지난 26일 베트남 하노이에서 유엔 사이버범죄방지 협약(UN Convention against Cybercrime) 서명식이 열렸다. 협약은 향후 40개국의 비준 절차를 거쳐 효력을 갖게 된다. 전문가들은 이번 협약이 발효될 경우, 합법적인 보안 연구 활동을 하는 사이버보안 연구자가 형사 처벌을 받을 위험에 놓일 수 있다고 경고했다.
기술 업계 단체인 사이버시큐리티 테크 어코드(Cybersecurity Tech Accord, 이하 어코드)는 이날 성명을 통해 “1년 전 유엔 사이버범죄 협약 초안에 대한 상세한 비판서를 제출했지만, 그 이후로도 실질적인 개선은 거의 없었다”라고 밝혔다.
어코드는 암(Arm), 시스코(Cisco), 클라우드플레어(Cloudflare), 델(Dell), 메타(Meta), 마이크로소프트(Microsoft), 세일즈포스(Salesforce), SAP 등 100개 이상의 글로벌 기술 기업이 참여하고 있는 단체다. 어코드는 이번 협약이 합법적인 온라인 활동을 범죄로 규정할 여지를 남기고 있어, 사이버범죄 대응을 더 어렵게 할 수 있다고 경고했다.
특히 어코드는 협약이 지나치게 포괄적이고 불명확한 범위를 가지고 있다고 지적했다. 범죄자 조항이 모호하고 보안 연구자 보호 장치가 부족하며, 데이터 접근 권한이 불필요하게 확장되고 실질적인 인권 보호 조치가 마련되지 않았다는 설명이다. 어코드는 “결과적으로 최신 초안은 사이버범죄 대응을 위한 구체적 수단이라기보다 유엔의 디지털 감시 조약에 가깝다”라고 평가했다.
이에 따라 어코드는 비준 과정에서 각 회원국이 협약을 승인하지 말아야 한다고 촉구했다.
위험에 처한 보안 연구진
전 세계 인권 침해 사례를 조사·보고하는 단체인 휴먼라이츠워치(Human Rights Watch) 역시 이번 협약에 반대 입장을 밝혔다. 단체는 유엔이 협약을 채택한 직후 게시한 글에서 “이번 협약은 사이버범죄의 범위를 훨씬 넘어, 각국이 충분한 인권 보호 장치 없이 광범위한 감시 권한을 갖도록 한다”라고 비판했다.
휴먼라이츠워치 기술·권리·조사 부문 부국장 데보라 브라운은 “이 협약은 각국 정부가 자국 법상 최소 4년 이상의 징역형에 해당하는 ‘중범죄’ 관련 전자 증거를 수집하고, 이를 외국 당국과 공유하도록 의무화할 것”이라고 설명했다. 그는 많은 정부가 탐사보도나 보안 연구진의 통상적인 활동조차 범죄로 취급하고 있다고 지적했다.
휴먼라이츠워치는 이번 협약에 반대 입장을 밝힌 여러 단체 중 하나다. 지난 3월 게시한 성명에서는 “유엔 사이버범죄 협약의 부실한 조항은 사이버범죄로 간주될 행위의 최소 기준조차 명확히 설정하지 못했다. 이는 회원국이 국내와 국제 정의 사이에서 매우 어려운 균형을 유지해야 한다는 문제점을 드러낸다”라고 경고했다.
다만 인포테크리서치그룹(Info-Tech Research Group)의 자문위원 발렌스 하우든은 협약 초안 작성 과정에서 사이버범죄로 간주되는 행위의 정의가 이전보다 구체화됐다고 평가했다.
하우든은 “현재 협약은 악의적 의도를 가진 행위에 초점을 맞추고 있어, 상당한 진전이 있다고 본다. 물론 완벽하다고 보긴 어렵고, 악의적 의도가 없는 개인을 보호하기 위한 보다 명확한 조항이 추가될 필요가 있다”라고 말했다. 그는 이어 “조항을 지나치게 구체화하려다 보면 오히려 협약의 진전을 방해할 수 있다. 이런 접근은 거대 기업들의 이해를 우선시하게 하고, 그들이 AI 개발 과정에서 데이터에 접근하고 이를 활용할 때 발생하는 잠재적 위법 행위를 감추는 결과를 낳을 수도 있다”라고 주장했다.
그는 “이 협약이 실제로 어떻게 적용될지는 서명국들이 누구이며, 각국이 어떤 방식으로 이행하느냐에 달려있다. 협약에는 일정 수준의 ‘유연성’, 달리 말해 모호함이 존재하며, 이는 국제 표준과 마찬가지로 국가와 지역마다 다른 접근 방식을 수용하기 위한 것”이라고 설명했다. 이어 “이 협약을 둘러싼 논의 자체가 산업 전반에 긍정적인 자극을 주고 있다고 본다”라고 덧붙였다.
보안업체 보서론시큐리티(Beauceron Security)의 최고경영자 데이비드 시플리 역시 협약의 일부 내용에 대해 긍정적인 평가를 내놨다.
시플리는 “5년이라는 긴 협상 끝에, 서명 및 비준 국가가 다양한 디지털 범죄를 일관된 형사법 체계 안에서 다루게 된 것은 큰 성과”라고 말했다. 그는 과거 자신이 지원했던 한 사건에 대해 언급했다. 당시 피해자는 동의 없는 불법 촬영물이 온라인에 유포되는 피해를 입었지만, 가해자가 해당 행위를 범죄로 규정하지 않은 국가로 도주하면서 처벌이 불가능했다고 설명했다.
그는 “만약 그때 이 협약이 시행 중이었고, 가해자가 도주한 국가가 협약에 서명한 상태였다면 해당 사건을 범죄로 다루고 수사와 기소 과정에서 협력했을 것이다. 그랬다면 피해자도 최소한의 정의를 얻을 수 있었겠지만, 현실에서는 아무런 보호도 받지 못한 채 오직 트라우마만 남았다”라고 말했다.
시플리는 유럽연합(EU)이 이번 협약을 지지하기로 결정한 점을 긍정적으로 봤다. 그는 “EU는 사이버범죄 문제를 매우 심각하게 받아들이면서도 시민들의 기본적인 프라이버시와 인권을 함께 보호하고 있다”라고 말했다. 다만 그는 “협약은 서명만으로 효력이 발생하지 않으며, 각국이 비준 절차와 법 개정을 거쳐야 하기 때문에 실제 시행까지는 시간이 필요하다”라고 설명했다. 또한 “이 협약은 사법 절차의 독립성을 침해하지 않는다. 따라서 만약 일부 권위주의 국가가 이를 악용하더라도 민주주의 국가들이 법과 제도를 통해 남용을 막을 수 있을 것”이라고 분석했다.
“하노이보다 부다페스트가 낫다?”
어코드 대표단을 이끌고 유엔 위원회에 참여했던 닉 애슈턴하트는 새로운 사이버범죄방지 협약을 시행하기보다는, 이미 운영 중인 유럽평의회의 부다페스트 사이버범죄 협약을 중심으로 국제 공조를 강화해야 한다고 주장했다. 그는 “부다페스트 협약은 이미 다수의 회원국이 참여하고 있고, 새롭게 가입을 희망하는 국가도 늘고 있다. 이행 경험과 인권을 존중하는 실행 지침을 갖춘 훨씬 더 완성도 높은 협약”이라고 진단했다.
애슈턴하트는 “민간 부문은 앞으로도 부다페스트 협약의 역량 강화와 기술 지원에 노력을 집중할 것이며, 유엔 협약은 현재 드러난 문제들이 향후 추가 의정서 협상 과정에서 해결되지 않는 한 우선순위에서 밀릴 것”이라고 내다봤다.
반면 시플리는 여러 논란에도 불구하고 이제는 업계가 협약의 올바른 이행에 집중해야 한다는 입장을 보였다.
시플리는 “사이버보안 업계가 제기한 우려를 충분히 이해한다. 업계의 반대는 국제 공조 자체에 대한 것이 아니라, ‘무단 접근’의 정의가 모호해 윤리적 연구를 수행하는 보안 연구자까지 처벌 대상이 될 수 있다는 점에 대한 우려”라고 설명했다. 그러면서 “이미 협약이 확정된 만큼, 이제는 서명국 내에서 협약이 시행될 때 보안 연구 활동이 충분히 보호받을 수 있도록 실질적인 장치를 마련하는 데 집중해야 한다”라고 말했다.
유엔 사이버범죄방지협약은 40개 회원국 또는 지역 경제통합기구가 비준한 뒤 90일 후 발효되며, 비준 절차는 2026년 12월 31일까지 진행된다.
dl-ciokorea@foundryco.com
Read More from This Article: “보안 연구까지 범죄로 볼 위험 있다” 전문가가 본 ‘유엔 사이버범죄 협약’ 전망
Source: News