김기범 성균관대 교수, 한국인터넷거버넌스포럼서 ‘AI 기반 사이버 범죄 대응 전략‘ 짚어
“인공지능(AI)이 등장하면서 사이버 범죄는 급속도로 진화하고 있습니다. 현재의 법체계를 뛰어넘는 사이버 범죄가 끊임없이 등장하고 있어 대책이 시급합니다.“
김기범 성균관대학교 과학수사학과 교수는 7월 3일 서울 세종대학교 광개토관에서 열린 ‘제14회 한국 인터넷거버넌스 포럼(KrIGF)’에서 ‘사이버 범죄의 유형과 대응‘을 주제로 강연하며 이같이 강조했다.
기존 법체계, 사이버 범죄 진화에 못 미쳐
김 교수는 “새로운 기술이 등장하면 범죄자가 가장 먼저 올라탄다”며 “비트코인, 다크웹, AI 역시 마찬가지였다. AI를 활용한 범죄가 이미 현실화되고 있지만, 현실의 법체계는 아직 그에 미치지 못하고 있다”고 지적했다.
특히, 그는 사이버 범죄의 정의와 범위부터 새롭게 접근해야 한다고 강조했다. “사이버 범죄를 정보통신망 침해나 악성코드 유포처럼 기술 중심으로만 접근하는 것은 한계가 있다”며 “AI 챗봇으로 타인을 자살로 유도하거나, 딥페이크를 통한 성착취물 생성처럼 전통적 범죄와 완전히 결이 다른 문제가 발생하고 있다”고 설명했다.
“AI 범죄는 크게 네 가지로 구분된다”며 “AI가 직접 공격자가 되는 경우, AI가 범죄 대상이 되는 경우, AI를 수단으로 범죄가 실행되는 경우, 마지막으로 AI가 생성한 불법 정보가 유통되는 경우”라며 “AI가 생성한 불법 콘텐츠의 사례로는 생성형 모델이 수집한 데이터 중 일부에 아동 성착취물이 포함된 적이 있고, AI로 위조한 딥보이스나 가짜뉴스는 피해의 규모나 정서적 충격이 오히려 현실 속 범죄보다 클 수 있다”고 우려했다.
사이버 범죄의 법적 판단 기준과 관련해, 그는 국내의 한 대학 수업 사례를 언급하며 “보안 취약점을 찾는 과제를 받은 학생이 실제 한 기관의 취약점을 발견해 기관의 직원에게 알렸으나, 결국 ‘정보통신망침입죄‘로 고소당해 유죄 판결을 받았다”고 설명했다.
이어 “미국은 선한 의도로 취약점을 찾아낸 해커에게 면책을 주거나 검찰이 기소를 하지 않는 방식으로 유연하게 대응하지만, 한국은 아직도 형식적으로 처벌하는 분위기”라며 “이런 방식은 국내 보안 생태계 자체에 부정적인 영향을 준다”고 우려했다.
랜섬웨어 처벌 규정도 뒤쳐져
김 교수는 국내의 랜섬웨어 범죄 대응 체계도 미흡하다고 평가했다. 그는 “한국은 아직까지 랜섬웨어 범죄를 악성코드 유포의 하위 범주로만 다루고 있지만, 미국은 이를 ‘디지털 공갈(Digital Extortion)‘ 범죄로 칭하며 독립적인 범죄로 규정하고 있다”며 “한국도 랜섬웨어를 활용한 범죄를 공갈, 협박 요소를 포함한 범죄 유형으로 법체계를 재정립할 필요가 있다”고 말했다. 특히 “랜섬웨어를 만든 사람은 처벌 대상이 되지 않고 유포자만 처벌되는 한국의 현행 법조문은 현실을 제대로 반영하지 못한 규정”이라고 지적했다.
실제로 미국은 한국 달리 랜섬웨어 범죄 관련 처벌을 더욱 강화하고 있다. 2021년 7월 미국 법무부 리차드 다운잉 차관보의 상원 법사위 서면 진술서에 따르면, 미국은 랜섬웨어를 단순한 악성코드 유포가 아닌 ‘디지털 공갈’로 간주하며, 국가 안보와 공공 안전을 위협하는 중대한 범죄로 강력히 대응하고 있다.
또한, 미국은 랜섬웨어 제작자·유포자뿐 아니라 수익 세탁 등 생태계 협력자까지 처벌 대상으로 보고 있으며, 범죄 구조를 ‘서비스형 랜섬웨어(RaaS)’로 분석해 유통 전반을 차단하는 전략을 펼치고 있다.
연방정부 차원에서는 2022년 ‘중요 기반시설 사이버 침해 사고 신고 의무화법(CIRCIA, Cyber Incident Reporting for Critical Infrastructure Act of 2022)‘을 제정해 사이버 공격 발생 시 72시간 이내, 랜섬웨어 댓가 지불 시 24시간 이내 정부에 의무적으로 보고하도록 규정했으며, 현재는 세부 시행규칙 마련 단계에 있다. 또한, 캘리포니아주는 2017년 ‘랜섬웨어 범죄 처벌에 관한 캘리포니아주 법률(SB 1137)’ 법안을 통해 랜섬웨어 유포를 독립된 범죄로 규정하고 최대 4년 징역형에 처하도록 했다.
‘사이버 범죄 대응 능력‘은 사이버 안보와 직결
김 교수는 “사이버 범죄와 국가간 사이버 전쟁은 더 이상 구분이 되지 않는다”며 “이를 대비하기 위한 사이버 안보는 국가 외교와 국방 전략의 한 축이 됐다”고 강조했다.
이어 “북한이나 러시아 등 국가 주도의 사이버 공격이 자산 압수, 국가 인프라 마비 등으로 이어지고 있으며, 국내에서 해외 범죄자 압수수색을 위해 영장을 청구한 건수는 단 1건인데 비해, 해외로 요청한 영장 집행은 79건에 달한다”며 “사이버 범죄 대응의 글로벌 협력 체계를 갖추지 않으면 국내의 사이버 범죄 대응 체계는 이내 한계에 봉착할 수도 있다”고 우려했다.
또한, “사이버 범죄는 신고가 잘 이뤄지지 않고 피해도 은폐되는 경우가 많아, 국가가 실제 위험을 측정하고 인력·예산을 책정하기 어렵다”며 “사망 사건처럼 주변에 알리는 경우가 많지 않다는 것도 큰 위협 중 하나”라고 덧붙였다.
끝으로 김 교수는 “디지털 포렌식 전문 인력 양성과 AI 수사 기술의 법체계 재정비 등 형사 절차에 대한 논의가 시급하다”며 “국제 규범 가입과 글로벌 플랫폼과의 협력, 수사권한 확대 등 다층적 대응 전략이 필요하다”고 강조했다.
김기범 교수는 경찰청 사이버수사 분야에서 다년간 실무를 담당한 사이버범죄 수사 전문가로, 현재는 성균관대학교에서 디지털 포렌식, 사이버법, 랜섬웨어 대응 체계 등에 대한 연구를 이어가며 학계와 정책 현장을 잇는 역할을 하고 있다.
한편, ‘제14회 한국 인터넷거버넌스 포럼‘은 디지털 시대의 정책, 기술, 신뢰 등 이슈를 논의하는 다자간 협의체 행사로 다자간인터넷거버넌스협회가 주최하고, 한국인터넷진흥원(KISA)과 한국인터넷기업협회 등이 공동 주관했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
![[이강우의 무지(無智) 무득(無得)]군자지중용야(君子之中庸也) 군자이시중(君子而時中)](https://img.etnews.com/news/article/2023/10/05/news-p.v1.20231005.babbd738f0eb45a08c3965fde6fe2c37_P1.jpg)
