핵심만 말씀드리겠습니다. 랜섬웨어 공격은 단순한 컴퓨터 바이러스 감염이 아니라, 형법과 정보통신망법이 적용되는 명백한 범죄입니다. 그런데 막상 피해를 입으면 어디에 어떻게 신고해야 하는지, 몸값(랜섬)을 지불해도 되는지, 법적 책임은 누구에게 있는지 판단이 쉽지 않습니다. 최근 실무에서 접한 두 가지 가상 사례를 통해 쟁점을 정리합니다.
사례 개요
A씨(42세, 경기 성남)는 직원 15명 규모의 치과 의원을 운영하는 원장입니다. 어느 월요일 아침 출근했더니 진료 예약 시스템과 환자 영상 데이터 전체가 암호화되어 있었고, 바탕화면에 "72시간 내 비트코인 1.5BTC(당시 약 7,800만 원)를 보내라"는 메시지가 떠 있었습니다. A씨는 즉시 결제를 고민했으나, 직원 B씨(29세, IT 담당)의 권유로 먼저 경찰과 한국인터넷진흥원(KISA)에 신고했습니다. 수사 과정에서, 공격 경로가 A씨 의원이 사용하던 원격 데스크톱 프로토콜(RDP)의 취약한 비밀번호임이 밝혀졌습니다.
쟁점 1. 랜섬웨어 공격의 형사법적 성격과 적용 법률
결론부터 말하면, 랜섬웨어 공격에는 최소 3개 이상의 형사 법률이 동시에 적용될 수 있습니다.
1
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조
정보통신망에 악성프로그램을 전달하거나 유포하는 행위를 금지합니다. 위반 시 7년 이하 징역 또는 7,000만 원 이하 벌금에 처합니다.
2
형법 제314조(업무방해)
컴퓨터 시스템을 마비시켜 업무를 방해한 경우 5년 이하 징역 또는 1,500만 원 이하 벌금이 적용됩니다. A씨 사례처럼 진료 시스템이 중단되면 업무방해죄 성립이 명확합니다.
3
형법 제350조(공갈)
금전을 요구하며 데이터 삭제를 협박하는 행위는 공갈죄에 해당합니다. 실제 금전 수수가 이루어지면 공갈 기수(완수)가 됩니다.
A씨 사례에서 주목할 점은 의원이 보관하던 데이터에 환자 개인정보(이름, 주민등록번호, 진료기록)가 포함되어 있었다는 것입니다. 이 경우 공격자에게는 개인정보 보호법 위반까지 추가될 수 있고, A씨 역시 관리 의무 이행 여부를 점검받게 됩니다. 실무에서는 피해자인 동시에 관리 책임을 묻는 구조가 흔히 발생합니다.
쟁점 2. 피해 신고 절차와 증거 보전 방법
랜섬웨어 피해 발생 시 가장 먼저 해야 할 일은 "아무것도 건드리지 않는 것"입니다. 많은 분들이 당황해서 컴퓨터를 재부팅하거나 백신을 돌리는데, 이것이 오히려 포렌식(디지털 증거 분석) 증거를 훼손합니다.
1
네트워크 차단
랜선을 뽑거나 Wi-Fi를 끊어 추가 확산을 방지합니다. 전원은 끄지 않습니다. 메모리에 공격자의 흔적이 남아 있기 때문입니다.
2
랜섬노트 화면 촬영
공격자가 남긴 메시지, 비트코인 지갑 주소, 이메일 주소 등을 사진으로 촬영하여 보관합니다.
3
KISA 신고 (국번 없이 118)
한국인터넷진흥원에 신고하면 무료 기술 지원을 받을 수 있습니다. 일부 랜섬웨어는 복호화 키가 이미 공개되어 있어 비용 없이 복구되는 경우도 있습니다.
4
경찰청 사이버수사국 신고
사이버범죄 신고 시스템(ECRM, ecrm.police.go.kr)을 통해 온라인 신고가 가능합니다. 피해 금액이 크거나 개인정보 유출이 수반된 경우 수사 착수 우선순위가 높아집니다.
A씨는 B씨의 조언 덕분에 증거를 잘 보전했고, KISA를 통해 해당 랜섬웨어가 이미 복호화 도구가 공개된 변종임을 확인하여 약 85%의 데이터를 무료로 복구할 수 있었습니다. 이처럼 신고 타이밍과 증거 보전이 결과를 크게 좌우합니다.
쟁점 3. 몸값(랜섬) 지불의 법적 문제
많은 피해자가 "돈을 보내면 해결되는 것 아닌가"라고 생각합니다. 그러나 이 부분은 법적으로 복잡합니다.
현행법상 피해자가 랜섬을 지불하는 행위 자체를 처벌하는 직접적인 규정은 없습니다. 다만 다음 세 가지 리스크를 반드시 인지해야 합니다.
첫째, 외국환거래법상 가상자산의 해외 이전에 대한 신고 의무가 있을 수 있습니다. 2024년 이후 가상자산 관련 규제가 강화되면서, 신고 없이 대규모 비트코인을 해외 지갑으로 송금하면 별도의 법적 문제가 발생할 수 있습니다.
둘째, 공격자가 국제 제재 대상(예: 북한 해킹그룹 라자루스 등)인 경우, 자금 이전 행위가 국제 제재 위반으로 문제될 여지가 있습니다. 미국 OFAC(해외자산통제국)은 이미 랜섬 지불에 대해 제재 위반 가능성을 경고한 바 있습니다.
셋째, 몸값을 지불해도 데이터를 돌려받을 확률은 약 65% 수준이라는 국내외 통계가 있습니다. 비용만 날리고 복구도 실패하는 사례가 상당합니다.
A씨 사례에서 만약 7,800만 원을 지불했다면, 경비 처리나 보험 청구 과정에서 세무 문제가 추가로 발생할 수 있었습니다. 범죄자에게 지불한 금액을 "손실"로 비용 처리할 수 있는지에 대해 세무 당국의 판단은 사안마다 다릅니다.
피해자의 관리 책임 문제 - 간과하기 쉬운 쟁점
A씨처럼 개인정보를 대량으로 취급하는 사업자가 랜섬웨어 공격을 당한 경우, 개인정보 보호법 제29조(안전조치 의무)에 따른 관리 책임이 문제됩니다. 개인정보보호위원회는 다음 사항을 주로 점검합니다.
1
접근 통제
원격접속 시 안전한 인증 수단(2단계 인증 등)을 적용했는지 여부. A씨 의원은 RDP에 단순 비밀번호만 사용했으므로 이 부분이 취약점으로 지적될 수 있습니다.
2
백업 체계
정기적인 데이터 백업을 네트워크와 분리된 별도 저장소에 수행했는지 여부.
3
유출 통지 이행
개인정보 유출이 확인되면 지체 없이 정보주체(환자)에게 통지하고, 개인정보보호위원회에 72시간 이내 신고해야 합니다. 위반 시 최대 5억 원 이하 과징금이 부과될 수 있습니다.
정리하면, 랜섬웨어 피해자는 형사 피해자인 동시에 개인정보 관리 의무 위반의 행정 제재 대상이 될 수 있습니다. 이 이중 구조를 이해하지 못하면 신고를 주저하다가 오히려 상황이 악화됩니다.
실무적 조언 정리
1. 피해 즉시 증거 보전 후 KISA(118)와 경찰에 동시 신고하십시오. 수사기관 신고가 늦어질수록 공격자 추적이 어려워집니다.
2. 몸값 지불은 최후의 수단입니다. 지불 전에 반드시 KISA의 복호화 도구 존재 여부를 확인하고, 법률 전문가와 상의하십시오.
3. 개인정보 유출 가능성이 있다면 72시간 이내 통지 의무를 이행해야 합니다. 이를 무시하면 과징금이 피해 금액보다 클 수 있습니다.
4. 사전 예방 비용은 사후 복구 비용의 1/10 수준입니다. 2단계 인증 적용, 정기 백업, 보안 패치 업데이트만으로도 상당수 공격을 차단할 수 있습니다.
랜섬웨어 사건은 기술적 문제인 동시에 법률적 문제입니다. 신고와 증거 보전, 관리 의무 이행 여부에 따라 피해자의 법적 지위가 완전히 달라질 수 있다는 점을 반드시 기억하시기 바랍니다.
