정보통신망법 제48조는 해킹, 악성프로그램 유포, DDoS 공격 등 정보통신망 침해행위를 명시적으로 금지하고 있습니다.
그런데 막상 피해를 당하거나 혐의를 받게 되면 "어디에 신고해야 하는지", "어떤 처벌을 받는지", "어떻게 대응해야 하는지" 막막하기만 합니다.
오늘은 정보통신망법 제48조의 내용과 처벌 수위, 피해자·피의자 각각의 대응 전략을 판례 중심으로 완전히 정리해 드리겠습니다.
정보통신망법 제48조란?
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조는 정당한 접근권한 없이 정보통신망에 침입하거나, 악성프로그램을 유포하거나, 정보통신망의 안정적 운영을 방해하는 행위를 금지합니다.
1. 정보통신망법 제48조의 내용
정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제48조는 세 가지 유형의 침해행위를 금지합니다.
제1항 — 무단 침입 (해킹)
"누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다."
핵심 요건:
- 정당한 접근권한이 없거나 허용된 권한을 초과할 것
- 정보통신망에 침입할 것
적용 사례:
- 타인의 계정·비밀번호를 무단으로 사용하여 로그인
- 보안 취약점을 이용한 서버 침입
- 허용된 권한 범위를 넘어 다른 사용자의 데이터에 접근
- 전 직원이 퇴사 후 회사 시스템에 무단 접속
제2항 — 악성프로그램 유포
"누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램(이하 '악성프로그램'이라 한다)을 전달 또는 유포하여서는 아니 된다."
적용 사례:
- 랜섬웨어 유포 (파일 암호화 후 금전 요구)
- 스파이웨어·키로거 설치 (개인정보 탈취)
- 바이러스·웜 배포
- 트로이목마 프로그램 유포
제3항 — 정보통신망 장애 유발 (DDoS 공격)
"누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애를 발생하게 하여서는 아니 된다."
적용 사례:
- DDoS(분산 서비스 거부) 공격으로 웹사이트 마비
- 대량 스팸 메일 발송으로 메일 서버 과부하
- 봇넷을 이용한 서버 공격
- 특정 서비스에 대한 반복적 접속 요청으로 서비스 장애 유발
2. 처벌 수위 — 생각보다 훨씬 무겁습니다
정보통신망법 제48조 위반 처벌
제1항(무단 침입) — 5년 이하 징역 또는 5천만 원 이하 벌금 / 제2항(악성프로그램) — 7년 이하 징역 또는 7천만 원 이하 벌금 / 제3항(DDoS 등) — 5년 이하 징역 또는 5천만 원 이하 벌금
정보통신망법 제71조는 제48조 위반에 대한 처벌을 규정합니다.
제1항 위반 (무단 침입) 5년 이하의 징역 또는 5천만 원 이하의 벌금
제2항 위반 (악성프로그램 유포) 7년 이하의 징역 또는 7천만 원 이하의 벌금
제3항 위반 (DDoS 등 장애 유발) 5년 이하의 징역 또는 5천만 원 이하의 벌금
가중처벌 — 이런 경우 더 무겁게 처벌됩니다
정보통신기반보호법 적용
국가 주요 정보통신기반시설(금융·전력·교통·의료 등)을 침해한 경우 정보통신기반보호법이 적용되어 더 무거운 처벌을 받습니다.
- 주요 기반시설 침해: 10년 이하 징역 또는 1억 원 이하 벌금
- 주요 기반시설 장애 유발: 10년 이하 징역 또는 1억 원 이하 벌금
형법 적용 병합
해킹을 통해 개인정보를 탈취하거나 금전적 이익을 취한 경우 형법상 컴퓨터등사용사기죄(형법 제347조의2), 업무방해죄(형법 제314조), 절도죄 등이 병합 적용될 수 있습니다.
미수범 처벌
정보통신망법 제48조 위반의 미수범도 처벌 대상입니다(정보통신망법 제72조).
3. 실제 판례로 보는 처벌 사례
주요 판례 요약
① 전 직원의 회사 서버 무단 접속 — 유죄 ② 타인 계정 도용 로그인 — 유죄 ③ 경쟁사 DDoS 공격 — 실형 ④ 랜섬웨어 유포 — 중형 ⑤ 보안 취약점 테스트 목적 침입 — 목적 불문 유죄
판례 1 — 전 직원의 회사 서버 무단 접속
퇴사한 직원이 재직 시 알게 된 계정 정보를 이용하여 회사 서버에 접속한 사안에서, 법원은 퇴사 후에는 접근권한이 소멸하였으므로 정보통신망법 제48조 제1항 위반에 해당한다고 판시했습니다.
실무적 의미: 재직 중 정당하게 부여받은 접근권한이라도 퇴사 후에는 소멸합니다. 퇴사 후 회사 시스템에 접속하면 무단 침입에 해당합니다.
판례 2 — 타인 계정 도용 로그인
타인의 아이디·비밀번호를 이용하여 포털 사이트에 로그인한 사안에서, 법원은 해당 계정의 정당한 접근권한이 없으므로 정보통신망법 제48조 제1항 위반에 해당한다고 판시했습니다.
실무적 의미: 타인의 계정 정보를 이용한 로그인은 그 목적이나 행위 결과와 관계없이 무단 침입에 해당합니다.
판례 3 — 경쟁사 DDoS 공격
경쟁 업체의 웹사이트를 마비시키기 위해 DDoS 공격을 감행한 사안에서, 법원은 정보통신망법 제48조 제3항 위반 및 업무방해죄를 인정하여 실형을 선고했습니다.
실무적 의미: DDoS 공격은 정보통신망법 위반뿐 아니라 형법상 업무방해죄도 성립하여 처벌이 가중될 수 있습니다.
판례 4 — 보안 취약점 테스트 목적 침입
"보안 취약점을 발견하여 알려주려는 선의의 목적"으로 타인의 서버에 무단 침입한 사안에서, 법원은 목적의 선의 여부와 관계없이 정당한 접근권한 없이 침입한 이상 정보통신망법 제48조 제1항 위반에 해당한다고 판시했습니다.
실무적 의미: 해킹의 목적이 선의라도 정당한 권한 없이 침입하면 범죄가 성립합니다. 보안 취약점 테스트는 반드시 해당 시스템 운영자의 명시적 동의를 받아야 합니다.
4. 정보통신망 침해행위와 다른 범죄의 관계
병합 적용 가능한 범죄
해킹 + 개인정보 탈취 → 개인정보보호법 위반 / 해킹 + 금전 편취 → 컴퓨터등사용사기죄 / DDoS + 업무 방해 → 업무방해죄 / 악성프로그램 + 금전 요구 → 공갈죄·협박죄
정보통신망법 제48조 위반은 다른 범죄와 병합 적용되는 경우가 많습니다.
개인정보보호법 위반
해킹을 통해 개인정보를 탈취한 경우 개인정보보호법 위반이 병합 적용됩니다. 개인정보를 무단으로 수집·이용·제공한 경우 5년 이하 징역 또는 5천만 원 이하 벌금에 처해집니다.
컴퓨터등사용사기죄 (형법 제347조의2)
해킹을 통해 금전적 이익을 취한 경우 형법상 컴퓨터등사용사기죄가 성립합니다. 10년 이하 징역 또는 2천만 원 이하 벌금에 처해집니다.
업무방해죄 (형법 제314조)
DDoS 공격 등으로 타인의 업무를 방해한 경우 형법상 업무방해죄가 성립합니다. 5년 이하 징역 또는 1천500만 원 이하 벌금에 처해집니다.
공갈죄·협박죄
랜섬웨어를 유포하고 복호화 키를 제공하는 대가로 금전을 요구한 경우 공갈죄(형법 제350조)가 성립합니다. 10년 이하 징역 또는 2천만 원 이하 벌금에 처해집니다.
5. 피해자 대응 — 신고부터 손해배상까지
피해자 대응 4단계
① 즉시 증거 보전 (로그 파일, 스크린샷, 피해 현황 기록) → ② 수사기관 신고 (경찰 사이버수사대 또는 KISA 신고) → ③ 형사고소 → ④ 민사 손해배상 청구
즉시 증거 보전
정보통신망 침해 피해를 당한 경우 가장 먼저 해야 할 일은 증거 보전입니다.
보전해야 할 증거:
- 서버·시스템 로그 파일 (접속 기록, 오류 로그 등)
- 피해 현황 스크린샷 (변조된 웹페이지, 삭제된 파일 목록 등)
- 이상 접속 IP 주소 및 접속 시간
- 악성프로그램 샘플 (전문가에게 의뢰)
- 피해 금액 산정 자료 (복구 비용, 영업 손실 등)
주의: 로그 파일은 일정 기간이 지나면 자동 삭제되는 경우가 많습니다. 피해 발생 즉시 로그를 백업하십시오.
수사기관 신고
경찰청 사이버수사대: 각 지방경찰청 사이버수사대에 신고할 수 있습니다. 사이버범죄 신고시스템(https://ecrm.police.go.kr)을 통해 온라인 신고도 가능합니다.
한국인터넷진흥원(KISA): KISA 인터넷침해대응센터(118)에 신고하면 기술적 지원과 함께 수사기관 연계가 이루어집니다. 24시간 운영됩니다.
검찰: 사이버범죄 전담 검사가 있는 검찰청에 직접 고소장을 제출할 수도 있습니다.
형사고소
피해자는 가해자를 특정할 수 있는 경우 형사고소를 제기할 수 있습니다. 가해자를 특정하지 못한 경우에도 수사기관에 수사를 의뢰하면 IP 추적 등을 통해 가해자를 특정할 수 있습니다.
고소장 작성 시 포함할 내용:
- 피해 발생 일시 및 경위
- 피해 내용 (침입 방법, 탈취된 정보, 피해 금액 등)
- 확보한 증거 목록
- 적용 법조 (정보통신망법 제48조 제1항·제2항·제3항)
민사 손해배상 청구
형사 절차와 별개로 민사 손해배상을 청구할 수 있습니다.
손해배상 범위:
- 시스템 복구 비용
- 데이터 복구 비용
- 영업 손실 (서비스 중단으로 인한 매출 감소)
- 개인정보 유출로 인한 정신적 손해 (위자료)
- 보안 강화 비용
법원은 정보통신망 침해로 인한 손해배상 청구에서 실제 손해액을 기준으로 배상액을 산정하며, 개인정보 유출이 동반된 경우 위자료도 인정합니다.
6. 피의자 대응 — 혐의를 받고 있다면
피의자 초기 대응 핵심
① 수사기관 출석 전 반드시 변호사 상담 ② 진술 거부권(묵비권) 행사 가능 ③ 접근 경위·목적·권한 여부 정리 ④ 피해자와의 합의 검토 ⑤ 디지털 포렌식 결과에 대한 법리적 대응 준비
정보통신망법 제48조 위반 혐의를 받고 있다면 초기 대응이 결과를 크게 좌우합니다.
수사 초기 단계
경찰 조사 전 반드시 변호사와 상담하십시오. 사이버범죄 수사는 디지털 포렌식을 통해 이루어지며, 기술적 증거가 핵심입니다. 수사기관의 질문에 즉흥적으로 답변하면 불리한 진술이 증거로 굳어질 수 있습니다.
접근 권한 여부 검토
정보통신망법 제48조 제1항의 핵심은 "정당한 접근권한 없이" 또는 "허용된 접근권한을 넘어"라는 요건입니다. 다음 사항을 변호사와 함께 검토하십시오.
- 해당 시스템에 대한 접근권한이 있었는지 여부
- 접근권한의 범위와 실제 접근 행위의 일치 여부
- 접근권한 부여 경위 (계약서, 이메일, 구두 동의 등)
- 접근 목적의 정당성
디지털 포렌식 대응
수사기관은 디지털 포렌식을 통해 접속 기록, 파일 조작 내역, 악성프로그램 설치 여부 등을 분석합니다. 포렌식 결과에 대한 법리적 반박이 필요한 경우 전문가 감정을 의뢰할 수 있습니다.
합의 전략
피해자와의 합의는 형량 감경에 중요한 영향을 미칩니다. 다만 합의 과정에서 추가적인 법적 문제가 발생하지 않도록 반드시 변호사를 통해 진행하십시오.
7. 기업의 정보보안 의무와 법적 책임
기업의 정보보안 의무
정보통신망법은 정보통신서비스 제공자에게 기술적·관리적 보호조치 의무를 부과합니다. 보호조치 미흡으로 개인정보가 유출된 경우 과징금·과태료 부과 및 손해배상 책임이 발생합니다.
정보통신망법은 정보통신서비스 제공자(기업)에게도 중요한 의무를 부과합니다.
기술적·관리적 보호조치 의무
정보통신망법 제45조는 정보통신서비스 제공자에게 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치를 취할 의무를 부과합니다.
주요 보호조치 내용:
- 접근통제 시스템 구축 및 운영
- 접속기록 보관 및 위·변조 방지
- 보안프로그램 설치 및 갱신
- 개인정보 암호화
- 보안취약점 점검 및 조치
침해사고 신고 의무
정보통신망법 제48조의3은 정보통신서비스 제공자가 침해사고가 발생한 경우 즉시 한국인터넷진흥원(KISA)에 신고하도록 규정합니다.
신고 의무를 위반한 경우 1천만 원 이하의 과태료가 부과됩니다.
개인정보 유출 시 기업의 책임
해킹으로 인해 개인정보가 유출된 경우, 기업이 기술적·관리적 보호조치를 충분히 취하지 않았다면 개인정보보호법에 따른 과징금·과태료 부과 및 피해자에 대한 손해배상 책임이 발생합니다.
법원은 기업의 보안 수준이 당시 기술 수준에 비추어 현저히 미흡한 경우 과실을 인정하는 경향이 있습니다.
8. 자주 묻는 질문
Q. 친구의 SNS 계정에 친구 동의 없이 로그인했습니다. 처벌받나요?
네. 타인의 계정에 정당한 접근권한 없이 로그인하는 것은 정보통신망법 제48조 제1항 위반에 해당합니다. 친구 관계라도 명시적 동의 없이 타인의 계정에 접속하면 처벌받을 수 있습니다. 다만 실제 수사·기소 여부는 피해자의 고소 의사, 피해 정도 등을 종합하여 결정됩니다.
Q. 회사 퇴사 후 업무 자료를 가져오기 위해 회사 서버에 접속했습니다. 문제가 되나요?
네. 퇴사 후에는 회사 시스템에 대한 접근권한이 소멸합니다. 퇴사 후 회사 서버에 접속하는 것은 정보통신망법 제48조 제1항 위반에 해당합니다. 업무 자료가 필요한 경우 퇴사 전에 회사의 동의를 받아 처리하거나, 퇴사 후에는 회사에 공식적으로 요청하는 방법을 택해야 합니다.
Q. 해킹 피해를 당했는데 가해자를 특정할 수 없습니다. 신고해도 의미가 있나요?
네. 가해자를 특정하지 못한 경우에도 수사기관에 신고하면 IP 추적, 디지털 포렌식 등을 통해 가해자를 특정할 수 있습니다. 특히 KISA(118)에 신고하면 기술적 지원을 받을 수 있으며, 수사기관과 연계하여 가해자 추적이 이루어집니다. 증거 보전이 중요하므로 신고 전에 로그 파일 등을 반드시 백업하십시오.
Q. 보안 취약점을 발견하여 알려주려고 테스트했는데 처벌받나요?
목적의 선의 여부와 관계없이 정당한 접근권한 없이 타인의 시스템에 침입하면 정보통신망법 제48조 제1항 위반에 해당합니다. 보안 취약점 테스트는 반드시 해당 시스템 운영자의 명시적 서면 동의를 받은 후 진행해야 합니다. 동의 없이 진행한 경우 선의의 목적이라도 처벌받을 수 있습니다.
Q. 랜섬웨어 피해를 당했습니다. 몸값을 지불해야 하나요?
몸값 지불은 권장하지 않습니다. 지불하더라도 복호화 키를 제공받지 못하는 경우가 많고, 추가 공격의 표적이 될 수 있습니다. 즉시 KISA(118)에 신고하고 전문 보안업체의 도움을 받으십시오. 백업이 있는 경우 백업에서 복구하는 것이 가장 안전합니다. 수사기관에 신고하면 복호화 키 확보를 위한 수사가 진행될 수 있습니다.
Q. DDoS 공격을 받아 서비스가 중단되었습니다. 손해배상을 받을 수 있나요?
가해자를 특정할 수 있는 경우 민사 손해배상을 청구할 수 있습니다. 손해배상 범위에는 서비스 중단으로 인한 매출 손실, 복구 비용, 보안 강화 비용 등이 포함됩니다. 다만 DDoS 공격의 경우 가해자 특정이 어려운 경우가 많으므로, 수사기관의 수사를 통해 가해자를 특정하는 것이 선행되어야 합니다.
변호사의 도움이 필요한 이유
정보통신망 침해 사건은 기술적 전문성과 법률적 전문성이 동시에 요구되는 복잡한 영역입니다. 디지털 증거의 수집·보전·분석, 적용 법조 선택, 수사기관 대응, 민사 손해배상 청구 등 전문적인 법률 지식이 필요합니다.
피해자 입장에서는 초기 증거 보전과 신속한 신고가 결과를 좌우합니다. 피의자 입장에서는 수사 초기 단계부터 변호사의 조력을 받아 진술 전략을 수립하고 법리적 대응을 준비하는 것이 중요합니다.
정보통신망 침해 피해를 당하거나 혐의를 받고 있다면, 혼자 대응하지 마시고 전문 변호사와 함께 체계적으로 대응하시기 바랍니다.