"감히 우리 엄마를?" 피싱 서버 폭파시킨 사이다 복수극…법적으론 '쌍방 범죄자'

보이스피싱 사기에 당할 뻔한 어머니를 대신해 범죄 조직의 피싱 서버를 역으로 해킹하고 마비시킨 사연이 온라인을 달구고 있다.

누리꾼들은 '사이다 복수'라며 환호하지만, 법의 잣대를 엄격하게 들이대면 통쾌한 복수극의 주인공 역시 무거운 처벌을 피하기 어렵다.

최근 온라인 커뮤니티에는 중국발 피싱 서버를 역공격했다는 한 누리꾼의 게시물이 올라왔다. 작성자는 "어머니 폰으로 피싱 문자가 왔고, 속아서 어플까지 다운로드해 설치해버리셨다"며 분노를 표했다.

다행히 앱을 바로 지워 큰 피해는 막았지만, 작성자의 반격은 이때부터 시작됐다. 그는 설치된 악성 앱을 디컴파일(역설계)해 개인정보를 수집하는 서버의 IP 주소를 알아냈다.

이후 해당 서버에 '천안문', '프리 홍콩(Free hong kong)' 등 중국 당국이 민감해할 만한 유해 콘텐츠를 대량으로 업로드했다.

공격은 여기서 그치지 않았다. 무한루프로 서버에 접속 요청(GET)을 넣는 프로그램을 만들어 밤새 200개가량 돌리며 이른바 '디도스(DDoS)' 공격을 감행했다.

지인들까지 합세해 트래픽을 폭주시킨 결과, 피싱 서버의 응답코드는 정상(200)에서 서버 오류(502)로 바뀌었다. 작성자는 마비된 서버를 보며 "니네들은 사람 잘못 골랐다"며 통쾌해했다.

개인의 사이버 역공격, 법적 정당성 인정될까?

마치 영화 속 한 장면 같은 이 복수극은 현실 법정에선 합법으로 인정받지 못한다. 비록 상대가 범죄자의 시스템이라 하더라도, 개인이 정부 기관을 거치지 않고 직접 사이버 공격을 실행하는 것은 명백한 위법이다.

현행 정보통신망법은 정당한 접근권한 없이 망에 침입하거나, 대량의 신호나 데이터를 보내 정보통신망에 장애를 유발하는 행위를 엄격히 금지하고 있다.

작성자가 피싱 서버에 무단 접속해 콘텐츠를 올리고, 대량의 접속 요청을 보내 서버를 '502 에러' 상태로 마비시킨 행동 은 이 조항들을 정면으로 위반한 것이다.

피해를 막기 위한 정당방위나 정당행위 주장도 통하기 어렵다. 정당방위가 인정되려면 현재 진행 중인 부당한 침해가 있어야 하지만, 이 사건은 이미 어머니가 악성 앱을 삭제해 침해가 종료된 시점에서 이루어진 보복적 공격이다.

또한, 수사기관에 해당 IP 주소를 신고하는 합법적인 대안이 있었음에도 이를 무시하고 사적 제재를 가했기 때문에 법원은 이를 정당행위로 보지 않는다.

실제 대법원과 하급심 판례 모두 정보통신망 침해 사건에서 국가 질서를 벗어난 사적 보복을 엄격히 처벌하고 있다.

피싱 운영자 vs 해킹 행위자, 결국 승자 없는 '쌍방 범죄'

결국 이 사건의 끝은 양쪽 모두 범죄자가 되는 결말을 맞는다.

먼저, 피싱 운영자는 악성 앱을 유포한 혐의(정보통신망법 위반)와 타인의 정보를 탈취해 재산상 이익을 노린 혐의(컴퓨터등사용사기죄)를 받는다. 법원은 보이스피싱과 전기통신금융사기를 불특정 다수를 겨냥한 악질적 범죄로 보아 매우 무겁게 처벌한다.

하지만 역공격 행위자 역시 법망을 피해 갈 수 없다. 해킹이란 컴퓨터 기술을 이용해 다른 사람의 정보처리장치에 침입하고 간섭하는 일체의 행위를 말하며, 그 대상이 범죄자라고 해서 면죄부가 주어지지 않는다.

따라서 피싱 서버를 역추적해 마비시킨 개인은 정보통신망법 위반 혐의로 형사 처벌을 피하기 어렵다.

우리 법질서는 개인이 스스로 법 집행자가 되는 사적 제재를 철저히 금지한다. 비록 양형 단계에서 '피싱 피해를 막으려 했다'는 동기가 유리한 정상으로 참작될 여지는 있으나, 무죄가 되지는 않는다.

가장 현명하고 적법한 대응은, 디컴파일을 통해 확보한 범죄자의 IP와 증거 자료를 수사기관에 넘기는 것이다.