.jpg)
사이버 범죄자들은 좀처럼 벌을 받지 않는다. 추적이 어렵기 때문이다. 체포가 되지 않으니 마음놓고 범죄를 저지르고, 어쩌다 잡히면 운이 없었다고 여겨버린다. 이런 악순환 속에서 현대 법 시스템은 속도를 내지 못하고 있어 문제다.
[보안뉴스=캐리 팔라디 IT 칼럼니스트] 사이버 사건의 배후에 있는 자들은 늘 베일에 가려져 있다. 아무도 이들의 얼굴을 알지 못한다. 흔히 알려지는 건 공격 단체의 이름이고, 그나마도 그들 스스로가 붙인 게 아니라 보안 업체들이 각기 입맛대로 지은 것들이 대부분이다. 국제 공조 작전으로 공격 조직이 와해된다고 하더라도 누군가는 얼굴 없이 체포망을 피해 다시 활동을 시작하고, 결국 그 조직은 수개월 안에 부활한다. 사이버 범죄자들이 일으키는 피해는 실로 어마어마하며, 2025년에는 10조 500억 달러에 이를 것이라고 예상된다. 그럼에도 사이버 범죄자들이 법의 심판을 받는 경우는 0.05%에 불과하다.
[이미지 = gettyimagesbank]
이 0.05%가 갖는 의미가 크지 않을지 몰라도, 없다고 하기도 힘들다. 전 세계 사이버 범죄의 규모를 생각하면 이 0.05%라도 대단하다고 할 수 있다. 매년 체포를 당하고 재판에 넘겨져 형을 선고 받는 사례는 끊이지 않고 나온다. 이 비율을 조금씩 늘려가는 게 가능할까? 이것에 대한 답을 찾으려면 먼저 사이버 범죄자들에 대한 체포와 처벌이 어떤 식으로 이뤄지는지를 이해해야 한다. 다섯 명의 사이버 보안 전문가들이 이 내용을 보다 상세히 공개한다.
사이버 범죄자 찾아내기
좀처럼 얼굴을 드러내지 않는 사이버 범죄자를 추적해 이름까지 알아내는 데에는 적잖은 수고와 고통이 수반된다. 높은 기술력을 바탕으로 한 도구와, 통찰력 깊은 분석 기술, 그리고 꿈쩍 않는 인내심을 전부 발휘해야 하기 때문이다. “항상 쥐가 흘렸을지도 모르는 빵 부스러기를 찾아 헤매는 것과 같습니다. 쥐들은 빠르게 치고나가는데, 우리는 그 꽁무니도 보지 못한 채 계속 부스러기만 쫓아가죠. 그 부스러기가 눈에 잘 띄는 것도 아니고, 늘 쫓기 좋게 나열되어 있는 것도 아닙니다. 게다가 요즘 쥐들은 부스러기를 잘 흘리지도 않아요. 기다리고 기다리고 또 기다리는 일이 많아집니다.” FBI 전 요원인 마이클 맥퍼슨(Michael McPherson)의 설명이다.
요즘 디지털 포렌식 전문가들이 ‘기다리는 것’은 주로 공격자 편에서 저지르는 실수다. 기술적인 실수와 인간적 실수 모두를 포함한다. 예를 들어 보안 업체 트렐릭스(Trellix)의 수석 엔지니어인 존 포커(John Fokker)의 경우 레빌(REvil) 랜섬웨어 갱단과 다크웹 시장인 제네시스(Genesis)의 무력화 작전에 참여한 적이 있는데, “추적을 하다가 레빌과 수익 분배 문제에서 논쟁을 일으키고 불만을 품은 자들을 발견할 수 있었다”고 말한다.
“그들을 통해 랜섬웨어 갱단들이 어떤 식의 수익 구조를 가지고 있는지 상세히 파악할 수 있었습니다. 누가 활발히 활동하며, 누가 충성 고객인지, 결정권자가 누구인지, 어떤 식으로 협의와 결정이 이뤄지는지, 암호화는 어떻게 작동하는지, 그러므로 누구를 어떻게 추적해야 하는지 가닥이 잡히는 순간이었습니다. 불만을 가진 자를 우연히 찾지 못했다면, 그리고 그와 대화하지 못했다면 상세한 정보를 얻어내기 힘들었을 겁니다.” 이 정보를 바탕으로 두 번의 공조 작전이 벌어졌고, 랜섬웨어와 제네시스의 운영자들은 체포됐다. 이들의 범죄 서비스도 당연히 중단됐다.
이러한 사례는 민관 협력의 중요성을 고스란히 드러낸다. 사법기관은 법을 집행할 수 있는 권한이 있고 민간 기관은 기술과 인재를 보유하고 있다. 인재들의 능력으로 알아낸 것들을 가지고 사법기관은 실제적인 결과를 낸다. 둘 중 하나만 가지고는 불완전한 결과를 낼 수밖에 없다.
보안 업체 포탈리스솔루션즈(Fortalice Solutions)의 CEO인 테레사 페이튼(Theresa Payton)은 “항상 마무리까지 고려하고 움직여야 한다”고 강조한다. “사이버 공격을 받고 있다는 의심이 들었을 때 보통은 위협을 제거하고 피해를 복구하는 것까지만 생각할 때가 많죠. 당연히 그런 조치들을 하는 게 맞습니다. 하지만 기왕이면 범죄자들의 체포나 기소까지 이를 수 있도록 공격과 관련된 각종 정보를 수집하여 공유하는 것까지 고민하면 더 좋습니다. 그래서 수사가 시작되고 공격을 했던 장본인들이 잡히기라도 한다면 추가 공격 가능성이 현격하게 줄어들 것입니다.”
체포하기
고생 끝에 특정 인물들이 확실히 사이버 범죄자들이라고 파악이 되었다면 그 다음부터 무슨 일이 일어날까? 그건 나라마다, 또 지역마다 다르다. 어떤 사법기관이 관할권을 갖느냐에 따라서도 다르다. 사이버 공간은 국경이나 행정 구역처럼 명확히 갈라져 있지 않기 때문에 특정 사건의 관할권을 명확히 하는 일도 상당히 복잡한데, 따라서 ‘누가 움직여야 하는가?’라는 첫 단추부터 잘 안 채워질 때가 많다.
인포테크리서치그룹(Info-Tech Research Group)의 시술 상담가인 에릭 아바키안(Erik Avakian)은 “사이버 범죄가 대부분 국경을 넘나든다는 사실 하나만으로도 일이 복잡해진다”고 말한다. “공격자들은 나라와 지역에 구애받지 않고 피해자들을 선정하고 공격합니다. 이 때문에 이들을 추적할 때 혹은 체포할 때 국가 간 공조가 필수적으로 이뤄져야 합니다. 적잖은 행정력이 소요되고, 따라서 시간도 적지 않게 들지요.”
하지만 실제 국제 공조와 범죄자 인도 등의 일은 곧잘 이뤄지고 있다. 절차가 복잡하긴 하지만 여러 국가의 사법기관들이 서서히 이를 극복하기 시작했기 때문이다. 그래서 지난 2월 한 우크라이나 남성이 미국의 뉴욕타임즈를 해킹한 사건 때문에 미국 법원에서 기소되고 실형을 선고받았다. 이 인물은 2022년 스위스에서 체포됐고, 2023년 미국으로 인도되어 미국에서 재판을 받았다. 이 모든 과정이 긴밀한 국가간 협력 아래 이뤄졌다. 이런 일은 갈수록 빈번하게 일어나는 중이다.
하지만 러시아나 중국과 같은 국가들의 경우 서로들끼리는 협약을 맺어 공조를 벌일 수 있을지 모르겠지만 대부분 서방 국가들과는 이런 차원에서의 교류가 없다. 아바키안은 “그래서 수많은 사이버 범죄자들이 이런 국가들을 찾아 근거지를 마련한 후 해킹 범죄를 저지르는 것”이라고 설명한다. “국제 공조의 행정력과 수사력이 닿지 않는 곳은 이제 사이버 범죄자들의 천국으로 취급을 받습니다.”
이런 국가들의 사이버 범죄자들을 국제 공조로 다뤄야 할 때는 어떻게 할까? 미국을 비롯해 서방 국가들은 대부분 이 범죄자들의 신상을 공개한다. 실명과 사진을 발표하여 그들이 어디에 살든 수치를 느끼도록 만드는 것이다. 또한 이렇게 하여 기소하면 해당 인물들이 미국과 조약을 맺은 나라로 이동할 때 곧바로 체포할 수 있기 때문에 사실상 자기들의 본거지 안에 갇혀 나오지 못하게 되기도 한다. 실제로 미국 사법부는 계속해서(자주는 아니지만) 중국과 러시아의 해커들의 이름을 공개한다.
재판하기
우여곡절 끝에 누군가를 체포하는 데 성공했다면 그 다음부터 법적인 절차가 진행된다. 공소, 기소, 보석 공판 등 사안에 따라 여러 가지로 나뉠 수 있다. 해커가 체포됐다고 해서 무조건 재판을 받는 건 아니다. “그 해커가 무슨 짓을 저질렀고, 어떤 피해를 야기했는지 등에 따라 어떤 법 시스템이 발동될지가 결정됩니다. 단독범이었는지, 범죄 단체의 일원이었는지, 특정 국가를 돕는 자였는지에 따라서도 전부 다르게 결정이 납니다.” 페이튼의 설명이다.
“어떤 경우 범죄자 스스로가 유죄를 인정하기도 합니다. 그럴 땐 긴 재판 과정이 생략됩니다. 한 우크라이나의 사이버 범죄자는 랜섬웨어 조직에 가입하여 각종 사이버 범죄 행위에 참여한 것을 인정했습니다. 이 자는 카세야(Kaseya)라는 소프트웨어 기업을 겨냥하여 랜섬웨어 공격을 실시하기도 했고, 이를 인정했습니다. 폴란드에서 체포됐고, 미국으로 인도돼 재판을 받았는데, 결국 유죄 판결이 나기까지 긴 시간이 걸리지 않았습니다. 대부분의 재판 과정이 없어졌고, 거의 곧바로 처벌이 이뤄졌습니다.” 포커의 설명이다.
반대로 끝까지 억울하다거나 결백을 주장할 경우, 혹은 타국 사람이라는 이유로 언어 장벽을 핑계삼아 진술을 최대한 하지 않으려 할 경우 싸움은 대단히 길어질 수 있다. 사이버 범죄자들은 흔적을 잘 남기지 않을 뿐더러 사이버 공간의 흔적이란 쉽게 사라지기도 하기 때문에, 증거를 찾아 판사들에게 제출한다는 게 여간 어려운 일이 아니다. 이를 잘 알고 일부러 지지부진 시간을 끄는 범죄자들도 상당수 존재한다.
선고
사이버 범죄가 시작된 건 이미 수십 년 전의 일이지만, 아직 법 체계는 이런 유형의 범죄를 제대로 다루지 못하고 있다. 페이튼은 “사이버 범죄 사건은 거의 대부분 지금의 판사들이 학교에서 배우지 못한 사례들”이라고 지적한다. “얼마 전 내부자 위협과 관련된 사건을 조사한 적이 있습니다. 한 개인이 자신의 회사로부터 지적재산을 훔쳐 중국에 넘겨주고 있었습니다. FBI는 충분한 조사를 통해 증거를 확보한 뒤 집을 급습해 그를 체포할 수 있었습니다. 그런데 조사를 하다보니 그 전 직장에서도 같은 일이 있었더라고요.”
그 회사들 중 그와 재판을 진행하려 하는 곳은 딱 한 군데 뿐이었다. 그래서 사건 자체가 발생하지 않았고, 범인은 ‘한 회사’의 지적재산 유출에만 유죄 판결을 받아 5년을 감옥에 있었습니다. 당시 판사는 지적재산의 유출이 돈으로 환산했을 때 어느 정도의 손해인지 계산하는 걸 무척 어려워했습니다. 이런 식의 사건을 흔히 접하지 못했던 것이죠.”
맥퍼슨은 “현재 대부분 지역에서 사이버 범죄를 화이트칼라 범죄의 일종으로 보고 있다”고 말한다. “화이트칼라 범죄는 다른 유형의 중범죄보다 형량이 그리 무겁다 말하기 힘듭니다. 하지만 사이버 범죄자들이 최근 들어 사회 기반 시설들을 공략하고 있고, 그러면서 물리적 피해에 대한 우려가 깊어지고 있기 때문에 화이트칼라 범죄라는 인식이 빠르게 사라질 가능성도 높습니다. 그러면 또 그에 따라 법률가들도 새로운 접근법과 형량을 고민해야 할 겁니다.”
2020년 미국 버몬트의 한 병원에 랜섬웨어 공격을 실시한 우크라이나 남성의 경우 얼마 전 재판에서 유죄 판결을 받았다. 이 공격 한 번에 해당 병원은 수천만 달러의 손해를 입었다고 한다. 처벌은 5월 9일에 선고될 예정인데, 혐의 모두가 인정될 경우 최대 20년 징역형을 받을 수 있다고 한다. 2010년에도 해킹 범죄 및 신용 도용으로 체포된 한 인물은 20년 하루라는 징역형을 선고받았다. 하지만 2023년에 석방된 것으로 확인되고 있다. “사이버 공격자들이 긴 징역형을 선고받는 건 꽤나 자주 있는 일이며, 그것이 가장 적합한 처벌로 자리를 잡아가고 있습니다.”
그 외에 특정 IT 기술을 사용하지 못하는 처벌도 존재한다. “컴퓨터로 범죄를 저질렀을 때, 특정 기관이나 감시 요원의 지도 하에서만 컴퓨터를 사용하게 되는 경우들도 있습니다. 죄질이 정말 나쁘다면 평생 컴퓨터를 사용하지 못하게 하는 판결도 나옵니다.” 페이튼의 설명이다. “그 외에 용의자가 특정 범죄 집단에 대한 중요한 정보를 가지고 있다면, 그 정보를 제공받는 대신 형량을 줄이기도 합니다.”
수사에서 선고에 이르기까지의 문제점
법 체계가 현대 IT 기술을 따라가지 못하고 있다는 불만은 계속해서 제기됐다. 맥퍼슨은 “사이버 공격이 벌어지고 피해가 발생하는 시간에 비해 범죄자들을 파악하고 추적하고 국가간 협력 체계를 마련하여 뒤쫓고 실제 체포로 이어지는 데에까지 걸리는 시간이 지나치게 오래 걸리는 건 사실”이라고 말한다. “하지만 빨라지는 중”이라고 덧붙이기도 했다.
속도만이 문제인 것은 아니다. 페이튼은 “예를 들어 그 모든 과정에 들어가는 비용이 만만치 않다는 것도 문제”라고 지적한다. “사이버 범죄 수사는 사이버 보안 및 탐지 도구들을 동원합니다. 각종 경보, 복구, 복원, 복호화 기능도 필요할 때마다 발휘되고요. 이런 기술들이 공짜로 주어지지 않죠. 전부 꽤나 높은 가격을 지불해야 얻을 수 있는 것들입니다. 수사 기간이 길다는 건, 이런 기술들에 비싼 비용을 지불하는 기간도 길어진다는 뜻입니다. 그 외에도 국제 수사 공조를 위한 행정 비용도 적다고 하기 힘듭니다.”
사이버 범죄자들이 사용한 기술을 ‘법 체계 안에서’ 제대로 이해하기 어렵다는 것도 문제다. 아바키안은 “공격자들이 사용하는 전략과 도구들이 가진 기술력을 매번 판사들이 공부하는 것도 쉽지 않은 일”이라고 말한다. “더군다나 그런 신기술, 새로운 유형의 범죄를 법의 어떤 항목에 적용해야 하는지 찾아내기까지 해야 하잖아요. 기술은 항상 변하는데, 계속 같은 법의 프레임워크 안에서 이런 것들을 다루려하니 병목 현상이 생길 수밖에 없습니다.”
선고 이후의 범죄자들
선고까지 받고 형을 살고 있는 자들은 어떻게 될까? 포커는 “대부분은 다시 범죄 시장으로 돌아간다”고 말한다. “사이버 범죄는 재범죄율이 꽤나 높은 분야이기도 합니다. 애초에 잘 잡히지를 않고, 따라서 운이 없어서 잡혔다고 생각하지 자신들이 정말 잘못했기 때문에 잡혔다고 생각하질 않습니다. 그러다 보니 쉽게 범죄에 다시 손을 대는 것이고요.”
같은 기술과 실력으로 좋은 일을 할 수 있다는 것을 깨닫는 경우들도 있다. “예를 들어 케빈 미트닉(Kevin Mitnick)의 경우, 해커였다가 사이버 보안 전문가로 삶의 경로를 바꾸었죠. 저 역시 그렇습니다.” 보안 업체 비욘드트러스트(BeyondTrust)의 CTO인 마크 마이프레(Marc Maiffret)의 설명이다. “중대한 범죄를 저지른 건 아닙니다만 학창 시절에 친구들과 컴퓨터를 가지고 장난을 좀 쳤습니다. 그 중에는 해킹도 포함이 됩니다. 17세에 FBI가 저희 집을 수색하기도 했어요. 그렇게 쌓은 노하우와 스킬이 보안 쪽에서 사용될 수 있다는 걸 깨닫고 보안에 전념하게 되었습니다.”
페이튼은 “사이버 범죄 이력을 가진 사람들 중 상당수가 IT 기술을 보유한 자들”이라며 “이들이 형을 마치고 사회에 나와 자신의 기술을 좋은 쪽에 활용할 수 있도록 ‘디지털 재활’ 프로그램을 마련해야 한다”고 주장한다. “아직 다른 유형의 전통적 범죄에 비해 사이버 범죄 쪽에서는 재활이나 갱생의 노력이 부족한 게 사실입니다. 자신의 기술을 정당하게 쏟아부을 수 있는 시스템을 마련해주는 게 중요해 보입니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스=캐리 팔라디 IT 칼럼니스트] 사이버 사건의 배후에 있는 자들은 늘 베일에 가려져 있다. 아무도 이들의 얼굴을 알지 못한다. 흔히 알려지는 건 공격 단체의 이름이고, 그나마도 그들 스스로가 붙인 게 아니라 보안 업체들이 각기 입맛대로 지은 것들이 대부분이다. 국제 공조 작전으로 공격 조직이 와해된다고 하더라도 누군가는 얼굴 없이 체포망을 피해 다시 활동을 시작하고, 결국 그 조직은 수개월 안에 부활한다. 사이버 범죄자들이 일으키는 피해는 실로 어마어마하며, 2025년에는 10조 500억 달러에 이를 것이라고 예상된다. 그럼에도 사이버 범죄자들이 법의 심판을 받는 경우는 0.05%에 불과하다.
[이미지 = gettyimagesbank]
이 0.05%가 갖는 의미가 크지 않을지 몰라도, 없다고 하기도 힘들다. 전 세계 사이버 범죄의 규모를 생각하면 이 0.05%라도 대단하다고 할 수 있다. 매년 체포를 당하고 재판에 넘겨져 형을 선고 받는 사례는 끊이지 않고 나온다. 이 비율을 조금씩 늘려가는 게 가능할까? 이것에 대한 답을 찾으려면 먼저 사이버 범죄자들에 대한 체포와 처벌이 어떤 식으로 이뤄지는지를 이해해야 한다. 다섯 명의 사이버 보안 전문가들이 이 내용을 보다 상세히 공개한다.
사이버 범죄자 찾아내기
좀처럼 얼굴을 드러내지 않는 사이버 범죄자를 추적해 이름까지 알아내는 데에는 적잖은 수고와 고통이 수반된다. 높은 기술력을 바탕으로 한 도구와, 통찰력 깊은 분석 기술, 그리고 꿈쩍 않는 인내심을 전부 발휘해야 하기 때문이다. “항상 쥐가 흘렸을지도 모르는 빵 부스러기를 찾아 헤매는 것과 같습니다. 쥐들은 빠르게 치고나가는데, 우리는 그 꽁무니도 보지 못한 채 계속 부스러기만 쫓아가죠. 그 부스러기가 눈에 잘 띄는 것도 아니고, 늘 쫓기 좋게 나열되어 있는 것도 아닙니다. 게다가 요즘 쥐들은 부스러기를 잘 흘리지도 않아요. 기다리고 기다리고 또 기다리는 일이 많아집니다.” FBI 전 요원인 마이클 맥퍼슨(Michael McPherson)의 설명이다.
요즘 디지털 포렌식 전문가들이 ‘기다리는 것’은 주로 공격자 편에서 저지르는 실수다. 기술적인 실수와 인간적 실수 모두를 포함한다. 예를 들어 보안 업체 트렐릭스(Trellix)의 수석 엔지니어인 존 포커(John Fokker)의 경우 레빌(REvil) 랜섬웨어 갱단과 다크웹 시장인 제네시스(Genesis)의 무력화 작전에 참여한 적이 있는데, “추적을 하다가 레빌과 수익 분배 문제에서 논쟁을 일으키고 불만을 품은 자들을 발견할 수 있었다”고 말한다.
“그들을 통해 랜섬웨어 갱단들이 어떤 식의 수익 구조를 가지고 있는지 상세히 파악할 수 있었습니다. 누가 활발히 활동하며, 누가 충성 고객인지, 결정권자가 누구인지, 어떤 식으로 협의와 결정이 이뤄지는지, 암호화는 어떻게 작동하는지, 그러므로 누구를 어떻게 추적해야 하는지 가닥이 잡히는 순간이었습니다. 불만을 가진 자를 우연히 찾지 못했다면, 그리고 그와 대화하지 못했다면 상세한 정보를 얻어내기 힘들었을 겁니다.” 이 정보를 바탕으로 두 번의 공조 작전이 벌어졌고, 랜섬웨어와 제네시스의 운영자들은 체포됐다. 이들의 범죄 서비스도 당연히 중단됐다.
이러한 사례는 민관 협력의 중요성을 고스란히 드러낸다. 사법기관은 법을 집행할 수 있는 권한이 있고 민간 기관은 기술과 인재를 보유하고 있다. 인재들의 능력으로 알아낸 것들을 가지고 사법기관은 실제적인 결과를 낸다. 둘 중 하나만 가지고는 불완전한 결과를 낼 수밖에 없다.
보안 업체 포탈리스솔루션즈(Fortalice Solutions)의 CEO인 테레사 페이튼(Theresa Payton)은 “항상 마무리까지 고려하고 움직여야 한다”고 강조한다. “사이버 공격을 받고 있다는 의심이 들었을 때 보통은 위협을 제거하고 피해를 복구하는 것까지만 생각할 때가 많죠. 당연히 그런 조치들을 하는 게 맞습니다. 하지만 기왕이면 범죄자들의 체포나 기소까지 이를 수 있도록 공격과 관련된 각종 정보를 수집하여 공유하는 것까지 고민하면 더 좋습니다. 그래서 수사가 시작되고 공격을 했던 장본인들이 잡히기라도 한다면 추가 공격 가능성이 현격하게 줄어들 것입니다.”
체포하기
고생 끝에 특정 인물들이 확실히 사이버 범죄자들이라고 파악이 되었다면 그 다음부터 무슨 일이 일어날까? 그건 나라마다, 또 지역마다 다르다. 어떤 사법기관이 관할권을 갖느냐에 따라서도 다르다. 사이버 공간은 국경이나 행정 구역처럼 명확히 갈라져 있지 않기 때문에 특정 사건의 관할권을 명확히 하는 일도 상당히 복잡한데, 따라서 ‘누가 움직여야 하는가?’라는 첫 단추부터 잘 안 채워질 때가 많다.
인포테크리서치그룹(Info-Tech Research Group)의 시술 상담가인 에릭 아바키안(Erik Avakian)은 “사이버 범죄가 대부분 국경을 넘나든다는 사실 하나만으로도 일이 복잡해진다”고 말한다. “공격자들은 나라와 지역에 구애받지 않고 피해자들을 선정하고 공격합니다. 이 때문에 이들을 추적할 때 혹은 체포할 때 국가 간 공조가 필수적으로 이뤄져야 합니다. 적잖은 행정력이 소요되고, 따라서 시간도 적지 않게 들지요.”
하지만 실제 국제 공조와 범죄자 인도 등의 일은 곧잘 이뤄지고 있다. 절차가 복잡하긴 하지만 여러 국가의 사법기관들이 서서히 이를 극복하기 시작했기 때문이다. 그래서 지난 2월 한 우크라이나 남성이 미국의 뉴욕타임즈를 해킹한 사건 때문에 미국 법원에서 기소되고 실형을 선고받았다. 이 인물은 2022년 스위스에서 체포됐고, 2023년 미국으로 인도되어 미국에서 재판을 받았다. 이 모든 과정이 긴밀한 국가간 협력 아래 이뤄졌다. 이런 일은 갈수록 빈번하게 일어나는 중이다.
하지만 러시아나 중국과 같은 국가들의 경우 서로들끼리는 협약을 맺어 공조를 벌일 수 있을지 모르겠지만 대부분 서방 국가들과는 이런 차원에서의 교류가 없다. 아바키안은 “그래서 수많은 사이버 범죄자들이 이런 국가들을 찾아 근거지를 마련한 후 해킹 범죄를 저지르는 것”이라고 설명한다. “국제 공조의 행정력과 수사력이 닿지 않는 곳은 이제 사이버 범죄자들의 천국으로 취급을 받습니다.”
이런 국가들의 사이버 범죄자들을 국제 공조로 다뤄야 할 때는 어떻게 할까? 미국을 비롯해 서방 국가들은 대부분 이 범죄자들의 신상을 공개한다. 실명과 사진을 발표하여 그들이 어디에 살든 수치를 느끼도록 만드는 것이다. 또한 이렇게 하여 기소하면 해당 인물들이 미국과 조약을 맺은 나라로 이동할 때 곧바로 체포할 수 있기 때문에 사실상 자기들의 본거지 안에 갇혀 나오지 못하게 되기도 한다. 실제로 미국 사법부는 계속해서(자주는 아니지만) 중국과 러시아의 해커들의 이름을 공개한다.
재판하기
우여곡절 끝에 누군가를 체포하는 데 성공했다면 그 다음부터 법적인 절차가 진행된다. 공소, 기소, 보석 공판 등 사안에 따라 여러 가지로 나뉠 수 있다. 해커가 체포됐다고 해서 무조건 재판을 받는 건 아니다. “그 해커가 무슨 짓을 저질렀고, 어떤 피해를 야기했는지 등에 따라 어떤 법 시스템이 발동될지가 결정됩니다. 단독범이었는지, 범죄 단체의 일원이었는지, 특정 국가를 돕는 자였는지에 따라서도 전부 다르게 결정이 납니다.” 페이튼의 설명이다.
“어떤 경우 범죄자 스스로가 유죄를 인정하기도 합니다. 그럴 땐 긴 재판 과정이 생략됩니다. 한 우크라이나의 사이버 범죄자는 랜섬웨어 조직에 가입하여 각종 사이버 범죄 행위에 참여한 것을 인정했습니다. 이 자는 카세야(Kaseya)라는 소프트웨어 기업을 겨냥하여 랜섬웨어 공격을 실시하기도 했고, 이를 인정했습니다. 폴란드에서 체포됐고, 미국으로 인도돼 재판을 받았는데, 결국 유죄 판결이 나기까지 긴 시간이 걸리지 않았습니다. 대부분의 재판 과정이 없어졌고, 거의 곧바로 처벌이 이뤄졌습니다.” 포커의 설명이다.
반대로 끝까지 억울하다거나 결백을 주장할 경우, 혹은 타국 사람이라는 이유로 언어 장벽을 핑계삼아 진술을 최대한 하지 않으려 할 경우 싸움은 대단히 길어질 수 있다. 사이버 범죄자들은 흔적을 잘 남기지 않을 뿐더러 사이버 공간의 흔적이란 쉽게 사라지기도 하기 때문에, 증거를 찾아 판사들에게 제출한다는 게 여간 어려운 일이 아니다. 이를 잘 알고 일부러 지지부진 시간을 끄는 범죄자들도 상당수 존재한다.
선고
사이버 범죄가 시작된 건 이미 수십 년 전의 일이지만, 아직 법 체계는 이런 유형의 범죄를 제대로 다루지 못하고 있다. 페이튼은 “사이버 범죄 사건은 거의 대부분 지금의 판사들이 학교에서 배우지 못한 사례들”이라고 지적한다. “얼마 전 내부자 위협과 관련된 사건을 조사한 적이 있습니다. 한 개인이 자신의 회사로부터 지적재산을 훔쳐 중국에 넘겨주고 있었습니다. FBI는 충분한 조사를 통해 증거를 확보한 뒤 집을 급습해 그를 체포할 수 있었습니다. 그런데 조사를 하다보니 그 전 직장에서도 같은 일이 있었더라고요.”
그 회사들 중 그와 재판을 진행하려 하는 곳은 딱 한 군데 뿐이었다. 그래서 사건 자체가 발생하지 않았고, 범인은 ‘한 회사’의 지적재산 유출에만 유죄 판결을 받아 5년을 감옥에 있었습니다. 당시 판사는 지적재산의 유출이 돈으로 환산했을 때 어느 정도의 손해인지 계산하는 걸 무척 어려워했습니다. 이런 식의 사건을 흔히 접하지 못했던 것이죠.”
맥퍼슨은 “현재 대부분 지역에서 사이버 범죄를 화이트칼라 범죄의 일종으로 보고 있다”고 말한다. “화이트칼라 범죄는 다른 유형의 중범죄보다 형량이 그리 무겁다 말하기 힘듭니다. 하지만 사이버 범죄자들이 최근 들어 사회 기반 시설들을 공략하고 있고, 그러면서 물리적 피해에 대한 우려가 깊어지고 있기 때문에 화이트칼라 범죄라는 인식이 빠르게 사라질 가능성도 높습니다. 그러면 또 그에 따라 법률가들도 새로운 접근법과 형량을 고민해야 할 겁니다.”
2020년 미국 버몬트의 한 병원에 랜섬웨어 공격을 실시한 우크라이나 남성의 경우 얼마 전 재판에서 유죄 판결을 받았다. 이 공격 한 번에 해당 병원은 수천만 달러의 손해를 입었다고 한다. 처벌은 5월 9일에 선고될 예정인데, 혐의 모두가 인정될 경우 최대 20년 징역형을 받을 수 있다고 한다. 2010년에도 해킹 범죄 및 신용 도용으로 체포된 한 인물은 20년 하루라는 징역형을 선고받았다. 하지만 2023년에 석방된 것으로 확인되고 있다. “사이버 공격자들이 긴 징역형을 선고받는 건 꽤나 자주 있는 일이며, 그것이 가장 적합한 처벌로 자리를 잡아가고 있습니다.”
그 외에 특정 IT 기술을 사용하지 못하는 처벌도 존재한다. “컴퓨터로 범죄를 저질렀을 때, 특정 기관이나 감시 요원의 지도 하에서만 컴퓨터를 사용하게 되는 경우들도 있습니다. 죄질이 정말 나쁘다면 평생 컴퓨터를 사용하지 못하게 하는 판결도 나옵니다.” 페이튼의 설명이다. “그 외에 용의자가 특정 범죄 집단에 대한 중요한 정보를 가지고 있다면, 그 정보를 제공받는 대신 형량을 줄이기도 합니다.”
수사에서 선고에 이르기까지의 문제점
법 체계가 현대 IT 기술을 따라가지 못하고 있다는 불만은 계속해서 제기됐다. 맥퍼슨은 “사이버 공격이 벌어지고 피해가 발생하는 시간에 비해 범죄자들을 파악하고 추적하고 국가간 협력 체계를 마련하여 뒤쫓고 실제 체포로 이어지는 데에까지 걸리는 시간이 지나치게 오래 걸리는 건 사실”이라고 말한다. “하지만 빨라지는 중”이라고 덧붙이기도 했다.
속도만이 문제인 것은 아니다. 페이튼은 “예를 들어 그 모든 과정에 들어가는 비용이 만만치 않다는 것도 문제”라고 지적한다. “사이버 범죄 수사는 사이버 보안 및 탐지 도구들을 동원합니다. 각종 경보, 복구, 복원, 복호화 기능도 필요할 때마다 발휘되고요. 이런 기술들이 공짜로 주어지지 않죠. 전부 꽤나 높은 가격을 지불해야 얻을 수 있는 것들입니다. 수사 기간이 길다는 건, 이런 기술들에 비싼 비용을 지불하는 기간도 길어진다는 뜻입니다. 그 외에도 국제 수사 공조를 위한 행정 비용도 적다고 하기 힘듭니다.”
사이버 범죄자들이 사용한 기술을 ‘법 체계 안에서’ 제대로 이해하기 어렵다는 것도 문제다. 아바키안은 “공격자들이 사용하는 전략과 도구들이 가진 기술력을 매번 판사들이 공부하는 것도 쉽지 않은 일”이라고 말한다. “더군다나 그런 신기술, 새로운 유형의 범죄를 법의 어떤 항목에 적용해야 하는지 찾아내기까지 해야 하잖아요. 기술은 항상 변하는데, 계속 같은 법의 프레임워크 안에서 이런 것들을 다루려하니 병목 현상이 생길 수밖에 없습니다.”
선고 이후의 범죄자들
선고까지 받고 형을 살고 있는 자들은 어떻게 될까? 포커는 “대부분은 다시 범죄 시장으로 돌아간다”고 말한다. “사이버 범죄는 재범죄율이 꽤나 높은 분야이기도 합니다. 애초에 잘 잡히지를 않고, 따라서 운이 없어서 잡혔다고 생각하지 자신들이 정말 잘못했기 때문에 잡혔다고 생각하질 않습니다. 그러다 보니 쉽게 범죄에 다시 손을 대는 것이고요.”
같은 기술과 실력으로 좋은 일을 할 수 있다는 것을 깨닫는 경우들도 있다. “예를 들어 케빈 미트닉(Kevin Mitnick)의 경우, 해커였다가 사이버 보안 전문가로 삶의 경로를 바꾸었죠. 저 역시 그렇습니다.” 보안 업체 비욘드트러스트(BeyondTrust)의 CTO인 마크 마이프레(Marc Maiffret)의 설명이다. “중대한 범죄를 저지른 건 아닙니다만 학창 시절에 친구들과 컴퓨터를 가지고 장난을 좀 쳤습니다. 그 중에는 해킹도 포함이 됩니다. 17세에 FBI가 저희 집을 수색하기도 했어요. 그렇게 쌓은 노하우와 스킬이 보안 쪽에서 사용될 수 있다는 걸 깨닫고 보안에 전념하게 되었습니다.”
페이튼은 “사이버 범죄 이력을 가진 사람들 중 상당수가 IT 기술을 보유한 자들”이라며 “이들이 형을 마치고 사회에 나와 자신의 기술을 좋은 쪽에 활용할 수 있도록 ‘디지털 재활’ 프로그램을 마련해야 한다”고 주장한다. “아직 다른 유형의 전통적 범죄에 비해 사이버 범죄 쪽에서는 재활이나 갱생의 노력이 부족한 게 사실입니다. 자신의 기술을 정당하게 쏟아부을 수 있는 시스템을 마련해주는 게 중요해 보입니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
