최영호변호사의 골치아픈 세상, 신나는 세상

(바티칸 시스티나 성당의 천정벽화)

 본 논문은 필자가 서울고검 검사로 재직시인 ‘98. 10. 형사정책연구원에서 출간한 서적이므로 현실적으로 부합하지 않는 부분도 있고, 오랜시간의 경과로 현행법령과는 다소 상이한 내용이 있지만, 정보범죄 내지 컴퓨터범죄에 관하여 우리나라 최초로 본격적인 연구를 한 소중한 논문이므로 가감없이 그대로 전재함을 밝힌다.

(종전 파일은 주석문을 읽을 수 없어 다시 게재합니다)

   정보범죄의 현황과 제도적 대처방안 (5)

                      최영호변호사

나. 암호화에 대한 대처

(1) 암호의 역기능

(가) 합법적 감청의 장애

 살인사건과 같은 강력범죄나 대형 경제사건 등의 수사에서는 관련자들이 관여한 전자기록에 대한 수사, 또는 관련자들의 대화나 통신에 대한 감청이 가장 효과적일 것이다.

 그러나, 통신망이 기술적으로 매우 복잡해짐에 따라 감청 자체가 매우 어려워졌을 뿐만 아니라 이러한 전자기록이나 통신내용이 암호화된 경우, 수사기관의 합법적인 범죄수사마저 실효를 거둘 수 없게 되므로 실체적 진실의 발견은 난관에 이르게 될 것이 명백하다.

 미국의 경우, FBI는 1992년 전기통신기기의 제조자나 서비스 공급자들로 하여금 수사기관이 영장을 제시할 경우에는 감청이 허용되는 기능을 제품에 내장하도록 하는 내용의 전기통신법안(Digital Telephony Bill)을 제안하였으나 AT&T 등 관련 주요업체들과 민간 인권단체들의 반대로 일차 제안은 무산되었는데 정부는 다시 1996년 위 단체들의 주장을 다소 수용한 개정시안(ECPA)¹⁾을 의회에 제출해 놓고 있다.

(나) 새로운 장애의 발생

 한편, 암호의 사용에 대하여 아무런 제한이 없이 이를 방임할 경우, 암호용 소프트웨어의 하자로 복호화에 차질이 생기거나 해독키를 분실, 도난당하여 귀중한 자료를 사용할 수 없게 될 수도 있다.

 또, 피사용인의 배신이나 로조운동 등 조직과 구성원 사이에 알력이 발생하였을 때에는 해독키의 보유를 무기화하여 조직의 정상적인 업무를 방해하는 등 암호해독은 정보사회의 또다른 역기능으로 등장할 잠재적 가능성을 내포하고 있다.²⁾

 

 따라서, 국가안전보장이나 질서유지, 그리고 공공복리를 위하여 암호의 사용은 최소한의 범위 내에서 반드시 통제되어야 할 속성을 내재하고 있다고 할 수 있다.

(2) 암호에 대한 통제방식

(가) 통제방식의 종류

 암호의 사용에 관한 통제방식으로는

첫째, 정부가 암호종류의 선택과 사용에 대하여 아무런 규제를 하지 않는 완전 방임주의,

둘째, 모든 암호의 사용에 대하여 허가를 받도록 하는 전면적 통제방식,

셋째, 자유로운 사용을 허용하되 공공기관의 통신이나 일정한 부문, 영역에 대하여만 당국의 허가, 승인을 요하게 하는 부분적 통제방식,

넷째, 정부가 안전한 암호화 알고리즘을 제시하고, 이에 응하지 않는 경우에는 간접적으로 불이익을 가하는 간접적 통제방식 등이 있다.

 

 그러나, 완전 방임주의는 현대 정보사회에서 앞서 지적한 것과 같이 많은 폐단을 내재하므로 국가가 합법적 감청등 공익상의 목적으로 암호용 소프트웨어에 비밀통로(Trap-door)를 불가피하게 개설하지 않으면 안된다는 어려움이 있고, 전면적 통제방식 또한 국민의 프라이버시 보호와 영업비밀 등의 보장에 반하는 정책으로서 바람직하지 못하며, 간접적 통제방식은 이용자들의 자발적인 호응을 기대하기 어려운데다가 조건부 승인방식(Key Escrow)³⁾에 대한 국가의 조작가능성 등 불신을 야기할 수 있다는 단점이 있다.

(나) 암호규제에 관한 동향⁴⁾

① 대공산권 수출통제기구(COCOM)

 COCOM은 리비아, 이라크, 이란, 북한 등과 같이 전쟁도발의 가능성이 있는 위험한 국가에 대한 암호수출을 제한하여 왔다.

 동 기구는 1994년에 해체되었지만, 대부분의 가입국들은 종래와 같이 암호를 수출제한 대상물품으로 유지하여 왔다.

 1996년에는 한국과 미국, 영국, 일본, 러시아 등 31개 국가들이 COCOM과 같은 취지로 특정한 국가에 대하여는 무기는 물론, 암호와 같이 민간용이나 군사용으로 함께 사용할 수 있는 소위, 양용가능 물건(Dual-use Goods)에 대한 수출을 제한하는 바스나 협정(Wassnaar Arrangement)을 체결함으로써 동 협정의 가입국가들은 소위 “위험국가”들에 대한 암호용 소프트웨어의 수출을 통제하고 있다.

② 유럽연합(Europe Union)

 유럽연합은 제94-3381호 협정과 제94-942호 결정에 따라 1995. 6.부터 공개 소프트웨어나 거래시장(Mass-market)에서의 판매를 제외하고는 암호용 하드웨어나 소프트웨어를 포함하는 양용가능물건에 대하여 유럽연합 밖으로 수출할 경우에는 당국의 허가를 받도록 하였고, 통신에 대한 제한조치 제96호 C32-01은 통신망 운영자나 서비스 제공자들이 암호를 사용할 경우에 수사기관이 영장을 제시하면 이를 해독할 수 있는 장치를 설치하도록 하였다.

 유럽연합은 암호서비스 보호를 위한 초안에서 유료 TV나 VOD(Vedeo On-Demand)의 요금지급 확보수단으로 암호 소프트웨어를 이용하는 서비스⁵⁾에 대한 불법해독 및 이러한 장치의 제조, 판매, 수출, 소지행위를 금지할 것을 제안하였고, 1997. 7.에는 비밀번호를 이용하여 로긴과정을 거치는 온라인 서비스에도 같은 규제가 필요하다고 주장하였다.

③ OECD

 OECD⁶⁾는 1997. 3. 암호정책 가이드라인(Guideline)을 발표하였다.

 동 가이드라인은 암호에 관한 신뢰의 보장(Trust in Cryptographic Methods), 국가 내지 국제표준 암호의 개발(Standards for Cryptographic Methods), 암호선택의 자유보장(Choice of Cryptographic Methods), 암호개발에 대한 시장수요에의 위임(Market Driven Development of Cryptographic Methods), 자료와 통신의 비밀보장 등을 규정하고 있다.

 나아가, 동 가이드라인은 개인의 익명성 보장을 통한 프라이버시와 사생활의 보호(Protection of Privacy and Personal Data), 암호문의 강제해독, 비밀키의 관리방법 등에 대한 사법절차(Lawful Access), 암호화 및 비밀키의 관리 등에 따른 개인과 국가의 책임(Liability), 키 관리체제의 국제적 관례 수용, 암호문의 강제해독 등 사법절차에 관한 양방향, 다변화 방안의 강구, 암호문의 국가간 전송보장, 국제적인 전자 상거래의 촉진을 위한 각종 장애의 제거 등 암호정책 수립에 관한 국제적 협조(International Co-operation)를 주장하고 있다.⁷⁾

 OECD의 위 가이드라인은 국제법이 아니어서 가입국을 강제하는 것은 아니지만 가입국 들의 관련법률 입법에 중요한 참고자료가 될 것이다.

④ 호주

 1996. 12. 제정된 호주의 신수출규정은 전기적으로 전달되는 암호용 소프트웨어를 포함하여 통신의 비밀이나 저장정보의 비밀의 보호를 목적으로 설계된 암호장비의 수출에는 당국의 허가를 받을 것을 강제하고 있다.

 동 규정은 공개된 컴퓨터 프로그램이나 일반적으로 이용할 수 있는 암호용 소프트웨어에도 적용되지만, 상품의 사용에 필수적인 전문정보와 같이 공개된 기술에 한해서는 예외를 인정하고 있다.

 개인적 사용을 위한 수출의 경우에도 적법한 영주권자가 암호를 계속 관리하고, 3년간 관련자료를 제3자에게 양도하지 않는다면 동 규정의 적용이 배제된다.

⑤ 러시아

 러시아의 경우, 국외에서 만들어진 암호장비의 수입은 당국의 허가를 받아야 하고, 암호의 수출은 주 정부의 엄격한 규제에 묶여있다.

 국내에서는 공인된 암호 이외에는 사용할 수 없고, 암호의 개발, 생산, 실행등은 KGB의 후신인 FAPSI⁸⁾의 승인이 없이는 일체 금지된다.

 1995. 4. 엘친은 정부기관과 국영기업들로 하여금 당국의 허가없이는 암호를 사용할 수 없도록 하고, 사기업과 개인의 사용은 정부가 인정하지 않는 것을 내용으로 하는 포고령을 발표하였다.

⑥ 베네룩스 3국

 베네룩스 3국의 경우, 3개국 간을 제외하고는 당국의 허가없이 다른 나라에 대한 암호수출을 할 수 없다.

 벨기에는 1994. 12. 통신법을 개정하여 당국⁹⁾에 해독키(Private Key)를 등록하지 않고는 암호통신을 할 수 없도록 하고, 통신회사로 하여금 수사기관의 감청에 협조하여야 할 의무를 부과하며,¹⁰⁾ 당국의 감청을 불가능하게 하는 장비는 통신망의 연결을 차단하고 압수할 수 있도록 하였다.¹¹⁾

⑦ 캐나다

 캐나다는 COCOM의 규정을 준수하고 있다. 즉, 56비트 키 이하의 암호장비에 대하여는 수출이 허용된다.

 미국과 캐나다 사이에는 암호에 관한 모든 것의 수,출입에 아무런 제한이 없지만, 미국이 수출을 허용하지 않는 암호장비에 대한 수입이 인정되지 않음은 물론이다.

 국내에서의 사용에는 아무런 제한이 없다.

⑧ 프랑스

 프랑스는 1990. 12. 통신기본법을 개정하여 1993년부터 등록되지 않은 암호자재의 사용을 불법화하는 한편, 사용이 허가된 암호는 해독키를 국가기관에 위탁하도록 하였다.

 수출인증(Exporting Authentication)이나 암호의 단순통합(Integrity-only Crypto graphy)을 위해서는 선적서류 일체(A Declaration dossier of export delivery)를 제출하도록 하였다.

 일단 암호사용을 당국에 신고하면, 최종 수요자에게 필요한 기술안내서를 제외한 나머지 암호의 수출은 당국의 승인을 받은 것을 제외하고는 각 수출행위마다 허가가 필요하다.¹²⁾

 국내에서는 1996. 7.에 암호제한 완화에 관한 법률이 제정되었으나 시행은 보류중이다.

 동 법률은 공개된 알고리즘을 이용한 암호는 제한없이 사용할 수 있도록 하였지만, 인증만을 위한 암호의 수출,입은 세관에 신고하도록 하는 한편, 인증기관에 비밀키를 위탁한 사람은 동 키를 이용하여 아무런 제한없이 암호를 사용할 수 있도록 규정하고 있다.

⑨ 덴마크, 노르웨이, 폴란드

 국내에서의 사용에는 아무런 제한이 없으나 암호의 수출은 바스나 협정에 따른다.

 덴마크, 핀란드, 노르웨이와 스웨덴 등 노르만 우편연합(Nordic Post Security Service)는 우체국을 키 관리자(Key Authority)로 하여 1,024비트키의 RSA를 응용한 전자우편제도를 운영하고 있다.

⑩ 핀란드

 국내에서의 사용이나 암호의 수입에는 아무런 제한이 없다.

그러나, 1996. 8. 민,군 양용상품의 수출에 관한 유럽연합의 권고에 따라 법률을 개정하여 암호를 수출할 경우에는 당국의 면허를 받도록 하였다.

 다만, 암호를 이용한 상품이 소매로 자유로이 판매되거나 광범위한 판매자의 지원을 요구하지 아니할 경우에는 예외로 하였다.

⑪ 독일

 수출은 유럽연합의 협정에 따라 규제되지만, 국내에서의 사용에는 아무런 제한이 없다.

 최근에는 암호 서비스업자에 대하여는 조건부 승인제도를 도입함으로써 필요한 경우, 수사기관에게 협조하도록 하고, 일반시민의 암호사용에 대한 허가제를 도입하려는 법안을 심의 중이다.

⑫ 기타

 일본은 암호의 수,출입에 대하여는 바스나 협정에 따른 입법을 계획하고 있으나 국내에서의 사용에 대하여는 아무런 제한을 가하지 아니한다.

 영국은 암호의 수출,입에는 COCOM의 규정을 따르고, 인터넷 사용 등 무형의 방법에 의한 수출,입에는 아무런 제한을 두지않고 있다. 국내에서는 아무런 제한없이 사용할 수 있다.

 오스트리아는 암호의 수출,입은 유럽연합의 규정에 따르고, 국내에서는 무선전신에 개인적인 암호사용을 금지한다.

 인도네시아는 암호의 수출,입은 물론, 국내에서의 사용도 일체 금지된다.

 이스라엘에서는 암호의 수출,입을 통제하고 있으나 키의 크기에 대하여는 특별한 제한이 없다. 특정한 암호의 사용에 대하여는 군의 허가를 받아야 한다.

 이탈리아는 수출,입에 대하여는 COCOM과 유럽연합의 규정을 따르되 국내에서의 사용에 대하여는 재무성의 필요에 의하여 암호화된 기록을 해독할 수 있도록 하였다.

 파키스탄은 음성비화와 전자우편에 대하여, 필리핀은 전자우편에 대하여 각 암호의 사용을 제한하고 있다.

 뉴질랜드는 국내에서의 사용에는 아무런 제한을 가하지 않지만, 1996년의 관세법과 1966년의 수출금지규정에 따라 암호의 수출에는 허가를 요한다. 그러나, 암호용 소프트웨어의 전자적 방법에 의한 수출에는 제한이 없다.

 사우디아라비아에서는 암호의 수출,입에는 아무런 제한이 없으나 국내에서의 사용은 일체 금지된다.

 싱가폴에서는 암호의 수출에는 아무런 제한이 없지만, 암호의 수입에는 무역개발위원회(TDB; Trade Development Board)의 동의를 얻어야 한다.

 국내에서의 사용에 대하여는 별다른 통제를 하지않고 있으나 국영통신 가입자들에 대하여는 암호를 사용할 경우는 사전에 당국의 동의를 받도록 하였다.

 스위스에서는 암호의 수출,입에는 COCOM의 규정을 따르고, OECD 가입국 이외의 국가에 대한 수출은 허가를 받아야 한다.

 다만, 국내에서는 무선통신에 한하여 암호사용이 금지되고 있다.

 중국에서는 음성비화장치에 관하여 일체의 수,출입을 제한하고, 국내에서 민간인의 암호사용도 금지된다.

 위에서 살펴본 나라들과 후술하는 미국 이외에 방글라데시, 브라질, 체코, 그리스, 헝가리, 아이슬란드, 아일랜드, 라트비아, 말레이시아, 멕시코, 포르투갈, 스페인, 터키 등 많은 나라들은 암호에 관하여 아무런 통제규정을 두지않고 있다.

(다) 미국의 경우

① 국내에서의 사용

 국내에서는 암호의 사용에 아무런 제한이 없다.

 그러나, 미국 정부는 전술한 바와 같이 암호사용에 따른 여러가지 폐해가 발생하자 오래 전부터 국가안전보장, 질서유지 또는 공공의 이익을 위한 경우에 이를 해독할 수 있도록 하는 방법을 논의하여 왔는데 그 대표적인 것이 앞서 살펴 본 조건부 승인제도(Key Escrow)과 키 캡슐화(Key Encapsulation)이다.

 조건부 승인제도는 클리퍼 칩(Clipper Chip)과 같이 국가가 암호정책을 통일적으로 관장할 수 있다는 장점도 있다.

 그러나, 이러한 제도는 정부의 권력남용을 통제하지 못할 경우에는 국내적으로 심각한 인권침해가 초래될 것이고, 국제적으로 이러한 방법을 수용한 암호체계를 수입한 국가는 이러한 암호체계를 제작한 국가에 대하여 암호해독을 개방한 상태가 될 수밖에 없다.

 키 캡슐화(Key Encapsulation)란 마스터 키를 여러 부분으로 나누어 다수의 기관이 분산하여 보관하였다가 마스터 키를 사용하여야 할 필요가 있을 경우에 분산된 부분들을 합체하여 마스터 키를 생성하도록 하는 방법이다.

 미국 정부는 오랜동안 64비트의 블럭암호인 DES(Data Encryption Standard)를 기초로 하여 공공기관의 통신에 대하여만 당국의 규제를 요하는 부분적 통제주의를 유지하여 오다가 1994년 합법적 감청을 수행하는 수사기관의 업무를 지원하는 동시에 개인의 통신보호를 위한다는 명목하에 민간부분의 통신에 대한 간접적 통제방식을 적용하려고 시도하였다가 인권운동단체 등 여론의 거센 저항에 부딪치게 되었다.

 즉, 미국 정부는 공공기관 이외의 통신에 대하여도 비밀로 분류된 80비트의 블럭암호로서 DES보다 1,600만배 정도 보안성이 강하다는 스킵잭(Skipjack) 알고리즘을 전제로 마이코트롱스(Mykotronx, Inc.)가 제작한 클리퍼 칩과 캡스톤 칩(Capstone Chip)¹³⁾을 통신기기에 부착하여 통신을 암호화하되 해독용 키는 당국이 지정하는 두 기관에 나누어 보관하고, 법원의 영장이 있는 경우에만 두 개의 해독용 키를 조합하여 감청한 암호통신을 해독할 수 있는 조건부 승인방식(Key Escrow), 즉 EES(Escrowed Encryption Standard)를 입법화하려 하였다.

 미국 정부는 인권운동단체들의 주장을 반박하면서 그들이 주장하는 부작용을 방지하기 위하여 클리퍼 칩은 정정 가능상태(소위 안전모드)로 변환할 수 없을 뿐만 아니라 복제도 불가능하게 설계되었다고 주장하였다.¹⁴⁾

 그러나, 미국 정부의 위와 같은 계획들은 스킵잭에의 트랩도어(Trap-door) 삽입가능성, 키 신탁기관의 불공정에 대한 우려, 감청허가기간 경과후의 계속감청 가능성 등으로 인권침해의 위험이 크다는 민간단체들의 반대에 따라 입법이 중단된 형편이다.

② 암호의 수출

미국으로 암호를 수입하는데는 아무런 제한이 없다.

 그러나, 암호의 수출에 대하여는 무기목록(USML; U.S. Munitions List)의 정의에 따라 암호가 무기로 간주됨으로써 종래에 국무성이 제정한 국제무기교역에 관한 규정(ITAR, International Traffic Arms Regulation)과 무기수출제한법(AECA; Arms Export Control Act)에 의하여 엄격히 통제되어 왔다.

 ITAR의 제한에 따라 소프트웨어 생산업자들은 인증기능만 내장한 응용 소프트웨어는 수출할 수 있었지만, 암호를 사용하는 소프트웨어는 수출할 수 없게 되었다.

 암호 제작회사인 RSA Data Security사는 이러한 제한을 벗어나기 위하여 RC2¹⁵⁾, RC4¹⁶⁾라는 두 개의 알고리즘을 개발하였다.

 RC2는 DES를 대체하는데 아주 적합하고, RC4는 전화, 모뎀 등 실시간에 대응할 수 있도록 설계되었는데 미국 정부는 그동안 48비트의 키를 사용하는 RC2, RC4를 내장한 소프트웨어¹⁷⁾들에 한하여 수출을 허용하여 왔다.

 소프트웨어 수출업자들과 관련 사업체들의 강력한 요구에 직면한 미국 정부는 1996. 11.부터 군사용 이외의 암호를 무기목록에서 삭제하는 대신 거래제한목록(CCL; Commerce Control List)에 포함시키므로써 ITAR를 대신하여 상무성이 관장하는 수출통제규정(EAR, Export Administration Regulations)에 따라 암호의 수출을 규제하도록 하였다.

EAR에 의하더라도 인터넷이나 BBS를 통하여 암호를 이용하는 것은 외국인이 이를 사용하지 않는다는 보장이 없는 한 수출로 간주된다.

 미국 정부는 개정된 수출통제규정에 따라 최근 마이크로소프트사의 익스플로러(Explorer) 3.02와 4.0, 넷스케이프사의 네비게이터(Navigator) 4.0등 128비트의 키를 사용하는 SSL을 암호화 수단으로 사용한 소프트웨어들도 수출을 승인하였다.¹⁸⁾

 그럼에도 불구하고 일부 해커그룹에서는 미국 정부의 위와 같은 조처들은 이미 미국의 정부기관들이 128비트 이상의 키를 사용한 RC4의 암호문을 해독할 수 있게 되었기 때문일 것이라고 주장하고 있다.

새로운 제한규정인 EAR은 암호를 5가지 범주로 나누어 통제하고 있다.

1. 불특정 다수인에게 유통될 암호(Mass-market encryption)는 당국으로부터 종목당 한 번씩의 검사(one-time review)를 거쳐야 배포할 수 있다.

2. 당국이 적법한 절차에 따라 해독용 키나 평문을 요구할 수 있는 소위 “자료복구가능 암호(Data Recovery Crypto)”는 특정한 국가를 제외하고는 허가를 받아 수출할 수 있다.

3. 56비트의 키로 만들어진 암호가 수출을 위한 검사를 통과한 때에는 6개월간 수출허가를 받은 것으로 간주한다.

 다만, 수출업자는 그때부터 2년 이내에 당해제품에 대한 자료복구계획(Data recovery feature)을 반드시 실행하여야 한다.

 이 완화된 규정은 1999. 1.까지 유효하고 2년 후까지 복구하지 아니한 56비트 키의 암호는 다시 수출을 금지하며 금융기관을 제외하고는 최대 40비트 키의 범위내의 암호에 한하여 같은 조건하에 검사를 받아야 한다.

4. 기타 암호의 수출에 대하여는 허가조건에 부합하는 경우에만 수출이 허용되고, 이에 저촉되는 항목은 개별적으로 허가여부를 결정한다.

5. 암호학의 전문적 기술에 속하는 것은 항목별로 허가여부를 결정한다.

 한편, 개인적 사용을 위한 경우라면 쿠바, 리비아, 시리아 등 특정국가¹⁹⁾를 제외한 나라에 대한 암호의 일시적 수출은 복제나 전시, 판매, 재수출 또는 소유권이나 관리권의 양도를 위한 것이 아닌한, 수출자가 안전을 보장하기 위하여 암호제품을 보관된 장소나 보관장치를 시정하는 등 통상의 주의의무를 다할 것을 조건으로 허가없이 수출할 수 있다.

 다만, 이러한 경우에도 수출자는 각 수출행위별로 목록을 작성하여 5년간 보존하여야 하고, 운송 중에는 수출자가 암호제품을 반드시 소지하여야 한다.²⁰⁾

 이러한 엄격한 규정에도 불구하고 오랜동안 소프트웨어 제조업체와 인권단체들의 거센 항의를 받아온 미국 의회는 상,하원을 막론하고 위와 같은 엄격한 수출제한규정의 완화를 입법의 주된 내용으로 하는 ECPA,²¹⁾ SAFE,²²⁾ Pro-CODE,²³⁾ SPNA²⁴⁾ 등의 법안을 놓고 논난을 거듭하고 있다.

 한편, 미국 정부는 PGP의 제작자인 짐머만을 기소하였다가 공소를 취소한 것을 비롯하여 20세기 암호학의 중요한 저서로 평가되는 브루스 쉬나이어(Bruce Schneier)의 “암호학의 응용(Applied Cryptography)”라는 책에 수록된 암호화 루틴을 플로피 디스크(FDD)에 담아 수출하려던 출판업자를 기소하는 등 수출통제규정에 위반한 사람들에 대하여 강경한 자세를 취하여 왔다.

 그러나, 1997. 12. 미국의 전자민주주의자로서 전자 개척자재단(EFF; Electronic Frontier Foundation)의 공동 창립자인 존 길머(John Gilmore)는 “정보의 은닉(Hiding of the Information)”이 아니라 “정보의 인증(Proving that Information is Authentic)”을 위한 암호의 사용에 대하여는 EAR가 적용되지 않는다면서 매우 긴 키를 사용하는 암호를 사용한 인증 프로그램의 소스코드를  인터넷에 공개하였다.²⁵⁾

 길머가 공개한 소스 프로그램은 세계적으로 유명한 암호 라이브러리인 RSAREF²⁶⁾를 포함하고 있어 미국 보안당국과의 마찰이 예상된다.

 

(3) 우리의 현실

 우리나라에는 암호에 관하여 직접적으로 규율하고 있는 법률은 없다고 하여도 과언이 아니다.²⁷⁾

 다만, 관세법²⁸⁾이 “정부의 기밀을 누설하거나 첩보에 공하는 물품”에 대하여 수출입을 금하고 있고, 국가정보원법의 대통령령인 보안업무규정²⁹⁾이 “통신보안을 위하여 통신문의 내용을 보호할 목적으로 문자, 숫자, 기호 등의 암호로 만들어진 문서나 기구”를 암호자재로 정의한 다음,

 “암호자재는 국가정보원장이 제작하여 필요한 기관에 공급하되 필요한 경우 암호자재의 사용기관으로 하여금 인가하는 암호체계의 범위 안에서 암호자재를 제작하게 할 수 있다”라고 규정하여 정부의 기밀과 첩보에 관련한 암호의 수출입과 국가기관이나 공공기관에서의 암호사용에 한하여 당국이 관여하도록 하였다.

 국가기관의 경우에는 DES를 변형한 암호를 사용하고 있는 것으로 알려져 있고, 금융기관의 경우에도 금융자료 전반에 관하여 암호가 사용되는 것이 아니라 무역자동화망으로 전송되는 EDI³⁰⁾ 메시지와 은행간의 국제적 결제방법인 SWIFT³¹⁾, 그리고, 1995년부터 작동이 개시된 직불카드 공동망의 경우에 한하여 암호화 장비가 사용되고 있다고 한다.

 EDI의 경우에는 사용자마다 고유한 10자리 숫자의 십진수로 구성된 키를 부여하여 두 개의 키, 즉 발신인이 자신의 키와 수신인의 키로 각각 메시지의 문자와 숫자를 “이동과 가산(Shift and Add)”으로 암호화한 값을 메시지와 함께 전송하도록 하고, 수신인도 같은 두개의 십진수로 메시지를 계산하여 발신인이 송신한 값과 같은가를 확인하는 일종의 해쉬 함수(Hash Function)인 DSA 알고리즘(Decimal Shift and Add Algorithm)³²⁾을 사용하는 것으로 알려졌으나 키의 관리 등 구체적인 방법은 알려지지 않고 있다.

 한편, 은행 간에 사용되는 SWIFT는 가입은행들이 모두 RSA 암호를 사용하는 관계로 공개키 암호와 스마트카드를 이용하여 보안을 유지하고 있고, 직불카드의 경우에는 VAN 사업자에게 호스트 컴퓨터(Host Computer)의 주변장치로 고정안전장치를³³⁾ 공급하여 금융기관이 소프트웨어로 DES의 변형인 프로그램을 작동하여 암호화를 구현하고 있다.

 한편, VAN 사업자와 가맹점, VAN 사업자와 금융기관 간에는 서로 다른 터미널 키(Terminal Key, Working Key)가 공급되고, 터미널 키를 암호화하는 별도의 세션키(Session Key) 형태로 통신키(Communication Key)를 사용하는 것으로 알려졌다.

 그러나, 공공기관이나 금융기관이 보안업무규정을 위반하더라도 법률적으로 위반행위에 대한 제재규정이 전혀 마련되어 있지 않다.

 더구나, 일반 개인들의 암호사용에 대하여는 아무런 제한이 없으므로 이에 대한 적절한 통제수단의 마련이 시급한 형편이다.

다. 전자 법률행위에 대한 이론정립

 전술한 바와 같이 우리 법률도 무역업무 자동화촉진에 관한 법률과 공업 및 에너지 기술기반조성에 관한 법률, 전산망 보급확장과 이용촉진에 관한 법률, 화물유통촉진법 등이 전자서명과 전자문서를 규정함으로써 전자우편이나 컴퓨터 통신을 통한 전자 법률행위에 대한 규율을 시작하였다.

 나아가, 국제적으로 보안성을 담보받지는 못하였지만, 전자서명과 해쉬함수의 표준을 마련하였으므로³⁴⁾ 진정한 의미에서의 전자서명을 포함하는 전자문서의 출현도 곧 실현되어 전자서명을 이용한 전자문서가 일반화되고, 전자 상거래도 본격적으로 이루어질 전망이다.

 따라서, 전자문서, 전자화폐 등 전자 상거래의 인프라에 관하여 법률행위로서의 성립요건과 법적 효력에 관한 법률이론을 정립하는 등 법률적 검토와 연구가 신속히 이루어져야 한다.

(1) 전자 상거래에 관한 법적 규제

(가) 제도화의 전제조건

 전자 상거래가 활성화되려면 네트워크에 대한 접속의 용이, 소프트웨어와 하드웨어 플랫폼의 대중화, 물품의 안전한 배달, 물품의 완벽한 소개를 위한 멀티미디어 정보의 완비, 지불방식의 안전성 확보, 법률적인 제도의 정비등이 선행되어야 한다.

 다시 말하면 현실적으로 통신위성이나 지상파 공중채널, CATV 등을 이용하여 일반 소비자들의 통신비용을 절감하고, 정보검색형 브라우저³⁵⁾가 아니라 일반인들이 직접 물품구매에 손쉽게 접근할 수 있도록 설계된 전자 상거래를 위한 전용 브라우저를 개발하는 한편, 국가별 또는 개발회사별로 개별화된 결제 시스템에 대하여 국제적인 표준을 설정하는 등 전자 상거래의 효율적인 통용방안을 강구하여야 한다.

 나아가 이를 뒷받침하기 위한 법적 조치로 전자 법률행위로 인정할 수 있는 범위를 설정하고, 국가적, 국제적으로 통용될 수 있는 전자 법률행위의 공통모델을 설정한 다음, 어떠한 범위 내에서 일반적인 법률행위와 동일한 법률효과를 인정할 것인가도 하루빨리 해결되어야 할 문제이다.

(나) 입법례

 전자 상거래에 관한 대표적 입법으로 유엔 국제상사법위원회(UNCITRAL; U.N. Commission of International Trade Law)의 모델법을 들 수 있다.

 동 모델은 전자 의사표시의 효력을 인정하는데 도달주의를 취하면서 그에 관한 구체적 행위를 상세히 명시하여 다른 입법의 모범이 되었다는 평가를 받는다³⁶⁾.

 미국에서는 1994. 10. 연방 조달효율화법이 통과되어 1997년부터 연방정부의 조달체제를 완전히 전자 상거래로 이행하였고, 1997. 3. 인터넷을 통한 전자 상거래에 대한 비과세를 내용으로 하는 인터넷 비과세법안이 상정되었고, 지방정부, 교육기관 등의 종이사용을 줄이기 위하여 연방법(USC) 제44편 제35장을 개정하는 내용의 서류사무 추방법(Paperwork Elimination Act)³⁷⁾이 의회를 통과하여 1998. 10.부터 시행될 예정이며, 미국 변호사 협회(ABA)는 1998. 3. 공개키 암호를 이용하여 ABA가 전자 상거래의 인증기관으로 활동할 것을 자처하고 나섰다.

(다) 법적 규제의 대상

 전자 상거래에 관하여는 계약의 경우에는 성립시기³⁸⁾, 계약의 적용범위, 계약의 준거법과 재판관할을 정하기 위한 법률행위지, 법률행위의 무효, 취소, 철회규정의 적용범위,³⁹⁾ 발신인과 수신인, 통신서비스 제공자의 책임한계⁴⁰⁾는 물론, 데이터의 안전성, 메시지의 확인(Verification), 완전성(Integrity), 수령확인(Confirm!ation), 데이터의 보존(Storage), 불가항력(Force Majeure)에 대한 면책사유 등을 규정하여야 한다.

 이 경우에 발신인은 수신인의 과실이 명백하다면 메시지의 확인과 완전성에 대하여 면책을 인정하고, 발신인이 메시지의 수령을 자동적으로 확인할 수 없는 때에는 수신인에게 수령확인을 요구할 수 있으며, 그 요구를 수령한 수신인은 지체없이 수령사실을 통지하여야 하도록 하여야 할 것이다⁴¹⁾.

 특히 발신인과 수신인의 책임분담에 수반하는 메시지의 완전성과 관련하여 모든 메시지에는 전자적 방법 이외의 방법으로 전달된 정보에 적용되는 것과 동일한 효력을 부여하되 정보처리장치나 정보처리조직 또는 통신상의 기술적 장애로 인하여 메시지의 변경을 외관상 판단할 수 없는 경우에만 예외를 인정하여야 한다.

 

 국제사법 문제와 관련하여 국경이 없는 전자 상거래에서 거래관계에 종래의 국제사법 원칙에 따라 당사자의 특약이나 사업자의 영업장 소재지 등으로 준거법을 임의로 선택할 수 있게 할 것인가 아니면 어느 나라의 법을 적용할 것인가 등 국제 상거래법의 통일에 관한 문제와 새로운 기술을 수단으로 하여 발생한 수입행위에 대하여 어느 국가가 과세권을 갖는가라는 조세문제에 대한 깊은 연구와 검토도 필요하다.

 전자 상거래를 목적으로 공개적으로 거래의 상대방을 구하는 경우에 이미 전자적 방식으로 문서를 수신할 수 있는 주소를 개설하고 있는 사람은 반드시 전자문서에 의한 청약서의 접수방법을 명시하여 당사자 간의 신속한 정보교환과 계약의 이행과 하자담보책임, 계약의 해제와 취소 등 후속절차에서의 분쟁조정이 용이하게 하여야 할 것이다.

 또 전자 상거래를 하는 사람과 대금결제 과정에서 일반거래시에 비하여 불리한 조건으로 협약할 것을 요구할 수 없도록 함으로써 거래방법이 전자적이라는 이유만으로 불이익을 받는 일이 없도록 보장하는 한편, 전자 상거래를 하는 사람이 같은 상품이나 용역에 대하여 다른 가격으로 판매하더라도 그 가격이 전자 상거래로 인한 가격인하요인이 반영된 때문이라면 불공정행위⁴²⁾로 간주되어서는 안될 것이다.

 반대로, 전자 상거래의 특성상 필연적으로 발생할 것으로 보이는 일방적인 거래약관, 사위적 방법이나 과대한 광고 등에 의한 소비자의 피해를 구제하기 위하여 상거래의 약관을 규제하는 법률이나 소비자보호법 등에 대한 재검토도 반드시 이루어져야 할 것이다.

(2) 전자화폐에 대한 법적 규제

(가) 규제의 필요성

 전자화폐는 무기명의 수단(Bearer Instrument)이라는 점에서 물리적인 개념의 화폐와 기능이 유사하고, 화폐 발행기관의 간섭없이 소위 오프라인(Off-line) 상태에서 광범위한 거래를 암호화하여 안전하고도 신속하게 처리할 수 있으므로 결재수단의 전자화를 더욱 가속화할 전망이다.

 따라서, 거래의 안전과 법적 안정성을 유지하여 전자 상거래의 활성화를 보장하고, 진정한 정보사회를 구현하기 위하여 전자화폐에 대한 규제가 바람직하다.

(나) 전자화폐와 법률문제

 전형적인 전자화폐를 사용하는 전자 상거래에서 거래와 관련된 당사자들은 모두 영수증을 받는 것과 같은 체제아래 거래가 이루어진다.

 사용자는 자신의 은행계좌에서 전자화폐를 인출한 사실을 부인하지 못함과 동시에 사용한 전자화폐를 다시 사용할 수 없고, 판매상은 자신이 전자화폐를 대금으로 수령한 사실을 부인할 수 없으며, 은행은 사용자에게 전자화폐를 발행하였다는 사실과 전자화폐를 판매상의 계좌에 입금한 사실을 부인할 수 없게 되므로 안전하고 투명한 전자 상거래를 확립할 수 있다.

 그러나, 사용자와 판매상 간의 거래가 장기간에 걸쳐 지속적으로 행하여질 경우에는 일정액의 전자화폐의 교부가 어떤 거래에 대한 대금인가를 특정하는 변제의 충당문제와 착오, 무효, 취소인 법률행위로 인한 거래의 법적 처리는 민감한 법적 분쟁요인 중 하나이다.

 전자화폐는 저렴한 비용으로 신용카드에 대한 카드번호의 도난과 같은 위험부담 없이 소액지불에도 널리 이용할 수 있다는 점에서 획기적인 지불수단으로 주목되고 있지만, 기술적인 면에서만 논의가 진행되고 있는 형편이므로 이에 대한 성급한 법적 규제는 오히려 전자화폐의 발전을 가로막을 가능성도 배제할 수 없으므로 신중한 입법이 요구된다.

 한편, 전자화폐의 완전한 익명성은 자금세탁이나 완전범죄의 실현을 가능하게 하므로 개인에 대한 프라이버시 보호와 범죄의 예방을 양립시키기 위하여 특별한 경우에는 일정한 범위 내에서 익명성을 제한하거나 실명을 확인할 수 있는 조건부 승인(Escrow)이 가능한 전자화폐의 연구도 필요하다.

(3) 전자 자금이체

(가) 의의

 자금이체(Fund Transfer)란 자금을 수수할 당사자 사이에 현금을 이동하지 않고 장부 또는 정보처리장치 상의 기장이나 입력에 의하여 자금을 이체하는 것을 말하는데 그중 정보처리장치에 입력하여 자금을 이체하는 것을 전자 자금이체라 한다.⁴³⁾

 다시 말하면, 현금이나 어음, 수표 또는 그와 유사한 종이매체를 이용한 지급수단과 달리 주문, 지시나 금융기관이 계좌에 대한 인출과 예금을 인정하도록 하게 할 목적으로 전자 단말기, 전화, 전산기 또는 자기 테이프를 통하여 개시되는 자금의 이체를 의미한다.

 따라서, POS(Point of Sale)나 현금 자동지급기를 통한 자금이동, 자금의 직접적인 예금이나 회수(Direct deposit or withdrawal of funds), 전화 자동응답기를 이용한 폰뱅킹(Transfer initiated by telephone)은 물론, 현금카드 사용에 따른 자금이체까지 포함하는 개념이다.

  

 그러나, 자기앞 수표나 보증수표(Check Guarantee or Authorization Services)와 같이 고객의 계좌에 대한 예금이나 인출과는 직접적으로 무관한 것, 금융기관 간 또는 기업간의 자금이체에 주로 사용되는 전보이체(Wire transfer), 수표를 입금하여 예금계정으로 이체하거나 저축계정에 대한 이자지급은 고객의 예금구좌와는 무관하여 자금이체라고 할 수 없다.

 또, 같은 금융기관 내의 고객끼리의 계정간 이체 등 고객과의 특약에 따라 금융기관이 일방적으로 행하는 이체, 고객과 금융기관 직원 사이의 전화통화에 의한 이체, 다른 특약에 의해 정기적인 이체가 약정된 지급이나 전화 어음교환이 아닌 것으로 전화를 통하여 이루어지는 자금이체도 본래 의미의 전자 자금이체에 해당하지 아니한다.

(나) 전자 자금이체의 종류

 전자 자금이체에는 대변이체(Credit Transfer)와 차변이체(Debit Transfer)가 있다.

 대변이체는 은행 간의 대량이체, 자동예금입출금기(ATM; Automated Teller Machine), 현금자동지급기(CD; Cash Dispenser), 자동 판매단말기(POS; Point of Sale) 홈 뱅킹(Home Banking), 펌 뱅킹(Firm Banking), 텔레뱅킹(Tele-banking) 등 이체지급인(채무자 또는 자금양도인)의 지시에 따라 행해진다.

 차변이체는 전기, 보험, 전화요금 등 계속, 반복적 채무의 추심을 위하여 채무자로부터 주기적 자금이체권한을 부여받은 채권자가 주기적인 청구서를 거래은행에 송부함으로써 이체절차를 개시하고, 거래은행은 자동어음교환소(ACH; Automated Clearing House)를 통하여 지급은행으로부터 자금을 이체받는 경우와 같이 이체수취인(채권자 또는 자금양수인)의 지시에 따라 행해진다.

(다) 규제의 필요성

 전자 자금이체는 전자 상거래는 물론, 전기, 가스, 전화요금의 납부 등 정보사회에서 경제생활을 영위하는 경제주체들의 일상생활을 매개하는 중요한 수단으로 등장하였다.

 대다수의 경제주체가 자금이체에 관련되고, 관련자는 개인에서부터 국가에 이르기까지 광범위한 분야에서 이해관계를 가지고 있으므로 거래의 안전과 법적 안정성을 유지하기 위하여 이에 대한 법적 규제는 필연적일 것이다.

(라) 법적규제

 미국에서는 전자 자금이체에 대한 포괄적인 법규는 제정되지 않았으나 1989년 통일상법전 (UCC) 제4A편에 “자금이체법(EFTA)”⁴⁴⁾을 규정하여 대부분의 주에서 이를 채택하였다.⁴⁵⁾

 동 법률을 참고로 전자 자금이체와 관련하여 법적으로 규율하여야 할 부분을 정리하면 다음과 같다.

① 접근장치

 접근장치(Access Devices)란 고객의 예금계정에 접근하여 그 내용을 조작할 수 있는 카드나 코드 기타의 수단을 말한다.

 금융기관은 고객의 요청이나 기발행한 접근장치의 경신, 대체를 위한 경우가 아니면 접근장치를 발행할 수 없도록 하여 접근장치의 남발을 제한하여야 할 것이다.

 다만, 접근장치의 발급이 전제되지 않으면 곤란한 입장에 있는 고객(Consumer on unsolicited basis)에게는 금융기관이 일시적으로 접근장치를 배포할 수 있게 하되 그때는 반드시 접근장치가 유효한 경우에 적용될 고객의 권리와 의무를 명백히 하고, 접근장치에 대한 하자가 있을 경우의 법률관계에 대한 고지의무를 명시하여야 한다.

② 법률관계의 개시

 접근장치는 사진, 지문, 직접방문, 또는 서명대조 등 합리적인 방법으로 고객의 신분을 확인한 뒤에만 유효하게 사용할 수 있도록 하되 금융기관이 고객으로 하여금 전자 자금이체를 개시하여 사용하는데 필요한 모든 절차를 이행한 경우에는 유효한 법률관계가 개시된 것으로 보아야 할 것이다.

③ 불법사용

 불법사용(Unauthorized Use)이란 이체를 행할 권한이 없는 사람에 의하여 고객의 구좌에서 행하여지지만, 고객이 아무런 수혜를 받지 못하는 자금이체, 다시 말하면, 현금카드를 절,강취하거나 습득한 사람이 비밀번호를 알아내어 현금 인출기를 사용하는 것과 같이 정당한 사용자 또는 그로부터 권한은 부여받은 사람 이외의 사람에 의한 자금이체를 의미한다.

 그러나, 고객의 구좌에 대한 접근장치를 소지한 사람에 의하여 행해진 이체는 고객이 금융기관에 그 사람이 무권한인 사실을 통지하지 않는 한 표현대리의 이론에 따라 유효하다고 할 것이고, 고객이나 그와 통모한 사람에 의하여 기망의 의사로 행하여진 이체행위도 불법사용으로 보아서는 안될 것이다.

 이러한 경우에 원칙적으로 과실책임의 원칙에 따라 고객의 책임을 부과한다면⁴⁶⁾ 매우 가혹할 뿐만 아니라 전자 자금이체를 기초로 한 전자 상거래등의 활성화를 기대하기는 어려울 것이 명백하므로 이를 법률적으로 조정할 필요가 있다.

 접근장치의 분실이나 도난 등으로 인한 불법사용으로 고객은 아무런 과실이 없이 피해를 입을 가능성이 있지만, 이러한 경우에 고객보호만을 치중하여 금융기관이 모든 손해를 부담하게할 수도 없으므로 고객의 금융기관에 대한 통지의무를 규정하고 통지의무의 이행정도에 따라 양자의 이익을 합리적으로 규율하여야 할 것이다.⁴⁷⁾

④ 오류의 해결

 전자 자금이체의 오류란 접근장치의 불법사용, 고객의 구좌에 대한 또는 동 구좌로부터의 부정확한 전자 자금이체, 당연히 포함되어야 할 고객의 구좌에 대한 또는 동 구좌로부터의 전자 자금이체에 관한 계산서(Statement)의 탈루(Omission), 전자 자금이체와 관련한 금융기관의 전산 또는 부기(Bookkeeping)상 오류, 전산 단말기에서 출력한 부정확한 수령액, 관련법규나 금융기관의 내규에 정해진 절차 또는 전자 자금이체에 관련한 부가적 조건과 일치되지 않는 자금이체를 말한다.

 위와 같은 오류이체에 관한 고객의 금융기관에 대한 통지의무와 고객에 대한 면책의 범위, 즉 부당 또는 부정확한 자금이체나 계산상의 오류가 발생한 경우에 고객과 금융기관 간의 책임분담문제를 명백히 하여야 한다.

 금융기관이 일정한 기내에 행하여진 전자 자금이체행위 전부에 대한 정확성을 조사한다는 것은 상당한 시간과 경비를 요할 뿐만 아니라 고객으로 하여금 자신의 거래실적을 조사하여 오류를 정정할 수 있는 권리를 인정하여야 자금이체제도가 정착할 수 있을 것이다.

 미국의 전자 자금이체법은 금융기관으로 하여금 전자 자금이체를 행한 경우에 이체내용을 기재한 증서를 교부하고, 일정한 기간마다 동 기간동안의 이체내용을 기재한 계산서(Periodic Statement)를 고객에게 교부하도록 함과 동시에 고객의 신고의무와 금융기관의 정정의무, 손해배상의무를 규정하고 있다.⁴⁸⁾

⑤ 무효, 취소

 전자 자금이체의 경우, 의사표시에 착오가 있거나 기타 무효 또는 취소할 수 있는 법률행위로서 자금이체가 행하여진 경우에 고객을 어떻게 보호할 것인가는 전자 자금이체제도의 정착을 위한 중요한 관건이라고 할 수 있다.

 다시 말하면, 고객으로 하여금 금융기관에 대하여 자금이체에 대한 무효나 취소를 인정한다거나 자금이체 예정일 이전에 자금이체를 하지 않도록 요구할 수 있는 권리를 부여할 것인가는 전자 자금이체의 원활성 보장, 이체된 자금을 수령한 채권자로부터 자금을 재이체받은 선의의 제3자와 채무자 중 누구를 더 보호할 것인가의 문제이다.

 미국의 전자 자금이체법은 고객에게 취소와 무효를 인정하지 아니하되 사전승락에 의한 이체의 경우에 한하여 고객이 자금이체를 중단하게 하려면 자금이체 예정일로부터 3일 이전까지 금융기관에 구두 또는 서면으로 통지하여야 하고, 서면으로 통지된 경우에 금융기관은 통지일로부터 14일 이내에 지급거절에 대한 확약서의 제출을 요구할 수 있도록 규정하고 있다.⁴⁹⁾

⑥ 손해배상

 금융기관이 고객의 이체지시를 이행하지 아니한 경우의 책임의 소재를 어떻게 할 것인가의 문제이다.

 일반적으로 금융기관이 고객이 입은 손해에 대하여 배상책임을 진다고 하여야 하겠지만, 불이행의 사유가 불가항력이나 통상의 주의의무를 다하였더라도 피할 수 없는 경우, 또는 고객의 귀책사유로 인한 경우에는 금융기관의 면책을 인정하여야 할 것인데 그 범위를 법률로 명백히 하여야 할 것이다.

⑦ 기타

 위반행위자에 대한 처벌규정⁵⁰⁾은 물론, 금융기관의 이체 불이행으로 채무자가 채무를 불이행하게 된 경우, 채권자에게 채무불이행으로 인한 계약해제권을 인정할 것인가의 여부도 입법으로 확정되어야 할 사항이다.

  금융기관이 이체지시를 이행하지 않거나 고객의 이체중단 요구를 무시하고 이체를 행한 경우에는 원칙적으로 손해배상책임을 인정하되  불가항력의 경우, 고객의 예금구좌에 자금이 부족하거나 자금이 압류 등으로 이체할 수 없게 된 경우 등 면책사유를 인정하는 한편, 채권자에게는 손해배상청구권이나 계약해제권을 인정하여서는 안될 것이다.

 또, 위와 같은 규정들은 강행규정으로서 고객은 이와 같은 제한이나 법률이 정하는 다른 보호규정을 임의로 포기할 수 없고, 금융기관도 당사자의 합의과정에서 과실책임(Fault Language)을 확장하여 고객보호규정을 준수하도록 하여야 한다.⁵¹⁾

 미국 등 홈 뱅킹이나 텔레뱅킹이 일반화된 나라에서는 은행측이 사용자로 하여금 비밀번호와 함께 개인식별번호를 사용할 경우에만 서비스가 가능하게 하는 등 여러가지 안전대책을 실시하고 있지만, 이러한 안전장치를 통과한 범죄자들의 행위에 대하여 어떤 범위 내에서 어느 정도까지 은행과 사용자가 위험부담을 하여야 할 것인가가 전자 자금이체의 중요한 법률문제라고 할 수 있다.

(4) 전자서명과 전자문서에 관한 규제

(가) 입법현황

 세계적으로 전자서명에 관한 법률의 제정현황을 살펴보면⁵²⁾, UNCITRAL(유엔 국제상사법위원회)은 전자서명법의 모델화를 작업중에 있고, OECD는 전술한 바와 같이⁵³⁾ 1997. 3. 암호학에 관한 가이드라인을 채택하여 권고하였다.

 1997. 7. 유럽연합은 전자문서에 관한 안전한 서비스에 관하여 신뢰도를 높이고, 사용자의 사생활을 보호하기 귀한 법적 제도를 마련하기 위하여 “유럽지역 신용 서비스에 관한 논문”을 발간하였다.

 이 논문의 발표에 따라 유럽연합 소속국가들은 조만간 전자문서의 증거능력과 신뢰성있는 제3자기관(Trusted Third Party; TTP)에 관한 내용을 입법할 계획이다.

 캐나다는 법무성의 전자 상거래 사무국이 “전자정보의 안전과 관련한 법적 문제의 연구”를 발표하여 제9장에서 전자기록, 전자서명과 증거능력에 관하여 논하고 있다.

 캐나다의 공개키 지원기구(Public Key Infrastructure)는 연방정부가 전자 상거래와 공공기관의 기밀취급업무에 공개키 암호를 도입하는데 찬성하였다.

 말레이시아는 세계 최초로 1997년에 단일법인 전자서명법을 제정하였다.⁵⁴⁾

 독일은 1997. 11.부터 멀티미디어법을 시행중인데 그중 제3관(Article 3)에서 전자서명을 규정하고 있고, 이탈이아도 전자기록과 전자서명이 법적으로 유효하다는 내용의 전자서명법을 제정하였다.

 한편, 일본에서는 1997. 4. 전자 상거래 추진위원회가 인증기관을 위한 지침서를 제정하였는데 용어의 정의, 인증기관의 일반적 의무, 인증서 발급, 취소, 배포, 보관 등 특별한 권한, 장비와 조직에 관한 필요사항 등을 포함하고 있다.

(나) 전자서명과 법률문제

 전자서명과 관련하여 법률로 확정하여야 할 내용은 다음과 같다.

① 인증의 방법과 효과

 인증서를 발행한 인증기관의 신청인에 대한 보증의 내용⁵⁵⁾과 신청인에 대한 통지의무, 인증서 발행의 제3자에 대한 효과⁵⁶⁾, 비밀키의 관리방법과 인증기관의 사용한계⁵⁷⁾, 인증의 기간, 취소, 인증의 등급과 책임, 신용의 한도, 서명의 위조와 인증기관의 책임에 관한 사항, 인증서를 저장할 정보처리장치와 시간소인(Time Stamp)⁵⁸⁾ 제도의 인정

② 전자서명의 효력

 수기, 무인한 서명과의 동일성 인정 등 일반적 효과, 신뢰할 수 없는 서명에 대한 위험부담, 신뢰할 수 없는 서명에 대한 통지의무, 전자서명된 문서의 문서성, 전자서명된 전자문서의 출력물 및 그 사본에 대한 법률효과

③ 재판에서의 추정

 인증기관이 전자서명하고, 지정된 정보처리장치에 기재된 인증서 또는 인증기관이 발행하였거나 인증서에 표창된 명의인이 사용한 인증서는 인증서에 표창된 신청인의 동의에 따라 전자서명한 인증기관이 적법하게 발급한 것으로 추정하여야 할 것이다.

 다음, 유효한 인증서에 기록된 내용으로 인증기관이 확인한 정보는 진실한 것으로 추정하고, 인증기관이 발급한 유효한 인증서에 기록된 공개키로 서명된 것이 확인된 전자서명은 인증서에 표창된 명의인의 전자서명으로 명의인이 전자기록에 서명한 것으로 추정되어야 한다.

 또 전자서명을 확인하려는 사람은 서명자가 명의인으로서의 의무를 위반하였거나 전자서명에 사용되는 비밀키를 정당하게 보유하고 있지 않다는 사실을 알지 못하고 통보받은 사실도 없는 것으로 추정하여야 할 것이지만, 이러한 추정을 위하여는 전자서명이 신뢰할 수 있는 정보처리장치를 사용한 시간소인 서비스가 적절히 운영되어야 할 것이다.

④ 처벌규정

 전자서명의 위,변작, 전자서명과 관련한 기록, 장부, 등록, 서신, 정보, 문서 기타 자료를 함부로 공개하는 행위, 인증서 기타 정보나 문서를 허위로 작성, 진술하는 행위에 대한 처벌규정이 필요하고, 법인의 경우에는 양벌규정도 마련함이 상당하다.

⑤ 관련범죄의 수사

 인증기관에 대한 조사, 명령, 사법경찰권 인정여부와 수사기관의 압수, 수색절차 및 그 한계도 법률로 확정하여 부당한 인권침해를 방지하는 한편, 정보범죄의 수사에 대한 편익을 도모하여야 한다.

⑥ 기타

 전자 법률행위도 일반 민,상법의 이론이 적용될 것이므로 전자서명을 이용한 표현대리, 월권대리 등 법률행위의 대리, 조건과 기한부 법률행위, 취소불가능한 법률행위, 보증행위, 단독행위에 있어서의 수신인 지정방식, 시간소인 등에 대한 합리적 규제 또한 정보범죄의 예방에 기여할 수 있음은 물론, 정보법학에 있어서 새로운 차원의 신선한 법리를 선사할 것이다.

라. 지적 재산권제도와 역공정

 전자 법률행위에 대한 정비 다음으로 중요한 것은 지적 재산권제도와 역공정에 관한 법적 분쟁의 소지를 줄이는 일이다.

 유엔의 세계지적재산권기구(WIPO)는 1996. 12. 인터넷 등 가상공간에서의 지적재산권 보호를 위한 2개의 협정안을 채택하여 디지털화한 영화, 연극, 음반 등에 대한 지적재산권 보호는 물론, 디지털  정보화와 인터넷을 수용할 수 있는 기반을 마련하였다.

 이번에 채택된 협정은 “문학과 예술작품에 관한 협정”과 “음악공연과 제작에 관한 협정”으로 본 협정에 따라 예술가와 공연사업가들은 인터넷 상에서도 그들의 작품에 대한 권리를 보장받게 되었다.

 그러나 “데이터베이스의 생산에 관한 협정”은 보류되었고, 통신상에서 저작권이 있는 작품 등을 사용자가 읽으면서 컴퓨터의 메모리에 생성된 복사본 등 일시적으로 생산되는 형태의 것에 대하여는 권리를 인정하지 않음으로써 정보의 자유로운 소통을 보장함과 동시에 저작권자의 이익을 적당히 조절하였다.⁵⁹⁾

 WIPO의 협정안은 가상공간에서의 지적재산권에 대한 법적 보호에 참고할만한 매우 적절한 내용이라고 할 수 있다.

 재산권의 보호라는 측면을 제외하고라도 지적재산권에 관한 법적 정비가 미흡한 상태를 계속 방치한다면, 후진국들은 기술선진국들로부터 신기술의 도입비용 등 단순한 재산권적 피해뿐만 아니라 선진국이 개발한 기술에 내재한 보안상 취약점까지 한꺼번에 부담하게 되므로 지적 재산권제도에 대한 법률적 재정비는 반드시 필요하다.

 특히, 산업 스파이의 가장 큰 활동영역인 반도체 집적회로(IC, Intgrated Circuit)와 관련하여 역공정의 허용범위에 대한 법적 한계도 명백히 하여야 할 것이다.

(1) 특허권 문제

 현재 세계적으로 사용되고 있는 공개키 암호화 장비는 대부분이 RSA 암호를 기초로 하여 RSA⁶⁰⁾에게 인정된 특허권을 빌어 사용하고 있다.

 최근에 급격히 확산되고 있는 전자화폐는 RSA 암호를 응용한 전자서명(Digital Signature)을 이용하는 것이 대부분인데 미국의 시티은행이 미국을 비롯한 세계 30여개 나라에 위 전자화폐에 대한 특허권을 신청함으로써 정보사회의 새로운 유통단위에 대한 독점권 인정여부가 법률쟁점화하였다.

 다행히 우리 특허법은 알고리즘에 대하여는 특허를 인정하지 않고 있다.⁶¹⁾

 그러나, 보다 중요한 것은 우리가 전자화폐의 특허권을 인정할 경우, 적극적으로 특허료를 지급하여야 한다는 경제적 문제보다 전자화폐를 통일된 제도로 인정함으로써 소극적으로 그에 대한 보안문제까지 전적으로 외국에 의존할 수밖에 없다는 점이다.

 미국도 RSA에 지불해야 하는 특허료 때문인지 아니면 RSA 암호의 기본원리인 정수의 소인수분해문제를 쉽게 풀 수 있게 되었는지는 분명하지 않지만, 전자서명의 표준인 DSS(Digital Signature Standard)에는 RSA를 사용하지 않기로 하였다.

(2) 역공정

 “역공정(Reverse Engineering)”이란 제3자가 목적코드(Object Code)를 원시코드(Source Code)로 변환하여 컴퓨터 프로그램의 제작방법을 알아내거나 정보처리장치 등 제품의 해석에 의하여 제품에 구현된 제조방법, 기술수준, 특별한 비법(Know-how) 등을 탐지함으로써 자신의 프로그램이나 제품의 제작기술 향상에 이용하는 것을 말한다.

 저작권 보호를 지나치게 강조할 경우, 저작물에 대한 접근이 어렵고, 동종업체 간의 경쟁을 차단하게 되므로 과학기술의 발전에 커다란 장애가 될 수 밖에 없을 것이다.

 정보산업에서의 경쟁은 기존 프로그램의 인터페이스(Interface)에 대한 자유로운 접근과 분석을 통하여 이루어지므로 결국, 컴퓨터 공학과 소프트웨어 기술의 발전을 위한 효율적인 규제를 위해서라면 저작권에 대한 보호를 계속하는 한편, 다른 편으로는 저작권이 저작권자와 경쟁하는 다른 사업자에게 지나친 제한이 되는 역효과를 사전에 방지하여야 할 것이다.

 우리나라는 저작권법이나 컴퓨터 프로그램보호법이 영미법과 같이 소위 “공정이용(Fair Dealings)” 규정을 두지 않고, 사적 복제⁶²⁾나 공표된 저작물의 이용에 대하여만 개별적이고 제한적인 예외규정을 두었을 뿐 역공정에 관한 허용근거를 입법화하지 아니하였다.

 그러나, 공표된 저작물의 이용은 역공정에 의한 기존제품의 분석이 끝난 다음에 새로운 경쟁제품을 만들면서 기존제품의 일부를 인용하는 경우에 한하여 적용될 수 있을 뿐이고, 사적 이용에 관한 규정은 개인적으로 이용하거나 가정에 준하는 한정된 범위 안에서만 허용된다고 할 것이므로 기업적인 차원에서 목적코드를 원시코드로 변환하는 역공정까지 포함한다고 할 수 없다.

 따라서, 기존 프로그램과의 호환성 확보에 필요한 정보를 획득하기 위한 목적으로 행하는 역공정을 허용하는 규정을 신설하거나 사적복제 규정을 조사, 연구, 시험, 비평, 주석 등의 목적을 위하여 필요한 범위 내에서 프로그램을 복제, 번역, 역공정을 허용하는 일반적인 공정이용규정으로 개정하여 역공정에 대한 법적 근거를 확실히 하여야 할 것이다.

 역공정은 특히, 고도의 산업화 기술을 축약한 반도체 집적회로에서 저작권과 관련하여 문제가 되는데 미국의 반도체 칩 보호법(Semi-conductor Chip Protection Act)⁶³⁾은 역공정의 실제적 필요성과 입증의 어려움을 고려하여 간접적으로 이를 인정하고 있다.

 우리나라도 반도체 칩의 경우에는 반도체 집적회로의 배치설계에 관한 법률이 제9조 제1항에서 교육, 연구, 분석 또는 평가 등의 목적이나 개인이 비영리적으로 사용하기 위한 복제 또는 복제의 대행, 그 결과에 의하여 제작된 것으로서 창작성이 있는 배치설계, 설계권자가 아닌 사람이 제작한 것으로서 창작성이 있는 동일한 배치설계에는 동법의 효력이 미치지 아니하도록 규정함으로써 산업현실에서 관행적으로 이루어지는 역공정을 인정하였다⁶⁴⁾.

 그러나, 어떤 범위의 행위들을 역공정에 의한 것으로 인정할 것인가와 그에 대한 립증책임, 권리침해에 대한 고의의 추정범위 등에 대한 법률적 검토가 이루어지지 않는다면, 반도체 칩 생산자 간 또는 국제무역분쟁은 더욱 심각해질 전망이다.

마. 자금세탁에 대한 대처

 1988년 유엔의 마약신협약⁶⁵⁾은 마약범죄 또는 동 범죄와 관련하여 파생된 재산의 출처를 은닉, 위장하거나 범죄자의 면책을 위하여 동 재산을 전환, 이전하는 행위, 또는 그러한 재산의 진정한 성질, 출처, 소재, 처분, 이동, 나아가 그러한 재산에 관련된 권리나 소유관계를 은닉, 위장하는 행위에 대한 처벌과 재산몰수 등을 규정하였다.

 또, 미국, 일본, 독일, 영국, 프랑스 등 많은 국가들이 자금세탁에 관한 규제법을 제정하여 자금세탁행위를 처벌하고, 범죄로 취득한 재산을 몰수하며, 자금세탁의 예방을 위하여 금융기관이나 도박장 등 비공식 환전업체로 하여금 일정한 금액 이상의 자금거래에 대하여는 당국에 신고하도록 하였다.

 우리도 금융실명거래 및 비밀보장에 관한 긴급재정경제명령에 따라 금융거래에 실명제를 도입하는 한편, 마약류사범의 경우에는 자금세탁된 불법수익을 몰수하고 그 취득자를 처벌하고 있지만,⁶⁶⁾ 정보사회의 진전이 계속되면서 새롭고, 보다 지능적인 자금세탁방법이 출현하고 있으므로 이러한 행위를 규제하기 위한 본격적 입법이 요구된다.

바. 전통범죄에의 이용에 대한 대처

 정보처리장치나 전산정보가 종래의 전통범죄에 이용되는 것은 이러한 수단들을 이용할 경우, 실제 행위자가 범죄현장에 없더라도 통신망을 이용한 범행이 가능하고, 증거인멸 및 신분은닉이 용이하고, 반복범행이 가능하기 때문이다.

 암호기술의 발달과 대중화에 따라 전자우편이나 전자문서가 암호화되고, 발신자의 전자주소를 은폐할 수 있는 기법이 통신망에서 더이상 남용되기 전에 암호사용과 익명 재전송제도(Anonimous Remailer)⁶⁷⁾등 새로운 양상에 대한 정확한 법적 평가와 합리적인 규제가 요망되고, 정보범죄가 더 이상 확산되기 이전에 종래의 법률을 일제히 검토함으로써 정보사회의 새로운 범죄태양에 대한 적용가능성을 확인하는 종합적인 작업이 필요한 시점이다.

 이와 함께 병행하여야 하는 것은 정보범죄에 대한 수사와 관련하여 인권침해를 가급적 피하면서도 신속하고 효과적인 범죄수사를 위한 법적인 배려를 고려하여야 한다는 점이다.

 미국 정부는 수년 전부터 국내전화에 대한 다중감청(Multi-point Wiretap)을 허용하는 입법을 시도하여 왔는데 특히 1990년대 후반에 들어 오클라호마 정부건물 폭파사건, 아틀란타 올림픽 기념공원 폭파사건, 다수의 항공기 테러사건 등으로 정보부재의 비난을 받아온 클린턴 정부는 여러 차례에 걸쳐 국내전화에 대한 광범위한 감청을 허용하는 입법을 제안하였지만, 인권단체들의 거센 저항으로 난항을 거듭하고 있다.

 또, 테러범죄의 격퇴를 위하여 긴급한 경우에 법관의 령장이 없이도 48시간동안 전화감청을 할 수 있도록 하는 소위 “긴급감청(Emergency Wiretap)” 이외에 현재 국제전화에서 국가안전보장을 목적으로 허용되고 있는 것처럼 수많은 전화통화를 통화중에(Realtime) 감청하는 것은 아니지만 여러 장소에서 전화통화 자체를 한꺼번에 디지털 형태로 저장하였다가(Multi-point Roving Wiretap) 그중에서 테러행위자의 음성을 디지털화한 성문(Voice Prints)을 컴퓨터가 찾아내도록 하는 형태로 감청을 허용하는 입법이 추진되고 있다.⁶⁸⁾

 한편, 위와 같이 정보처리장치 등을 전통범죄에 이용하는 행위를 처벌하더라도 반드시 유의할 점이 있다.

 가령, 음란한 내용을 담은 파일이나 소프트웨어의 게시, 판매, 전송 등과 관련하여 인터넷 접속서비스 제공사업자(ISP)⁶⁹⁾ 또는 온라인 게시판(BBS)이나 게시판 소그룹의 운영자에 대한 형사처벌은 매우 신중을 기하여야 한다.

 인터넷이나 온라인 게시판에는 엄청난 양의 정보가 전송되어 그 내용을 일일이 검사할 수도 없을 뿐만 아니라⁷⁰⁾ 내용에 대한 검사행위 자체가 파일 소유자에 대한 사생활 침해가 되기 때문이다.

 프랑스 경찰은 1996. 5. 인터넷 연결사업자의 사업장 9개소를 압수, 수색하여 두 사람의 사업자를 구속함으로써 정보자유론자들로부터 많은 비난을 받았는데 공중게시판, 인터넷 전송사업의 운영자나 토론그룹의 소위 “시솝(Sysop)”과 같은 사람들에 대한 처벌은 그들에게 단순히 미필적 고의가 있었는가에 대한 법률적 검토가 아니라 형사정책적으로 기대가능성과 처벌의 필요성에 대한 깊은 연구가 앞서야 할 것이다.

 이와 관련하여 언급되어야 할 것은 가상공간에서의 법률규제에도 현실세계에서와 마찬가지로 법과 도덕, 윤리와의 관계 등 법철학적인 과제가 상존한다는 점이다.

 

 중국은 국가안보와 인권상황 등을 고려하여 오래전부터 인터넷에 대한 검열을 계속하여 왔는데 1997. 12.부터 정보범죄에 대한 규제법을 새로 제정하여 실시하고 있다.

 새로운 법률은 컴퓨터 해킹과 바이러스, 기타 컴퓨터 관련범죄에 대한 처벌규정을 신설하고, 국가안전보장과 정권의 수호, 음란물의 차단, 테러의 방지를 위하여 인터넷에 대한 검열을 종전과 같이 유지하였다.

  동 법률은 인터넷을 이용하여 티베트, 신장성 무슬림지역 등에 대한 독립을 지원하거나 정부 국가기관을 모독하는 행위, 대만, 홍콩, 마카오 등 국제적으로 민감한 사안에 대한 유언비어를 유포하는 행위자와 이를 중개한 인터넷 서비스 제공사업자를 처벌하기로 하였다.

 

 싱가포르 당국은 1996. 7.부터 모든 인터넷 접속서비스 제공사업자들에게 등록을 요구하고, 인터넷을 정치적이나 종교적으로 이용하는 행위, 음란물을 전송, 저장, 게시하는 일체의 행위를 금하며, 이를 위반하는 업체에 대하여는 벌금은 물론 사업허가를 취소한다는 내용의 칙령을 공포하였다.

 아랍 에미리트(UAE)⁷¹⁾는 신문, 잡지, 서적, 영화에 대한 검열을 실시하여 왔는데 1995년에 2,500여개이던 인터넷 사업자가 1996년에 약 10,000여개로 급증하고, 정치적 의도를 포함하거나 음란물을 게재하는 웹사이트가 많아졌다는 이유로 1997. 1.부터 인터넷을 검열하고, 일정한 기준에 위반한 사용자에 대하여는 단호히 접속을 차단하는 법률을 시행하고 있다.⁷²⁾

 그러나, 이와 같은 조처는 규제라기보다는 탄압에 가까운 것이라고 비난하는 사람들이 많다.

 인터넷에서 음란물이나 정치적으로 민감한 내용의 유통을 제한하여야 한다는 전제에 선다 하더라도 과연 누가 인터넷의 모든 사이트와 전송내용을 감시하도록 할 것인가와 국가간의 문화차이와 도덕적 수용정도를 유념하지 아니한 상태에서 어떠한 기준으로 음란여부나 불온성을 판단할 것인가는 현실세계에서와 마찬가지로 가상공간에서도 중요한 과제가 될 수밖에 없다.

 

사. 유럽공동체의 권고안

 1995. 11. 유럽공동체 제543차 각료평의회(Council of Europe)는 정보범죄와 관련한 압수, 수색(Search & Seizure), 전자추적(Technical Surveillance), 수사기관에 대한 협조의무(Obligations to Cooperate with the Investigating Authorities), 전자 증거자료(Electronic Evidence)에 대한 증거능력과 증명력, 암호의 사용(Use of Encryption),⁷³⁾ 정보범죄에 관한 연구, 전략, 훈련(Research, Statistic and Training), 국제사법공조(International Cooperation) 등을 규정하는 형사소송법 개정권고안(Recommendation No. R(95) 13, Concerning Problems of Criminal Procedure Law Connected with Information Technology)⁷⁴⁾을 결의하였다.

 동 권고안은 정보범죄에 대한 법적 대처방안을 수립하는데 대단히 유용한 것으로 우리 입법에 좋은 참고가 될 것이다.

3. 기술적 대처방안

 법적인 대처방안과 함께 진행되어야 할 것은 바로 기술적인 대처방안이다.

 일취월장하여 발전하는 정보통신기술을 부가가치 창출에 적극적으로 응용하는 것도 중요하지만, 정보범죄의 새로운 양상에 대비하여 다각적, 효율적인 보안기술을 개발하고, 여러가지 인증방법과 안전장치를 통합한 복합적 안전장치를 확보하며, 암호체제와 그 응용기술에 대한 표준을 신속히 확정함으로써 ISDN, CDMA⁷⁵⁾, 초고속 통신망 등 새로운 형태의 기술전파에 대비한 완벽한 보안기술을 마련하는 것도 우리 정보산업의 시급한 과제의 하나이다.

가. 다각적인 보안기술의 개발

 해킹과 폰 프리킹 및 도청 등 통신망에서의 비정상적인 행위들은 곧바로 범죄행위로 연결될 가능성이 크므로 이러한 행위에 대하여 단순히 방화벽(Firewall) 설치기술로 이를 차단하는 것 이외에 실시간으로 이러한 침입을 방지하거나(Realtime Intrusion Detection System) 즉각 추적할 수 있는 기술을 개발하는 것이 시급하다.

   

 또한, ISS⁷⁶⁾, SATAN⁷⁷⁾, COPS⁷⁸⁾, SPI⁷⁹⁾등 컴퓨터 통신망에 대한 보안점검도구(System Security Tool)들이 오히려 해킹이나 폰 프리킹의 도구로 이용될 수도 있으므로 이러한 도구들의 오,남용에 대한 차단기술의 개발도 반드시 병행되어야 할 것이다.⁸⁰⁾

 또, 도청의 원리를 과학적으로 면밀히 분석하여 도청감지기술을 개발하고, 소프트웨어의 불법복제와 프라이버시 침해에 대하여는 파일 복제시 로깅(Login)은 물론, 복제행위 자체를 제한 또는 차단할 수 있는 암호화 기술을 개발하여야 한다.

 특히, 공공기관이나 백화점 등 사회조직들이 보유하는 개인정보 파일의 일괄복제로 인한 프라이버시 침해를 막기 위하여 복제방지기술의 확보는 현실적으로 매우 중요한 의미를 갖는다.

 컴퓨터 바이러스의 경우도 마찬가지다.

 컴퓨터 바이러스는 윈도즈 ‘95나 UNIX등 장차 새로운 운영체제에 대한 도전과 더불어 보다 더 은밀하고 기술적인 방법으로 출현할 것이 명백한데 AIDS 바이러스와 같은 알까기(Spawning) 바이러스⁸¹⁾에서 보듯이 컴퓨터 바이러스가 애초부터 반드시 자기복제기능을 개념요소로 하는 것은 아니다.

 따라서, 트로이안 호스(Trojan Horse)나 비밀문(Trap-door)과 같이 컴퓨터의 프로그램 내부에 포함되어 프로그램의 사용자가 모르는 사이에 프로그램 고유의 정상적인 정보처리기능이 아닌 비정상적인 정보처리기능을 수행하는 것 또는 악성 애플릿 처럼 정보처리장치의 중앙처리장치, 기억장치 기타 주변장치의 작동 등 정보처리기능에 장애를 초래하는 악성 프로그램 일체도 컴퓨터 바이러스의 범주에 포함하여 이에 대한 포괄적이고, 종합적인 대책을 강구하여야 할 것이다.

 이와 관련하여 언급이 필요한 것은 접속차단 기술의 확보이다.

 국제전기통신연합은 1995. 4.부터 북한에 국제전화 교환번호를 부여하였는바, 현재 국내에서 인공위성을 통한 콜백 제도(Call Back)를 이용하여 일반인들에게 값싼 국제전화 교환시스템을 제공하는 USA Global Link, CBM, Star Telecom 등 10여개의 외국 전화회사들이 내국인들에게 북한과의 직접 전화통화를 하게할 경우, 우리 전화국에는 아무런 흔적도 남지 않게 될 것이다.

 한편, 1996. 5.에는 북한을 홍보하는 인터넷 사이트(Internet Site)가 개설되어 제3의 개설자가 북한을 홍보한 적이 있었고, 1997. 9.에 북한을 찬양하는 내용의 홈페이지가 개설되었다는 이유로 www.geocities.com에 대한 접속이 차단되었던 일이 있다.

 그러나, 이러한 경우에도 북한이 아닌 다른 곳에 있는 사이트에의 차단에는 신중을 기하지 않으면 안될 것이다.

 왜냐하면 이러한 사이트들을 모두 차단한다는 것 자체가 현실적으로 불가능할 뿐만 아니라 이러한 사이트에 대한 접속자체를 차단하는 것은 동 사이트의 서버에 존재하는 다른 사이트나 링크(Link)된 사이트에 대한 접속도 함께 차단하는 부당한 조치가 될 수 있고, 단순히 국내에서 인터넷을 사용하는 사람들에게 접속을 차단하는 것만으로는 북한의 선전효과를 차단하는데 부족하며, 인터넷을 통하여 제공되는 정보의 양은 엄청나게 방대한 것이므로 북한이 기도하는 정치적 효과를 완전히 막아내기는 어려울 것이기 때문이다.⁸²⁾

 실제로 북한이 인터넷 사이트를 개설하여 국제간의 통신을 허용한다면, 국내에서 이들 사이트로 직접 접속하는 것은 차단이 가능하지만, 외국의 사이트를 거쳐서 행하는 통신에 대하여는 이를 차단하거나 증거를 확보할 방법이 없으므로 북한과의 접촉에 따른 부작용이나 국가보안법 위반행위를 예방하기 위하여 접속차단기술의 확보 등 신속한 기술적 대처가 필요하다고 본다.

 1996. 9. 독일에서도 정부가 네덜란드의 한 웹사이트(www.xs4all.nl)가 소위 “신나찌즘”의 부활주장 등 급진좌익의 정치적 성향을 노골적으로 들어낸다는 이유로 인터넷 서비스 제공업자들에게 “xs4all”을 가진 모든 사이트에 대한 접속을 차단하도록 강제함으로써 한동안 우리와 같은 논난이 계속되었다.

나. 복합적 안전장치의 확보

 정보범죄의 차단과 예방을 위하여는 다양하고, 복합적인 개인식별 시스템의 개발이 시급하다.

 사용자 식별과 인증에는

 첫째, 패스워드(Password)나 암호구(Pass-phrase) 처럼 사용자가 알고 있는 정보(Something You Know)를 이용하는 패스워드 제도,

 둘째, 사용자가 소유하고 있는 ID카드, 자기테이프 카드, 스마트카드 등 물리적인 고형장치(Something You Have)를 이용하는 토큰(Token)제도,

 셋째, 지문, 음성, 망막의 형태나 체온의 분포, 서명동작 등 사용자 신체의 일부(Something You Are)를 이용하는 생체측정 방법이 있다.⁸³⁾

 이러한 개인식별 방법은 사용자의 편의성과 시스템의 효율성도 고려하여야 함은 물론이지만, 스티븐 시갈(Steven Segal)이 주연한 “언더시즈 II”에서 볼 수 있는 것처럼 핵 발사장치 등 국가안전보장이나 공공의 안전에 직접 관련되는 장치의 작동에는 여러가지 식별방법을 혼합하여 복합적인 방법을 사용하여야 할 것이다.

 1995. 8. 미국의 알렉산드리아사는 사람의 얼굴을 적외선으로 촬영하여 얼굴의 형태, 혈관의 굵기와 분포에 따른 온도차를 이용한 동일성 인식 시스템을 개발하여 상용화하였는데 이와 같이 복합적이고 다양한 개인식별 시스템을 독자적으로 개발하는 것도 우리사회에서 정보범죄의 확산을 차단하는데 대단히 중요한 의미를 갖는다.

다. 암호체제에 관한 표준확정

 암호화 기법은 정보범죄를 차단하는데 독자적으로도 사용될 수 있지만, 암호의 분실이나 도용, 남용의 가능성 등 그 폐단을 전혀 배제할 수 없으므로 단순한 암호사용만으로는 정보범죄의 방지를 위한 효과적인 대처수단이 될 수 없다.

 또한, 가상세계(Cyberspace)에서의 전자 법률행위를 완벽하게 실현하고, 국가권력에 의한 조작가능성을 차단하는 등 현실세계에서와 동일한 정도의 안전을 확보하기 위하여 동일성의 인증과 인증일부인(Authentication and Authenticity Stamp), 전자서명(Digital Signature), 수신인의 부인차단 기능(Non-Repudiation Mechanism), 암호키의 관리(Key Management), 신원확인(Identity Verification)의 문제가 현실적으로 크게 대두하였다.

 위와 같은 시대적 요구에 부응하기 위하여 국제적으로 보안성을 인정받은 독자적 암호체계를 개발함과 동시에 월권대리와 표견대리 등 대리권의 적법성 여부와  수령부인을 차단하는 기능, 수신인을 지정할 수 있는 단독행위 등 법률행위의 독특한 부분을 암호학적으로 훌륭히 구사할 수 있게 하는 무색서명(Blind Signature)이나 다중서명(Multiple Signature), 부인차단 서명(Undeniable Signature), 지명서명(Nominative Signature), 단체서명(Group Signature), 안전장치서명(Fail-stop Signature)등 전자서명의 다양한 특수기능에 대한 표준을 설정하여야 하겠다.

 또, 송신시의 문서내용과 수령시의 내용에 대한 동일성의 검증을 가능하게 하는 전자화폐와 해쉬함수(Hash Function)에 관한 표준 등을 바탕으로 스마트카드(Smart Card), 전자화폐(E-Cash), 디지털 화폐(Digicash), 가상화폐(Cybercash), 전표없는 지갑(Checkfree Wallet) 등 다양한 형태로 진행중인 전자 상거래의 수단에 대한 기술표준을 정립하는 것도 정보사회에서 거래의 안전을 확보한다는 중요한 의미를 갖는다.

 나아가 암호사용의 폐단을 극복하고, 수사기관의 합법적인 감청을 보장하는 한편, 암호의 악용, 남용 등을 방지하기 위하여 최소한의 범위 내에서 정당한 국가권력을 사용할 수 있는 비밀문(Trapdoor) 설치기술의 개발도 반드시 필요한 기술적 과제의 하나이다.

 인터넷에서 회자하고 있는 버전 2.1 이후의 PGP나 미국의 전자서명의 표준인 DSS(Digital Signature Standard)에 비밀 문(Trapdoor)이 설치되었다는 공공연한 풍문과 미국의 새로운 암호표준이 될 ESS(Escrowed Encryption Standard; Skipjack)에 대하여 절대로 트랩도어가 설치되지 않았다고 공식적으로 발표되는 것 자체가 암호정책에서 국가의 관여가 얼마나 중요한 의미를 갖는가를 대변하여 준다.

 한편, 암호기술을 이용한 자금세탁행위의 추적방법에 대한 연구도 시급하다.

 1996. 4. 23. 샌프란시스코에서 개최된 에그몬트 그룹(Egmont Group)⁸⁴⁾의 회의에서는 세계 27개국의 금융정보, 치안관계 장관들이 국제적인 전자 자금이체에서는 전자서명 중 무색서명의 사용을 제한하는 등 암호를 사용하더라도 자금추적을 가능하게 하는 방법을 모색하였다.⁸⁵⁾

라. 신기술에 대한 보안대책 마련

 다음, ISDN, CDMA, 초고속 통신망 등 새로운 형태의 기술전파에 대비한 완벽한 보안기술을 마련하는 것도 우리 정보산업이 해결해야 할 과제의 하나이다.

 특히 새로운 기술의 발전과 관련하여 장차 전자 상거래의 핵심적인 기반이 될 IC 카드의 운영체제 COS(Chip Operating System)나 암호를 이용한 스마트카드, 전자서명 등에 외국의 특허를 사용하게 된다면 경제적 손실은 물론이고, 동 기술들이 보유하는 보안상의 취약점과 그에 따른 위험 또한 함께 부담할 수밖에 없음은 전술한 바 있다.

 종래의 정보범죄에 대하여 우리들이 대처한 기술적인 보호조치는 다양한 방면으로 진행되어 왔다.

 예를 들자면, 인터넷에서 서로 다른 통신망 사이에 패킷경로를 지정함으로써 특정한 통신망으로부터의 접속과 정보소통을 차단하게 하거나 지정된 시스템만을 통하여 사용, 접속을 허용하는 라우터(Router), 클라이언트(Client)에 대한 사용인증과 서비스를 제어하는 라이브러리(Library)⁸⁶⁾를 이용할 수 있게 하는 소프트 모듈(Soft Module),

 전자우편(E-mail)과 웹서버(Web Server)의 보호를 목적으로 하는 전자도구(Toolkit)⁸⁷⁾, 통신망의 안전을 위하여 설치한 블랙박스(Black box Program),⁸⁸⁾ 또는 각종 플랫폼(Platform)의 운영체제(Operating System) 자체에 대한 보안기능 내장⁸⁹⁾, 특정한 사이트 이외의 접근을 차단하기 위하여 설치하는 방화벽(Firewall) 등이 그것이다.

 그러나, 이러한 보호조치를 파괴하는 정보범죄에 대한 장기적이고, 본질적인 방어대책은 범죄자보다 기술력에서 우위를 확보하는 것뿐일 것이다.

4. 사회적 대처방안

가. 관계기관간의 연계활동

 미국은 FBI의 NCCS⁹⁰⁾, USSS⁹¹⁾와 같은 정보범죄 수사기관과 CIA, IRS(국세청), DEA(마약수사국), INR⁹²⁾, NSC(증권위원회), FinCEN 등 금융관련 정보,수사기관 그리고, NSA, NIST⁹³⁾, NCSC⁹⁴⁾ 등 보안표준기관, IETF⁹⁵⁾, CERT⁹⁶⁾, FIRST⁹⁷⁾, MIT의 커버러스(Kerberos), 퍼듀(Perdue) 대학의 COAST⁹⁸⁾ 등 컴퓨터 보안관련 민간단체나 연구소들의 정보를 상호 연계함으로써 모든 기관들이 정보 테이터 뱅크(Databank)를 연동구축하고, 이를 공동활용하고 있다.

 이러한 공조협력에 따라 미국의 수사기관들은 정보범죄자들의 자금이체과정을 발가벗김으로써 이란콘트라 스캔들(Iran-Contra Scandal)⁹⁹⁾의 수사를 완벽하게 수행하는 한편, 1990년 콜롬비아 마약조직인 메델린 카르텔(Medelin Cartel)¹⁰⁰⁾을 일망타진하고, 마약자금을 추적하여 5,400만 달러의 자산을 압수한 녹색얼음 작전(Green Ice)¹⁰¹⁾과 5억 달러 이상의 마약자금 세탁과정을 파헤친 폴라캡(Polar Cap) V 작전¹⁰²⁾, 회교 테러조직의 구성, 운영내역과 세계무역센터 폭파범의 검거 등에서 지대한 성과를 거두었다.

 그러나, 우리나라에서는 현재까지 정보범죄에 관한 종합적인 연구체제의 구축이 없이 관련기관이나 개인이 분야별, 독자적으로 연구를 행하여 왔다.

 다시 말하면, 컴퓨터 해킹은 소수의 컴퓨터 보안전문가, 폰 프리킹에 대하여는 전화국 관련자, 암호해독에 대하여는 국가안전기획부 등 일부기관, 컴퓨터 바이러스에 대하여는 바이러스 자체의 연구에 취미를 가진 일부 전문가가 각 범죄현상에 대하여 개별적인 연구를 진행하여 왔을 뿐 정보범죄의 전체적인 범죄현상에 대하여는 유기적, 총괄적인 연계활동이 거의 없었던 것이 현실이다.

 정보사회의 안전을 구축하기 위하여 수사기관과 연구소, 관련기업 등 유관기관 간에 종합적인 연구체제가 반드시 이루어져야 한다.

 신종 정보범죄나 대형 보안사고에 능동적으로 대처하기 위하여 분야별, 담당기관별로 행하고 있는 정보범죄에 대한 연구를 검찰 등 수사기관과 1996. 4. 설립된 정보보호센터 등 연구기관을 중심으로 정부와 관련업체 그리고 대학 등 연구소가 협력체제를 구축함으로써 집중적, 종합적으로 계속하여야 할 것이다.

 이와 함께 언론기관들의 정보범죄에 대한 지나친 보도경쟁은 범죄유발을 억제하기 위하여 어느 정도 자제되어야 한다고 본다.

나. 국제적인 공동연구

 국가발전의 정도에 따라 전산기술의 발전도 이에 부응하게 마련이고, 정보범죄는 각국의 문화적 배경, 법적 규제의 상이함, 직,간접적인 자국이익의 옹호 등으로 국제간의 갈등과 외교적 분규를 야기시킬 수도 있다.

 따라서, 정보범죄에 대한 연구와 정보범죄 수사관에 대한 훈련과 교육은 기술적인 면이던, 학문적인 면이던 간에 국제적인 협력이 부수되어야만 소기의 목적을 달성할 수 있을 것이다.

 다른 국가의 정보범죄에 대한 기술적인 정보는 물론, 법적 규제의 정도와 역기능에 대한 정보를 입수하여 비교, 검토하면서, 각 국가별로 발생하는 범죄현상을 국제적인 문제로 공동논의하고, 각국의 수사기관들이 첨단 범죄수법에 대하여 공동대처하여야 한다.

 이러한 노력 없이는 컴퓨터 산업의 후진국은 선진국으로부터의 범죄기술이 도입되었을 경우, 완전히 정보범죄의 천국(Computer Crime Havens)이 될 수밖에 없을 것이다.

 또, 최근에 신기술의 보고로서 암호학이나 정보보호에 관한 세계적 학술회의로 등장한 Crypto, Eurocrypt, Asiacrypt, IEEE¹⁰³⁾ 등에 보고되는 새로운 정보보호의 기법과 암호학의 새로운 동향을 신속히 파악함과 동시에 자금세탁에 관한 국제공동체인 FATF¹⁰⁴⁾ 등에도 적극 참여하고, 정보의 교류를 계속하여 범죄로 취득한 재산적 가치의 활용을 철저히 차단함으로써 실질적 정의가 구현하도록 하여야 할 것이다.

다. 자연과학과 사회과학의 공동연구

 사회의 발전과 진보에 효과적으로 기여하는데 기술이 먼저인가 법이 먼저인가에 대하여는 충분한 검토가 필요하다.

 정보범죄학은 자연과학의 첨단에서 발생하는 사회현상을 효과적으로 대처하기 위한 범죄학이라는 점에서 자연과학과 사회과학의 공동연구가 크게 요구되는 분야이기도 하다.

 정보사회에서는 기술이 먼저 발달한 다음, 이를 규제하는 법의 제정을 선도하는 것이 합목적적이다.

 따라서, 각종 기술에 대한 다양한 응용과 실험을 거친 다음, 최선의 기술을 보호하고 보편화하는데 필요한 범위 내에서만 규제가 행하여지는 것이 옳을 것이다.

 그러나, 행정목적이나 경제성만을 중시하여 법적 통제를 소홀히 함으로써 개발경쟁이 지나치게 심해진다거나 단말적인 기술의 사용만으로도 상당한 후방효과를 야기할 수 있다면 오히려 법률이 이를 적당히 제어하여야 올바른 기술개발의 방향을 유도하고, 국가적 이익을 보호함과 동시에 막대한 경제적, 시간적 손실을 줄일 수 있을 것이다.

 HDTV,¹⁰⁵⁾ CDMA 방식의 무선통신, 전자 주민카드와 같은 스마트카드, 전자화폐, 통신의 암호화 등 새로운 컴퓨터 기술을 다른 나라보다 먼저 개발하는 것은 대단히 바람직하지만, 그러한 제도나 기술을 반드시 우리나라가 세계 최초로 “실행”할 필요는 없는 것이다.

 장기적으로는 개발한 기술에 대하여 다른 기술이나 동종분야의 응용을 위한 전방효과와 후방효과를 고려하고, 비밀이나 프라이버시 침해를 방지할 수 있는 보안성, 장래 새로운 자원이나 기술에 의한 대체, 전환가능성 등을 검증한 다음에 그 기술을 실용화하는 것이 바람직할 것이다.

 반면에, 현실적으로 법이 너무 민감할 필요도 없다.

 가령, 1998. 1.부터 시행되는 개정 전기통신사업법이 인터넷 폰(Internet Phone)을 이용한 국제전화사업과 구내전화 교환사업, 소위 “콜백전화(Call-back Call)” 등에 대하여 시대에 민감하게 법률에 반영하였지만, 새로운 기술에 대한 입법은 그 기술의 시대적 기능과 장래의 역할 등에 대한 전반적, 거시적 검토를 거친 다음에 이루어져야 할 것이다.

 라. 정보보호산업의 육성

 정보범죄의 예방과 정보보호를 전문적으로 행하는 산업을 육성하는 것도 중요한 대처방안이 될 것이다.

 그러나, 우리나라의 현실은 암호체계의 표준이 아직 제정되지 아니한 상태에서 각종의 암호체계가 혼용되고 있어 암호사용에 대한 표준화가 점차 곤란해져가고 있는데다가 사회일반에 정보범죄에 대한 인식이 낮은 형편이어서 경영채산성이 낮을 수밖에 없으므로 정보보호산업은 자연히 중소 벤처기업 위주로 구성되어 자금사정 및 인력확보가 어려운 상황에서 독자적인 정보보호기술의 개발에 힘겨워하고 있다.

 그나마 이러한 벤처기업들의 정보보호기술마저 DES나 RSA등 외국암호표준을 응용하는등 외국기술에 의존하고 있는 것이 대부분이어서 기술을 제공한 나라에 대하여 보안상태가 개방된 실정이다.

 또, 정보보호산업에 대한 법적 규제와 제한도 일반산업체의 제한에 부가적인 제한까지 겹치고 있는 등 규제방법의 다변화 및 복잡성으로 정보보호산업의 발전이 지체되고 있다.

 즉, 과학기술부, 정보통신부, 산업자원부, 재정경제부, 국가정보원등 다양한 규제기관이 동일유사분야에 대한 감독을 중복적으로 행하거나 인,허가기관이 중복,다변화되어 있고, 각 부처 간의 이기주의와 주도권을 둘러싼 비협조적 관계로 전자서명법, 전자상거래법, 전자자금이체법등 정보사회의 새로운 분야에 대한 입법이 지연되면서 정보보호산업 육성에 관한 대책마련도 충분하지 못한 실정이다.

 산업활동의 기반마저 불확정한 상태에서 정보보호산업에 대한 규제법령도 정보화촉진기본법¹⁰⁶⁾등 복잡, 다단하고, 정보보호기술에 대한 평가기준¹⁰⁷⁾이나 평가지침서¹⁰⁸⁾등이 정보보호산업의 경영상 어려움이나 기업의 존재이유인 영리성 추구등을 고려하기 보다는 복잡하고 난해한 용어를 사용하는 등 전문가들의 입장만 고수한 나머지 정보보호산업의 육성을 저해하는 요소로 등장하고 있다.

 

 정보보호산업의 육성하기 위하여는 가능한 한 신속하게, 안전하고 독자적인 암호체계의 표준을 확정하고,  암호의 사용을 적절히 통제할 수 있는 입법을 제정하여 범죄집단의 암호사용과 범죄에의 악용을 차단하고, 국가정보기관, 수사기관, 대학, 연구소 및 정보보호산업체가 감독,조정의 주체와 대상이 아닌 진정한 파트너의 입장에서 긴밀한 공조활동을 통하여 정보보호기술에 대한 공동연구를 계속하여야 할 것이다.

 나아가 정보보호산업체와 국내 연구기관이나 외국 정보보호산업과의 인력을 교류하고, 선진 정보보호기술 개발자에 대한 집중지원이나 병역에 대한 특혜를 부여하는 등 정보보호 기술인력을 육성하는 한편, 신기술 개발이나 도입, 배포시 관세 등 제세를 감면하고, 연구자금을 보상지원하며, 정보보호산업을 규제하는 제반법규의 제한규정과 평가기준을 대폭 완화하고, 정보보호기술에 대한 평가절차를 더욱 간소화하여야 할 것이다.

마. 정보보험제도와 보안감리제도

 정보범죄는 경우에 따라 장기간에 걸쳐 대단히 큰 피해를 일으킬 수도 있으므로 피해자의 피해회복을 관련자 전체의 위험부담으로 전환하는 방법도 고려해 볼만한 제도이다.

 특히, 컴퓨터 해킹으로 광범위하게 연결된 정보처리조직이 완전마비된 경우나 컴퓨터 통신을 통한 사기, 컴퓨터 바이러스에 의한 대형사고 등에 대한 보험제도의 확립은 정보사회에 걸맞는 위험분산방법이 될 수 있을 것이다.

 나아가, 정부가 일정한 기간마다 CERT, CIAC¹⁰⁹⁾ 등 세계적인 전산보안 관련기구들과의 협조아래 전산보안을 위한 안전기준을 공시하고, 공공기관의 경우는 한국전산원과 같은 정부기관이, 개인이나 기업은 보안감리 대행기관이 해당 전산시스템의 보안상태를 감리하도록 하여 불이행자에 대하여는 과태료 부과, 인터넷 사이트로부터의 일정기간 차단 등의 불이익과 함께 정보보험 보험료의 할증, 보험가입 대상에서의 제외 등 강제적 요소를 동원함으로써 국가적 차원에서 보안기준을 상향시킬 수도 있을 것이다.¹¹⁰⁾

바. 정보전사들의 활동무대 보장

 현대 정보사회에서 국가는 정보범죄의 발생을 예방하고, 범죄자를 검거, 처벌하는 특별예방적 효과 이외에 범죄자들보다 월등한 기술력을 보유하여 그들의 범죄계획을 차단하고, 정보범죄의 영향을 최소화하는 한편, 검거한 범인을 엄벌함으로써 잠재적 범인들을 상대로 범행을 포기하게 하는 일반예방적 위하효과까지 거두어야 한다는 양면적 임무를 갖는다.

 정보범죄를 완벽히 구사할 수 있는 능력을 갖춘 사람이나 집단은 비상시에 국가를 위한 정보전사로서 활동할 수도 있으므로 이러한 사람들이나 집단을 건전하게 육성한다면, 정보범죄자들의 범행을 색출하여 실체적 정의를 구현하고, 범죄의 특별예방적 효과를 거양할 수 있을 뿐만 아니라 정보범죄자들에게 정보전사들의 월등한 실력을 과시함으로써 정보범죄의 도전을 사전에 차단할 수 있는 일반예방적 효과를 거둘 수도 있을 것이다.

 1996. 1. 미국에서는 한 해군장교가 공군의 전산시스템을 공격하여 해군과 공군간에 큰 문제를 야기한 일이 있는데 비공식적이라도 정보전사들의 활동무대를 보장한다는 것은 정보전쟁에 대비하는 중요한 의미를 갖는다.

 사실여부가 확인된 바는 없지만, 미국 육군사관학교에서는 1995년에 최초로 정보범죄를 전문으로 전공한 사관생도 4명을 배출하였다고 한다.

 국내에서도 1996. 4. 한국과학기술원(KAIST)의 KUS¹¹¹⁾와 포항공대의 PLUS¹¹²⁾ 사이의 상호 해킹사건이 발생하였는데 이러한 해킹경쟁에 따른 피해는 가상공간에 정보전사들을 위한 활동무대가 제대로 보장되지 않아 현실세계에서 커다란 피해를 야기한 것으로도 볼 수 있다.

사. 사회인식구조의 전환

 마지막으로 정보범죄를 차단하고, 피해를 최소화하는데 가장 중요한 것은 정보사회를 맞이하는 우리들의 인식구조에 대한 변환이라고 본다.

 즉, 일반 사용자들은 다른 사람의 고귀한 창작물인 컴퓨터 프로그램의 불법복제를 삼가고, 정보범죄에 대한 깊은 관심이 일반화될 수 있도록 패스워드 관리 등 정보범죄의 예방을 위한 교육을 사회교육의 한 부분으로 실시하여야 하며, 정보범죄로 피해를 입은 경우 이를 공개함으로써 범죄사례가 국가적으로 관리될 수 있도록 하여야 한다.

 한편, 기업과 정부는 전산담당자들의 전산보안에 대한 의견에 귀를 기울여 새로운 보안 시스템의 도입이나 보안기술에 대한 투자에 인색하여서는 안될 것이다.

 다시 말하면, 정보사회가 우리들이 거쳐야 할 시대적 요구라면 사회구성원 모두가 새로운 시대에 적응하기 위한 최소한의 부담을 각오하여야 한다는 현실적 각성이 전제되어야 한다는 것이다.

제5장 결론

 1997. 10. 미국 캘리포니아 공과대학은 반도체 칩의 표면에 쥐의 뇌에서 추출한 신경세포를 배양한 뒤 세포들간에 수상돌기를 연계하여 병렬적으로 의사소통이 가능한 뉴로칩(Neurochip)을 제작함으로써 생체물리학, 전자공학, 의학, 생물학 등의 경계를 초월하여 기계와 생체가 결합할 수 있음을 입증하였다.¹¹³⁾

 이로써 머지않아 생명체의 신경세포를 신호회로로 이용하는 컴퓨터나 기계를 만들 수 있음은 물론, 안구 등 인공생체의 제작가능성마저 배제할 수 없게 되었다.

 위와 같이 정보사회의 위력이 모든 학문과 사회생활에 걸쳐 확산되면서 새로운 정보의 소유에 관한 욕구가 급속한 속도로 부가가치를 창출하는 한편, 각국마다 새로운 첨단기술의 개발에 국가적 역량을 집중하고, 신기술을 독점적으로 향유하기 위한 보호조치의 필요성이 높아지면서 기업 또는 국가 간에 “정보수집을 위한 기술”과 “정보보호를 위한 또다른 기술”의 개발이 날로 치열해지고 있으므로 우리사회는 가히 정보전쟁에 돌입하였다고 하여도 과언이 아니다.

 정보사회를 촉진하는 갖가지 장비로 고도의 부가가치를 창조하려는 사업가들과 정보사회의 신속한 도래를 유권자들에 대한 가장 큰 득표요인으로 판단한 정치가들의 책략에 따라 정보사회는 급진전할 것이 분명하다.

 또, 정보사회의 구현으로 우리사회가 시간적, 공간적으로 현실세계(Real Space)와 가상세계(Cyber Space)로 나뉘어져 양자가 병존하는 가운데 가상세계에서도 전자 법률행위와 같이 법적 효력을 갖는 행위가 만들어지고, 의사소통에 따른 감정과 정보, 재산과 지식의 교환이 이루어짐으로써 정보사회의 새로운 기술과 제도들은 사회적, 문화적, 경제적으로 우리의 현실세계까지 윤택하게 할 것이지만, 반면에 가상세계에서의 의사표현과 감정표시에 대한 책임과 의무라는 새로운 제약도 수반될 것이다.

 왜냐하면, 가상의 공간에 대하여도 현실세계에 대하여 요구되는 것과 동일한 윤리적, 도덕적 의무가 부과되지 않으면 가상세계에서의 역기능이 현실세계로 전파, 확산되어 사회적, 문화적, 윤리적 역기능을 계속할 것임에 틀림없기 때문이다.

 이러한 상반된 양면관계 속에서도 현실세계에서 행하여지고 있는 범죄로부터의 인권보호, 질서유지, 공공복리를 위한 많은 사람들의 노력은 가상세계까지 실천이 시도되면서 보다 나은 현실세계를 창조하기 위한 우리들의 꿈은 계속될 것이다.

 산업혁명이 종래의 인적, 물적 자원에 새로운 기술을 도입함으로써 이루어졌듯이 정보사회 또한 기존의 자원을 토대로 이루어지는 것이므로 우리사회 기존의 범죄현상이 정보사회에서도 유사한 방법으로 발생할 것임은 불을 보듯 명백하지만, 이러한 부정적 현상에 대비하는 우리의 지혜가 실천적으로 행하여지는 이상 정보사회의 미래는 결코 어둡지만은 않을 것이다.

 세기의 명감독 스티븐 스필버그는 1996. 6. 최악의 폭풍우 속에 거행된 미국 뉴욕대학의 졸업식에서 명예 문학박사 학위를 수여받으면서 보랏빛 가운을 흠뻑 적신 채 “미래를 향해 폭풍우같이(Take the Future by Storm)”라는 한 마디로 수락연설에 갈음하였다고 한다.

 정보사회에 대한 무수한 도전에도 불구하고, 정보사회를 위한 인류의 노력이 미래를 향하여 폭풍우같이 진행될 것을 진심으로 기대한다.

    참  고  문  헌

1. 국내 문헌

강동범, 형법개정안의 컴퓨터 범죄규정에 관한 검토, 법조, 법무부, 1993. 3.

김윤행, 주석 형법각칙(하), 한국사법행정학회, 1990.

김종원 외, 컴퓨터 범죄와 이에 대한 현행형법의 대응에 관한 연구, 한국형사법학회, 1987.

백형구, 형사소송법 강의, 박영사, 1993.

법무부, 국제형사업무 자료집, 법무부, 1994.

법무연수원, 검찰직 신규실무자과정 교재, 법무연수원, 1993.

신각철, 컴퓨터와 법률문제, 법영사, 1992.

유기천, 형법각론 강의(하), 일조각, 1988.

이재상, 형법총론, 박영사, 1990.

이재우, 전산망의 총체적 안전보안대책, 전산보안 어떻게 해야하나, 한국전산원, 1995.

이  철, 컴퓨터 범죄의 법적 규제에 대한 연구, 박사학위 청구논문, 경희대학교, 1991.

-----, 컴퓨터 범죄와 소프트웨어보호, 박영사, 1995.

최영호, 정보화사회를 맞은 검찰의 역할, 검찰지 제100호, 대검찰청, 1990.

-----, 컴퓨터와 범죄현상, 컴퓨터출판사, 1995.

-----, 개정형법과 컴퓨터 범죄, 법조, 법조협회, 1996. 5-7월호.

-----, 컴퓨터 범죄에 대한 사회제도적 대처방안, 제18회 형사정책세미나 자료, 형사정책연구원, 1996.

2. 외국문헌

Bruce Schneier, Applied Cryptography, John Wiley & Sons, Inc. 2nd Edition, 1996.

Bruce Schneier and David Banisar. The Electronic Privacy Papers. Documents on the  Battle for Privacy in the Age of Surveillance, John Wiley & Sons, Inc. 1997.

Bruce Sterling, The Hacker Crackdown, Law and Disorder on the Electronic Frontier, Bantam Books, 1992

Carl H. Meyer and Stephen M. Matyas, Cryptography ; A new Demension in Computer Data Security, John Willy & Sons, 1982.

Charles P. Pfleeger, Security in Computing, Prentice Hall, 1989,

Charlie Kaufman, Radia Perlman, Mike Spenciner, Network Security, Prentice Hall, 1995. 

Clifford S. Fishman and Anne T. McKenna, Wiretapping and Eavesdropping, Clark   Boardman Callaghan. 1995.

Clifford Stoll, The Cuckoo's Egg, Double day Press, 1989.

Congress of The U.S., Office of Technology Assessment, Criminal Justice, New Technologies and the Constitution, 1989

------------------, Office of Technology Assessment, Electronic Surveillance and Civil Liberties, Congress of the U.S., 1989.

David A. Curry, UNIX System Security, Addison-Wesley, 1992.

Daniel C. Linch and Leslie Lundquist, Digital Money, John Wiley & Sons. Inc, 1996.

David Icove, Karl Segar and William VonStorch, Computer Crime; A Crimefighter's Handbook, O'reilly & Associates, 1995.

Dorothy E. Denning & Peter J. Denning, Internet Besieged: Countering Cyberspace Scofflaws, Addison-Wesley, 1998.

Frederick B. Cohen, A Short Course on the Computer Viruses, John Wiley & Sons. Inc, 2nd Edition, 1994.

George Smith, The Virus Creation Labs: A Journey Into the Underground, American Eagle Publications, 1994.

Imtiaz Malik, Computer Hacking : Detection and Protection, Coronet Books, 1996,

Jack Luger, Code Making and Code Breaking, Loompanics Unlimited, 1990,

Jay BloomBecker, Introduction to Computer Crime, 2d edition, NCCCD, 1988,

John Dale Hartman, Legal Guidelines for Covert Surveillance Operations in the Private             Sector, Butterworth-Heinemann, 1993

John McCormac, European Scrambling Systems 3 - Circuits, Tactics and Techniques, Waterford Univ., 1996.

Lance, J. Hoffman, Building a Big Brother; the Cryptologic Policy Debate, Springer-Verlag, 1995,

Lincoln D. Stein, "Web Security: A Step-by-Step Reference Guide", Addison-Wesley   Publishing Co., 1998.

Man Young Rhee, Cryptography and Secure Communications, McGraw-Hill, 1994.

Mark Ludwig, The Giant Black Book of Technological Boobytraps and Computer Viruses, American Eagle, 1995.

Michael Paul Johnson, Data Compression and MPJ Encryption Algorithm, Thesis for MS Degree, University of Colorado, 1989.

Michael Weiner, Efficient DES Key Search, Bell Northern Research, 1993.

Min Chen, William Popper and Larry Anderson, The Internet Hacker's Handbook, Carnegie Press, 1994,

Peter G. Neumann, Computer-related Risks, Addison- Wesley Press, 1995.

Peter Nils Grabosky, Russell G. Smith, Crime in the digital age : controlling    telecommunications and cyberspace illegalities, The Federation Press, 1998.

Ravi Kalakota and Andrew B. Whinston, Frontiers of Electronic Commerce, Addison-Wesley, 1995,

Rohit Khare, Web Security: A Matter of Trust, O'Reilly & Associates, 1997.

Simon Garfinkel and Gene Spafford, Practical UNIX and Internet Security, 2nd Edition, O'reilly & Associates, 1996.

Ulrich Sieber, The International Handbook on Computer Crime, John Wiley & Sons, 1986.

U.S. Department of Justice, Justice Management Devision, Basic Considerations in Investigation and Proving Computer-Related Federal Crimes, 1988.

----------------------, Law Enforcement Administration, Computer Crime, Criminal Justice Resource Manual, 1982.

Vesselin Bontchev, Methodology of Computer Anti-virus Research, Ph.D. Thesis, University of Hamburg, 1994(In English).

Whitfield Diffie and Susan Landau, Privacy on the Line : Politics of Wiretapping and Encryption, MIT Press, 1998.

William M. Johnson, Eavesdropping, Technical Surveillance & Technical Surveillance Countermeasures, Business Espionage Controls & Counter measures Association, 1993.

William R. Cheswick and Steven M. Bellovin, Firewalls and Internet Security, Repelling the Wily Hacker, Addison-Wesley Pub Co, 1994.

William Stallings, Internet Security Handbook, IDG Books Worldwide, Inc., 1996.

Winn Schwartau, Information Warfare, Chaos on the Electronic Superhighway, Thunder's Mouth Press, 1994.

---

1) ECPA; Encrypted Communications Privacy Act, 일명 Leahy Bill이라고도 한다.

 

2) 실제로 우리나라에서도 1998. 7. 금융산업의 구조개선에 관한 법률에 따라 5개의 시중은행이 다른 은행들에 통폐합되면서 퇴출되는 은행들의 전산담당직원들이 금융관련 전산기의 비밀번호를 변경하거나 출근거부등으로 전산기를 가동할 수 없게 함으로써 금융업무에 큰 혼란을 야기하였다.

 

3) 조건부 승인(Key Escrow)이란 암호화나 복호화의 과정에 키복구(Key Recovery)체제를 마련하여 암호화된 내용을 해독할 수 있는 소위 마스터키(Master Key)를 별도로 국가가 관리하도록 하자는 암호정책이다.

 

4) E. J. Koops, Crypto Law Survey, Overview per Country, http://cwis.kub.nl/~frw/ people/koops/lawsurvy.htm 및 http://www.gilc.org/crypto/crypto-survey.html 참조.

 

5) 소위, 스크램블러를 이용한 한정수신 서비스를 말한다.

 

6) 국제경제협력개발기구(Organization of Economic Co-operation and Development)

 

7) http://www.oecd.org/dsti/sti/it/secur/prod/GD97-204.htm 참조.

 

8) Federal Agency for Government Communications and Information (FAPSI); 연방정보통신첩보부.

 

9) 우편통신협회(BIPT; Belgian Institute for Postal Services and Telecommunicat -ion).

 

10) 벨기에 통신법 제202조 참조.

 

11) 동법 제203조 참조.

 

12) For exporting  any other kind of cryptography, apart from once depositing administrative and technical details needed for user or delivery authorisation, a licence is needed for each exportation.  E. J. Koops, Crypto Law Survey, Overview per Country, http://cwis.kub.nl/~frw/ people/koops/cls2.htm 참조.

 

13) 캡스톤 칩은 미국 정부가 1987년 제정된 컴퓨터보안법(Computer Security Act)에 따라 일반인이 사용할 수 있는 암호화 기술표준을 개발하여 클리퍼 칩과 마찬가지로 하나의 칩에 구현하려는 계획이다. 캡스톤 칩은 암호화에 80비트 길이의 키를 사용하고, 클리퍼 칩에 구현되는 모든 기능을 포함할 뿐만 아니라 디지털 서명표준(DSA), 해쉬 알고리즘 표준(SHA), 범용 지수 알고리즘과 범용 난수발생기 등에 관한 것도 포함하지만, 키 교환에 관한 프로토콜은 어떤 것을 사용하는지 확정되지 않은 것으로 알려졌다. Daniel C. Lynch, Leslie Lundquist, 전게서, p.95.

 

14) Daniel C. Lynch, Leslie Lundquist, 전게서, p.96.

 

15) 암호제작자인 론(Rone Rivest)의 코드 II.

 

16) 암호제작자인 론(Rone Rivest)의 코드 IV.

 

17) Daniel C. Lynch, Leslie Lundquist, 전게서, p.86.

 

18) http://www.microsoft.com/industry/finserv/m_finserv/m_fordev_g.html 참조

 

19) 쿠바, 리비아, 이라크, 북한, 세르비아, 몬테니그로, 르완다, 이란 및 크로아티아와 보스니아 헤르체고비나의 특정지역은 소위 엠바고 지역으로 특별한 제한을 하고 있다. http:/www.jya.com /746. htm 참조.

 

20) EAR at 15 CFR 740.4, http://jya.com/eartoc.htm, http://jya.com/740.htm 참조.

 

21) Encrypted Communications Privacy Act, S. 376.

 

22) Security And Freedom through Encryption Act, HR. 695.

 

23) Promotion of Commerce On-line in the Digital Era Act, S. 377.

 

24) Secure Public Networks Act.

 

25) http://www.toad.com/~dnssec 참조.

 

26) RSAREF는 암호제작에 사용되는 라이브러리의 하나로서 RSA 데이터 시큐리티사가 1997. 10. 제작한 “DNSsafe”의 전신이라고 할 수 있다.

 

27) 앞서 본 것 처럼 우리나라도 바스나 협정에 가입하여 위험국에 대한 암호통제가 이루어지고 있음은 물론이지만, 우리나라가 개발한 암호화 알고리즘이 국제적으로 중요성을 갖지 못하므로 동 협정은 우리나라에서의 수출에 관한 한 큰 의미가 없다고 할 수 있다.

 

28) 동법 제146조 제2호 참조.

 

29) 동 규정 제2조 제3호 및 제5조 제1항 참조.

 

30) Electronic Data Interchange.

 

31) Society for Worldwide Interbank Financial Telecommunication.

 

32) 미국의 전자서명표준인 DSA(Digital Signature Algorithm)와 이름은 같지만 전혀 별개의 알고리즘이다.

 

33) HSM(Hardware Security Module); TRM(Tamper Resistant Module)이라는 일종의 암호화 장비로 암호화 키에 대한 모든 정보를 물리적으로 보안하는 모듈을 설치하여 모든 암호화 작업은 TRM 내부에서 이루어지고 한번 이식되어 들어가 보관된 암호화 키는 다시 읽을 수 없도록 되어 있다.

 

34) 해쉬함수에 대하여는 1996. 12. 14. 정보통신부 고시 제1996-107호(한국전산망 표준)의 하나로 고시되었다.

 

35) Netscape나 Explorer와 같이 사용자가 목적하는 정보를 쉽게 찾을 수 있도록 설계된 브라우저

 

36) UNCITRAL Model Law on Electric Commerce, http://www.un.or.at/uncitral/texts/ electcom/ ml-ec.htm, 동법 제13조 내지 제15조 참조.

 

37) http://www.aafp.org/family/testimon/paper-in.html

 

38) 전자 의사표시에 의한 계약의 성립시기를 발신주의로 할 것인가 도달주의로 할 것인가, 발신주의를 채택할 경우, 어떤 데이터를 어느 시점에서 승낙으로 볼 것인가, 승낙의 통지가 청약자에게 도달하지 아니한 경우의 법률관계 등의 문제이다.

 

39) 송신된 전자 의사표시의 철회, 변경 및 착오, 사기, 강박에 의한 전자 의사표시의 무효, 취소를 어떤 범위내에서 인정할 것인지, 본인을 가장한 타인에 의한 전자 의사표시에 대한 표현대리 문제에 대하여도 명확한 규정을 두어야 할 것이다.

 

40) 통신회선의 장애로 인한 의사표시의 미도달시 법률효과 등의 문제이다.

 

41) 영국의 EDI표준계약 참조.

 

42) 이러한 경우에는 독점규제 및 공정거래에 관한 법률 제23조 제2항에 의하여 불공정거래행위로 간주되는 경우가 많을 것이다.

 

43) 정동윤, 어음수표법, 법문사, 1995, p.615, p.626 참조.

 

44) Electronic Fund Transfer Act, 15 U.S.C. Sec. 1693.

 

45) http://www.moody.af.mil/wg/ja/eft.htm

 

46) 우리 민법상 채권의 준점유자에 변제의 법리(민법 제470조)에 따라 금융기관은 면책되고 카드를 발급받은 고객이 전액 책임을 지게 될 것이다.

 

47) 미국의 전자 자금이체법은 불법사용이 있을 경우에 고객은 카드(The debit card)의 분실이나 절도를 2일 이내에 금융기관에 통지한 경우에는 50불을 한도로 하고, 2일 이내에 통지를 하지 않은 경우에 금융기관이 통지를 수령하였다면 불법사용을 차단할 수 있었음을 입증하면 500불을 한도로 책임을 지도록 규정하고, 60일이 경과할 때까지 통지하지 않은 경우에 금융기관이 통지를 수령하였다면 불법사용을 차단할 수 있었음을 입증하면 무한책임을 부담하도록 규정한다. 15 U.S.C. Sec. 1693g(a) 등 참조.

 

48) 제한적 면책을 위하여 고객은 잘못된 계산서를 수령한 때로부터 60일 이내에 금융기관에 구두 또는 서면으로 성명, 구좌번호, 오류의 내용과 그 사유를 통지하여야 한다고 규정한다. 15 U.S.C. Sec. 1693h 등 참조.

 

49) 미국 전자 자금이체법(EFTA; Electronic Fund Transfer Act, U.S.C. Sec. 1693g) 및 연방시행규칙(Federal Register; Regulation E), http:/www.ny.frb.org/bankinfo/circular /10978. pdf 참조.

 

50) 미국법은 규정위반시 국내거래의 경우에는 1년 이하의 징역 또는 5,000달러 이하의 벌금에, 국제적 거래에 관련한 범행시는 10년 이하의 징역 또는 10,000달러 이하의 벌금에 처하도록 하여 국제적 거래와 국내거래를 구분하여 처벌한다.

 

51) 미국의 전자 자금이체법도 고객이 개인인식번호(PIN)를 현금카드와 함께 사용하지 않거나, 두 가지 모두 없는 상태에서 자금이체를 하더라도 금융기관은 그로 인한 책임을 제한할 수 없도록 규정하고 있다(The financial institution may not try to limit its liability if the consumer is negligent in co-locating the ATM card with the PIN number and both are stolen and used).

 

52) http://cwis.kub.nl/~frw/people/hof/ds-lawsu.htm

 

53) 제4장 2.의 나. (2) 참조.

 

54) http://www.geocities.com/Tokyo/9239/digisign.html 참조.

 

55) 말레이시아 전자서명법은 인증서에는 인증기관이 아는한 잘못된 정보가 포함되어 있지 않다는 사실, 인증서는 이 법의 모든 요구사항을 충족하고 있다는 사실, 인증기관은 인증서 발행에 있어 제한을 초과한 사실이 없다는 사실을 보증하는 것으로 하고 있다. 동법 제34조 참조.

 

56) 말레이시아 전자서명법은 인증기관의 인증서 발행으로 그에 포함된 정보를 신뢰하는 선의의 제3자에게 인증서에 포함된 정보와 인증기관의 확인이 진실하다는 것과 인증서를 신뢰할 만한 중요한 모든 정보가 인증서내에 표시되었다는 사실, 인증서에 표창된 신청인은 인증서를 수락하였다는 것과 인증기관이 관련법률에 따라 인증서를 적법하게 발행하였다는 사실이 확인된 것으로 본다고 한다. 동법 제36조 참조.

 

57) 말레이시아 전자서명법은 인증기관이 인증서에 포함된 공개키와 일치하는 비밀키를 보유하는 때에는 인증기관이 신청인의 신탁인으로서 비밀키를 보유하는 것으로 보고, 신청인이 서면으로 다른 조건에 따라 비밀키를 보유한다는 사실을 명백히 하지 아니한 이상 신청인이 사전에 서면으로 동의한 경우에만 비밀키를 사용할 수 있다고 한다. 동법 제45조 참조.

 

58) 확정일자/시간 서비스, 메시지나 서명 또는 인증서에 일자, 시간을 나타내는 전자서명한 표시를 덧붙이거나 추가하고, 그 표시를 덧붙이거나 추가한 자의 신분을 함께 추가하거나 추가된 표시를 말한다. 말레이시아 전자서명법 제2조 참조.

 

59) http://www.wipo.org/eng/doplconf/distrib/94dc.htm 및 95dc.htm 참조.

 

60) Rivest-Shamir-Adleman Inc.

 

61) 특허법은 자연법칙을 이용한 기술적 사상의 창작으로서 고도한 발명만을 보호대상으로 한다(동법 제2조 참조).

 

62) 컴퓨터프로그램보호법 제12조 제4호, 저작권법 제27조 참조.

 

63) Semiconductor Chip Protection Act of 1984.(P.L. 98-62, chapter 9 of title 17 U.S.C.), http://vpr2.admin.arizona.edu/ott/Chipmenu.htm 참조.

 

64) 졸저, 전게서, p. 506. 이하 참조.

 

65) UN Convention Against Illicit Traffic in Narcotic Drugs and Psychotropic Substances; 마약 및 향정신성물질의 부정거래방지에 관한 협약.

 

66) 마약류 불법거래방지에 관한 특례법 제7,8조, 제13조 내지 제18조 참조.

 

67) 익명재전송장치에는 반익명과 전익명의 두 가지 종류가 있다. 반익명의 재전송(Pseudo Remailer)은 엄밀한 의미에서는 익명재전송장치가 아니지만, 익명사용을 원하는 가입자에게 계정을 부여하고, 재전송 프로그램을 구동하는 컴퓨터가 PGP와 같은 암호화 프로그램을 이용하여 발신자를 은닉하는 방법을 사용한다. 이 방법은 재전송장치의 운영자와 가입자 사이에 가입절차등 의사소통의 기회가 있지만, 운영자쪽에서 발신인을 알 수 있으므로 운영자의 필요나 압수,수색에 의하여 신원의 노출가능성이 있다는 보안상의 한계가 있다.

 진정한 의미의 익명재전송장치는 전익명 재전송으로 사이버펑크(Cypherpunk)에서 운영하는 것과 Lance Cottrell이 제작한 것으로 알려진 믹스 마스터(Mixmaster) 재전송장치가 있는데 암호학에서 중요한 연구대상인 혼합이론(Mixmaster Theory)를 이용한 것으로 재전송장치의 운영자까지도 발신인을 알 수 없어 완벽한 보안이 보장되는 것으로 알려져있다. 세계적으로 가장 유명한 익명재전송장치는 핀란드의 Johan Helsingius가 운영하는 anon.penet.fi로 julf@penet. fi에 전자우편으로 신청하면 계정을 얻을 수 있다.

 

68) http://www.imperium.net/~colombo/wiretap.htm 참조

 

69) ISP ; Internet Service Operator.

 

70) 예컨대, 인터넷의 뉴즈그룹만 하여도 800-1,000여개의 그룹으로 수십만개의 파일이 전송되고 있으므로 가령, alt.binaries.pedophilia와 같이 이름자체로서 해악성이 높은 것에 대하여는 내용을 검사하는 것이 어렵지 않겠지만, 뉴스그룹 전체에 대하여 모두 검열한다는 자체가 물리적으로 불가능하다.

 

71) UAE; United Arab Emirates.

 

72) http://www.infowar.com/CIVIL_DE/civil_8.html-ssi 참조

 

73) 범죄수사에 암호를 사용하는 소극적인 영향을 최소화하여 합법적인 암호의 사용에 영향을 미치지 않도록 하는데 주력해야한다고 한다. 동 권고안 제14항 참조.

 

74) http://www.privacy.org/pi/intl_orgs/coe/info_tech_1995.html.

 

75) Code Division Multi-Access; 코드분할 다중접속방법.

 

76) Internet Security Scanner.

 

77) Security Administrator Tool for Analyzing Netwoks.

 

78) Computerized Oracle and Password System.

 

79) Security Profile Inspector.

 

80) 다른 사람이 키보드로 입력하는 내용을 그대로 감시할 수 있는 방법으로는 보통 TCP를 가로채는 수법이 이용된다. 이러한 기술은 1987년 KGB의 사주로 인터넷을 이용하여 미국의 군사정보를 수집하던 해커들을 적발하여 “뻐꾸기의 알(The Cukoo's Egg)”로 유명한 클리포드 스톨(Clifford Stoll)이 최초로 구사하였는데 그후 훨씬더 기술적인 방법들이 해커들에 의하여 개발되어왔다. 1995. 10.경 해커추적용으로 인터넷을 통하여 널리 판매되던 “TCP Spy 1.0”이라는 프로그램은 오히려 해커들이 해킹에 이용되었다.

 

81) 알까기형 바이러스는 운영체제의 특징을 이용하여 같은 화일이름을 갖는 화일을 바이러스 루틴(벡타)으로 만들어 같은 이름의 정상적인 화일보다 우선순위를 먼저 가로채어 다른 화일에 같은 방법으로 알을 까는 방법으로 복제를 계속하는 바이러스 프로그램으로 동료 바이러스(Companion Virus) 또는 우선순위 바이러스(Precedence Virus)라고도 한다.

 

82)  따라서 접속자체를 차단해야할 대상은 북한이나 조총련등 우리의 적으로 간주되는 집단에서 공식적으로 도메인을 받은 사이트로 한정하고, 인터넷에 북한보다 훨씬 효과적이고 수준높은 홍보활동을 계속한다면 자유민주주의체제를 수호하려는 우리의 목적은 어렵지않게 달성할 수 있을 것이다.

 

83) 상세한 것은 졸저, 전게서, p.163 이하 참조.

 

84) 최초 회의는 1990년에 벨기에 브뤼셀의 에그몬트 아넨베르그(Egmont-Anenberg) 궁에서 개최되었다는 이유로 그와 같이 명명되었다.

 

85) http://www.state.gov/www/global/narcotics_law/1996_narc_report/money96.html 참조.

 

86) 이를 Socks, 또는 Sockets라고도 한다.

 

87) 예컨대, TIS(Trusted Information Systems)의 Firewalls Toolkit과 같은 것.

 

88) 예컨대, IBM RS/6000이나 SUN의 시스템에서 운용되는 ANS Core Systems의 “InterLock”이나 PC상에서도 운용이 가능한 BNT(Border Network Technologies)의 “Janus”등을 들 수 있다.

 

89) 예컨대, Secure Computing사의 “Sidewinder”나 Harris사의 “Night Hawk”, “Cyber guard” 등을 예로 들 수 있다.

 

90) National Computer Crime Squad; 국립 컴퓨터범죄 수사대.

 

91) United States Secret Service; 재무성 비밀수사국.

 

92) 국무성 정보수사국.

 

93) National Institute of Standard and Technology; 국가기술표준국.

 

94) National Computer Security Center; 국립 컴퓨터 안전센터.

 

95) Internet Engineering Task Force; 인터넷 기술지원단.

 

96) Computer Emergency Response Team; 컴퓨터 비상대응팀.

 

97) Forum of Incident Response and Security Teams; 전산사고 처리예방단 포럼.

 

98) Computer Operations, Audit and Security Technology; 컴퓨터 운영감시안전대책반.

 

99) http://qpr.qq.com/v/research.pl/qprqq/1565840240/av/880113/key1d/qpremiumm, http: //www.seas.gwu.edu/nsarchive/nsa/publications/DOC_readers/icread/icread.html 등 참조.

 

100) http://www.legalize-usa.org/documents/HTML/noam.htm 참조.

 

101) http://www.techmgmt.com/restore/brother.htm 참조.

 

102) http://teaminfinity.com/~ralph/FinCEN.html 참조.

 

103) Institute of Electrical and Electronics Engineers; 전기전자기술자협회.

 

104) Financial Action Task Force; OECD의 자금회전추적단, http://www.oecd.org/fatf/ about.htm 참조.

 

105) High Density TV.

 

106) 동법 제15조, 동법 시행령 제16조 등 참조.

 

107) 정보화촉진기본법에 따라 정보통신부와 한국정보보호센터가 평가기준을 제정,고시하고 있다.

 

108) 위 평가기준에 따라 한국정보보호센터(KISA)가 정보보호기술의 등급을 K1-K7의 7등급으로 나누고, 암호 알고리즘을 이용하는등 비밀성이 포함된 경우에는 각 등급마다 “E”를 부가하여 국가정보원의 심사를 병행하게 하고 있다.

 

109) Computer Incident Advisory Capability.

 

110) 일본은 정보처리촉진에 관한 법률 제6조 제1항에서 정보처리시스템 감사기술자 제도를 설치하고, 감사합격업체 등에 대하여 금융,세제상의 지원을 하고 있다.

 

111) KAIST UNIX Society.

 

112) POSTECH Laboratory for UNIX Security.

 

113) 중앙일보 1997. 11. 4.자 23면