오늘은 DDoS(분산 서비스 거부) 공격이 형사법적으로 어떻게 다루어지는지 살펴보겠습니다. DDoS 공격은 대량의 트래픽을 특정 서버에 집중시켜 정상적인 서비스를 마비시키는 행위로, 단순한 해킹을 넘어 업무방해죄와 정보통신망법 위반이 동시에 적용되는 중대한 범죄입니다. 가상의 사례를 통해 구체적인 법적 쟁점과 실제 처벌 수위를 분석해 보겠습니다.
사건 시나리오 : 경쟁업체 서버를 마비시킨 A씨
가상 사례
서울에서 온라인 쇼핑몰을 운영하는 A씨(34세)는 동종 업계 경쟁사 B사의 대규모 할인 행사 기간에 맞춰, 해외 다크웹에서 구입한 봇넷(감염된 컴퓨터 네트워크)을 이용해 B사 서버에 약 48시간 동안 DDoS 공격을 감행했습니다. 이로 인해 B사의 쇼핑몰은 이틀간 완전히 접속 불능 상태에 빠졌고, B사는 약 2억 3,000만 원의 매출 손실과 별도의 서버 복구 비용 4,500만 원이 발생했습니다. A씨는 범행 약 3주 후 경찰 사이버수사대에 의해 검거되었습니다.
쟁점 1 : 업무방해죄의 성립 요건과 DDoS 공격
첫째, DDoS 공격에 대해 가장 기본적으로 적용되는 죄명은 형법 제314조 제2항의 컴퓨터등장애업무방해죄입니다. 일반 업무방해죄(형법 제313조, 제314조 제1항)는 허위사실 유포, 위계, 위력 등을 수단으로 하지만, 컴퓨터등장애업무방해죄는 컴퓨터 등 정보처리장치에 허위 정보나 부정한 명령을 입력하거나, 기타 방법으로 정보처리에 장애를 발생시켜 타인의 업무를 방해하는 행위를 처벌합니다.
형법 제314조 제2항 (컴퓨터등장애업무방해)
컴퓨터 등 정보처리장치 또는 전자기록 등 특수매체기록을 손괴하거나 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 기타 방법으로 정보처리에 장애를 발생시켜 사람의 업무를 방해한 자는 5년 이하의 징역 또는 1,500만 원 이하의 벌금에 처한다.
A씨의 경우를 구성요건에 대입해 보겠습니다.
1
행위 요건 : 봇넷을 이용한 대량 트래픽 전송은 "기타 방법으로 정보처리에 장애를 발생"시키는 행위에 해당합니다. 판례는 DDoS 공격이 서버의 정상적 정보처리 기능을 마비시키는 이상, 본 조항의 "기타 방법"에 포섭된다는 입장을 일관되게 취하고 있습니다.
2
결과 요건 : B사의 쇼핑몰이 48시간 동안 접속 불능 상태에 빠졌으므로, 정보처리 장애가 발생한 사실과 이로 인한 업무방해 결과가 모두 인정됩니다.
3
고의 : A씨가 경쟁사의 할인 행사 시기에 맞춰 의도적으로 공격을 감행한 점에서, 업무방해의 고의는 명백히 인정됩니다.
쟁점 2 : 정보통신망법 위반의 경합 적용
둘째, DDoS 공격에는 형법상 업무방해죄 외에 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제48조 위반이 동시에 적용될 수 있습니다. 이 법률은 사이버 범죄에 특화된 처벌 조항을 두고 있어, 형법보다 더 무거운 처벌이 가능합니다.
정보통신망법 제48조 제3항 및 제71조 제1항 제11호
정당한 사유 없이 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 한 자는 5년 이하의 징역 또는 5,000만 원 이하의 벌금에 처한다.
형법상 업무방해죄와 비교하면 벌금 상한이 1,500만 원에서 5,000만 원으로 크게 높아집니다. 실무에서는 DDoS 공격 사안에서 두 죄명이 상상적 경합(형법 제40조)으로 처리되는 경우가 많으며, 이 경우 더 무거운 정보통신망법 위반의 법정형을 기준으로 처단형이 결정됩니다.
A씨의 사례에서는 다음과 같은 이유로 정보통신망법 위반이 함께 적용됩니다.
1
B사의 쇼핑몰 서버는 인터넷을 통해 운영되는 "정보통신망"에 해당합니다.
2
봇넷을 통한 대량 트래픽 전송은 "대량의 신호 또는 데이터를 보내는 행위"에 정확히 해당합니다.
3
경쟁사 서비스를 의도적으로 마비시킨 것이므로 "정보통신망의 안정적 운영을 방해할 목적"이 인정됩니다.
쟁점 3 : 실제 양형과 처벌 수위의 결정 요소
셋째, 실제 선고되는 형량은 범행의 규모, 피해 금액, 지속 기간, 전과 여부 등에 따라 상당한 편차를 보입니다. 양형에 영향을 미치는 주요 요소를 정리하면 다음과 같습니다.
가중 요소 (형이 무거워지는 방향)
1
피해 규모가 큰 경우 : A씨 사례처럼 2억 원 이상의 매출 손실이 발생하면 양형이 상향됩니다. 특히 피해액이 5억 원 이상이면 실형 선고 가능성이 크게 높아집니다.
2
영리 목적 또는 경쟁 제거 목적 : 단순 호기심이 아닌 상업적 이익을 위한 공격은 비난 가능성이 높게 평가됩니다.
3
조직적 범행 : 다크웹에서 봇넷을 구매하거나, 공격 대행 서비스(DDoS-for-hire)를 이용한 경우 계획성이 인정되어 가중 요소가 됩니다.
4
장기간 공격 : 수 시간에 그친 공격과 수일간 지속된 공격은 양형에서 명확히 구분됩니다.
감경 요소 (형이 가벼워지는 방향)
1
초범 여부 : 동종 전과가 없는 초범의 경우 집행유예 가능성이 상대적으로 높습니다.
2
피해 회복 : 피해자와의 합의, 손해배상 이행 여부는 양형에 상당한 영향을 미칩니다.
3
자수 또는 수사 협조 : 범행을 자진 신고하거나, 수사에 적극 협조한 경우 감경이 고려됩니다.
경미한 DDoS 공격
단시간(수 시간 이내), 소규모 피해, 초범, 합의 성립 시
벌금형 또는 징역 1~2년에 집행유예
중대한 DDoS 공격
장기간(수일 이상), 대규모 피해, 영리 목적, 합의 불성립 시
징역 2~5년 실형 가능
A씨의 경우, 48시간에 걸친 장기 공격, 약 2억 7,500만 원에 달하는 피해(매출 손실 + 복구 비용), 경쟁업체 제거라는 영리 목적, 다크웹을 통한 계획적 범행 등이 종합적으로 고려되면, 초범이라 하더라도 징역 2년 이상의 실형 선고가 충분히 예상됩니다.
민사상 손해배상 책임과 추가 법적 리스크
형사 처벌 외에도 A씨는 B사로부터 민사상 손해배상 청구를 받을 수 있다는 점에 유의해야 합니다. DDoS 공격으로 인한 손해배상 범위에는 다음이 포함됩니다.
손해배상 범위
직접 손해 : 서버 복구 비용, 보안 강화 비용, 긴급 대응 외주 비용 등
일실이익 : 서비스 중단 기간의 매출 손실, 기존 고객 이탈로 인한 장래 수익 감소분
간접 손해 : 기업 신뢰도 하락에 따른 영업 손실 (다만, 인과관계 입증이 쟁점)
실무에서는 직접 손해와 일실이익을 합산할 경우, 피해액이 형사 사건에서 산정된 금액보다 훨씬 커지는 경우가 많습니다. A씨 사례에서 B사가 민사소송을 제기한다면, 2억 3,000만 원의 매출 손실과 4,500만 원의 복구 비용은 물론, 할인 행사 기간 중 놓친 신규 고객 유치 기회까지 배상 범위에 포함될 수 있어, 총 배상액은 수억 원에 이를 가능성이 높습니다.
DDoS 공격 피해를 입었을 때의 실무 대응 방안
마지막으로, DDoS 공격의 피해자 입장에서 취해야 할 실무적 대응 방안을 정리하겠습니다.
1
증거 보전이 최우선 : 공격 트래픽 로그, 서버 접속 기록, 장애 발생 시간대 스크린샷 등을 즉시 확보해야 합니다. 시간이 지나면 로그가 덮어씌워지거나 삭제될 수 있으므로, 공격 인지 즉시 보안 담당자를 통해 데이터를 별도 저장해야 합니다.
2
경찰 사이버수사대 또는 한국인터넷진흥원(KISA)에 신고 : DDoS 공격은 KISA 인터넷침해대응센터(118)에 신고하면 기술적 분석 지원을 받을 수 있습니다. 동시에 경찰 사이버수사대에 형사 고소를 진행하는 것이 바람직합니다.
3
피해액 산정을 위한 자료 정리 : 공격 기간 중 발생한 매출 손실을 증명하기 위해, 평소 매출 데이터와 공격 기간의 매출 데이터를 비교할 수 있는 자료를 준비해야 합니다. 회계 증빙, 결제 시스템 기록, 고객 문의 내역 등이 모두 증거가 됩니다.
4
민사 손해배상 청구 병행 : 형사 절차만으로는 실질적인 피해 회복이 어렵습니다. 가해자가 특정되면 민사소송을 통해 손해배상을 청구하는 것이 필요하며, 형사 판결이 확정되기 전이라도 민사소송을 먼저 제기할 수 있습니다.
DDoS 공격은 디지털 공간에서 이루어지지만, 그 법적 결과는 현실 세계에서의 물리적 범죄 못지않게 엄중합니다. 공격의 규모와 목적에 따라 수년간의 실형은 물론, 수억 원대의 민사 배상 책임까지 부담하게 될 수 있다는 점을 반드시 인식해야 합니다.
