범행 현장에 범인이 존재하지 않는 아이러니 같은 시간에 전국 수십개 지역에서 저질러지는 가공할 범죄. 88올림픽을 뒤죽박죽으로 만들 수 있는 컴퓨터범죄의 전모를 살펴본다.
1988년 9월 서울올림픽 개회식이 열리고있는 잠실종합경기장. 전세계인이 지켜보는 가운데 평화의 제전이 시작됨을 알리는 팡파르가 막 울려퍼지고 있었다. 모든 관중의 시선은 짙푸른 운동장 잔디위에서 펼쳐지는 퍼레이드에 쏠려있었고 귀빈석 한 귀퉁이에서 벌어진 가벼운 시비에 눈을 돌리는 사람은 거의없었다. 귀빈석의 좌석표가 10여장 중복발행됐던것. 이미 5만여좌석이 꽉들어찬 상황, 그리고 귀빈석 안전문제 때문에 이들을 일반석으로 보낼수도 없게된 조직위원회는 이 사건을 수습하느라 비지땀을 흘러야했다.
'스튜피드 코리언'(어리석은 한국인들) 좌석이 중복돼 서있어야만 했던 한 외국인귀빈은 끝내 조직위측의 설득을 마다한 채 잠실운동장을 떠나며 내뱉듯 중얼거렸다. 눈에 보이지않는 중대한 외교적 상처를 남긴 것이다. 대체 어떻게 해서 이런 일이 발생할 수 있을까.
컴퓨터 문명이 남긴 상처
범행현장에 범인이 존재하지않는 '아이러니', 전국 수십개 지역에서 같은 시각에 같은 범행이 벌어지는 가공할 범죄, 돈보다 소중한 인간의 마음을 빼앗는 현대문명의 사생아…
바로 컴퓨터범죄인 것이다. 모든 인류의 문명이 인간에 주는만큼 빼앗아 갔듯 컴퓨터문명 역시 모든 것을 주기만 하지는 않는다.
지휘자의 지시에 절대복종하는 로마병정들의 생리는 분명 규율과 질서 그리고 생존을 위해 필요한 것이라고 볼 수는 있지만 지나치리만큼 삭막하고 융통성이 없어 보이는 것도 부인할 수 없다.
현대문명사회의 총아로 일컬어지는 컴퓨터는 규율과 질서라는 의미에서 스스로 자유롭게 행동하는 '청개구리'일수없고 따라서 사용자의 지시에 충실한 '로마병정'이어야 한다.
그러나 컴퓨터가 로마의 병정들과 다른 점이 한가지 있다면 그것은 컴퓨터가 자기능력밖의 일이거나 논리적으로 맞지 않는 명령을 받았을때 결연히 이를거부한다는 점이다. 일종의 항명(抗命)능력을 갖춘 셈이다.
이같은 컴퓨터의 '항명능력'은 그래서 컴퓨터를 잘 모르는 사람에게는'컴퓨터는 어렵고 사용하기 힘들다'는 거부감을 주는 반면 컴퓨터를 잘아는 사람에게는 '더없이 충실한 기계'라는 신뢰감을 주기도 한다.
그러나 최근 컴퓨터의 일반보급이 급격히 확산되면서 '컴퓨터가 항명하지 않고 순순히 복종하게 할 수 있는 기술'은 이제 누구나가 쉽게 터득할 수 있게 됐다.
이에따라 등장하는 것이 컴퓨터범죄임은 당연한 일이다. 컴퓨터는 사람을 가리지 않기 때문이다.
한반도에 침투한 트로이의 목마
우라나라에서 최초의 발생된 컴퓨터범죄는 지난 73년 10월 서울 반포 AID차관아파트의 입주자추첨과정에서 발생한 것으로 알려져있다. 전문가들은 그러나 이 범죄의 형태를 '트로이의 목마(木馬)'로 분류, 컴퓨터범죄의 가장 낮은 수준으로 평가한다. 이같은 별칭은 적진 깊숙이 거대한 목마를 들여보낸뒤 밤이 어두어 적이 방심한 틈을 이용, 목마속에 있던 병사들이 몰래 나와 적군을 무찔렀다는 서양의 고사를 빗대 붙여진 것.
이 범죄수법은 프로그램을 변형 시키지않고 정상적으로 진행시켜 프린트한뒤 부정프로그램을 잇달아 작동시켜 그 결과를 같은 서류에 뒤이어 인쇄시키는 방법이다. 결과적으로 아파트에 추첨되지도 않은 10여명의 사람을 15∼30만원의 돈을 받고 추청자명단중에 삽입시켜준 일종의 문서위조수법이었다.
따라서 이 사건은 수법자체가 조잡하고 배치(Batch ; 데이타와 프로그램을 일괄입력해 처리하는 시스팀) 프로그램작업과정에서 일어난 것이기 때문에 엄밀한 의미의 컴퓨터범죄로 보기 힘들다는 것이 전문가들의 지배적인 견해다.
본격적인 컴퓨터범죄가 국내에 최초로 표면화된 것은 5년전인 지난 82년 4월 모은행 전산부에서였다. 그러나 범죄는 이미 이보다 6개월전인 81년 10월부터 시작되고있었다. 이사건은 프로그램조작을 통한 온라인범죄라는 의미에서 혼자는 이를 우리나라 컴퓨터범죄의 '효시'라고 평가하기도 한다.
범인 K(당시 21세)는 고등학교를 졸업한뒤 은행에 입사해 전산부에서만 줄곧 2년 1개월을 근무한 병아리은행원.
K는 분기별 이자계산을 하면서 마치 자신의 통장에 저축예금최고한도액인 1천만원이 예금된 것처럼 계산해 34만 9천원의 이자를 자기 통장에 추가시켰다. 물론 범행을 은폐하기위해 프로그램 내용에서 이같은 내용을 삭제, 원장에는 전혀 이 사실이 나타나지 않도록 한 것은 물론이다. 한번 발을디딘 K는 81년 4/4분기과 82년 1/4분기에도 같은 수법으로 이자를 횡령한다. K의 범행은 몇달이 지나도록 아무도 눈치채질 못했다. 그것은 이자가 대차대조표과목이 아니 손익항목이었기 때문, 다시말해 이자는 때로 이익을 볼수도 있되 때론 손해를 보는 경우가 있는 것이다. 따라서 K가 강쪽같이 빼돌린 30여만원씩의 돈은 사실 그렇게 대수로운 것이 아니었던 것이다. 결국 K가 더 큰 범죄충동을 억제하고 한 분기당 30여만원씩의 이자만을 빼돌렸다면 K의범행은 영원히 은닉될 수 있었을지도 모른다.
늪속에 빠져든 범죄충동
그러나 K는 좀더 '신형수법'의 컴퓨터범죄를 상상한 끝에 있지도않은 인물의 허위구좌에 예금잔액을 증가시키기로 마음을 먹었다. K는 은행이 다른 지점에 가명으로 예금구좌를 개설한 뒤 본점에 있는 콘솔을 조작, 이 구좌에 75만원을 네트(Net)입금시켰다. 네트입급이란 타인명의의 예금구좌에 온라인입금하는 것으로 일종의 환거래다. 따라서 금액불일치가 언젠가는 드러나게 마련. 그러나 K가 부정입금시킨 날에서부터 한달가까이 지나도록 은행측은 이 사실을 까맣게 모르고 있었다.
K는 은행업무가 빨리 끝나면서 휴일인 일요일이 끼어 공백기간이 긴 토요일밤, 이번에는 액수를 엄청나게 늘려 1천만원을 자신이 만들어 놓은 구좌에 감쪽같이 입금시켰고 담배를 빼물며 이돈을 어디에 쓸것인가 하는 즐거운(?) 고민에 빠져들었다. K는 특히 전산부업무중에서도 환의 불일치규명 관계를 자신이 맡고있었기 때문에 더더욱 안심하고 범행을 저지를 수 있었다. 담당대리는 뒤늦게 환의 불일치사실을 알고 K를 다그쳤지만 '칼자루를 쥔' K는 계속 확인중이라는 대답만을 한채 원인규명을 늦추기만 했다.
그러나 결국 죄를 지은 자의 양심적 가책이랄까 K는 자신의 범행일체를 자백하면서 확인할 수도 없는, 또 확인되지도 않는 이자절취부분까지도 순순히 털어놓고 말았다.
은행업무의 전산화가 급속도로 진전되면서 또하나 등장한 범죄형태는 은행신용카드(CD)를 이용한 범죄. 현재 우리나라에는 CD가입자가 2백여만명에 이르고 현금자동지급기가 전국에 7백80 여대나 설치돼 있을만큼 일반화되어 있다.
CD카드를 이용한 우리나라 최초의 컴퓨터 범죄는 지난 83년 12월 발생했다. 범인L은 모은행 전산부에서 CD카드 발행을 담당하고있던 내부인이었다. CD카드는 은행에서 특히 수표용지 등과 같이 정기적으로 재고파악을 하는 등 매우 중요하게 취급되는 것.그러나 대부분의 은행원들이 재고조사 과정에서 작은묶음의 카드수는 정확히 세면서 큰묶음의 수는 잘 헤어리지 않던 것이 당시의 풍토였다.
바로 여기서 허점을 발견한 L은 범행을 더욱 완벽하게 하기위해 은행 내부직원의 예금구좌를 범행대상으로 선택했다. 그것은 설사 예금횡령사실이 발견된다 하더라도 은행측이 대외적인 공신력을 우려해 쉬쉬하면서 내부적으로 그럭저럭 넘겨버릴 것이라는 추측때문이었다.
L은 카드발행신청업무를 담당하고 있었기 때문에 대상을 물색한뒤 CD 카드로 현금을 인출하는데 절대필요한 비밀번호 예금계좌번호 등을 신청서에서 송두리째 뽑아쓸 수 있었다.
L은 우선 5명의 대상을 선정, 이들과 똑같은 CD카드를 만들었다. CD카드를 만들때도 CD카드의 마그네틱 테이프에 예금계좌번호와 비밀번호를 엔코딩 (기록)시키면서 저널테이프위에 백지를 삽입, CD카드가 2 중발급됐다는 증거를 남기지 않았다. 그러나 L의 범행은 너무도 쉽게 발견되었다. L이 선택한 범행대상중 컴퓨터업무에 빠삭하기로 소문난 전산부대리가 끼어있었던 것. 자신의 예금구좌에서 밑빠진 독처럼 돈이 빠져나가는 것을 이상히 여긴 전산부 대리가 저널테이프를 확인해본 결과 자신을 포함한 은행원 5명의 엔코딩과정에서 공백이 생긴 것을 쉽게 발견해냈고 다시 다른 공백이 생긴 4명에게 확인한 결과 예금이 자신과 같이 슬그머니 사라졌음을 알 수 있었던 것.
이에따라 전부대리는 L을 유력한 용의자로 지목, 이리저리 뒷조사를 했지만 L은 끝까지 범행을 부인했다.
현행 법률의 허점
대개 이같이 범행을 부인하고 나서면 증거위주의 재판과정에서 무죄를 받거나 죄질에 비해 가벼운 형을 받게되는 것이 상례다. 결국 K와 L이 저지른 컴퓨터범죄는 대외적으로 발표되지 않았다. 물론 그들의 자백이나 심증은 충분한 것이었지만 증거위주의 형사상 처벌과는 너무도 거리가 멀었다.
간단한 예로 지난 84년6월 서울 형사지법은 CD카드를 위조, 현금인출기를 통해 고객 예금중5백만원을 빼낸 혐의로 구속 기소된 S은행 전산부 대리 임모씨(32)에게도 직접증거가 없다는 이유로 무죄판결을 내리기도 했다.
다시말해 온라인을 이용한 컴퓨터범죄가 명백히 절도죄에 해당된다는데는 의심의 여지가 없지만 과연 예금구좌에 계상되는 '수치상의 돈'이 절도죄처벌에 요구되는 '재물'로 볼 수 있느냐는 것이 문제가 되는 것이다. 서독과 일본의 경우는 이같은 예금구좌상의 수치를 재물로 인정하지않아 절도죄의 성립을 부인하고 있다.
또 횡령죄로 처벌하려해도 재물을 객체로 해야하기 때문에 결론은 마찬가지다. 횡령의 경우는 더나아가 '위탁관계가 있는 신분이면서도 자기가 점유한 타인의 재물을 대상으로 범행했을때' 처벌이 가능한 것이기 때문에 은행지점장 혹은 현금관계를 담당한 대리라면 모를까 이와 관계없는 전산부직원을 횡령죄로 기소하기는 어렵다는 것이다.
사기죄 역시 컴퓨터범죄를 옭아매는 포승줄로는 아직도 약하다. 사기죄가 성립하려면 속이는 행위, 착오에 빠지는 행위, 피해자의 재산처분행위 등 3가지 요건이 있어야 하지만 컴퓨터범죄의 대부분은 이들 요건을 충족시키지 않기 때문이다.
결국 현행 형법으로 컴퓨터범죄를 다스리기란 '손바닥에 기름칠하고 미꾸라지잡는 격'으로 현실적으로 매우 까다로운 것이 아닐수 없다. 따라서 법조계 일각에서는 우선 컴퓨터범죄만을 다스릴 독립적 특별법을 제정하는 한편 기존형법내용 일부를 보강해야한다는 목소리가 일고 있기도하다.
다양해지고 대담해지는 지능형범죄
국내은행이 온라인된지 불과 3년만에 발생, 온통 세상을 떠들썩하게 했던 81년3월의 컴퓨터범죄는 범인이 범행발각시기를 정확히 예측하고, 빼낸2억원을갖고 김포공항을 유유히 빠져나가 해외로 도주했다는 점에서 더욱 유명해졌다.
은행원 경력이 10년이 넘는 범인 원모씨(당시37세)는 가공인물명의로 2 개의 예금구좌를 개설했다. 이날 원씨는 예금활동업무를 관장하고 있는 자신의 지위를 이용, 대차임금표를 허위로 작성, 적금계의 온라인기계조작자에게 넘겨줘 2억3천여만원을 입금시키도록 했다.
원씨는 입금을 확인한뒤 그날로 다른 3개지점에 가 4천여만원씩을 인출한뒤 다시 5일뒤 또다른 지점에 가 1억여원을 인출, 그날밤 비행기로 부인과 함께 로스앤젤레스로 떠났다.
이 사건보다 불과 10일뒤인 81년 3월11일 발생한 모은행 청량지지점 적금담당대리 조모씨(당시34세)의 수법은 더욱 대담하기 짝이없다.
조씨가 범행한 날은 그가 전임발령을 받고 첫 출근하는 날이기도 했다. 이날은 마침 여자행원들의 이동발령도 있고 해서 분위기가 어수선한 탓도 있었지만 단말기조작담당 여행원이 마침 조작열쇠를 조씨에게 맡기는 '범행의 호기'를 제공하기도 했다.
조씨는 이기회를 놓칠세라 재빨리 가공인물명의로 통장 2개를 개설, 각각 1억원씩을 대체입금시켰다. 이어 통장과 입금전표를 자기 책상속 깊숙히 숨긴 것은 물론이었다.
이날 오후 5시경. 여행원은 전표를 집계, 비교한 결과 무려 2억원이 부족한 것을 발견했다. 난생처음으로 2억원이라는 엄청난 돈을 사실상 잃어버린셈이 되어버린 여행원은 사색이 되었고 전표를 찾는라 남모르게 식은 땀을 흘렸다. 먼발치에서 이 모습을 처음부터 지켜본 조씨는 슬그머니 여행원에게 다가가 태연스럽게 "왜 그러느냐"고 물은 뒤 '그 전표들은 대체입금된 것인데 내가 보관하고 있으니 걱정말고 퇴근하라"며 등을 다독거려주기도 했다. 일평생을 빚더미 속에서 살아야할지도 모른다는 암울한 생각속에 빠졌던 여행원에게는 먹구름 속의 햇살처럼 조씨의 말이 반가왔다.
조씨는 그 다음날 제일먼저 출근, 문제의 전표를 계산대에 넘기지 않고 막바로 보통예금전표철에 추가시켰다. 조씨는 이미 보통예금담당계원이 2장의 추가된 전표를 발견하더라도 은행업무가 끝난뒤 비정상적으로 들어온 것으로 여길것이라는 사실을, 노련한 은행 경력을 통해터득하고 있었던 것. 결국 조씨의 범행은 은행원들의 길들여진 관습의 틈을 비집고 보기좋게 1단계 성공을 거둔 것이다. 조씨는 또 자신이 전에 근무하던 지점에서 횡령한 사실이 곧 드러날 것이라는 정확한 시간계산을 염두에두고 이같은 범죄를 저질렀다는 점에서 감탄(?)을 자아내기도 한다.
이 사건을 통해 전문가들은 은행에서 다반사로 있어온 마감후거래의 취약점이 극명하게 노출됐고, 허위입금조작이 매우 간단한 일이어서 앞으로도 얼마든지 이같은 유형의 범죄와 일어날 수 있다는 점등을 지적하고 있다. 또 직원 스스로의 단속과 은행원간의 견제제도가 정착되지않는한 무방비일 수 밖에 없다는점도 제기되고 있다.
우리나라에서는발생한 컴퓨터 범죄는 주로 은행업무와 관련된 것. 그러나 이것은 컴퓨터범죄의 일부분에 지나지 않으며 조만간 선진국에서 벌어진 상상못할 컴퓨터범죄가 국내에 상륙하지 않으리라는 보장은 아무도 할 수 없을 것이다.
이중 가장 심각하게 문제가 제기되는 것이 컴퓨터가 보유한 데이타를 훔치거나 삭제 혹은 왜곡시키는 범죄다. 심심찮게 외국에서 벌어지고 있는 것처럼, 정보처리전문가들의 태업(일부러 일을 게을리 함)과정에서 각종 자료가 수록된 자기테이프에 자석 등을 대 내용을 삭제 해버리는 일 등은 우리나라에서도 언제든지 가능한 일로 꼽히고 있다.
법무부의 '컴퓨터범죄 백서'에 따르면 우리나라에는 지난 67년 컴퓨터가 도입된 뒤 20년동안 모두 20건의 컴퓨터범죄가 발생했지만 이에대해 형사처리된 것을 불과 4건에 불과했다는 것. 이같이 형사처벌이 제기능을 다하지 못한 것은 피해자인 은행 증권회사 기업측이 대외적인 공신력을 이유로 형상처벌을 원치 않고 있다는데 있다. 특기할만한 점은 범인의 신분이 은행대리급이상이 9명, 일반간부직이 2명으로, 대부분 높은 직책의 이른바 '하이클래스'에 의해 지능적으로 범죄가 있었다는 것이다.
굳이 범죄라고 규정할 수는 없지만 범죄가 파고들만한 틈은 지금도 엄연히 존재하고있다.
컴퓨터가 만들어낸 18살의 의사
아시아 경기대회에서 2위를 차지하면서 국력을 과시했던 우리나라는 금년 서울올림픽을 앞두고 경기운영과 관련된 정보처리시스팀개발에 박차를 가해왔다. 그러나 올림픽의 교두보랄 수 있는 아시아 경기대회는 많은 긍정적 성과의 그늘속에 눈에 잘띄지 않는 틈들을 남겼다.
첫번째 실수는 신분증(ID) 카드발급때 발생했다. 한 고등학교 2학년 학생(18)이 '의사'신분의 ID카드를 발급받았던 것이다. ID카드는 경기장을 마음대로 드나들 수 있도록 보장해주는 것이기 때문에 가장 신중하면서도 철저히 이뤄지는 작업이었다. 따라서 이같은 실수는 자칫 테러리스트에게도 ID 카드가 발급될 수 있다는 가능성을 점치게하는 것이었기 때문에 조직위원회를 온통 긴장속에 몰아넣었다. ID카드의 전면재발급작업과 원인규명에 나선 조직위측은 이자원봉사 고등학생이 면접과정에서 '희망직업이 의사'라고 말한것을 면접위원이 잘못들어 무심코 직업란에 '의사'라고 표기했던 것이 원인이었음을 밝혀냈다. 컴퓨터는 18살의 나이로 의사가 되는 것이 불가능하다는 상식을 몰랐던 것이다.
두번째 사고는 각국의 메달집계를 공식발표하는 과정에서 발생했다.
그렇지 않아도 한국에 추월당해 우울증에 빠져있던 일본의 언론기관에 일본이 획득한 금메달 5개보다 1개가 적은 4개로 보도자료를 내준 것이다. 일본신문들에는 '금메달 4개획득'으로 기사가 나간 것은 당연한 일이었다. 그러나 그 다음날 재확인 과정에서 보도자료가 틀린 것을 발견한 일본언론은 거센 항의를 해왔다.
조사결과 메달집계현황이 검색과정을 거치지않고 곧장 보도진에 흘러가도록 잘못 프로그래밍되어 있었다는 것. 다시 말해 어떤 내용을 수정하고자 할때는 가장먼저, 수정되지 않은 내용이 외부에 발표되지않도록 정보처리순서를 결정해놓아야하는데 이것이 잘못되어 있었다는 것이다. 결국 수정명령이 내렸지만 수정되어야할 내용은 이미 활시위를 떠난 화살이 되어버린 셈이었다.
이같은 실수는 그냥 웃음거리로 넘겨버려도 무방하다고 말할 수 있지만 세계의 이목이 집중된 올림픽을 치루려는 우리나라의 입장에서 보면 등에 식은땀이 나는 아찔한 일이 아닐 수 없다.
지난 84년 올림픽을 치른 미국의 경우 가장 크게 관심을 기울였던 것이 다름아닌 입장권발매문제였다는 것은 우리에게 시사하는 바가 크다.
다시말해 좌석을 지정해주는 입장권이 중복발행되었을 경우를 상상해보면 이 문제가 결코 사소한 문제가 아님을 직감할 수 있다. 몇천km의 여행끝에 올림픽을 구경하려왔던 외국관광들이 입장권을 들고 스타디움에 들서섰을 때 자기자리에 번호가 똑같은 입장권을 가진 다른 사람이 앉아있다면… 이 외국인은 3∼4시간동안 계단에 서서 개회식 또는 폐회식을 지켜보면서 과연 한국을 어떤 나라로 생각할 것인가.
이같은 착오가 우리의 기술부족 때문에 생긴 것이라면 그것은 보완하는 것만으로 충분하다. 그러나 전혀 생각지도 못한 외부세력이 개입, 말짱한 대낮에 이같은 일을 저지른다면 올림픽 개최국의 위신도 위신이지만 경기운영의 태반이 뒤죽박죽될 우려도 없지않아 있다고 볼 수 있을 것이다.
눈에 보이지 않는 폭력
총기나 폭약을 휴대한 테러리스트의 접근을 막는 것도 중요하지만 '눈에 보이지않는 폭력'인 컴퓨터 공격을 막는 것도 이에못지않게 중요한 문제로 여겨진다. 테러리스트는 그의 국적이나 목적이 쉽게 드러날 수 있지만 컴퓨터 공격은 지문을 남기지않기 때문에 컴퓨터공격에 대한 방어방책을 다시 한번 강조되지 않을 수 없는 것이다.
컴퓨터는 결국 사람을 가리지 않으며 선악을 구분할 줄 모르는 기계이다. 따라서 컴퓨터는 인간에 주는 커다란 이익만큼이나 '충실한 범죄의 하수인'이 될 수 있음을 잊어서는 안될 것이다.
정보화사회의 걸음마를 배우기 시작한 우리나라는 컴퓨터범죄를 이겨낼 첫번째 시험을 오는 88년 서울올림픽에서 치를 것이다. 그러나 설사 올림픽을 성공적으로 치렀다하더라도 인간이 존재하는 한 컴퓨터범죄자들은 그 방어막을 뚫고들어갈 또다른 수법을 끊임없이 사용하게될것이다. 범죄는 바로 인간의 마음속에 있기 때문이다.
