[디지털데일리 이민형기자] 최근 국내 IT커뮤니티 사이트가 외부의 공격을 받아 랜섬웨어 악성코드를 유포하는 사건이 발생했다. 이로 인해 많은 사용자들이 랜섬웨어에 감염돼 데이터를 망실하고 복구비용을 들이는 등의 피해를 입었다.

웹사이트를 변조해 악성코드를 유포하는 사례는 흔하게 찾아볼 수 있다. 파밍, 피싱 등에 사용되는 악성코드들은 대부분 웹사이트를 통해 유포되고 있다. 이번에 발생한 랜섬웨어 사고의 경우 파밍 악성코드의 사례와 동일하지만, 악성코드에 감염되자마자 피해사실을 알아챌 수 있다는 점때문에 큰 이슈로 떠올랐다.

이번 사건과 관련 보안업계와 법조계에서는 ‘악성코드를 유포한 웹사이트의 책임이 어디까지인지’에 대한 논의가 진행되고 있다. 악성코드 유포를 탐지하지 못하고 방치한 웹사이트 관리자의 책임이 있다는 주장과 해킹을 당한 웹사이트 관리자 역시 피해자라는 입장이 공존하고 있다.

특히 사물인터넷 시대의 도래로 해킹으로 인한 피해가 인명사고로 이어질 수 있다는 점을 들며 관련법의 정비가 필요하다는 지적도 제기됐다.

우선 보안업계 현업인들은 악성코드를 유포한 웹사이트 관리자가 피해자이자 가해자라고 지적했다. 웹사이트 해킹에 대해서는 피해자지만, 웹사이트 사용자들이 악성코드 유포로 인해 피해를 입었다면 가해자이기도 하다는 주장이다.

업계 관계자는 “외부로부터 공격을 받아 웹사이트가 위변조됐다면 그것만으로는 피해자다. 하지만 이를 알고도 적절한 조치를 취하지 않고 사용자가 악성코드에 감염되도록 방치했다면 피해자가 아니라 가해자”라고 지적했다.

또 다른 관계자는 “웹사이트 관리자는 사용자들이 안전하게 서비스를 사용할 수 있도록 조치를 해야할 의무가 있다. 제대로 관리를 했다면 웹사이트에서 악성코드를 유포하거나 경유하도록 허용하지 않았을 것”이라며 “기업과 소비자의 관계에 있어서 웹사이트 관리자는 가해자일 수 밖에 없으며, 이 관계를 모두 해결한 뒤에야 피해자로서 구제받아야 할 것”이라고 주장했다.

이러한 주장은 최근 개정된 전자금융거래법에서도 명시돼 있다. 파밍, 피싱 등으로 인해 금융소비자가 피해를 입었을 경우 1차적인 책임은 금융회사가 진다는 것과 궤를 같이 한다.

하지만 정보통신망 이용촉진 및 정보보호에 관한 법률, 형법 등 현행법에는 이러한 조문이 없다. 따라서 법률상으로 악성코드 유포 웹사이트가 ‘가해자’로 처벌받는다는 것은 어렵다. 법조계에서는 이때문에 처벌이 불가능하다고 지적한다.

김경환 법무법인 민후 대표변호사는 “웹사이트 관리자가 악성코드 유포를 방조했을 경우 처벌이 가능하나, 이런 경우는 없으므로 처벌하기 힘들다”라며 “민사를 통해 손해배상 소송을 제소할 수 있으나 승소가 쉽진 않을 것”이라고 설명했다.

구태언 법률사무소 테크앤로 대표변호사는 “과실로 인한 재물손괴죄, 업무방해죄는 성립하지 않는다. 게다가 모든 보호조치를 다했음에도 불구하고 사고가 발생했다면 면책이 된다”며 “손해배상 소송을 걸더라도 입증에 대한 책임이 피해자에게 있기 때문에 쉽지 않을 것”이라고 전했다.

이어 “이번 사고의 경우 악성코드 유포로 인한 데이터 파괴에 그쳤지만, 사물인터넷 시대에서는 인명사고가 발생할 수 있는 중대한 사안이다. 민간을 중심으로 자율적인 보호대책, 가이드라인을 수립해 지켜나가는 환경 조성이 필요하다”고 덧붙였다.

한편 빛스캔에 따르면 하루에도 수십개의 웹사이트가 해킹당해 악성코드 유포지와 경유지로 활용되고 있다. 하지만 이를 차단하거나 제재할 수 있는 법안은 마련돼 있지 않은 상황이다.

이와 관련 미래창조과학부와 한국인터넷진흥원(KISA)은 악성코드 유포지로 악용되는 웹사이트를 차단하고 조사할 수 있는 권한이 담긴 법률안 제정을 준비하고 있다.

<이민형 기자>kiku@ddaily.co.kr