[로톡뉴스] '트리 사이트' 인기 끌자 디도스 공격한 개발자…뒤늦게 사과했지만, 사과로 끝날 일 아니다

https://lawtalknews.co.kr/article/M61E2M1W84TN

 

로톡뉴스 강선민 기자, 안세연 기자 mean@lawtalknews.co.kr

2021년 12월 23일 16시 54분 작성 2021년 12월 23일 16시 57분 수정

 

 

온라인 롤링페이퍼 사이트 이목 끌자⋯서버 마비시킨 개발자

뒤늦게 사과 나섰지만⋯그걸로 끝날까?

변호사들 "정보통신망법 위반으로 형사처벌 대상⋯민사상 손해배상도 당연"

'내 트리를 꾸며줘'라는 이름의 롤링 페이퍼(Rolling paper) 사이트가 화제를 모으자 이 사이트가 한 개발자로부터 디도스 공격을 당했다. /'내 트리를 꾸며줘' 사이트 캡처

크리스마스를 앞두고, 익명 개발자들이 만든 '내 트리를 꾸며줘'라는 이름의 롤링 페이퍼(Rolling paper) 사이트가 화제를 모았다. 온라인에 자신의 크리스마스 트리를 만들면, 지인들이 찾아와 자유롭게 메시지를 남기는 방식. 이렇게 모아진 메시지들은 크리스마스 당일 공개될 예정이었다.

 

"사람들이 행복한 크리스마스를 보낼 수 있길 바란다"는 게 해당 사이트가 문을 연 이유였다. 그런데 좋은 마음으로 시작한 서비스가 단 며칠 만에 난관에 봉착했다.

 

'내 트리를 꾸며줘'라는 이름의 롤링페이퍼 사이트에 디도스 공격을 한 해당 개발자가 올린 글. /트위터 캡처

 

또 다른 개발자 A씨가 해당 사이트의 취약점을 노려 디도스 공격(DDos attack⋅악성 트래픽을 대량으로 보내는 것)을 했기 때문. "유명사이트가 취약점이 있으면 즐겁다", "초당 몇천 번 요청 넣으면 억대 요금 나오겠는데"라는 조롱 섞인 말과 함께였다.

 

 

"손해배상 하겠다"며 사과하면 끝? 엄연한 형사 처벌 대상

이 일로 피해를 입은 익명 개발자 모임 '산타파이브'에 따르면, 23일 현재 서버 비용으로만 700만원에 가까운 요금이 발생한 상황이다. 모든 건 단 며칠 만에 벌어진 일. 금전적 부담을 떠나, 관련 개발자들은 원인 모를 서버 문제를 해결하기 위해 매달려야 했다.

 

이런 A씨의 행동에 대해 "다른 사람들이 소중하게 만든 눈사람을 부수는 심리"라며 비판의 목소리가 높아졌다. 사태가 확산되자 A씨는 범행을 인정하고 때늦은 사과에 나섰다. "악성 프로그램을 이용해 해당 페이지를 공격했다"고 시인했는데, 그 횟수만 약 3만 5000회라고 했다. 이어 "발생한 피해 이상으로 손해배상을 하겠다"고 덧붙였다.

 

디도스 공격이 논란이 되자 해당 개발자는 사과하는 글을 자신의 트위터 계정에 올렸다. /트위터 캡처

 

하지만 A씨가 '사과'했다고 해서 문제는 끝나지 않는다. 이 행동은 명백한 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반이기 때문이다.

 

검사 출신인 하나 변호사(법무법인 명재)는 "A씨 스스로 인정했듯, 정보통신망에 침입해 악성 공격을 한 게 명확한 상황"이라며 "정보통신망법 위반으로 형사 처벌될 것으로 보인다"고 짚었다.

 

정보통신망법 제48조는 ▲정당한 접근 권한 없이 정보통신망에 침입하는 행위나 ▲이를 위해 악성 프로그램을 퍼뜨리는 일, ▲대량의 신호를 내보내는 방식 등으로 정보통신망에 장애를 일으키는 행위 일체를 금지하고 있다.

 

단순 정보통신망 침입 행위만으로도 5년 이하 징역 또는 5000만원 이하 벌금으로 처벌된다(제71조 제1항). 특히, A씨처럼 악성 프로그램을 사용했을 경우엔 처벌 수위가 더 무겁다. 이때는 7년 이하 징역 또는 7000만원 이하 벌금으로 처벌된다(제70조의2).

 

대한변협 등록 형사법 전문 변호사인 정현우 변호사(법무법인 비츠로)도 "A씨 행위는 당연히 형사 처벌 대상"이라고 꼬집었다. "타인의 정보통신망에 침입해서 장애를 일으킨 사실이 모두 밝혀진 이상 정보통신망법 위반에 따른 법적 책임을 져야 한다"는 게 정 변호사의 설명이다.

 

다만 많은 이들이 지목했던 '업무방해'까지는 적용이 어려울 수 있다고 봤다. 하나 변호사는 "피해를 입은 '산타파이브' 측이 일시적인 이벤트 성격으로 온라인 사이트를 개설한 것으로 판단된다"며 "업무 계속성이 인정되지 않을 경우, 형법상 업무방해죄 성립은 어려울 수 있다"고 짚었다.

 

법률 자문

'법무법인 명재'의 하나 변호사, '법무법인 비츠로'의 정현우 변호사. /로톡DB

 

스스로 피해 규모 계산하고 금액 정했다? 법원은 이를 인정하지 않는다

A씨가 져야 할 책임은 형사책임에서 그치지 않는다. 피해자의 재산상⋅정신적 피해에 대한 민사상 손해배상 책임도 져야 한다.

 

변호사들은 "적어도 A씨가 디도스 공격을 통해 추가로 부담시킨 비용만큼은 배상해야 할 것"이라고 밝혔다. 여기에 "추가로 정신적 피해에 대한 위자료까지 더해질 것"이라고 봤다. 결국 디도스 공격으로 인해 발생시킨 비용 이상을 물어줘야 할 것이라는 취지였다.

 

법률사무소 확신의 황성현 변호사는 "손해배상 청구가 가능한 전형적인 사건"이라고 밝혔고, '변호사 노경희 법률사무소'의 김지이 변호사의 의견도 비슷했다.

 

디도스 공격을 한 개발자가 "손해배상을 하겠다"며 올린 글. 현재 해당 글은 삭제 된 상태다. /트위터 캡처

 

논란이 일자, A씨는 본인이 먼저 서버에 피해를 입힌 부분을 계산해 올렸다. 이어 "해당 이상의 금액을 오늘(23일) 배상할 예정"이라고 밝혔다.

 

하지만 김지이 변호사는 "가해자 측에서 임의로 배상금액을 제시하는 건, 분쟁 해결 과정에서 아무런 도움이 되지 않는다"며 "순서가 잘못됐다"고 지적했다. "피해자 측에서 무엇을 원하는지 등을 먼저 확인하는 게 맞는 순서"라는 의견이었다.

 

황성현 변호사도 비슷한 의견이었다. "가해자 A씨가 예상한 배상액은 큰 의미가 없다"며 "피해 금액에 대해선 피해를 입은 당사자인 원고(피해자)가 주장 하는 것"이라고 했다. 법원에서도 '감정' 절차를 통해 객관적으로 조사한다고도 했다.

 

법률 자문

'법률사무소 확신'의 황성현 변호사, '변호사 노경희 법률사무소'의 김지이 변호사. /로톡DB⋅로톡뉴스DB

 

개발자들 역시 "사이트의 내부 구현도를 모른 상태에서 (관련) 계산하는 건 한계가 있다"며 "디도스 공격으로 생긴 피해 금액은 내부 서버를 봐야 확실하게 알 수 있다"고 했다.

 

정리하면, A씨가 본인 임의대로 계산한 금액은 큰 의미가 없다는 지적이다.