징벌적 과징금 최대 30배 부과하는 `랜섬웨어 특별법` 나오나

`랜섬웨어` 범죄 행위에 처벌을 강화하는 내용의 `랜섬웨어 특별법` 마련이 추진된다. 최대 3배까지 징벌적 손해배상을 가능하도록 하고 위반행위로 얻은 이익의 10배~30배 범위에서 징벌적 과징금을 부과한다.

지난해부터 피해가 급증한 랜섬웨어 범죄를 명확히 규정해 법률적 공백을 최소화한다는 취지다. 다만, 대부분 유포자가 해외에 있는데다 추적이 어려워 예방 환경 조성이 우선돼야 한다는 의견도 일각에서 제기된다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

이원욱 더불어민주당 의원은 최근 이 같은 내용의 `정보통신망 이용촉진 및 정보 보호 등에 관한 법률(정보통신망법)` 개정안을 대표 발의했다.

랜섬웨어는 몸값을 의미하는 `랜섬(Ransom)`과 제품을 뜻하는 `웨어(Ware)`의 합성어다. 감염되면 컴퓨터 안에 있는 데이터를 사용하지 못하도록 무단으로 `암호화`해 인질로 잡는다. 풀어주는 대가로 수십만원에서 수백만원대 몸값을 요구한다.

이 의원은 현행 정보통신망법에서는 아직 랜섬웨어 범죄에 대한 명시적 규정 없이 동법 제48조 제2항에서 정하는 바에 따라 통상 `해킹`과 같이 취급한다고 지적했다. 국내외에서 랜섬웨어가 급속 유행함에도 명백한 손해배상 규정 등이 없다는 설명이다.

개정안에는 `누구든지 정보통신망에 무단으로 침입하여 데이터 또는 프로그램 등을 함호화해서는 아니된다`는 조항을 신설한다. 감염 피해자 손해액에 대한 최대 3배 징벌적 손해배상과 위반 행위로 얻은 이익의 10배 이상 30배 이하 과징금 부과 규정도 담았다.

이 의원은 “(랜섬웨어 범죄와 같은) 신종 해킹 범죄에 대한 법률적 공백을 최소화하기 위해서라도 우리 국회가 이런 해킹 관련 입법에 신속히 대응할 필요가 있다고”법안 취지를 밝혔다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

하지만 대부분 랜섬웨어 유포자가 해외에 있어 법안이 마련되더라도 적용이 쉽지 않을 것이라는 의견도 제기된다.

랜섬웨어는 악성 파일을 첨부한 이메일이나 보안이 취약한 웹사이트 등을 통해서 유포된다. 올해 6월에는 광고배너를 유포 경로로 악용한 `멀버타이징` 기법으로 대형 인터넷커뮤니티 `뽐뿌`에서 대규모 피해가 발생했다. 몸값 지불은 주로 추적이 힘든 가상화폐 `비트코인`을 요구했다.

한 보안 전문가는 “랜섬웨어를 유포하는 해커는 대부분 러시아 등 해외가 근거지”라며 “비트코인도 사실상 추적이 불가능하기 때문에 법안 실효성이 있을지는 의문”이라고 말했다.

해커에 대한 처벌 규정도 중요하지만 랜섬웨어 유포를 막는 예방 환경 조성과 보안 강화가 우선 필요하다는 의견도 나온다.

이형택 랜섬웨어침해대응센터장은 “사회적 문제로 떠오른 랜섬웨어를 명확히 반영했다는 점에서 의미가 크다”면서도 “유포지로 악용되는 웹사이트 보안에 대한 책임 소재 규명이나 해커에게 범죄 수익이 전달될 수 있는 일부 복구대행 업체에 대한 신고·허가제 검토 등 범죄 억제 효과에 대한 고민도 필요하다”고 말했다.

박정은기자 jepark@etnews.com