • 은행, 통신, 전력 등

처벌:

  • 10년 이하 징역 또는 1억원 이하 벌금
  • 가장 무거움!

[사례 1] 은행 시스템 해킹

[사건 내용] - A가 신한은행 전산망 해킹 - 주요정보통신기반시설 - 적용 : 10년 이하 징역 (O)

[사례 2] 전력망 공격

[사건 내용] - B가 한국전력 제어 시스템 공격 - 주요정보통신기반시설 - 적용 : 10년 이하 징역 (O)

일반 해킹과 차이:

  • 일반 웹사이트 해킹 : 5년 이하 (정통망법)
  • 주요기반시설 해킹 : 10년 이하 (정통기반법)

6. 전기통신사업법상 범죄

6.1 제104조 (벌칙)

통신비밀 침해

조문: “제83조를 위반하여 통신비밀을 침해한 자는 1년 이하의 징역 또는 1천만원 이하의 벌금에 처한다”

제83조 (통신비밀의 보호): “누구든지 전기통신사업자가 취급 중에 있는 통신의 비밀을 침해하여서는 아니 된다”

[사례 1] 통신 도청

[사건 내용] - 통신사 직원이 통화 내용 도청 - 적용 : 통신비밀 침해죄 (O) + 통신비밀보호법 위반 (더 무거움)

[사례 2] 문자 내용 열람

[사건 내용] - 통신사 직원이 고객 문자 내용 열람 - 적용 : 통신비밀 침해죄 (O)

7. 처벌 수위 비교

7.1 정보통신 범죄 처벌 정리

죄명 법률 처벌 비고
주요기반시설 침해 정통기반법 10년 이하 징역 또는 1억 이하 벌금 가장 무거움
컴퓨터등사용사기 형법 10년 이하 징역 또는 3천만원 이하 벌금
정보통신망 침해 (해킹) 정통망법 5년 이하 징역 또는 5천만원 이하 벌금
개인정보 부정 이용 개보법 5년 이하 징역 또는 5천만원 이하 벌금
컴퓨터등장애업무방해 형법 5년 이하 징역 또는 1천500만원 이하 벌금
명의도용 정통망법 3년 이하 징역 또는 3천만원 이하 벌금
비밀침해 형법 3년 이하 징역·금고 또는 500만원 이하 벌금
재물손괴 형법 3년 이하 징역 또는 700만원 이하 벌금
안전조치 의무 위반 개보법 2년 이하 징역 또는 2천만원 이하 벌금 유출 시
통신비밀 침해 전기통신법 1년 이하 징역 또는 1천만원 이하 벌금

7.2 가중 처벌

상습범

형법 제35조 (상습범): “상습으로 죄를 범한 때에는 그 죄에 정한 형의 2분의 1까지 가중한다”

[예시] - 상습 해킹범 - 5년 이하에서 7년 6개월 이하로 가중

미수범

형법 제26조 (미수범): “범죄의 실행에 착수하였으나 행위를 완성하지 못한 자는 미수범으로 처벌한다”

[예시] - 해킹 시도했으나 실패 - 미수범 처벌 가능 (감경 가능)

8. 실무 사례

사례 1: 내부자 개인정보 유출

사건:

[사건 내용] - A은행 직원 B가 고객 개인정보 10만건을 USB로 복사 - 대출 브로커에게 1천만원에 판매 - 브로커는 텔레마케팅에 사용

적용 법조:

[1. 개인정보 누설죄 (개보법 제70조)] - 5년 이하 징역 or 5천만원 이하 벌금

[2. 업무상 배임죄 (형법 제356조)] - 10년 이하 징역 or 3천만원 이하 벌금

[3. 재물손괴죄 (형법 제366조)] - 3년 이하 징역 or 700만원 이하 벌금

판결 (예상):

[예상 판결] - 징역 2년 실형 + 벌금 3천만원

사례 2: 쇼핑몰 해킹

사건:

[사건 내용] - C가 온라인 쇼핑몰 웹사이트 해킹 (SQL Injection) - 고객 개인정보 50만건 탈취 (이름, 주민번호, 카드번호) - 다크웹에 판매

적용 법조:

[1. 정보통신망 침해죄 (정통망법 제48조)] - 5년 이하 징역 or 5천만원 이하 벌금

[2. 개인정보 부정 이용죄 (개보법 제70조)] - 5년 이하 징역 or 5천만원 이하 벌금

[3. 컴퓨터등사용사기죄 (형법 제347조의2)] - 카드 정보 사용 시

[4. 쇼핑몰에 대한 안전조치 의무 위반 (개보법 제71조)] - 2년 이하 징역 or 2천만원 이하 벌금 (쇼핑몰이 처벌받음)

판결 (예상):

[예상 판결] - 징역 3년 실형 + 벌금 5천만원

사례 3: 랜섬웨어 공격

사건:

[사건 내용] - D가 회사 이메일로 랜섬웨어 첨부 파일 발송 - 50개 회사 감염 - 파일 암호화 - 비트코인 1억원 요구

적용 법조:

[1. 악성프로그램 유포죄 (정통망법 제48조)] - 5년 이하 징역 or 5천만원 이하 벌금

[2. 컴퓨터등장애업무방해죄 (형법 제314조의2)] - 5년 이하 징역 or 1천500만원 이하 벌금

[3. 재물손괴죄 (형법 제366조)] - 3년 이하 징역 or 700만원 이하 벌금

[4. 공갈죄 (형법 제350조)] - 10년 이하 징역 or 2천만원 이하 벌금

판결 (예상):

[예상 판결] - 징역 5년 실형 + 벌금 1억원

사례 4: 주요기반시설 공격

사건:

[사건 내용] - E가 한국전력 SCADA 시스템 해킹 시도 - 실패 (보안 시스템 차단) - 미수

적용 법조:

[주요정보통신기반시설 침해 미수 (정통기반법 제14조 + 형법 제26조)] - 10년 이하 징역 (미수 감경 가능)

판결 (예상):

[예상 판결] - 징역 2년 집행유예 3년 (미수이므로 감경)

9. 침해사고 시 법적 대응

9.1 고소·고발

고소 : 피해자가 수사기관에 범죄 사실 신고

고발 : 제3자가 수사기관에 범죄 사실 신고

절차

[고소 - 고발 절차] - 1. 경찰서 방문 - 2. 고소장 작성 - 3. 증거 제출 (로그, 피해 사실 확인서, 피해 금액 산정서) - 4. 수사 시작 - 5. 검찰 송치 - 6. 기소 (재판)

9.2 증거 수집

중요:

  • 로그 보관
  • 시스템 상태 보존
  • 피해 사실 문서화

포렌식:

  • 전문 업체 의뢰
  • 법적 효력 있는 증거 확보

9.3 손해배상

민사 소송:

  • 형사 처벌 별도
  • 재산 피해 배상 청구

[예시] - 해킹으로 매출 손실 1억원 - 가해자에게 1억원 손해배상 청구

10. 보안 컨설턴트의 역할

10.1 침해사고 대응 시

법적 자문:

  • “어떤 죄로 고소 가능한가요?”
  • “처벌 수위는 어느 정도인가요?”
  • “증거는 무엇이 필요한가요?”

증거 수집 지원:

  • 로그 분석
  • 포렌식 수행
  • 피해 사실 확인서 작성

법무팀 협업:

  • 변호사와 협업
  • 기술적 내용 설명

10.2 예방 차원

보안 교육:

  • 직원 대상 법적 처벌 안내
  • “이러면 처벌받습니다”

내부 규정:

  • 정보 유출 시 징계 규정
  • 법적 처벌 + 징계

11. 체크리스트

침해사고 발생 시

- 증거 보존 (로그, 시스템)
- 피해 범위 확인
- 적용 가능한 법조 확인
- 고소 여부 결정
- 포렌식 수행 (필요 시)
- 고소장 작성
- 손해배상 청구 검토

예방 차원

- 보안 교육 실시 (법적 처벌 포함)
- 내부 규정 정비 (징계 규정)
- 로그 보관 체계 구축
- 접근통제 강화

학습 정리

오늘 학습한 핵심 내용:

  • 정보통신 범죄는 형법, 정통망법, 개보법, 정통기반법 등 여러 법에 걸쳐 있음
  • 형법 : 컴퓨터등사용사기죄(10년), 컴퓨터등장애업무방해죄(5년), 비밀침해죄(3년), 재물손괴죄(3년)
  • 정통망법 : 정보통신망 침해(해킹, 5년), 악성프로그램 유포(5년), 명의도용(3년)
  • 개보법 : 개인정보 부정 이용(5년), 안전조치 의무 위반(2년)
  • 정통기반법 : 주요기반시설 침해(10년) - 가장 무거움
  • 전기통신법 : 통신비밀 침해(1년)
  • 침해사고 시 고소·고발 가능, 증거 수집 중요
  • 형사 처벌 외에 민사 손해배상 청구 가능
  • 보안 컨설턴트는 법적 자문, 증거 수집 지원 역할