사이버 범죄, 새 ‘국제 질서’ 논의··· 위법·위반 의견 충돌

유엔이 20년도 더 지난 부다페스트(Budapest) 협약을 대체할 새로운 사이버 범죄 협약을 체결하려 나섰다. 더 많은 국가를 포함하고, 법적 강제력까지 행사는 강력한 국제 질서를 형성하려는 의도지만 사이버 범죄의 구체적인 범위에 대한 의견이 엇갈린다.
 

세계 각국은 새로운 사이버 범죄 협약을 마련하고 있다. 그러나 일부 유엔 회원국들은 진정한 범죄가 아닌 활동을 범죄로 규정하려고 한다.

사이버 범죄는 이제 200개가 넘는 국가 모두가 피할 수 없는 범세계적 재해가 됐다. 랜섬웨어부터 암호화폐 사기까지 디지털 범죄자들이 국경을 넘나들며 국가 안보를 위협하고 있다. 

이에 유엔이 사이버 범죄 대응에 나섰다. 포괄적 사이버 보안 이니셔티브를 개발하기 위해 새로운 국제 협약을 맺고자 한다. 이는 새로운 국제법으로 이어질 수도 있다. 

새로운 협약이 초안이 나오자 일각에서는 표현의 자유, 개인 정보 보호, 사이버 보안 연구와 관련된 우려의 목소리가 나온다. 
 

부다페스트 협약을 넘어서 

2019년 12월 27일, 유엔 총회는 범죄 목적에 정보통신 기술 사용을 금하는 국제 사이버 보안법의 결의안을 채택했다. 총회는 결의안을 통해 새로운 사이버 범죄 협약을 만들고자 다국적 전문가들로 이루어진 정부 간 임시 위원회를 설립했다. 

이 협약의 목적은 2001년 체결된 부다페스트 사이버 범죄 협약을 대체하는 것이다. 부다페스트 협약은 처음으로 인터넷 기반 범죄를 법적으로 정의한 조약이었다. 2004년부터 시행돼 가장 최신 개정은 2022년에 이루어졌다. 

부다페스트 협약은 67개국이 비준했다. 아일랜드와 남아프리카공화국 등 2개국이 추가로 협약에 서명했지만 비준하지는 않았다. 이번 특별위원회의 목표는 부다페스트 협약보다 더 큰 범위와 영향력을 발휘하는 협약을 만드는 것이다.

사이버 전문가 재단의 회장이자 전 미국 최고 사이버 외교관인 크리스 페인터는 "미국을 비롯해 뜻을 같이하는 국가들은 부다페스트 협약에 대체로 만족했다. 그러나 중국과 러시아 같은 국가는 이 협약에 빠져 있어 항상 새로운 UN 협약에 대한 갈증이 남아 있었다”라고 말했다. 

국무부 특별위원회의 미국 수석 협상가인 데보라 매카시 대사는 “새로운 협약이 체결된다면 더 많은 사이버 범죄자를 국제법에 따라 엄밀히 처벌하고 국가 간 정보를 훨씬 더 빨리 주고받을 수 있게 된다. 완전히 국제적인 협약이 내는 힘이다”라고 말했다. 

9월 마감일을 맞추기에는 시간이 촉박하다. 그래서 새로운 협약을 시행하는 역할을 맡은 실무그룹은 1월 20일 비엔나에서 끝난 제4차 임시 위원회 회의에서 제안서 초안 모음을 제시했다.
 

법적 강제력, 양날의 검 

일렉트로닉프런티어재단(EFF)의 커트 옵살 부이사장 겸 총괄고문이 올해 슈무콘 컨퍼런스(Shmoocon Conference) 참가자에게 전한 내용에 따르면 새로운 사이버 범죄 협약의 핵심은 연방 법과 같은 수준이 법적 강제력을 행사할 수 있다는 데 있다.  

EFF는 크리스 페인터가 이끄는 사이버 전문가 재단을 비롯한 74개 이상의 디지털 및 인권 단체, 그리고 알제리의 HE 파우지아 부마이자 메바르키 위원장의 격려로 임시 위원회의 논의에 참여해 비정부 단체, 시민 단체, 학술 기관, 민간 부문의 의견을 얻고 있다. 

하지만 국제 협약의 법적 강제력에는 국가마다 필요한 정치적 과정을 생략할 위험이 도사린다. 옵살은 “국제 조약으로 인해 부절적한 정책을 따라야 했던 적이 몇 번 있다. 대표적인 예가 디지털 밀레니엄 저작권(DMCA)다. 미국은 세계 지식 재산관 기구(WIPO) 조약 사항을 따를 수밖에 없었다”라고 말했다. 
 

사이버 범죄란?

사이버 전문가 재단의 회장 크리스 페인터는 이 협약의 핵심이 범위라고 강조했다. 

그는 “미국, 유럽을 비롯한 대다수 국가는 협약의 범위가 오로지 명백한 사이버 범죄로 국한되어야 한다고 줄곧 밝혀왔다. 아동 디지털 범죄 같은 예외 사항이 있긴 하지만 사이버상에서 일어나는 모든 잘못된 행동을 포함할 수는 없다. 사실상 인터넷에서 조금만 어긋나는 행위를 해도 범죄자가 되는 것과 다름없기 때문이다”라고 말했다. 

국무부 매카시 대사는 페인터와 동의하며 협약의 포괄성을 강조했다. 그는 "이 협약은 사이버 보안에 관한 것도 아니고, 인터넷 거버넌스에 관한 것도 아니며, 언어 폭력나 테러를 다루는 것도 아니다. 이 협약이 담으려는 사이버 범죄의 범위는 매우 구체적이다”라고 말했다. 

몇몇 다른 국가는 더 광범위한 의미로 사이버 범죄를 정의하려 한다. 매카시는 “이런 국가들은 대체로 표현의 자유를 건드린다. 이는 절대로 건드리고 싶지 않은 영역이다”라고 말했다. 

EFF의 옵살은 “조약이 이미 매우 길다. 사이버 범죄만 다뤄도 충분하다”라고 말했다. 
 

위법과 위반 구분해야 

전문가들의 의견과 달리 비엔나에서 열린 4차 회에서 공개된 초안은 사이버 범죄의 정의를 너무 느슨하게 잡았다. 미국을 비롯한 여타 국가의 동의를 구하려면 수정이 필요하다. 

개선해야 할 첫 번째 영역은 민사 분쟁영역이다. 예컨대 사이트의 서비스 약관 위반이 있다. 옵살은 “이런 위반이 위법이 돼서는 안 된다”라고 말했다. 

현재 많은 사이버 범죄 조항이 작성된 방식을 보면 계약 위반을 위법 행위로 오해할 소지가 다분하다. 단순한 민사분쟁을 형법으로 오해하지 않도록 조항을 명확히 해야 한다. 

개선해야 할 또 다른 영역은 ’악의적인 의도’의 명확한 정의다. 이는 특히 화이트 해커에게 중요한 사안이다. 옵살에 따르면 컴퓨터 시스템의 기능을 방해하는 행위의 위법 여부를 판단할 때 그 의도가 악의적이었는지, 아니면 화이트 해커처럼 취약점을 찾기 위해 선의의 의도로 수행된건지 구분할 필요가 있다. 

페인터도 “선의의 연구자를 잘못 처벌하는 일은 없어야 한다. 변호사들이 항상 말하는 것처럼 악의가 있어야 범법이라고 할 수 있다”라고 말했다. 
 

어디까지가 범죄인가 

국제협약상 사이버 범죄의 정의를 구체화하는 과정에서 가장 까다로운 요소 중 하나가 극단주의나 테러리즘과 관련된 혐오 발언이다. 옵살은 “극단주의나 테러리즘이라는 용어는 너무 주관적이며 국제적 표준이 없다. 자유를 침해하려는 권위주의 국가가 악용할 소지가 있다”라고 말했다. 

페인터는 “사이버 테러가 정확히 뭡니까? 러시아라면 푸틴에 반박하는 말이 사이버 테러일지도 모른다”라고 말했다. 

매카시는 “이 협약은 극단주의와 테러리즘이 무엇인지에 대해 논의할 자리가 아니다”라며 “만약 조약에 이 모든 개념에 대한 논의까지 포함하려 한다면 아마 영원히 체결되기 힘들 것”이라고 설명했다. 
 

‘타이트한’ 일정, 타이트한 ‘조항’

여러 문제가 남아 있음에도 맥아시는 새 협약이 더 많은 국가를 포함한다는 점을 매우 긍정적으로 평가했다. 문제를 일으키는 국가도 소수에 불과하다. 그는 법무부 전문가들로 이뤄진 미국 팀의 정책 담당자들과 실무진의 역량을 믿는다고 전했다. 

그에 따르면 4월 5차 회의에서 특별위원회의 소규모 하위 그룹들이 "4차 회의에서 손대지 못했던 어려운 사안"을 다룰 예정이다. 맥아시는 그의 팀이 매우 얼마 남지 않은 마감일에 맞춰 매우 구체적인 조항을 작성하려는 의지로 가득차 있다고 말했다. 

중대한 시기는 8월 말 6차 회기 전으로, 위원장이 소위 '제로 초안(zero draft)' 또는 최종회의 초안을 작성한다. 맥아시는 “모래시계의 모래가 얼마 남지 않았다”라고 말했다. ciokr@idg.co.kr