|
You may download English ver. of the original article(unedited) on top.
서론
오늘날 디지털 기술의 활용 범위가 넓어짐과 동시에 사이버 보안이 국가안보에 있어서도 필수적 요소로 떠올랐다. 유엔(UN)은 사이버 범죄를 컴퓨터나 네트워크 체계를 사용하는 모든 형태의 범죄로 정의하며1), 미국 법무부에서는 해당 범죄를 (1) 네트워크 침입과 같이 컴퓨터 자체가 범죄의 대상인 경우, (2) 서비스 거부 공격(DoS, Denial of Service)과 같이 컴퓨터가 공격 수단으로 사용되는 경우, (3) 불법으로 획득한 자료의 컴퓨터 저장 등 범죄에 부가적인 요소로 사용하는 경우의 세 가지 종류로 구분한다2). 또한 미국이 가입해 있는 유럽평의회(Council of Europe) 부다페스트 사이버범죄조약(Budapest Convention on Cybercrime)이 규정하는 사이버 범죄의 정의에는 데이터의 불법적 획득, 네트워크 보안 및 작동 저해, 상표권 침해 등 광범위한 악성 행위가 포함된다3).
사이버 범죄는 코로나19 팬데믹 발생 이전부터도 증가세에 있었지만, 2019년부터 최근까지 약 600%가량 폭증하면서 그 규모가 세계 국내총생산(GDP) 총합의 1%를 차지하는 것으로 분석된다4). 한편 우즈베키스탄 내무부(Ministry of Internal Affairs)는 자국에서도 지난 3년간 사이버 범죄 건수가 8.3배 증가했다는 사실을 공개했으며, 이처럼 폭증세에 있는 사이버 범죄에 대응하기 위해 우즈베키스탄 정부는 관련 분야 특별법을 제정하거나 법령체계를 정비해 사이버 범죄 조항을 추가하는 등의 노력을 펴고 있다. 상기 맥락 아래 본고에서는 우즈베키스탄 내 사이버 범죄 현황과 국가 차원의 대응책을 조감해보기로 한다.
세계와 우즈베키스탄에서의 사이버 범죄 증가 경향
세계적 차원에서 나타나는 정보기술 분야의 혁신적 발전이 해킹을 비롯한 범죄 행위에 우호적인 환경을 조성하면서 사이버 범죄가 여타 범죄 유형에 비해 독보적인 성장세를 보여주고 있으며, 2021년 한 해에 사이버 범죄로 인한 피해 액수가 6조 달러(한화 약 8경 원)에 달한다는 분석도 존재한다5). 사이버 보안 업체인 사이버시큐리티벤처스(Cybersecurity Ventures)가 내놓은 자료에 따르면 세계 사이버 범죄가 야기하는 비용은 지난 2015년의 3조 달러(한화 약 4경 원)에서 시작해 앞으로 연간 15%씩 늘어나면서 2025년에는 10조 5,000억 달러(한화 약 14경 원)까지 증가할 것으로 전망된다6). 또한 사이버 보안 솔루션 업체 캐스퍼스키(Kaspersky) 소속 연구진은 2022년에 중소기업을 대상으로 한 사이버 공격이 증가하고 있다는 내용의 보고서를 공개했는데, 여기에 따르면 동년 1~4월의 패스워드 해킹형 트로이목마(Trojan-PSW) 감지 건수, 인터넷 공격 건수, 원격 데스크톱 프로토콜(Remote Desktop Protocol) 공격 건수가 전년 동기에 비해 늘어난 것으로 나타난다7). 현재 전 세계적으로 하루에 일어나는 해킹 건수는 3만 건에 달하고, 전체 기업 중 64%가 사이버 공격의 대상이 된 경험이 있으며, 멀웨어(malware, 악성 소프트웨어) 공격의 94%가 이메일을 통해 이루어진다는 통계를 통해 사이버 범죄가 세계적인 문제가 되고 있다는 점을 확인할 수 있다8).
한편 우즈베키스탄 정보기술·통신개발부(Ministry for Development of Information Technologies and Communications)가 집계하는 국내 인터넷 사용자 수가 2,720만 명으로 늘어나는 등 우즈베키스탄의 네트워크 저변도 지난 10여 년간 크게 확장되면서9) 사이버 범죄도 함께 증가하는 추세에 있다. 일례로 2021년 1~5월 금융, 신용, 은행업 등의 분야에서 컴퓨터를 활용한 범죄 건수는 330건 이상이 보고되었고10), 우즈베키스탄 국가 도메인 ‘UZ’를 사용하는 웹사이트에서 발생한 정보 보안 분야 사고 건수도 342건을 기록했다11).
우즈베키스탄에서 나타나는 사이버 범죄의 대표적 유형으로는 체크·신용카드 계좌 도용을 들 수 있는데, 지금까지 해당 분야에서 접수된 정보기술 활용 범죄 건수는 600건 이상이다12). 이외에 우즈베키스탄 사이버보안센터(Cyber security Center)가 2020년에 확인한 사이버 공간의 악성·의심 행위도 2,700만 건에 달한다13). 현재 우즈베키스탄 정부는 사이버 범죄 유형을 (1) 정보기술 분야에서 일어나는 범죄, (2) 정보통신기술을 활용해 저지르는 통상적 범죄 (네트워크상 자살 조장, 전산 체계에 대한 무허가 침입 등), (3) 정보 보안과 관련된 범죄(네트워크상 공공 안녕과 질서에 반하는 내용이나 허위 정보 배포 등)라는 세 가지로 분류하고 있다. 우즈베키스탄에서 집계하는 사이버 범죄 중 대부분은 최신 정보통신기술을 이용한 계좌 도용, 마약·향정신성 물질 판매 및 배포, 사기, 강요의 형태로 나타난다.
우즈베키스탄의 사이버 분야 법령체계 및 국제 협력
우즈베키스탄의 사이버 보안을 규율하는 법령으로는 2018년 11월 21일부로 시행된 ‘정보 체계 및 자원 보호를 위한 체계 시행에 관한 대통령령(Decree on Measures to Implement the State System for Protection of Information Systems and Resources)’, 2019년 9월 14일부로 시행된 ‘정보통신기술 도입 및 보호 조직 통제 체계 개선 조치에 관한 대통령령(Decree on Additional Measures to Improve the System of Control over the Introduction of Information Technologies and Communications, the Organization of their Protection)’, 2020년 6월 15일부터 시행된 ‘사이버 보안 체제 강화 조치에 관한 대통령령(Decree on Measures to Further Improve the Cybersecurity System)’ 등을 들 수 있다. 이외에 원격통신법(Law on Telecommunications), 정보화법(Law on Informatization), 개인자료법(Law on Personal Data)을 비롯한 법률도 정보 보안 분야에서 국가 정책을 집행하는 기관의 활동을 관장한다. 특히 2022년 3월 15일 제정된 사이버보안법(Law on Cybersecurity)은 사이버 공간의 보안을 관장하는 핵심 법률로, 총 8장 40절의 조항으로 구성된다.
본 법은 이전까지 명확히 규정되지 않았던 기본 개념의 정의를 다룬다는 특징을 지니는데, 일례로 국가적 보호가 필요한 핵심 정보 인프라가 무엇을 의미하는지에 관한 중요 내용도 해당 법에서 명시하고 있다.
이외에 사이버보안법 제정을 비롯한 사이버 분야 법령체계 정비를 통해 기대할 수 있는 효과로는 다음을 들 수 있다. 먼저 법령체계 정비는 우즈베키스탄의 국가 기관과 조직이 운용하는 사이버 정보 체계와 자원을 안전하게 보호하고, 사이버 범죄 대응 능력을 향상시키며, 유관 기관이 규제 업무를 효과적으로 수행할 수 있도록 돕는다. 이에 더해 효과적인 법적 기반 마련을 바탕으로 국내 사이버 보안 산업의 증진과 발전, 국가적 지원 정책 확립, 사이버 보안 전문가 양성 등 우즈베키스탄 정부가 추진하는 주요 과제도 더욱 충실히 수행할 수 있게 된다.
한편 현재 우즈베키스탄에서 사이버 범죄 규제를 관할하는 주요 기관으로는 다음의 셋을 꼽을 수 있다. 먼저 국가보안국(State Security Service)은 사이버 보안 분야 전반을 관장하는 최상위급 국가 기관이다. 다음으로 정보화·원격통신 통제 감찰국(State Inspectorate for Control in the Field of Informatization and Telecommunications)은 그 이름이 나타내는 관련 기술 분야에서 법률이 규정한 의무가 충실히 이행되고 있는지에 대한 감독 업무를 전담한다. 마지막으로 국영 기구인 사이버보안센터(Cybersecurity Center)는 전산 체계와 연관된 사건·사고 정보를 분석하고, 전산 보안 분야에서 발생할 수 있는 위협을 방지하는 과정에서 자문과 기술지원을 제공한다.
또한 대통령령에 의거해 2020년에 출범한 ‘디지털 우즈베키스탄(Digital Uzbekistan) 2030’ 구상도 꾸준한 진척을 보고 있으며, 본 구상을 통해 향후 지역·산업별 디지털 전환 사업 1,620개 이상이 추진될 예정이다14). 또한, 해당 구상은 원격통신, 공공 서비스, 실질 경제, 의료 서비스, 공공 조달 분야 등에서의 디지털 기술 도입 과정에서 발생하고 있는 장기적 문제에 대응하는 다양한 해결방안도 포함하고 있다.
대통령이 최종 관할권을 지니는 우즈베키스탄의 사이버 보안 분야 국가 정책이 표방하는 핵심 원칙은 (1) 합법성 보장, (2) 사이버 공간에서의 개인·사회·국가적 이익 보호, (3) 사이버 공간 규제의 통일성 확보, (4) 사이버 보안 체계 마련 과정에 우즈베키스탄 국내 제조기업의 참여 보장, (5) 국제 협력에 보이는 열린 자세 등이다.
한편 사이버 보안 분야에서는 국내법과 더불어 국제법도 중요한 역할을 한다. 먼저 구소련 회원국을 중심으로 구성된 독립국가연합(CIS, Commonwealth of Independent States) 차원에서 합의된 사항으로는 ‘사회적 디지털 개발 분야 회원국 정보 교류에 관한 협정(Agreement on Information Interaction of the CIS Member States in the Field of Digital Development of Society’, ‘회원국 정보 보안 보장 전략(Strategy for Ensuring Information Security of the CIS Member States’, ‘정보 보안 분야 회원국 협력 협정(Agreement on Cooperation of the CIS Member States in the Field of Information Security’을 들 수 있다. 또한 우즈베키스탄 대통령의 주도로 수도 타슈켄트(Tashkent)에서 열린 CIS 정보 보안 국제 전문가 포럼(CIS International Export Forum on Information Security)15), 상하이협력기구(SCO, Shanghai Cooperation Organization)에서 이루어지는 사이버 보안 협력 등도 우즈베키스탄이 참여하는 사이버 분야 국제 공조의 대표적 사례로 꼽을 수 있다.
사이버 분야 법령체계의 중요성
사이버 위협에 대응하기 위한 우즈베키스탄의 국내 법령체계는 사이버 공간에서의 위법행위를 규정하고 해당 행위를 조사 및 처벌하기 위한 절차적 수단을 신설하는 법률을 중심으로 한다. 국가적 차원에서 새로운 보안 문제에 대응하는 데 있어 국내 법률은 유연성을 바탕으로 사생활 침해 방지와 범죄 처벌이라는 양대 목표 간 균형을 유지하고 사이버 보안 분야에서 발생하는 법적 관계에 따른 책임을 명확히 하는 역할을 수행한다.
또한 컴퓨터와 인터넷이 널리 보급되어 일상생활의 일부로 자리잡으면서 디지털 정보 교환, 전자상거래, 소프트웨어, 정보기술, 금융거래 등을 관할하는 사이버 법률의 중요성도 함께 높아지고 있으며, 해당 법률에 규정된 규제가 원활히 작동해야만 전자상거래도 안전한 환경에서 활발히 이루어질 수 있다16). 인터넷과 컴퓨터의 합법적 활용 방식을 규정하는 각종 조항으로 구성되는 사이버 법률은 악의를 가진 집단이 인터넷상에서 저지르는 사이버 범죄에 일반인이 휘말리지 않도록 보호하고 사이버 범죄의 발생 건수를 최대한 줄이는 데 초점을 둔다. 사이버 법률이 수행하는 주요 기능의 사례로는 다음을 들 수 있다.
▷ 사이버 공간에서의 모든 행위 관할
▷ 온라인 거래의 안전성 보장
▷ 모든 온라인 행위에 대한 정부 기관의 관찰
▷ 개인, 조직, 정부 기관의 자료 및 재산 보호
▷ 사이버 불법 행위 근절에 노력
▷ 사이버 공간에서 발생하는 법적 관계 조정
▷ 전자 기록 추적
▷ 디지털 정부 구상 추진
결론
정보기술의 세계적 확산과 함께 발생 빈도가 높아지고 있는 사이버 범죄는 각국에서 엄청난 경제적 피해를 초래하는 주요 문제로 부상했다. 따라서 우즈베키스탄은 해당 문제에 대응하기 위해 최근 법적 조치 신설, 국가사업 현대화, 정보 보안 강화 등 다방면의 노력을 전개 중이며, 효율적인 규제를 통해 사이버 위협을 방지하고 사이버 공간에서의 국가안보 향상을 도모하고 있다. 다만, 사이버 범죄 방지를 위한 효과적 정책을 펴는 데 있어서는 해당 분야에 특화된 전문가 육성, 블록체인 기술의 광범위한 활용, 수사 과정에서 인공지능(AI)의 지속적 활용, 사이버 범죄 처벌 강화와 같은 추가적 노력이 필요할 것으로 판단된다.
또한 정보 보안 분야의 발전을 위해서는 국가 간 협력도 매우 중요한데, 이는 개별 국가 수준에서 모든 사이버 범죄를 근절하는 일이 사실상 불가능하기 때문이다. 따라서 각국의 국내 사이버 법령체계 개선과 더불어 국제 규범과 기준도 함께 강화되어야 하고, 국가 간 조율을 통해 컴퓨터 기술의 발전 속도에 맞추어 필요적절한 규제가 기민하게 운영될 수 있도록 노력할 필요가 있다.
* 각주
1) Киберпреступность: история развития, проблемы практики расследования. // Анна Борисовна Николаева, Марина Владимировна Тумбинская // https://www.computer-museum.ru/articles/materialy-mezhdunarodnoy-konferentsii-sorucom-2014/629/
2) Kate Brush, Linda Rosencrance, Michael Cobb – Cybercrime. https://www.techtarget.com/searchsecurity/definition/cybercrime
3) Kate Brush, Linda Rosencrance, Michael Cobb – Cybercrime. https://www.techtarget.com/searchsecurity/definition/cybercrime
4) The Cost of Cybercrime. https://purplesec.us/resources/cyber-security-statistics/
5) The Cybercrime 2022 Watchlist. https://right-hand.ai/blog/the-cybercrime-2022-watchlist/
6) Cybercrime To Cost The World $10.5 Trillion Annually By 2025. https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
7) Report: Frequency of cyberattacks in 2022 has increased by almost 3M. https://venturebeat.com/security/report-frequency-of-cyberattacks-in-2022-has-increased-by-almost-3m/
8) How Many Cyber Attacks Happen Per Day in 2022? https://techjury.net/blog/how-many-cyber-attacks-per-day/#gref
9) 9 The number of Internet users in Uzbekistan exceeds 27.2 million people. https://www.uzdaily.com/en/post/70654
10) Сообща противостоять киберпреступности. https://xs.uz/ru/post/soobscha-protivostoyat-kiberprestupnosti
11) Кибербезопасность – проблема общая. О Международном экспертном форуме СНГ. https://e-cis.info/news/566/95743/
12) Как бороться с киберпреступностью? https://strategy.uz/index.php?news=1150&lang=ru
13) Киберпреступность стала глобальной проблемой и требует глобального противодействия. https://yuz.uz/ru/news/kiberprestupnost-stala-globalnoy-problemoy-i-trebuet-globalnogo-protivodeystviya
14) Digital Uzbekistan 2030 Strategy envisages several breakthrough measures for the country’s development/ http://isrs.uz/en/smti-ekspertlari-sharhlari/eldor-aripov-strategia-cifrovoj-uzbekistan-2030-predpolagaet-rad-proryvnyh-dla-strany-mer
15) Tashkent hosts CIS International Expert Forum on Information Security. https://uzbekembassy.com.my/eng/news_press/politics/tashkent_hosts_cis_international_expert_forum_on_information_security.html
16) The role of cyber law in cyber security in India by Sankalp Mirani. https://legalresearchandanalysis.com/current-affairs/the-role-of-cyber-law-in-cyber-security-in-india
첨부파일
|