디도스(DDoS) 공격증거와 법적책임

A Study on DDoS Attack Evidence and Legal Responsibility

디도스 공격의 법적책임 부분은 서로가 민감한 문제이다. 디도스 공격사 건으로 인한 경제적 피해액은 수백억 원으로 추정되었다. 그러나 디도스 공격자를 검거하지 못하면 그로 인한 사회적인 손실과 경제적비용에 대한 책임부분은 고스란히 국민에게 전가되지 않을 까 우려된다. 따라서 누군가에게 책임을 물어야 한다고 생각한다. 1․25 인터넷 대란의 경우에처럼 우리정부나 수사기관에 대한 국민의 신뢰가 저하될 것으로 본다. 7․7 디도스 공격 사건에 대한 법률적인 책임을 누구한테 물을 것인가, 누가 책임질 것인가? 개인, 기업, 정부, 산업체 등 여러 관점에서 살펴보고 문제를 제기하고자 한다. 우선 개인이 경우 개인 사용자는 자신의 컴퓨터가 해킹을 당해서 해커가 컴퓨터를 공격프로그램을 설치한 후 공격을 것인데, 이를 개인 사용자의 컴퓨터 관리능력 및 정보보안 마인드 부재로, 피해자이자 동시에 가해자인 경우에 미필적 고의로 볼 수 있는지 의문이다. 그리고 기업에서는 전 국민에게 인터넷 서비스를 제공하고 가입자로부터 서비스 사용료를 가져가는 대신에 고객들을 위해 안전한 인터넷사용을 위해 서비스 제공자는 정보보안에 투자와 노력을 하고 있어, 만일 보안사고발생시 적절한 대응절차 및 방안을 마련하였고 얼마나 잘 수행하고 있는 가에 따라 책임의 경중이 달라질 것으로 보인다. 또 한편으로 개인 사용자들이 악성프로그램에 의한 데이터 파괴에 대해서 기업이나 정부를 상대로 책임소재를 물었을 경우 어떤 근거에 의해서 어떻게 사법적인 대응을 할지 법률적인 판단이 필요하다.

DDoS attack's legal responsibility can be sensitive for concerned parties. Economic losses and damages made by DDoS attack was estimated to reach tens billion Won. Failure of the attack of DDoS attackers may transfer not only social losses but also economic expenses to the people. Therefore, someone shall be responsible for DDoS attack. Like January 25 Internet crisis, the Korean people may be reluctant to rely upon the Korean Government and investigation agencies. This study examined legal responsibility as well as responsible person and authority of July 7 DDoS attack from point of view of individuals, enterprises, the Government and industries, and raised problems. Individual users' computers were attacked by hacking when a hacker installed an attack program on the computers: The users can be either attacker or sufferer because of neither computer control ability nor information security ideas. The case is thought to be of doubt to apply willful negligence. And, enterprises collect service charges from subscribers in compensation for supply of Internet services for the people, and service providers are making effort and invest to let customers make use of Internet safely and to assure of information security. Weight of the responsibility may vary depending upon counteraction procedures and plans at occurrence of security accidents. When individual users complain data destruction made by malignant programs against enterprises and the Government, legal judgment on bases and counteractions is needed.