KT 소액결제 해킹 사건으로 체포된 중국인 용의자 2명이 구속 여부를 결정할 법원의 심사를 앞두고 범행과 관련해 “나는 시키는 대로 했다”고 주장했다.

18일 법조계에 따르면 수원지방법원 안산지원은 이날 오전 10시 30분 정보통신망법 위반과 컴퓨터등사용사기 혐의를 받는 중국인 A씨(48)와 B씨(44)에 대한 구속 전 피의자 심문(영장실질심사)을 진행했다.

경찰에 따르면 A씨는 지난달 27일부터 차량에 불법 소형 기지국 장비인 ‘펨토셀’을 설치한 뒤 이동하면서 수도권 일대 KT 이용자들의 휴대전화 통신망을 해킹한 혐의를 받고 있다.

또 다른 피의자인 B씨는 해킹을 통해 발생한 결제 금액을 현금으로 바꾸는 역할을 맡은 혐의를 받고 있다.

이렇게 확보한 정보를 이용해 교통카드 충전이나 모바일 상품권 구매 등 소액결제를 무단으로 발생시킨 것으로 조사됐다.

법원 호송차에서 내린 이들은 취재진의 질문에 짧게 답했다. 개인정보를 어떻게 확보했는지, 왜 수도권을 범행 대상으로 삼았는지 등을 묻는 질문에 A씨는 “시키는 대로 했다”고 말했다. 지시한 인물이 누구냐는 질문에도 “모른다. 나도 시키는 대로 했다”고 답했다.

두 사람은 앞서 이날 오전 구속 심사를 위해 경찰서를 떠날 때도 대부분 질문에 답하지 않은 채 침묵을 유지한 것으로 전해졌다. 범행 동기나 불법 장비 입수 경위, 공범 여부 등을 묻는 질문이 이어졌지만 별다른 설명을 하지 않았다.

이번 사건의 핵심 쟁점은 펨토셀 장비를 이용한 통신망 교란 행위가 정보통신망 침입에 해당하는지, 그리고 이를 통해 발생한 소액결제가 컴퓨터등사용사기 범죄로 인정되는지 여부다.

정보통신망 사건에서 ‘정당한 접근권한’은 통상 서비스 제공자가 부여한 권한을 기준으로 판단된다. 이용자나 제3자의 임의 동의만으로는 정당한 접근권한이 인정되지 않는다는 것이 법원의 일관된 판단이다.

실제로 2020년 서울서부지방법원 항소심 판결에서도 이와 유사한 법리가 확인된다. 당시 피고인은 게임 계정 거래 과정에서 “정당한 권한이 있었다”고 주장했지만 재판부는 서비스 제공자가 부여한 접근권한을 기준으로 판단해야 한다며 이를 받아들이지 않았다.

재판부는 "제3자가 이용자의 계정 정보 등을 이용해 시스템에 접속한 경우 서비스 제공자의 명시적 승인 등이 없는 이상 정당한 접근권한이 있다고 보기 어렵다"고 판단했다.

또 타인의 계정이나 인증정보를 이용해 결제나 아이템 이동 등 재산적 이익을 얻는 행위는 형법상 컴퓨터등사용사기에 해당할 수 있다는 것이 판례의 입장이다.

법원은 권한 없이 정보를 입력하거나 변경해 정보처리 결과를 발생시키고 그로 인해 재산상 이익을 취득한 경우 범죄가 성립한다고 보고 있다.

조직적으로 역할을 나눠 범행이 이루어진 사건에서는 “시키는 대로 했다”는 주장만으로 책임이 면제되기 어렵다는 것이 법조계의 일반적인 설명이다.

하급심 판결에서는 범행 과정에서 일정한 역할을 맡아 범죄 실행에 기여했다면 공동정범이 인정될 수 있다는 판단이 반복적으로 제시되고 있다.

다만 전체 범행 구조에 대한 지배력이 약하고 범죄 실행을 돕는 수준에 그쳤다면 방조범으로 평가될 수 있는 반면 범행의 불법성을 전혀 인식하지 못한 경우에는 고의가 인정되지 않아 책임이 제한될 가능성도 있다.

경찰은 이들이 단독으로 범행을 저질렀는지, 아니면 해외 조직 등의 지시를 받아 움직였는지 여부를 포함해 사건 경위를 조사하고 있다. 구속 여부는 이날 영장실질심사 결과를 토대로 늦은 오후 결정될 전망이다.