[최정식 발행인 칼럼] 사이버공격 피해 대응, 현행법 적용으로 충분?

- 기사 날짜 : 2021-07-28

- 최정식 보안뉴스 발행인 / 미디어 : 보안뉴스(www.boannews.com)

- 기사 출처 : https://www.boannews.com/media/view.asp?idx=99411&page=1 

 

[기사 요약]

2012년 12월 미국 법무부는 국제적 해킹 사건에 연루된 북한 정찰총국 소속 해커 3명을 기소했다. 그들은 해외 은행과 기업으로부터 13억 달러어치 이상의 현금과 가상화폐를 훔치고, 여러 악성 가상화폐 앱을 개발해 배포했다. 그중 한 명은 이미 2014년 미국 영화사 소니픽처스 사를 해킹한 혐의로 2018년 기소되었던 사람이다. 이들에게 적용된 법률은 '컴퓨터 사기와 남용 음모 혐의', '유선 사기와 은행 사기 혐의' 등이다.

일부 학계에서는 한 국가의 후원을 받은 사이버전사가 사이버공격을 조직적으로 수행한다면 국제법을 어떻게 적용해야 하는지에 주목했다. 예를 들어, 사이버공격을 감행한 조직원인 해커를 전투원으로 인정해야 하는가, 해킹 도구도 무기로 봐야 하는가 등이었다. 또한, 해당 인물의 신병을 확보했을 때 어떻게 대우를 하고, 기소를 할지에 대한 기준이 필요하다. 사이버공간은 물리적 공간과 달리 공공·군사·민간 시설이 명확하게 구분되지 않는다. 국가가 조직적으로 후원한 사실을 명백하게 보여줄 증거를 찾기도 쉽지 않다.

대부분의 학자들은 사이버 환경에서도 물리적 환경과 같은 기준과 잣대를 적용하는 것이 적합하다는 의견을 내놓았다. 사이버공간을 구성하는 시스템은 결국 서버, 네트워크, 클라우드 등 물리적 환경에서 작동하는 제품과 서비스이기 때문이다.  미국과 북한의 경우 디지털 환경의 격차가 크기 때문에 같은 규칙을 적용하는 것은 실효성이 없다는 의견도 제시되었다.

 

[용어 정리]

소니 픽처스 엔터테인먼트 해킹 사건 : 2014년 11월 24일 발생한 사건으로, 소니 픽처스 엔터테인먼트 회사 관계자 간의 전자 메일, 직원의 개인 정보, 미공개 영화 본편의 복사 등 다양한 정보의 유출을 초래하였다. 해커 집단의 정체는 불명이며, 그들은 "Guardians of Peace(평화의 수호자)"라는 이름을 자칭하고 있다. 김정은 암살을 그린 코미디 영화 <디 인터뷰>를 비난한 북한의 해커로 판단되고 있지만, 북한 당국은 부정하고 있다.

 

[나의 의견]

사이버공간과 관련된 국제법이 필요하다는 것은 지난 기사들을 보면서 느꼈었다. 이 기사를 읽고 나서는 사이버공간과 물리적공간의 차이 뿐만 아니라 각 나라의 디지털 환경 수준까지도 고려되어야 한다는 점을 생각하게 되었다. 북한의 경우 인터넷을 쓸 수 있는 인구가 전체 인구의 1%도 되지 않는데, 어떤 규제나 제한 조치 방안이 마련된다고 해도 이를 미국에 적용했을 때와 북한에 적용했을 때 미치는 영향과 타격의 크기는 비교 불가능한 수준일 것이다.