초록 열기/닫기 버튼
최근 전 세계적으로 소프트웨어 공급망 공격으로 인한 피해 사례가 급증하고 있다. 소프트웨어 공급망 공격은 새롭게 등장한 사이버 해킹 기법으로 해커가 소프트웨어 개발·배포 과정에 침투하여 정상적인 소프트웨어를 변조하여 해당 소프트웨어를 사용하는 불특정 다수에게 악성프로그램을 유포하는 수법을 말한다. 소프트웨어 제품의 공급망을 파고드는 특성으로 인하여 그 공격의 탐지가 쉽지 않으며, 변조된 소프트웨어를 사용하는 모든 사용자(기관포함)가 영향을 받을 수 있으며, 기존의 해킹 공격에 비하여 광범한 피해를 가져올 수 있어 사회적으로 큰 혼란을 초래할 수 있다. 이에 우리나라에서도 최근 소프트웨어 공급망 공격에 대한 정책적·기술적 연구가 활발히 행해지고 있지만, 아직 형사법적 관점에서 소프트웨어 공급망 공격이라는 새로운 사이버범죄 유형에 관한 연구는 거의 없었다고 해도 과언이 아니다. 본 연구는 소프트웨어 공급망 공격이라는 새로운 사이버범죄를 현행의 형벌 법규로서 처벌할 수 있을 것인지, 그 처벌에 현행 법규의 공백 문제는 없는지, 그리고 더욱 실효적인 형사처벌의 개선·마련은 어떠해야 할 것인지를 검토하였다. 이를 위해서는 먼저, 소프트웨어 공급망 공격의 개념과 최근 발생한 피해 사례를 검토·분석함으로써 공통의 특성과 위험성을 파악하였다. 다음으로 현행의 기존법규로서 소프트웨어 공급망 공격에 효과적인 형사법적 대응이 될 수 있을지를 분석하였다. 끝으로 현행 법규는 소프트웨어 공급망 공격의 불법성을 제대로 반영하고 있지 않다는 판단하에서 정보통신망법에 소프트웨어 공급망 공격의 처벌에 관한 신설 규정의 도입을 제안하였다.
Recently, the number of damage cases caused by software supply chain attacks is increasing rapidly around the world. Software supply chain attack is a newly emerging cyber hacking technique in which hackers penetrate the software development and distribute malicious programs to an unspecified number of software users by tampering with normal software. Due to the nature of penetrating the software supply chain, detecting such attacks is challenging, and all organizations using the tampered software may be affected, thereby leading to widespread damage compared to conventional hacking attacks. Given their potential to create substantial societal disruptions, urgent research and countermeasures are necessary. Fortunately, in recent times, both policy and technological research on software supply chain attacks have been actively conducted in South Korea. However, there is still a lack of research evaluating this new type of cybercrime from a criminal law perspective. This study aims to investigate how to prosecute software supply chain attacks under current criminal laws, identify issues with current regulations, and consider the establishment of more effective punitive measures. Specifically, this study analyzes the concept of software supply chain attacks and examines globally occured cases to identify their common characteristics and risks. This study also assesses how current South Korean criminal laws can be applied to prosecute software supply chain attacks. Finally, this study raises questions about whether existing criminal laws can adequately reflect the illegality of software supply chain attacks and thus proposes the introduction of new punitive provisions within the Act on Promotion of Information And Communications Network Utilization And Information Protection to penalize such crimes appropriately.
키워드열기/닫기 버튼
Software Supply Chain Attack, Cybercrime, Melicious Program, Act on Promotion of Information And Communications Network Utilization And Information Protection, Cybersecurity
