사이버범죄 억제 및 공조를 위한 국제협약, 효과가 있을까? - 김승현 교수(정보시스템 전공)

 “Cybercrime Deterrence and International Legislation: Evidence from Distributed Denial of Service Attacks” MIS Quarterly, Vol. 41 No. 2, 2017, pp. 497-523 

디지털 시대, 네트워크 시대를 맞이하여 우리 사회의 범죄 또한 사이버 공간으로 영역을 넓혀나가고 있다. 우리가 잘 알고 있는 컴퓨터 해킹과 같은 사이버 범죄는 과거에는 10대 해커들의 장난이 높은 비중을 차지했다면 이제는 전문 범죄집단 등이 금전적 이익을 위해 고도화된 사이버 범죄를 저지르는 비중이 높아졌으며 이에 따라 천문학적인 규모의 사회적 손실이 발생하고 있다. 해킹에 의한 기업의 개인정보 유출 사고도 이제는 흔하디 흔한 뉴스가 되었다.

사이버 범죄에 대한 강화된 처벌과 제재에도 불구하고 왜 이렇게 사이버 범죄가 날로 기승을 부리고 있을까? 어떻게 하면 사이버 범죄를 효과적으로 억제할 수 있을까? 많은 사람들이 이 질문에 대한 답을 더 나은 방화벽, 침입 탐지 시스템, 암호화 등 기술적인 측면에서 찾으려고 한다. 필자는 이에 대한 답을 경영학, 경제학적인 접근을 통해 찾으려는 연구를 진행해왔다. 아마도 군복무 시절 군사 네트워크의 보안 담당 업무를 맡았던 것이 내 연구 관심사에 많은 영향을 미친 것 같다. 그 때 필자는 정보보안 분야에서 자주 언급되는 “보안은 가장 취약한 부분만큼 강하다 (Security is as strong as the weakest link)”라는 격언을 절실히 느끼게 되었다. 아무리 시스템적으로 완벽하더라도 이를 따르지 않는 사용자가 있는 한 정보보안은 쉽게 깨지기 마련이다. 따라서 정보보안을 위해서는 사용자들이 보안 지침을 어기지 않을 유인을 주는 것이 중요하다.

이는 사이버범죄를 저지르는 범죄자에게도 적용된다. 사이버범죄를 억제할 수 있는 한 가지 방안으로 이들이 사이버범죄를 저지를 유인을 줄이는 것을 생각할 수 있다. 예를 들어, 사이버범죄를 저지를 시 기대 비용, 즉 체포되어 처벌을 받게 될 가능성과 처벌 수준을 높이는 것이다. 다만 이 방안의 실행에는 몇 가지 어려움들이 있다. 가장 큰 어려움은 사이버범죄가 국경을 초월한다는 점이다. 이 경우 IP추적 등을 통하여 특정 국가에 사이버범죄자가 있는 것을 안다고 해도 이 범죄자를 실제로 체포, 조사, 기소 및 처벌을 하는 데에는 현실적인 어려움이 많다. 상대 국가에 협조를 구하기도 쉽지 않으며 국내법이 다른 경우, 예를 들어 상대 국가에서 사이버범죄에 대한 정의가 우리와 다른 경우에는 범죄자 인도를 요청하기도 어렵다. 또한 범죄자 기소 및 처벌에 필요한 디지털증거를 상대 국가에서 가지고 있는 경우 이를 요청해서 받는 것도 현실적으로 어려움이 따른다. 사이버범죄자는 이 국경에 의한 제약을 십분 활용한다.  

이를 극복하기 위하여 국가들이 공동으로 마련한 최초의 국제조약이 유럽평의회의 주도 하에 2001년 시작된 “사이버범죄 국제협약(Convention on Cybercrime)”이다. 이는 사이버범죄에 대한 공통의 정의를 마련하고 국제 공조를 통하여 효과적으로 수사하며 필요할 때 범죄자를 인도할 수 있는 국제적인 법안을 마련하는 것을 주요 목적으로 한다. 2001년에 31개의 국가가 가입한 이 협약은 2018년 1월 기준으로 61개 국가가 가입하였고 51개 국가가 국내법 개정 등 절차를 거쳐 시행하고 있다. 초기에는 유럽국가들이 주를 이루었지만 현재는 미국, 호주, 일본 등 비유럽 국가도 이 협약에 가입하였으며 이에 우리나라도 이 협약에 가입해야 할지에 대한 논의가 진행되고 있다. 하지만 이 협약에 가입하고 이를 시행하기 위해 중요한 난관은 이 협약과 상충되는 국내법을 개정해야 하는 점, 또 이를 위한 제반 비용에도 불구하고 실익에 대한 검증이 부족하다는 점이다. 또한 이는 우리나라 뿐 아니라 다른 모든 국가들에게도 동일하게 적용된다. 하지만 이 협약의 성공은 얼마나 많은 국가들이 이 협약을 공동으로 시행하느냐에 달려있으며 이에 이 협약의 실익을 검증하는 것은 정책적으로 매우 중요한 사안이다.

필자가 소개하고자 하는 논문은 2017년 경영정보시스템 분야의 최고권위 학술지인 MIS Quarterly 에 게재되었다. 본 논문의 최초 아이디어가 2008년에 나왔으니 논문 착수부터 실제 게재까지는 실로 오랜 시간이 걸렸다. 본 논문의 가장 중요한 발견은 사이버범죄 국제협약이 실제로 사이버공격의 빈도를 줄이는 데에 일조하였다는 점이다. 특히 본 논문은 국제협약에 가입, 시행한 국가들의 시스템을 타겟으로 하는 디도스(분산 서비스 거부 공격 혹은 DDoS) 공격이 협약 시행 후 실제로 감소하였는지를 검증하였다. 국제협약이 어느 정도 효과가 있다는 것이 일견 당연해 보일 수도 있지만 본 논문이 MIS Quarterly에 실릴 수 있었던 이유는 대략 세가지 정도로 볼 수 있다.

첫째, 이러한 정책의 효과를 통계적으로 보이는 것은 매우 어렵다. 간단한 예를 들어보자. 대학에서 주는 성적우수 장학금이 졸업 후에 높은 연봉을 받는 데에 기여할까? 아주 간단한 분석을 하게 되면 두 변수 사이에서 높은 상관관계가 관찰될 가능성이 높다. 하지만 졸업 후 연봉을 많이 받을 수 있는 뛰어난 학생이 장학금도 받았을 가능성은 없었을까? 즉, 장학금 여부가 실제 연봉에 영향을 주었다는 “인과관계”를 검증하는 것은 단순한 상관관계를 보이는 것과는 전혀 다른 차원의 분석을 요구한다. 최근 정보시스템 분야에서는 이러한 인과관계 규명에 대한 높은 수준의 분석을 요구하고 있으며 본 논문은 다양한 통계기법을 적용하여 국제조약이 실제로 사이버범죄 감소에 영향을 주었음을 보여주었다.

둘째, 실제로 이러한 강화된 법집행의 효과는 범죄학 관련 선행연구에서 전혀 당연하지 않다. 예를 들어 사형제도가 실제 범죄 억제에 효과가 있는지에 대해서도 연구 결과가 엇갈리고 있다. 그 이유 중 하나는 만약 범죄자가 비이성적이고 충동적이라면 범죄를 저지를 때 자신이 받게 될 사형이라는 처벌을 간과할 수 있기 때문이다. 또한 해커들 중에는 오히려 이런 법집행에 반발하는 사이버공격을 감행하기도 하여 국제협약에 의해 강화된 법집행이 오히려 역효과를 낼 수도 있다. 따라서 국제협약 가입, 비준, 국내법 개정 등에 막대한 시간과 비용을 투입해야 하는 정부로서는 기대한 효과가 실제로 나타나는지를 검증하는 것이 큰 의미가 있다.

셋째, 본 논문은 실제 사이버 공격이 감소한 효과가 어떤 조건 하에서 더 크게 나타나는지를 규명하였다. 이 중 재미있는 결과는 사이버범죄 협약을 실제로 시행한 방식에 따라서 효과에 차이가 나타났다는 점이다. 사이버범죄 국제협약의 성공이 많은 국가의 참여에 달려있기에 몇몇 조항에 대해서는 유보를 허용한다. 협약의 모든 조항 시행을 위한 국내법 개정에 부담을 느끼는 국가들에 대한 배려라고 볼 수 있다. 하지만 본 연구에서는 이 협약의 29조(공조를 위한 저장된 컴퓨터 데이터의 신속한 보존 관련 조항)를 유보한 국가들은 디도스공격 감소의 효과를 누릴 수 없음이 관찰되었다. 또한 일종의 외부효과가 작용하는 것을 발견하였다. 이 협약을 시행하는 국가가 많아진다는 것은 이 협약이 실제로 사이버범죄자를 체포, 기소, 처벌하는 데에 효과적인 국제적인 공조체계가 완성됨을 의미한다. 따라서 다른 시행국의 수가 증가함에 따라 사이버범죄 협약 실시의 효과 또한 증가하는 일종의 네트워크효과가 관찰되었다. 반대로 다른 협약 시행국의 수가 증가함에 따라 사이버범죄를 시행하지 않는 국가를 공격하는 디도스 공격이 증가하는 풍선효과도 관찰되었다.

결국 본 논문은 해커들이 이성적으로 범죄의 기대비용과 기대수익을 따져 행동하기 때문에 범죄 억제의 수단으로써 국제 협약이 어느 정도 효과가 있음을 보여준다. 또한 이 국제협약에 가입하여 시행하지 않음으로써 사이버범죄의 표적이 될 가능성이 높아지는 점은 이 협약에 가입되지 않은 우리나라에 시사하는 점이 크다. 특히 이 협약에 가입하여 시행할 때에는 가능하면 국제 공조를 위한 주요 조항을 유보하지 않는 것이 더 효과가 클 것임을 보여준다.

그렇다면 기업의 경영자에게는 어떤 시사점이 있을까? 최근 인터넷을 통한 많은 서비스를 제공하는 기업으로서는 안정적인 서비스 제공이 매우 중요하며 어느 국가에 서비스 제공을 위한 서버를 위치할 것인지가 주요 결정 사안이 된다. 본 연구에 따르면 디도스 공격 등 사이버 범죄에 의한 피해가 큰 기업이라면 해당 국가의 사이버범죄 국제협약 시행 여부가 주요 고려 사항이 될 수 있음을 보여준다.

현재는 사이버범죄 국제협약의 다른 측면의 효과를 분석하는 본 논문의 후속 연구를 진행 중이다. 아이러니하게도 사이버범죄가 극심해짐에 따라 정보보안 분야에는 연구거리가 넘쳐난다. 물론 당장은 어렵겠지만 사이버범죄가 사라져 언젠가 이 분야에 연구할 주제가 없어지는 날이 오기를 기대해본다.