[동향] 사이버범죄협약[부다페스트협약]

지난 22년 10월 11일 외교부에서는 사이버범죄협약 가입을 위한 첫 단계로 유럽평의회에 해당 협약에 가입의사가 있다는 가입의향서를 제출하였다.
https://www.mofa.go.kr/www/brd/m_4080/view.do?seq=372854&page=1 

사이버범죄협약(일명 부다페스트협약) 가입의향서 제출 상세보기|보도자료  |  외교부

 
22년도 2월에 사이버보안에 대한 법률 및 협약에 대한 공부를 진행하면서 해당 협약에 관한 국내 법안의 상충과 그에 대한 고찰 보고서를 작성한 이력이 있었는데 그 당시 개인적으로 바랬던 의견으로 방향이 흘러가서 기분이 좋다 ㅎㅎ
 
그래서 이번에는 본인이 작성했던 보고서를 회고하고자 글을 올린다.
 
 

부다페스트 협약

“부다페스트 협약”은 사이버범죄방지를 위한 국제공조방안 중 하나로 인터넷을 이용한 모든 범죄행위에 대해 상세히 규정하고 이를 처벌토록 한 최초의 국제조약으로서 50여 국이 서명 또는 비준하였으며, 실체적 규정뿐만 아니라 수사절차 및 국제 공조수사체제 규정도 마련되어 있으나 국내의 경우 가입 선제조건으로 제시되어 있는 법률적 요건들과
우리나라의 통신비밀 보호법 등 국내 차원의 법적 문제들이 상충해 국내법을 개정해야 하는  문제가 있고 협약 가입에 대한 실익을 두고 이견이 다양한 게 현재 상태이다.
 
현재 가입국 현황

 

부다페스트 협약의 주요 내용 3가지

부다페스트 협약의 주요 내용은 아래와 같다.
1. 불법접속, 불법 감청, 데이터 방해, 시스템 방해, 기기 남용, 사기 및 위조, 아동 포르노그래피, 지적 재산권 침해
2. 수사 절차상 도구로는 신속한 보존, 수색과 압류, 데이터 감청이 포함
3. 국제공조에 관한 규정으로는 추방, 상호법률지원, 정보제공을 위한 컴퓨터 접속 허용, 상호 법률 지원을 위한 감청허용, 24시간 연락망 가동
 

부다페스트 협약 가입에 대한 국내 분위기

2004년 부다페스트 협약이 발효되었을 때부터 우리나라의 가입논의는 검찰, 경찰, 형사사법 전문가들이 대부분 찬성하는 분위기였으나 국내법과 상충하는 이유로 오랫동안 부다페스트 협약에 가입하지 않고 있었음.

정보기관에서는 국가 보안에 상당히 중요한 정보 등이 국외에서 요청으로 열람할 수 있다는 점으로 반대하기도 함.
 

국내법과 상충하는 협약조항.

부다페스트 협약 제6조 ‘장치의 오남용’
부다페스트 협약에는 해킹 등의 부정 프로그램 바이러스와 컴퓨터 시스템의 전부 또는 일부의 접속을 가능하게 하는 컴퓨터 비밀번호, 접속코드 등을 제작, 판매, 수입, 배포하는 범행 예비 행위에 대한 처벌 규정이 있음
 

부다페스트 협약 제 6조

 

상충하는 국내법

국내법은 불법감청행위 자체에 대해서만 처벌하고 있어 협약에 조항을 따르게 되면 국내법의 허용범위를 초과하는 행위이다. 또한, 협약 가입을 위해 해당 위반사항에 대한 판별 기준은 어떤 식으로 할지에 대한 모호함이 남아있음.
 
부다페스트 제16조 ‘저장된 컴퓨터데이터의 신속한 보전’
부다페스트에서 요구하는 저장된 컴퓨터데이터의 신속한 보전을 국내법 “통신비밀 보호법” 상 통신 사실확인자료로는 대체 불가능하므로 이에 대한 대책이 필요하다. 또한, 압수수색이 현실적으로 불가능한 사생활, 국가안보와 밀접한 관계를 지닌 비밀정보 등은 보존 명령이 불가능한 상태이다. 법을 개정한다고 해도 위에서 언급한 사생활과 국가안보정보 등의 기준을 세울 잣대와 분류할 담당자에 대한 문제는 해결하기 어렵다.

부다페스트 협약 제 16조

 
부다페스트 제17조 ‘트래픽데이터의 신속한 보전 및 제출’
국내 통신 비밀보호법 제2조에서는 부다페스트가 협약에서 요구하는 통신 경로 통신 크기 서비스 유형 등이 규정되어 있지 않다. 이를 해결하지 않고 협약에 가입하면 해당 법안을 위반할 소지가 있으며, 협약에 가입한 회원국 통신사에 직접 트래픽 데이터를 요구하여 얻을 수 있기에 적법절차에 의한 통제가 없어서 정보 적 자기결정권1)을 훼손할 우려가 있다.

통신비밀 보호법 제 2조

그러나 트래픽 데이터 및 통신내용 데이터의 실시간 수집으로 인한 개인정보 침해나 정보 자주권의 침해는 크지 않을 것이라 예상된다.이유로는 부다페스트 협약의 적용 범위가 사이버 범죄 수사나 소추 및 재판절차를 위한 입법적 조치로 한정되어 있기 때문이다.
 
부다페스트 제18조 ‘제출명령’
국내 전기통신법상 제38조 제3항에서 수사기관이 수사를 위해 통신자료를 요청하면 “따를 수 있다”라고 강제성이 없도록 규정하여 사업자가 응하지 않더라도 제재할 규정이 없다. 실제 국내 2016년 대법원 판결에 따라 카카오가 검찰의 실시간 감청자료 요청에 응하지 않을 것이라고 밝히기도 함, 이렇듯 기업들은 사익을 위해서 기업 이미지 및 기업이익에 반하는 감청 활동에 협력하지 않는 분위기임, 따라서 법원의 영장을 통해 해결하는 방법이 필요함.
https://www.hani.co.kr/arti/economy/it/765723.html

카카오, 수사기관 카톡 감청 협조 중단

 

부다페스트 협약 실익

가입했을 때 얻는 이익
 
1. 국제적 국위 선양
- 부다페스트 협약 가입을 위해 통신비밀 보호법 등 국내법을 개정하는 것 자체가 우리나라 법률의 수준을 글로벌 수준로 향상 시키는 것이며 이는 곧 대한민국의 국위를 선양하는 데 이바지 할 수 있음.
 
2. 사이버 범죄의 세계화의 추세에 따라 정보 공유를 통한 대응의 고도화
- 사이버 범죄가 점차 세계화되면서 특정 국가에만 해당하는 문제가 아닌 전 세계 모든 국가에 해당하는 문제이기 때문에 
특정 국가 독자적으로는 효과적인 대응이 불가능하다. 이를 해결하기 위해서는 협약의 가입이 필요하다.
 
3. 국제적인 범죄의 경우 국제적 공조 없이는 정확한 범죄를 확인 및 증명의 어려움
- VPN, 다크웹, 토르 브라우저 등 여러 나라에 서버를 두고 하는 사이버 범죄 경우 국제적 공조가 없다면 정확한 범죄의 혐의를 확인하거나 증명하는데 어려움이 존재함.

 
가입했을 때 손해
 
1. 국가안보에 직접적인 영향을 줄 수 있는 민감한 데이터를 다른 나라가 접근 가능.
- 협약의 17조2)와 35조3)에 의해 국가안보에 직결되는 문제로 민감한 데이터를 다른 나라가 접근할 수 있다.
 
2. 우리나라에 대한 사이버 공격의 대부분은 북한
- 우리나라의 실질적인 공격 대부분은 북한인데, 협약에 가입하여 우리나라가 실질적인 이익을 얼마나 볼 수 있는가?
 
3. 기존의 유럽평의회 형사사법공조협약과 다른 비공식 라인의 존재.
- 이미 유럽평의회 형사사법공조협약과 다른 비공식 라인으로 충분히 국제공조가 가능한데 굳이 또 협약에 가입해야 하는가?
 

협약 가입 실익 판단

부다페스트 가입의 반대이유는 크게 2가지로 본다, 한 개는 국가안보에 직접적인 영향을 줄수 있는 민감데이터를 다른 나라가 접근이 가능해진다는 점, 다른 하나는 우리나라에 들어오는 사이버 공격의 대부분은 북한인데 이를 가입해서 얻을 수 있는 이익이 얼마나 존재하는 지이다.

먼저 국가안보에 직접적인 영향에 대한 문제는 국방망 해킹으로 인해 탈취당한 작전계획 5015로 설시되는 것을 확인해보면 사이버 공격의 유형은 다크웹을 이용하여 여러 나라의 서버를 거쳐서 국내 인터넷망에 침투하기 때문에 국제수준의 공조수사 없이는 정확한 공격의 진원지를 찾아내고 증명하기가 매우 어렵다.

완벽한 보안이 불가능하다면 국제공조가 필요한 순간이 올텐데, 완벽한 보안이란 불가능함으로 국제공조를 위해 협약의 가입이 필요하다고 설명이 된다.

또한, 북한의 사이버 공격에 대한 이유로는 미국 등 다양한 국가에서 또한 북한의 공격을 받기 때문에 해결되고 우리나라 또한 북한이 대부분의 공격을 하긴 하지만 최근에는 북한 뿐만 아니라 중국, 러시아, 대만 등 다양한 국가에서도 사이버 범죄가 발생하기 때문에 협약 에 대한 가입이 필요하다고 설명이 된다.
 

협약 미가입 시 발생할 수 있는 간접적 악영향

사이버 범죄가 국경을 초월하는 성향을 지님으로 다양한 국가에서 우리나라에 대한 공격이 들어오는 추세이다. 이러한 시점에서 국가적인 협력이 없다면 이는 곧 공격자에게 있어서는 추적을 회피할 수 있는 좋은 표적이기 때문에 협약의 가입이 필요하다.
 
무리에서 떨어진 얼룩말은 맹수들의 좋은 먹잇감에 불과하다.

 

국제적 정세와 다른 나라의 케이스 비교

사이버 범죄 대응을 위한 부다페스트 협약 가입과 국제공조 연구 중 내용(79p)

우리나라와 지리적으로 가장 인접한 일본의 경우, 국내적으로 2011년 일본 정부 및 군과 계약관계에 있는 미츠비씨 중공업 사이버 공격 사건과 2012년 정부 네트워크에 대한 3000회 이상의 사이버 공격이 계기가 되어 내각 산하에 ‘국가정보보안위원회’를 만들고 형사소송법 등을 개정하여 ‘부다페스트 협약’에 가입하였는데 일본은 기존의 국제법이 사이버 공간의 법질서를 유지하기 위해 지속적 으로 적용되어야 하고 UN 헌장이나 국제 인도주의법을 어떻게 사이버 공간에 적용할지 신중하게 검토해야 한다고 강조했다. 
 
또한 일본 국내적으로는 정부 및 국가기반시설 관련 회사, 산업체, 교육기관, 중소기업 및 사이버 공간을 이용하는 모든 회사를 사이버 공격으로부터 보호한다. 특히, 사이버 공간 위생을 위해 “Cyber Clean Day”를 통해 모든 사람들이 참여하여 예방적 정보보안 차원에서 불법적인 침투, 악성 감염, 취약점에 대응해야 한다고 강조했다.
 
일본의 경우는 국내법을 개정하여 부다페스트 협약에 가입한 모습이다.
 

정보보안을 공부하는 학생으로서 협약 가입의 실익 개인적 의견

부다페스트 협약에 대한 의견은 찬성이다. 그러나 앞서 말한 것과 같이 현실적으로 막혀있는 법률의 상충에 대한 해결이 우선 해결되어야 한다고 생각한다. 다만, 최근에 개정된 데이터 3법에 따라 정보의 자기결정권이 보장되는 방안과 절충하여 정보제공이 가능하도록 조치하며, 해당 협약에 대한 관리를 위한 국제사이버 범죄 대응팀을 신설하여 전문성 있는 인력들을 배치하여 국외로 국가안보에 중요한 정보들에 대한 선별 제외를 진행하는 등의 노력을 해야 한다고 생각한다.
 
또한, 디지털 범죄에 대한 국내 법안 등을 국제법과 상충하는 부분에 대해서 수정하여 적법한 절차에 따라 문제없이 해결할 수 있도록 수행해야 할 것이다. 앞으로 디지털 시대는 국경을 초월하는 초월성을 띠게 될 것이고 이에 대한 반응이 느린
국가는 사이버 범죄자들의 표적이 될 것이다.
 
우리나라 또한 마찬가지로 국제 정세의 흐름에 맞춰 부다페스트 협약에 가입하여 국제적인 사이버 안보의 일원으로 업무를 수행해야 한다고 생각한다.
 

---

1) 정보의 주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단 등을 요구함으로써 자신에 관한 정보를 통제할 수 있는 권리를 의미한다.
 
2) 트래픽 데이터의 신속한 보전 및 제출

3) 국경을 초월한 데이터 정보의 접근