유엔사이버범죄협약(이하, 협약)이 작년 12월말 유엔에 의해 문안이 채택된 이후 오는 10월 25일 – 26일부터 각국의 비준을 촉구하는 행사가 하노이에서 열린다. 협약은 국경을 뛰어넘어 벌어지는 사이버범죄들에 대해 더욱 강력히 대응하겠다는 명목으로 제정되었지만 우리나라가 이를 비준할 경우 우리 국민에 대한 인권보호 수준을 급격히 저하시키게 될 것이다. 특히 최근 캄보디아 사기조직 인신매매 및 납치 사태 때문에 조성된 사이버범죄에 대한 공포감에 편승하여 섣불리 가입해서는 안 된다.
협약은 당사국들에 다음과 같은 의무를 부과하고 있어 문제가 된다.
첫째, 협약에 따르면 사이버시스템에 대한 공격뿐만 아니라 기존의 범죄라 할지라도 사이버공간을 이용해 이루어지면 범죄화해야 한다. 이 중 하나는 ‘사기죄’인데 협약에서는 보통 사기의 정의인 ‘허위정보를 통한 금품의 취득’이 아니라 ‘허위정보를 통한 재산상 손실’로 정의되어 있다. 사법기관의 의도에 따라 ‘허위사실유포죄’로 둔갑할 수도 있다. 알다시피 유신헌법상 처음 입법된 긴급조치1호에도 ‘유언비어유포죄’로 명시돼 수백만명의 피해자를 발생시킨 이 범죄는 세계 곳곳에서 권위주의정부가 비판세력을 탄압하기 위해 남용되어 왔다. 근본적으로 협약은 오프라인에서 저지른 범죄를 온라인을 매개로 저지르면 똑같이 범죄화할 것을 의무화하고 있다. 그러나 대부분의 경우 현실에서의 행위는 온라인을 통한 표현과 명료하게 구분되며 법적 평가도 다르다. 예를 들어, 현직 대통령의 노동정책이 끔찍하다고 그를 실제로 폭행하는 것과 대통령의 아바타 이미지를 다른 아바타가 폭행하는 듯한 영상을 만들어 반대를 표시하는 행위는 법적으로 완전히 평가를 달리한다. 표현과 행위를 구분하여, 표현은 행위를 유발시킬 명백하고 현존하는 위험이 있을 경우에만 규제가능하다는 것이 표현의 자유 보호의 대원리이다. ‘오프라인에서 범죄면 온라인에서도 범죄’라는 협약의 태도는 온라인이 전자적 표현과 통신으로 구성된다는 점을 망각하며 이 원리를 위반하고 있다.
둘째, “모든” 범죄의 수사에 있어서 6가지 수사방식의 수행능력을 의무적으로 갖춰야 한다. 프라이버시 침해 예방을 목표로 보호기준을 설정한 국제협약이 없는 상황에서, 이와 같이 국가감시행위를 의무화하는 국제협약이 있으면 당사국은 이를 핑계로 프라이버시 보호에 소홀한 이행입법을 할 위험이 있다. 6가지 수사방식은 전자보관 정보의 신속한 보존, 전자보관정보가 트래픽 정보인 경우에는 정보전달경로 확보를 위한 신속한 일부 공개, 가입자정보제출명령, 전자보관정보 압수수색, 트래픽 정보의 실시간취득, 정보내용 감청이다. 예를 들어 통신사실확인자료(traffic data)의 실시간(real-time)취득은 우리나라에서는 이미 법원 허가에 따라 가능하지만 법치주의가 안착되지 않은 나라의 경우 영장없이 통신사실확인자료의 실시간확보가 이루어질 가능성을 배제할 수 없다. 더욱 중요한 것은 우리 국민이 법치주의가 미약한 국가 내에 있는 서버를 기반으로 통신을 할 경우 아래에 다룰 국가간 정보공유를 통해서 영장없는 감시를 당할 수 있다. 심지어 우리나라에도 새롭게 이행입법이 필요한 부분들이 있다. 수사기관에 의한 정보취득에 앞서 취득대상 정보 및 그 정보의 트래픽 정보의 보존을 의무화하는 것인데, 우리나라는 이와 같은 이행입법이 불러올 프라이버시 침해 문제 때문에 이번 협약의 선행협약인 부다페스트 사이버범죄협약에도 가입하지 않은 상태다. 이름만 유엔사이버범죄협약으로 바뀌었다고 해서 섣불리 가입을 해서는 안 된다.
셋째, 당사국들은 다른 당사국의 사이버범죄나 ‘중대한 범죄’에 대한 수사를 돕기 위해 자신이 수사과정에서 취득한 정보를 타국에게 제공할 것을 제안하고 상호협력하도록 하고 있다. 현재 사법공조조약체계에 따라 수많은 나라들이 서로의 수사가 자국영토 내에서 이루어질 수 있도록 협력하고 있으나, 협약은 사법공조조약체계 개시 이전에 또는 그와 무관하게 자발적인 공유 및 협조를 허용하고 있다(40조4항, 42조, 43조). 물론 개별정보의 제공여부는 각 정보보유 당사국의 재량에 맡겨져 있지만, 결국 한 번 털린 정보를 여러 국가의 수사기관이 나눠본다는 것은 그만큼 프라이버시가 몇 배로 상실됨을 의미한다. 그런데 정보보유국 정부에 그와 같은 공유를 “허락”한다는 것은 정보주체에 대해서 프라이버시 제한을 “강제”하는 것이 된다. 특히 자국민에 대한 정보가 외국의 서버에 있는 경우, 자국의 사법기관은 영장 등을 통해 수사나 감시를 허가할 때 자국민의 프라이버시를 고려하겠지만 타국의 사법기관은 그런 고려를 해야 할 헌법적 의무가 없다. 즉 외국 사법기관은 정보주체의 프라이버시법익을 신중히 고려하지 않고 정보취득을 할 것인데, 이렇게 취득된 정보를 정보주체의 본국 수사기관이 쉽게 공유받을 수 있다면 남용의 위험이 매우 크다. 기존의 사법공조체계에서는 신청국가쪽에서 우선 영장심사를 한 후 상대국에 요청을 보내므로 양쪽의 사법기관이 모두 프라이버시 침해를 고려하게 되지만 협약상의 절차는 그렇지 않다. 또 사법공조조약체계 내에서 이루어지는 정보제공도 최대한 신속히 할 것을 요구하고 있는데 이 역시 프라이버시 보호를 위한 국제협약이 없는 상황에서 매우 위험하다.
대한민국 정부는 유엔사이버범죄협약에 가입하지 말고 반드시 필요하다면 기본의 사법공조조약체계를 현대화하는 방식으로 사이버범죄에 대응해야 할 것이다.
2025년 10월 24일
사단법인 오픈넷
[관련 글]
UN 사이버범죄 협약 관련 UN에 보내는 시민사회 서한(연명 요청) (2022.01.10.)
0 Comments