컴퓨터 범죄는 완벽한 증거인멸로 범죄사실이 쉽사리 발각되지 않을 뿐 아니라 일단 발생하면 불특정 다수인에 상당한 영향을 미쳐 사회문제를 일으키기도 한다.
갑자기 거대 스크린에 나타난 제3차 세계대전 방어프로그램-선제공격은 소련. 목표는 미국의 라스베가스와 시애틀. 일의 중대성에 비추어 스크린에서 깜빡이는 핵공격표시는 어떠한 감정도 섞이지 않았다. 그러나 그것은 틀림없이 세계의 파멸을 의미한다. 콜로라도 산속에 있는 NORAD(미국 항공우주 방위 사령부)는 이 일로 벌집을 쑤신 것처럼 야단이다.
'데이비드 라이트맨'은 시애틀에 사는 17살의 고등학생이다. 학교성적은 보통이고 특히 두드러진 존재는 아니지만 그에게는 특기가 있다. 컴퓨터를 대단히 잘 다룬다는 것이다. 밤낮을 가리지 않고 집에 있는 PC(퍼스널 컴퓨터)를 즐기는데, 기존 프로그램으로 만족하지 못하고 학교 컴퓨터에서 데이타를 훔쳐내 자기 PC에 입력, 골치아픈 과목의 성적을 올리는 등 컴퓨터실력을 남김없이 발휘한다. 실은 NORAD를 당황하게 한 것이 바로 이 데이비드의 장난이었다.
지금까지의 이야기는 1983년 미국 MGM영화사가 제작한 '워게임'(War Game)에 나오는 줄거리이다. 그런데 우리는 이것을 단순한 이야기로만 보아 넘길 수는 없다. 현대는 고도로 발전된 컴퓨터사회이고 PC가 TV나 전화처럼 일반가정에 보급되어 있는 미국이나 유럽 일본 등에서는 이런 사건이 실제로 일어날 수 있다.
영화속의 장면이 현실로
1982년 3월 2일 자 미국 '로스앤젤레스 타임즈'지는 "국방부나 CIA(미국중앙정보국)의 컴퓨터에 캘리포니아대학 버클리분교 학생이 자유롭게 접근하여(access) 축적되어 있는 국가기밀 중에서 1급정보를 빼내거나 그것을 고치고 없앨 수 있는 방법을 발견했다"고 보도하여 관련기관에 일대 혼란을 일으켰다.
미국 국방부나 CIA의 데이타베이스는 '유닉스'(UNIX)라 불리는 오퍼레이팅시스팀(OS)하에서 여러 사용자가 동시에 컴퓨터를 이용할 수 있는 TSS(time sharing system, 시분할시스팀) 서비스를 제공하므로, 컴퓨터에 접근할 자격을 가진 사람 외에는 이용하지 못하도록 엄격한 방지장치가 되어 있다. 그러나 캘리포니아대학 학생들이 '빠져나갈 구멍'을 발견하는 쾌거를 이룬 것이다.
이 '빠져나갈 구멍'을 발견한 학생들은 너무나도 중대한 기밀데이타가 술술 빠져나오는 데 깜짝 놀라 자기 대학에 전부 보고했다. 놀란 대학측은 국방부와 CIA에 경고함과 동시에 컴퓨터 범죄대책으로 잘알려져 있는 시스팀개발 회사인 SRI인터내셔널사로 하여금 학생들이 발견한 방법을 시도하게 한 결과, 멋지게 기밀데이타가 단말기에서 쏟아져 나왔다.
83년 5월에는 미국에 대한 미사일공격을 방어하기 위한 요새인 NORAD의 거대한 컴퓨터시스팀에 또다른 일련의 학생들이 접근했다. 이는 앞에 소개한 영화 '워게임'의 내용과 유사해 관련자들을 한층 당황하게 했다.
NORAD는 소련을 향해 뻗은 레이다에서 관측한 위성이나 미사일 데이타를 온라인 리얼타임(on-line real-time)으로 분석하여 적군인지 아군인지를 식별하고, 접근물체에 대해서 경보를 냄과 동시에 즉각 보복을 위한 미사일공격을 명령한다. 조금이라도 어긋나면 세계핵 전쟁의 방아쇠가 되는 중요한 거점이다.
학생들이 NORAD의 거대한 컴퓨터시스팀에 어떻게 접근하여 어떤 정보를 빼냈는지는 일의 중요성 때문에 전혀 알려지지 않았다. 그러나 세계안보의 열쇠를 쥐고 있는 부분에 간단히 '빠져나갈 구멍'을 뚫은 것은 국방관계자에게 대단히 큰 충격을 주었다. 외부에서 미사일발사 조작이 이루어질 위험이 있기 때문이다. 현장의 여러 지휘관이 동시에 발사버튼을 누르고 게다가 대통령이 버튼을 눌러야 발사되게 되어 있지만 버튼을 눌러도 발사되지 않도록 조작된다면 상대편의 핵공격을 정면으로 받을 위험성도 있다.
국내에서는 아파트 추첨에서 시작
정보화사회의 병리현상의 표본이라고 할 수 있는 컴퓨터범죄에 관해서 좀더 구체적으로 살펴보자.
공식 사건화된 국내 최초의 컴퓨터범죄는 1973년 10월 반포 AID차관 아파트 추첨 당시 AID차관아파트의 인기가 높자 입주자 추첨에 컴퓨터를 이용하게 됐는데 담당프로그래머가 청탁 받은 특정인을 당첨시키기 위해서 뇌물을 받고 펀칭카드를 고의로 조작한 것이다.
그 이후 온라인망이 제일 먼저 도입된 은행의 데이타조작사건 등 약 10여건의 컴퓨터범죄가 발생하였으나, 우리나라의 경우 선진 외국과 비교할 때 정보화수준이 낮은 만큼 컴퓨터범죄는 발생빈도나 수법면에서 아직은 초보적인 단계에 있다고 하겠다.
그러나 과거에는 일부 전문가만이 다루는 것으로 알았던 컴퓨터를 누구든 쉽게 조작할 수 있게 되었고, 사회 각기관의 컴퓨터에 대한 수요의 증가와 국가기간전산망의 확충 등 정보화사회 촉진에 따라, 컴퓨터범죄는 그 발생 빈도가 더욱 증가하고 그 수법도 점점 교묘하고 다양화될 것이 틀림 없다.
컴퓨터범죄는 완벽한 증거인멸로 범죄사실이 쉽사리 발각되지 않을뿐만 아니라 일단 발생하게 되면 불특정 다수인에 상당한 파급효과를 가져와 사회문제를 일으키게 된다.
또 전국의 통신망을 이용할 경우에는 공간의 개념을 초월하게 된다.
앞으로 예상되는 컴퓨터범죄의 증가에 대비하여 여러가지 대책이 강구되어야 하겠는데 대책의 검토에 앞서 컴퓨터 범죄의 유형을 살펴보자.
■컴퓨터 조작상의 범죄(Manipulation)
81년초 미국의 어떤 경비회사가 관리하던 미국 전국의 경보벨이 일제히 울리는 기묘한 사건이 있었다. 조사한 결과 이 경보네트워크의 중추인 컴퓨터에 외부인이 억세스하여 몇개의 프로그램 내용을 변경하고 경보데이타 1만개를 삭제해버렸다. 이것을 보수하는 데 3일이나 걸리고 경비는 1만달러가 넘었는데, 그동안 경비를 맡긴 사용자는 무방비상태였다. 트럭을 타고 창고에 들어가 상품을 실어가도 전혀 알 수 없는 불안한 상태가 계속되었다. 이 사건은 컴퓨터에 정통한 대학생의 소행이라고 추측할 뿐 진상을 밝히지 못했다.
이처럼 컴퓨터에 허위자료를 주입하거나(인풋조작), 허위 프로그램을 주입하거나(프로그램조작), 허위 콘솔의 주입(콘솔조작)을 통하여 정당한 자료처리과정을 거치지 않게하거나, 산출된 아웃풋(output)자료를 불법변경(아웃풋조작)함으로써 정당한 아웃풋을 산출지않게 하는 범죄가 컴퓨터조작이다.
■컴퓨터 방해(Sabotage)
하드웨어의 전부 또는 일부를 폭탄이나 방화 등에 의해 파괴 혹은 작동이 되지 않도록 하거나, 데이타나 프로그램이 저장된 매체 예컨대 자기테이프 자기디스크에 마그네트 등 타물질을 접근시켜 그 내용물을 없애거나, 콘솔이나 터미널 조작에 의해 컴퓨터에 저장된 데이타나 프로그램 자체를 지우는 범죄를 말한다.
87년 2월 초 일본'쓰쿠바'에 설치된 세계 최첨단의 대형가속기 '트리스탄'의 미니컴퓨터에 서독 '해커'(hacker, 컴퓨터 침입자를 일컫는 말)그룹이 국제데이타통신회선을 통해 침입, 사무용의 일부 자기파일을 파괴했다. 이것도 컴퓨터방해의 일종이다.
■컴퓨터스파이(Spionage)
프로그램 형태로 되어 있는 컴퓨터자료를 권한없이 취득하거나 누설하는 행위를 말한다.
군사 정치 과학기술산업데이타 경영비밀 등 수많은 자료들이 각기 분산되어 산재되어 있던 종래와는 달리 요즈음은 부피가 작은 자기테이프 등에 압축된 형식으로 수록되어 있어 빠르면서 눈에 띄지 않게 적은 노력으로 습득이 가능하다. 이런 의미에서 컴퓨터 스파이 행위는 현대 산업사회에서 특히 경계해야 하는 범행으로 지목되고 있다.
예컨대 데이타뱅크(databank)에 저장된 개인의 신상 명세를 고객 명부 작성을 위해 빼내거나, 관청에 보관 중인 데이타를 사기업체에서 이용키 위해 탐지해 가는 것 등이 바로 이것이다.
이러한 자료의 취득에는 자료가 담겨진 자기테이프 자기카드 자기디스크펀치카드 펀치테이프 프린트아웃 등을 직접 취득하거나, 보조 프로그램 등을 통해 복사하는 경우도 있다. 또한 원거리 통신에 의한 자료의 송수신 내용을 도청이나 무선전화를 이용 탐지하는 방법, 시분할시스팀(time sharing system)에 의거 한개의 컴퓨터를 수인이 공동사용할 경우 공동사용자의 자료를 불법취득하는 것 등이 있다.
■컴퓨터의 부정사용(Zeitdiebstahl)
컴퓨터의 하드웨어 및 이에 부속된 소프트웨어를 권한없이 또는 권한을 넘어 부당하게 사용함으로써 컴퓨터 사용권자에게 재산상 손해를 끼치는것을 말한
예컨대 회사가 임대한 컴퓨터를 개인이 사용으로 쓰는 경우가 그것이다. 앞으로 온라인 네트워크에 터미널을 접속하여 컴퓨터를 쓰는 경우가 많아질것이므로 이런 유형의 범죄는 더욱 많이 발생될 것으로 예상된다.
■현금자동지불기(Cash Dispenser)범죄
CD범죄는 CD카드를 절취하거나 또는 우연히 습득하여 사용하거나, 미리 자기가 정당한 방법으로 가공인 명의로 구좌를 개설한 후 피해자로 하여금 현금을 넣도록 하여 사용하는 경우, CD카드를 위조 변조하여 사용하는 경우, 또는 이들이 복합된 형태로 저질러진 범죄로서 현금자동지불기를 중심으로 발생되는 범죄를 총칭한다.
이중 가공구좌를 이용한 CD 범죄의 예를들면 납치한 사람의 석방대금을 범인이 개설한 가공구좌에 납치피해자의 가족 등이 입금토록 하고 현금자동지불기를 통해 인출해 가는 범죄이다.
이는 은행직원과 직접 대면 없이 CD기에서 임의로 현금을 찾을수있고 범행시간이 단시간이라 체포의 우려가 적다는데서 많이 이용되고 있는 수법이다.
죄의식을 느끼지 않는다
이러한 컴퓨터범죄의 주역들은 난처하게도 범죄를 저질렀다는 의식이 전혀없다. 오히려 자신의 우월한 능력을 과시할 수 있다고 해서 일종의 영웅적인 만족감을 맛보고 있으므로 상황은 더욱 어려워진다.
1982년 2월 '홋카이도'은행을 무대로 드디어 '전문가에 의한 본격적인 컴퓨터범죄'라고 떠들썩했던 사건이 발생했다. 이 사건은 데이타통신을 독점하여 취급하는 전신전화공사에 근무하던 38세의 주임기술자가 일으켰는데, 그는 81년 봄 은행내에서의 예금잔고 확인작업 때 데이타통신회선에 시험선을 삽입하여 전송중인 데이타를 카셋테이프에 옮겼다. 이것을 집으로 갖고와서 손수 만든 마이크로컴퓨터를 이용하여 내용을 읽어내고 이 은행 고객 20명의 비밀번호, 구좌번호, 예금잔고 등 모든 비밀데이타를 빼내는 데 성공했다. 그리고 그중 4명의 번호를 전화공사에 있는 장치를 이용하여 자기테이프에 써넣고, 이것을 시험용 카드에 붙여 가짜 현금카드를 만들어냈다. 그리고 81년 1월 가짜 카드를 써서 21만엔을 인출하는 데 성공하자 다음에는 다른 명의의 카드를 사용하여 1백만엔을 인출하려고 시도했다.
붙잡혔을 때 이 사람은 은행관계자가 아니라도 온라인시스팀을 잘 연구하면 현금을 인출하기 위한 데이타를 입수할 수 있어, 컴퓨터범죄가 가능함을 입증하여 이것을 방지하는 데 도움이 되려고 했다는 주장을 반복했다. 사실 처음에 인출한 21만엔은 다시 그 구좌에 예금했지만 입금표에 기입을 잘못하여 상대방 구좌로 들어가지 않고 은행에서 행방불명금액으로 처리되었다고 한다.
이 사람은 1976년 '홋카이도'전기통신국장상을 받은 우수한 엔지니어였는데, 여기서도 '시험해본다'는 컴퓨터범죄의 독특한 측면이 엿보인다. 이러한 새로운 범죄에 관련되는 인물상은 '15살부터 30살대의 연령으로 컴퓨터에 관한 지식과 경험이 풍부하고 머리가 좋다. 도전자정신이 왕성하고 게임이나 도박을 즐긴다. 경제적으로 빈곤하지는 않지만 사회에 불만을 갖고 있어서 무언가 타인과는 다른 행위를 하여 자신을 인정받고 싶어하는 자기현시욕이 강하다'는 공통된 유형을 갖고 있다. 종래의 범죄에 보였던 음울한 인간이 아니라 오히려 적극적이고 부유한 사람이 많다.
그중에는 시스팀파괴를 일종의 예술로까지 생각하는 사람도 있는데 이쯤 되면 비행기 납치사건처럼 확신범의 영역에 포함된다고 할 수 있다.
법(法)적 보완 서둘러야
이러한 컴퓨터범죄에 대한 방지대책을 종합한다면 첫째 컴퓨터시스팀의 규모 양태 업무내용 등에 따른 적절한 내부통제를 통해 범죄의 사전예방을 꾀할 것이며 둘째 수사기관 내지 법집행기관이 컴퓨터지식에 정통하도록 노력함으로써 컴퓨터 범죄에 대한 법집행에 구멍이 뚫리지 않도록 철저히 대비해야 한다.
또한 컴퓨터범죄에 대한 기존 법체제의 불완전을 보완함으로써 컴퓨터범죄의 처벌에 완벽을 기하도록 하는 것도 매우 중요하다.
컴퓨터범죄에 대한 법적미비점을 보완하는 방법으로서는 컴퓨터범죄에 관한 독립적 특별법을 제정하는 방법과 형법 등의 일부개정을 하는 방식이 있으나, 프라이버시 침해에 대한 처벌의 경우를 제외하고는 형법체계의 일부 개정을 통해 대처하는것이 일반적이다.
여기에는 컴퓨터에 허위 또는 불완전한 자료나 프로그램을 주입하거나 기타방법으로 부당하게 컴퓨터 진행과정에 영향을 미쳐, 재산처분행위를 초래케 하여 재산상 이득을 취한 행위를 컴퓨터 사기죄로 처벌 하는 것과 타인의 컴퓨터를 정당한 권한없이 부정사용한 행위를 컴퓨터부정사용죄로 처벌하는 것 등이 거론될 수 있다.
형법개정과는 별도로 컴퓨터 스파이 행위에 대해 소프트웨어보호법에 의해 처벌하는 것도 컴퓨터범죄 방지에 좋은 방편이 될 수 있다. 올 7월1일부터 발효키로 돼있는 우리나라 프로그램보호법에서도 이에 적절한 대응책이 강구되어 있다.
컴퓨터범죄는 단순히 법적인 조치만으로 근절되는것이 아님을 간과해서는 안될 것이다.
새로운 문명의 이기로 각광을 받고 있는 컴퓨터는 그 자체가 인격과 윤리관을 갖추지 못한 도구에 불과한 것이다. 컴퓨터는 정당한 목적에 사용하는 사람에게나 부정 또는 범죄에 사용하는 사람에게나 차별 없이 동일한 능력으로 봉사하는 점에서, 컴퓨터범죄는 '컴퓨터의 범죄'가 아닌 그것을 이용하는 '사람의 범죄'인 것을 명백히 해야할 것이다.
이런점에서 정보화사회의 추세에 맞는 법제정의 추진은 물론 사람에서 비롯되는 위험의 소지를 없앨 안전장치를 마련하는 것이 더욱 중요하다 하겠다.
우리나라에 있어 20여년 전부터 시작된 산업분야에서의 고도성장은 공해와 기업집중이라는 부산물을 남겼는데, 이제 새롭게 전개되는 정보화사회에 있어서는 인간이 만들어낸 컴퓨터가 인간에게 나쁜 영향을 미치는 일이 없도록, 장래에는 컴퓨터 범죄를 비롯한 정보화의 불순물이 남겨지지 않도록 모두가 지혜를 발휘해야할 할 것이다.
