정보와 시대의 도래와 더불어 사물인터넷과 가상물리시스템의 등장은 우리 사회를 혁신적으로 변화시키고 있다. 가상물리시스템에 대하여 널리 통용되는 정의는 없으나 일반적으로 사물이 센서, CPU 등의 하드웨어와 소프트웨어로 구성된 정보처리장치, 액츄에이터(actua ...

정보와 시대의 도래와 더불어 사물인터넷과 가상물리시스템의 등장은 우리 사회를 혁신적으로 변화시키고 있다. 가상물리시스템에 대하여 널리 통용되는 정의는 없으나 일반적으로 사물이 센서, CPU 등의 하드웨어와 소프트웨어로 구성된 정보처리장치, 액츄에이터(actuator) 등을 갖추고, 실시간으로 물리세계로부터 정보를 수집하고 처리한 후, 그 결과에 따라 물리적 세계에 직접 작용하여 현실의 변화를 가져오는 시스템 일체를 지칭하는 용어로 사용된다. 가상물리시스템은 정보기술과 제조기술 등 서로 전혀 다른 맥락에서 발전하여 온 기술이 결합하여 탄생한 사물로서, 본질적으로 이질적인 성격을 가질 수밖에 없는 것으로 이해된다. 가상물리시스템의 안전성과 신뢰성이 확보되려면 그것이 갖고 있는 이질성이 충분히 고려되어야 한다. 즉, 가상물리시스템을 구성하는 정보처리장치는 물론 물리적 구성요소가 모두 결함 없이 설계되고 제조되어야 하며, 내부에 설치되어 있는 소프트웨어에 대한 사후적 업데이트가 지속적으로 이루어져야만 하는 것이다.
일상생활용품으로 사용되는 가상물리시스템은 제조물에 해당한다. 그리고 지금까지는 제조물에 하자로 인하여 발생하는 위험에 대하여서는 이른바 형법적 제조물책임 이론을 적용하여 대응하여 왔다. 따라서 지금까지의 처리과정에 비추어 본다면 가상물리리스템에 결함이 있어서 법익침해가 야기되거나 그 위험이 발생하는 사례에 대하여서는 형법적 제조물책임 이론을 적용하여야 한다고 볼 수도 있다. 그러나 형법적 제조물책임 이론은 가상물리시스템의 결함으로 인하여 야기되는 위험에 대응하기에는 적절하지 않아 보인다. 무엇보다도 형법적 제조물책임 이론은 그 제조자에게 결함 없는 제품을 설계하고 제조할 형법적 의무를 부담시키고 있으나, 가상물리시스템을 구성하는 핵심적 요소에 해당하는 소프트웨어의 경우 애초부터 결함 없이 개발하는 것이 불가능하여 이러한 형법적 제조물책임 이론의 구상이 적절히 적용되기 곤란하다. 소프트웨어의 결함은 예측불가능한 법익침해의 위험에 해당하여서, 설령 가상물리시스템에 사용된 소프트웨어에 결함이 있고 그것이 사고로 이어진 때에도 그 제조자에게 애초 결함이 있는 소프트웨어를 개발하여 배포한 데에 대하여 형사책임을 부담하여야 한다고 주장하는 것은 타당하지 않을 것이다.
정보통신망법 등 인터넷에서의 개인정보 보호를 위하여 발전하여 온 여러 규정들 역시 가상물리시스템으로 인하여 야기되는 위험에 대응하기에는 충분하지 않은데, 예를 들어 인터넷에 연결되지 아니하고 독자적으로 사용되는 가상물리시스템의 경우에는 정보통신망법이 적용될 수 없을 것이다. 나아가 컴퓨터 정보네트워크에 대한 공격과 침해는 지금까지는 주로 정보 보호 내지 프라이버시 보호의 관점에서 논해지고 있었는데, 가상물리시스템과 관련하여 등장하는 안전과 법적 책임의 문제들은 단순히 프라이버시 보호의 문제에만 해당하는 것이 아니라 생명, 신체, 재산 등 전통적이고 전형적인 개인적 법익의 보호의 문제에도 해당한다. 게다가 가상물리시스템에 대한 공격 메커니즘과 방어체계 역시 전통적인 정보기기에서와는 다르다. 가상물리시스템에서는 모든 구성요소, 예를 들어 정보처리기능과 관련된 요소는 물론 물리적 요소, 양자가 결합되어 작용하는 요소, 나아가 양자 사이의 상호작용관계에 대하여서도 공격이 있을 수 있기 때문이다. 이러한 가상물리시스템의 취약성에 대한 공격의 위험에 대응하기 위하여서는 새로운 법적 대응체계가 필요할 것이다.
의료기기와 같은 중요한 가상물리시스템에서는 애초 설계 당시부터 정보처리기능의 결함을 사후적으로 보완할 수 있도록 디자인되어야 하고, 그 제조자에 대하여 기기의 신뢰성과 안전성을 유지하기 위하여 필요한 사후적 보완조치를 취할 법적 의무를 부담시킬 필요도 있을 것이다. 그러나 모든 가상물리시스템의 제조자가 이러한 법적 의무를 부담하여야 한다고 보는 것은 합리적이지 않을 것이다. 이외에 복잡하고 규모가 큰 가상물리시스템, 예를 들어 지능형 도로, 스마트 그리드, 스마트 빌딩 등의 경우에는 시스템 실패가 발생하는 것을 방지하기 위하여 사전적 보호조치를 취하는 것이 중요한 의미를 갖게 되며, 이러한 가상물리시스템으로부터 발생하는 위험에 대응함에 있어서는 형법 역시 사후적 처벌이 아니라 사전적 예방기능을 수행할 수 있도록 사용되는 것이 타당할 것이다. 이러한 위험에 대한 사전예방조치는 지금까지 발전하여 온 시스템 위험관리체계에 따라서 이루어지는 것이 적절할 것이다.

Cyber-Physical Systems (CPSs) are generally defined as integrations of computation, networking, and physical processes. They monitor and interact with physical processes, usually with feedback loops where physical processes affect computations and vic ...

Cyber-Physical Systems (CPSs) are generally defined as integrations of computation, networking, and physical processes. They monitor and interact with physical processes, usually with feedback loops where physical processes affect computations and vice versa. CPSs are heterogeneous by nature, because the integration of heterogeneous technologies has enabled the emergence of the CPSs. To make CPSs safe and reliable, not only the cyber components such as embedded computing systems but also the physical components such as mechanical systems should be designed and manufactured without defect and the embedded systems are required to be regularly updated to fix latent bugs in embedded software.
We have been resolved criminal issues arising from defective product via the theory of criminal product liability. CPSs that have been developed as consumer products could be considered as a sort of manufactured product, but it could not be expected that the theory of criminal product liability would also bring about a satisfactory resolution for the case of defective CPSs. According to the theory of criminal product liability, there is a duty upon a manufacturer to design and manufacture a defect-free product. But most if not all software contains serious flaws and defects and it has been acknowledged that it is impossible to develop a software product that is entirely free of flaws and defects. Considering that software defects should be treated as unforeseeable risks of harm, it would be very difficult to argue that, for example, accidents caused by latent software defects in cyber-physical vehicle systems such as autonomous cars are attributable to the manufacturer and he should be held criminal responsible for the failure of CPVSs.
Regulations regarding protection of information privacy in the internet would be also insufficient, because there could be plenty of CPSs that are not connected to the internet. Problems caused by attack and invasion of the computer information network system has been generally discussed in the light of data privacy protection, but the safety and legal liability issues of CPSs encompass not only the privacy protection of their users, but also the protection of very personal, legally protected interest such as human life, bodily integrity, and property. Attack and protection mechanisms of CPSs are also somewhat different to those of traditional IT systems. Every component, namely cyber, physical, and cyber-physical components including their integration, can be a potential target of criminal malicious misuse. To deal with the increasing risk arising from attacks that exploit vulnerabilities in CPSs, we maybe need a new legal, crimianl framework that incorporates the key features of CPSs.
Critical CPSs such as medical devices should be designed to allow software updates to fix latent failures and bugs in the computational process, and it could be required to impose criminal duties on manufacturers to supply security updates to ensure their reliability and safety. But it would not be reasonable to demand that all the manufacturers of CPSs should take such a responsibility. Complex, large scale CPSs such as intelligent transportation system, smart grid and smart building need proactive protection and fast restoration to prevent system failure. In regulating risks associated with such CPSs, criminal law should not function retrospectively but prospectively to mitigate physical or cyber incidents.

1. 본 연구에서는 가상물리시스템의 등장으로 발생할 수 있는 형법적 문제와 그것에 대한 대응방안을 연구하였다.
2. 가상물리시스템은 다양한 기술이 결합하여 탄생한 산물로서 기기의 자율적 정보처리결과를 바탕으로 현실의 물리적 세계를 변화시키게 되는 특징이 있다 ...

1. 본 연구에서는 가상물리시스템의 등장으로 발생할 수 있는 형법적 문제와 그것에 대한 대응방안을 연구하였다.
2. 가상물리시스템은 다양한 기술이 결합하여 탄생한 산물로서 기기의 자율적 정보처리결과를 바탕으로 현실의 물리적 세계를 변화시키게 되는 특징이 있다.
3. 가상물리시스템으로 인한 법익침해를 방지하기 위하여서는 당해 가상물리시스템이 애초 의도한 기능을 지속적으로 이행하도록 하는 신뢰성, 기능 수행 과정에서 시스템 실패가 발생하여 외부 법익의 침해를 야기하지 않을 안전성, 외부 공격으로부터 내부의 정보처리기능을 보호하기 위한 보안성이 충분히 높은 수준으로 유지되어야 한다.
4. 가상물리시스템은 그 자체가 하나의 시스템으로 기능할 수도 있으며, 보다 큰 시스템의 구성요소로서 기능할 수도 있다. 즉 가상물리시스템은 매우 다양한 층위에서 그 의미가 정해질 수 있다. 다만 어느 경우이더라도 가상물리시스템의 이용 내지 운용과정에서 발생하는 위험에 대한 대응수단을 마련함에 있어서는 그것이 이질적인 구성요소가 결합하여 기능함으로써 구성요소 수준에서는 발현되지 않는 새로운 기능을 구현시키는 하나의 시스템에 해당한다는 점이 충분히 고려되어야 한다.
5. 가상물리시스템에 대한 의도적 공격에 대응하기 위하여서는 새로운 공격수단 자체를 형사처벌하는 규정을 마련하는 이외에, 정보기능의 장애로 현실세계의 법익을 침해하는 행위를 처벌하기 위한 규정이 마련되어야 한다. 예를 들어 정보처리기능에 장애를 야기하여 업무를 방해하는 행위를 형사처벌할 수 있는 규정이 마련되어야 할 것이다. 나아가 아래에서 별도로 논의하는 바와 같이 규모가 큰 가상물리시스템에 대한 공격행위를 형사처벌할 수 있는 규정을 별도로 마련할 필요가 있다.
6. 일상생활에서 사용될 가상물리시스템의 신뢰성와 안전성을 확보하기 위하여서는 제한된 범위에서 그 제조자나 관리자 등에 대하여 사전적, 사후적으로 충분한 보안기능을 갖추도록 할 형법적 의무를 부과할 필요가 있다. 다만 일상생활에서 무수히 많은 종류의 가상물리시스템이 사용될 수 있음을 고려한다면, 이러한 형법적 의무의 부과는 원칙적으로 그것의 오작동 내지 악용이 있을 때 생명, 신체 등 중대한 법익침해가 발생가능한 경우에 한정하여 인정하는 것이 적절할 것이다. 나아가 이러한 의무를 부과하는 때에도 그러한 의무가 부과될 수 있는 시간적 제한이 있음을 고려할 필요가 있다.
7. 일상생활에서 사용될 가상물리시스템의 제조자 등에 대한 의무부과의 근거로서는 제조물의 결함으로부터 발생하는 위험에 대응할 수 있도록 발전하여 온 형법적 제조물책임 이론, 정보기술 발전에 따르는 개인정보 침해에 대응하기 위하여 발전하여 온 정보통신망 관련 법률 등을 고려해볼 수 있다.
8. 형법적 제조물책임 이론은 주로 물리적 결함에 의하여 발생하는 위험에 대응하도록 발전하여 왔기에 가상물리시스템의 정보처리기능을 구현하는 소프트웨어의 결함에 대응하기에 부적절한 측면이 있다.
9. 상물리시스템이 하나의 사물로서 일단 판매되고 나면 그것을 지속적으로 관리할 의무를 부담하는 자가 존재하지 아니하는 사례가 다수 존재하여 정보통신망 관련 법률을 확장하는 방안 역시 한계가 있다.
10. 전체적으로 본다면 형법적 제조물책임 이론의 기본 구상에 의하되 가상물리시스템의 특징이 충분히 고려될 수 있도록 독자적 이론체계를 형성하는 것이 바람직할 것이다.
11. 규모가 큰 가상물리시스템에 대하여서는 일상생활용품인 가상물리시스템과는 다른 형태의 형법적 대응이 이루어지는 것이 적절하다. 예를 들어 스마트 빌딩에 대하여 공격이 가해지게 되면 그 건물을 이용하는 불특정 다수인의 법익을 침해할 우려가 있어서, 이러한 대단위 법익침해가 가능한 사안에 대하여 적용될 수 있는 별도의 법체계를 만드는 것이 적절할 것으로 보인다. 사회간접자본에 해당하는 가상물리시스템에 대하여서는 이미 현행 법률에서 어느 정도 형법적 보호를 제공하고 있으나, 그렇지 아니한 규모가 큰 가상물리시스템에 대하여서는 별도의 법규정을 마련하여 형법적 보호를 제공하는 것이 바람직할 것이다.

본 연구는 가상물리시스템의 발전과 더불어 발생하는 위험의 기술적 특징을 분석하고, 그러한 위험에 대응하기 위한 법적·형법적 대응방안을 마련하는 데에 도움을 주고, 관련 법령의 제정이나 개정작업에도 도움이 될 것으로 기대된다. 나아가 실제로 장래 가상물리시스 ...

본 연구는 가상물리시스템의 발전과 더불어 발생하는 위험의 기술적 특징을 분석하고, 그러한 위험에 대응하기 위한 법적·형법적 대응방안을 마련하는 데에 도움을 주고, 관련 법령의 제정이나 개정작업에도 도움이 될 것으로 기대된다. 나아가 실제로 장래 가상물리시스템의 위험관리가 실패하는 사고가 발생하였을 때 그것을 처리하는 과정에서도 최소한의 지침을 제공할 수 있을 것으로 생각된다.
가상물리시스템의 등장은 정보기술과 제조운영기술이 융합하여 나타나는 사회적 현상에 해당하며, 앞으로 정보기술과 여타의 기술의 융합현상이 더욱 더 다양한 형태로 등장하게 될 것으로 기대되는바, 본 연구를 통하여 정보기술이 다른 분야의 기술과 융합하면서 발생하는 사회적 현상에 대한 형법적 대응의 기본방향을 검토하는 토대를 제공해줄 수 있을 것으로 기대된다.
본문에서 살펴본 바와 같이 새로운 기술을 우리의 삶에 적용함에 있어서는 다양한 예측하지 못한 위험이 야기될 수 있으며, 이러한 위험에 적절히 대응하는 과정에서는 다층적 방어 원칙이 적용된다. 즉 민간 기관, 기업, 정부 등이 협력하여 발생가능한 위험을 기술적으로 최소화하고 발생한 위험이 허용된 범위 내에 머무르도록 관리하기 위하여 행정적, 법적 모든 수단이 사용되는 것이다. 형법적 대응수단은 이와 같은 형태로 다중방어체계를 갖추는 과정에서 사용될 수 있는 하나의 수단에 해당한다. 본 연구를 통하여 새로운 기술사용으로 인하여 야기되는 문제에 대한 대응방향을 마련함에 있어서 형법적 수단이 담당하여야 하는 역할이나 그 한계를 살펴볼 수 있을 것으로 기대된다.
그리고 보다 일반적으로, 사회적·기술적 시스템으로부터 야기되는 위험에 대한 관리의 측면에서 과실범이나 형법적 제조물책임 등이 갖는 의미와 한계를 다시 살펴보는 기회가 될 수 있을 것으로 기대된다.