한 초등학생의 해킹

사건의 발단은 이랬다.
2014년 12월 15일 월요일, 언제나 그렇듯 출근을 하자마자 서비스 관리자페이지(일명 콘텐츠매니지먼트시스템, CMS)를 살펴보다 평소 잘 팔리지 않던 구글플레이기프트카드가 한 사용자에 의해 비정상적으로 구매된 것을 발견하였다.

주말동안 한 초등학생이 구글플레이기프트카드 1만5천원 권 7장, 틴캐시 1만원 권 2장(총 12만5천원 상당의 유가증권)을 구매한 것이다.
해당 사용자의 활동 로그를 살펴보니 가입한지 얼마되지도 않은데다 포인트도 전혀 없었는데 어떻게 된 상황인지 개발자에게 물어보니 이미 상황을 파악하고 이유를 찾고 있더라. ㅡ.,ㅡ;b

결론은 대부분의 주요 기능이 외부 연동을 통해 제공되고 내부적으론 SNS 기능 위주다보니 SSL을 신청해놓고 여러 개발이슈 등으로 적용을 미루고 있었는데 내부에서 제공하는 기능 중 직접 핀번호를 구매해서 채워놓던 3종류의 상품권 구매 모듈에 SSL을 적용하지 않아 패킷을 덤프 뜨는 방식으로 해킹을 한 것으로 보인다.

그래서 오후에 해당 학생에게 메일을 통해 연락을 했는데 너무 순수히 잘못을 인정하는게 아닌가!
발뺌을 했다면 소액인데 번거롭게 경찰서에 신고를 하거나 고소를 진행해야하나 고민을 했을텐데 초등학생인데다 순수하게 잘못을 인정하니 일주일의 기간의 말미를 주고 회사 계좌로 해당 금액을 입금하라고 했다.

기간 내 입금이 확인되지 않을 경우 지역 내 관할 경찰서를 통해서 신고 또는 고소를 진행하겠다는 경고와 함께 말이다.
그리고 이 사건은 조용히 마무리될 줄 알았다. 

하지만 초등학생보다 우리가 더 순수했다는 사실을 깨닫는데에는 그리 오래 걸리지 않았다.

판단력이 부족한 어린 초등학생이다보니 경찰서에 신고 또는 고소를 하는 대신 부모님께 알리고 부정취득한 금액에 대해 배상할 수 있는 상당 기간을 준 것인데 보기 좋게 우리의 예상은 빗나갔다.
참고로 부모님께 알렸어야 한다는 이야기가 나올 것 같아 부연설명을 하면 경찰서 등의 공권력을 통하지 않고서는 초등학생의 메일과 핸드폰 번호 이외 부모님과 직접 연락을 취할 방법은 없었다.

그런데 초등학생은 하루, 이틀 건너 메일을 보내오며 계좌이체 이외의 방법을 문의하거나 기간의 연장을 부탁하고 '보내겠다.'와 '보냈다.'를 반복하는 등 이해할 수 없는 계속되는 거짓말로 정해준 기일을 넘겼고 결국 2015년을 맞이했다.

그래서 결국 1월 5일, 최후 통첩 메일을 보냈다.
주고받은 이메일 내용 및 증거자료를 첨부하여 금일 중으로 경찰서에 고소를 진행하겠다고.

그런데 다음날 예상치 못한 메일이 도착을 하였다.
그 학생의 어머니가 1월 5일에서야 겁에 질린 아이로부터 이야기를 듣고 내용을 알게 되었고 아이에게 협박을 했다며 고발을 하겠다는 것이다.

포워딩된 메일을 보아하니 20통에 가까운 메일 중 달랑 2개의 메일만 어머니에게 보여준 듯 싶었고 '미성년자가 상품권을 구매하여 게임을 했다는 것이 아이의 잘못이 아니라 당신들 시스템 문제이지 경찰서니 소장이니 이런말을 어디 감히 초등학생과 주고 받을 수 있냐!'며 황당하고 어이없다고 하는 것을 봐서는 사건의 사실관계조차 제대로 파악하지 않은채 학생의 이야기만 듣고 일방적으로 협박죄로 고발을 하겠다는 것이다.
저 문구도 참 거슬리지만 우린 게임도 아닌데...

어머니께서 하신 말, 어디서 자주 듣던 이야기인데...

협박죄의 성립요건이나 찾아보고 협박죄로 고발을 하겠다고 한 것인지도 의문이다.
참 누가 황당하고 어이없다고 해야할지 적반하장도 유분수가 따로 없지.

어머니께서 자식이 무슨 불법행위를 했는지 모르는 것 같아 친절히 알려드린다.

먼저 해킹을 했다.
해킹이란 일반적으로 다른 사람의 컴퓨터에 침입해서 시스템을 교란시키거나 정보를 빼내거나 재산상의 이익을 취득하는 행위 등을 말한다. 해킹행위 자체로 시스템을 파괴하거나 교란하는 행위, 해킹에 의해 비밀을 침해하는 행위, 해킹에 의한 재산취득 행위, 해킹에 의한 자료변경 행위 등이 해당된다.
관련해서 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 관련 조항을 두고 있다.

제 48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나  그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.

이를 위반할 경우 동법 제 72조에 처벌 규정을 두고 있다.

제 72조(벌칙) ① 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 
1. 제48조 1항을 위반하여 정보통신망에 침입한 자

또한 해킹을 통해 재산상의 이득을 취했다.

이는 형법 상 컴퓨터 등 사용사기죄가 적용되어 징역 또는 벌금형에 처해질 수 있다.

제 347조의2(컴퓨터 등 사용사기) 컴퓨터 등 정보처리장치에 허위의 정보 또는 부정한 명령을 입력하거나 권한 없이 정보를 입력·변경하여 정보처리를 하게 함으로써 재산상의 이익을 취득하거나 제3자로 하여금 취득하게 한 자는 10년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.

그럼에도 불구하고 미성년자라는 이유로, 또 솔직하게 잘못을 인정하고 용서를 구해서 조용히 넘어가려고 했는데 협박죄로 고발을 하겠다니 황당하고 어이없긴 나 또한 마찬가지다.

손해배상 안 하고 협박죄로 고발하면 자녀에겐 컴퓨터 등 사용사기죄로, 그 어머니에겐 허위사실의 적시유무를 검토하여 무고죄로 고소미를 먹여주리라~라고 쓰고 싶지만 따뜻한 세상을 꿈꾸는 세균무기다보니 그냥 입금이나 빨리 해주고 조용히 마무리 지었으면 하는 바램이다.

P.S. : 사건의 결말은 이렇습니다.
어제(1월 8일) 학생의 어머님과 통화를 통해 사실관계를 설명드렸는데 금일 오전에 죄송하다며 피해액 전액을 송금해주셔서 좋게 마무리할 수 있었습니다. ^^v