사이버 범죄는 지난 수 년에 걸쳐 지구촌에서 선진국에 속하는 거의 모든 국가, 글로벌 기업 및 국제기구의 핫이슈가 됐다. 세계경제포럼(WEF)이 발표한 ‘2023 글로벌 리스크’ 보고서가 보여주듯, 우크라이나, 대만, 북한 등 지정학적 긴장이 심화되면서 ‘지능형 지속 위협(APT: Advanced Persistent Threat)’이 확산되고 있고, 만연하는 만큼 정교해지고 있다.
이에 따라 이달 15일부터 스위스에서 열리는 다보스포럼에서는 사이버 범죄에 대한 대응 논의와 함께 글로벌 규칙 제정에 대한 논의가 이뤄질 예정이라고 WEF가 홈페이지를 통해 공지했다. 다보스포럼은 매년 스위스 다보스에서 열리는 WEF 연차총회다.
게시글에 따르면 신기술 적용의 확산은 사이버 범죄의 범위와 영향을 확대하고 있다. 악성코드와 랜섬웨어 공격은 2020년에 각각 350%와 430% 이상 급증했다. 랜섬웨어 해킹은 시스템에 침투해 데이터를 훔치거나 차단하고, 훔친 데이터를 공개하거나 영구적으로 막겠다고 위협하면서 몸값을 요구하는 사이버 범죄다.
기술적으로 진보된 도구들이 시스템에 설치된 방화벽이나 백신 프로그램을 우회 침투한다. 공격자가 합법적인 소프트웨어와 기능을 이용해 악의적인 행위를 저지르는 LOtL(Living Of the Land) 공격이 2021년 보고된 전체 사건의 거의 3분의 2를 차지한 이유다.
이러한 문제는 보안 전문가의 부족, 잘못된 보고 습관, 사이버 위협을 규제하는 방법에 대한 글로벌 합의 부족으로 인해 더욱 악화된다.
사이버 범죄는 엄청난 규모의 사업이다. 한 단체는 복구 및 교정 비용을 포함한 모든 형태의 사이버 범죄로 인한 피해가 2015년에 총 3조 달러, 2021년에는 6조 달러에 달했으며, 2025년에는 연간 10조 5000억 달러에 이를 것으로 추산했다.
그러나 사이버 범죄의 영향은 경제적 비용 이상으로 확장된다. 인터넷 사용자들 사이의 신뢰를 떨어뜨리고 공공 및 민간 서비스 제공자들의 평판을 손상시킨다. 온라인 공격은 정부와 중요 인프라를 표적으로 삼는 경우가 많기 때문에 국가 간의 긴장을 고조시킨다.
그럼에도 불구하고 사이버 범죄를 차단하고 예방하기 위한 명확한 글로벌 규범, 표준 및 규칙은 여전히 거의 없다. 이에 대한 논의가 이번 다보스포럼에서 본격화된다.
가장 큰 문제는 범죄 대상이 되는 공공기관, 기업, 시민사회단체 중 상당수가 데이터 침해와 사이버 절도 신고 의무가 없다는 점이다. 많은 사람들이 평판 손상을 우려해 신고를 꺼린다. 다만 최근 들어 변화의 조짐이 보이는 것은 긍정적이다.
미국은 지난해 중요 인프라에 대한 사이버 사고 보고법을 마련했다. 이는 자발적 공개를 위한 산업별 지침을 제공한다. 또 유럽연합의 2018년 보안 네트워크 및 정보 시스템에 대한 지침 및 규정은 통신 결제 서비스, 의료 기기 제조업체들에 대해 보고를 의무화한다. 제조업체 및 중요 인프라 제공업체도 침해를 보고해야 한다. 강제 보고 규정이 글로벌로 강화되기 전까지는 범죄의 규모와 실체를 이해하기 어려우며, 표적 솔루션을 개발하는 것은 더욱 불가능할 것이라는 WEF의 진단이다.
사이버 범죄자들은 랜섬웨어로 대상을 협박할 뿐만 아니라 신용카드 정보, 금융계좌 로그인 ID, 월정액 구독 가입 ID, 주민등록번호, 사용자 이름, 비밀번호 등 데이터 자산을 팔아 돈을 벌고 있다. 사이버 범죄의 가해자는 정보기관에서부터 중고생 해커에 이르기까지 다양하다.
사이버 범죄는 분산된 특성 때문에 정확하게 막기 어렵다. 대표적인 예로 코발트 조직은 2018년에 40개 이상의 국가에서 100개의 금융 기관에 침입해 공격당 약 1100만 달러를 챙겼다. 그 해에 스페인에서 지도자가 붙잡혔고, 2미국에서 3명이 체포됐다. 2021년 카자흐스탄과 우크라이나에서 3명이 추가 체포돼 유죄 판결을 받았다. 그렇다고 이런 검거 사례가 범죄를 줄이는 효과는 없다.
세계적인 협력이나 인터넷의 구조적 변화 없이는, 피해자들이 자신들을 방어하기 위해 할 수 있는 일이 많지 않다. 사이버 보험은 잠재적으로 더 나쁜 문제를 만들고 있다. 사이버 탄력성을 촉진하는 더 광범위한 접근법뿐만 아니라 국제적인 규칙 시행이 시급하다.
유엔은 2019년 사이버 범죄 조약을 수립하기로 하고 이를 논의 중이다. 온라인 콘텐츠에 대한 정부 규제를 확대하기 위한 첫 회의는 “조약이 표현의 자유를 범죄화하며 사생활을 침해할 수 있다”는 우려 속에 2022년 열렸다. 현재 참여 국가들은 범죄 목적을 위한 정보통신 기술 사용에 대응하는 포괄적인 국제 협약을 협상하고 있다. 이번 다보스포럼에서도 논의를 이어 간다.