top of page
사이버 안보법-에스토니아

사이버 안보법 - 에스토니아

 

2004년 에스토니아는 나토에 가입한 뒤에 무임승차의 이미지를 피하고 나토 네트워크 안에서 높은 위상을 얻기 위해, 나토의 군사동맹 독트린을 연구를 진행하는 나토 CCDCOE(나토 Cooperative Cyber Defence Centre of Excellence)를 주최하겠다고 제안하였다. 그리고 2007년 러시아가 가한 사이버 공격을 계기로 나토 CCDCOE에 많은 나토 회원국을 가입시켰다. 뿐만 아니라 나토 네트워크 안에서 더 많은 영향력을 얻기 위하여 나토 CCDCOE 허브, 탈린 매뉴얼 등의 도구를 활용해 에스토니아가 추진한 나토 사이버 집단방위시스템 개발 이니셔티브는 2014년 성공적으로 나토의 안보 규범으로 자리 잡았다.

 

에스토니아는 탈린 매뉴얼을 통해 러시아와도 신뢰 및 안보 구축 조치를 설립하고자 하였으나 러시아는 물론 상하이 협력 기구를 통해 중국은(러시아와 협력 관계) 탈린 매뉴얼이 “서양 주요국들의 국익과 가치관에 맞추어 일부러 조정한 것이다”라고 비판하였다. 즉 에스토니아가 나토를 위하여 개발하고 있는 사이버 안보의 규범과 러시아와 중국이 바라는 규범은 매우 다른 것이다. 그렇기 때문에 나토-상하이협력기구, 나토-러시아 등의 형태로 사이버 안보 영역에서 규범 경쟁이 벌어질 가능성이 있다.

 

1. <형법전> (Penal Code)의 수정.

에스토니아는 2001년 체결된 유럽의 회의 사이버 범죄 조약 (Convention of Cybercrime) 및 2005년에 세워진 유럽 연합의 정보 시스템에 대한 공격의 예방 (Council Framework Decision 2005/222/JHA) 규범과의 일관성을 위해 형법전을 수정하였다. 이때 에스토니아 형법전에 추가된 사이버 범죄에 관련된 최초의 내용이 §206, §207, §208, §213, §217이다.(Czosseck et.al.2011).

 

2007년의 에스토니아 사태까지 형법전은 이러한 버전으로 유지되고 있었다.

에스토니아 사태의 가해자를 밝히는 절차는 국가의 보안관찰법(Estonian Surveillance Act)과 관련이 있었다. 이 법에 의해, 컴퓨터 네트워크를 이용해 국민의 개인 정보를 모으거나 활동에 관 한실적을수집하는 것은 감시의 활동 (surveillance activity)라고 하여 그것을 실행할 수 있는 기관은 오직 경찰이나 CERT등의 정부의 검찰 기관이 할 수 있다. 뿐만 아니라 형사소송법 (Code of Criminal Procedure)에 따라 정부의 검찰 기관은 국민에 대한 감시의 활동을 오직 두 가지의 경우에 할 수 있으며 바로

A) 본 사건을 조사할 수 있는 다른 방법이 매우 어려울 때

B) 혐의자가 적어도 3년의 징역의 범죄를 저지를 경우였다. 하지만 그 당시의 형법전에 따라 사이버 범죄에 대한 처벌은 금전적인 형벌이나 최고 1년의 징역이었다. 2007년의 형법전과 형사소송법의 그런 조건으로 인하여 에스토니아 사태에 대한 조사가 제대로 실행되지 못 했고 혐의자들도 발견하지 못 하거나 금전적인 형벌만 받게 되었다 (Tikk et al. 2010: 24). 이로 인해 에스토니아의 형법전은 2007년부터 지금까지 대거 수정되었다.

 

예를 들면 §206은 "컴퓨터 데이터 네트워크로 불법적인 간섭"을 언급한다. 2014년에 이 조항은 수정되었고 그에 대한 다음의 추가 조항이 생겼다.

즉 2014년부터 본 행위가

1) 많은 컴퓨터가 들어가 있는 네트워크에 대한 피해를 주는 경우

2) 단체에 의해 저질러진 경우

3) 중요기반시설에 대해저질러진 경우

4) 거대한 피해를 일으킨 경우

가해자는 5년의 징역을 받거나 금전적인 형벌의 대상이 된다. 형법전에서 나오는 다른 사이버 관련법에서도 중요기반시설이 피해의 대상이 되거나 가해자가 혼자 아니라 단체의 일부로 행위를 저지른 경우에 징역이 5년까지 늘어난다. 또한 징역을 대체할 수 있는 금전적인 형벌이 증가했다.(Riigikogu 2015)

 

<사이버 안보법> (Cybersecurity Act).

2018년 5월에 에스토니아 회의는 최초의 사이버 안보법을 통과시켰다. 사이버 안보법은 정보 시스템의 네트워크, 사이버 사건, 시스템의 보안, 디지털 서비스 제공자의 대표 (digital service provider representative) 등의 개념을 다루며 디지털 서비스 제공자 및 서비스 제공자 (service provider)가 사이버 공격의 사건을 발견 시 행동해야 하는 절차에 대해 자 세히 설명하는 것이다. 디지털 서비스 제공자 대표와 서비스 제공자가 본 법의 주요 행위자이기 때문 에 여기서 그에 대한 정확한 설명이 필요한 것이다. 에스토니아 사이버안보법의 §3에따르면 서비스 제공자란:

1) 긴급 법령에서 나온 바와 같이 필수적인 서비스의 제공자

2) 철로 인프라의 매니저

3) 비행장 조직자

4) 항구 서비스 제공자(소유자 또는 운영자)

5) 지역 또는 중앙 병원의 소유자(또는 운영자)

6) 가족의 의사

7) 에스토니아의 최상위 도메인의 관리자

8) 해상이동무선장치를 포함하여 주요 주요정보시설의 제공자

9) 에스토니아의 대중 매체 (Riigikogu. 2018).

여기서 언급한 서비스 여기서 언급한 서비스 제공자란 주요기반시설의 제공자를 의미하는 것이라고 판단하면 된다.

 

사이버 안보법의 두 번째 주요 행위자는 디지털 서비스 제공자인데 §3에 따르면 바로

1) 온라인 마켓플레이스의 제공자

2)온라인 검색 엔진의 제공자

3) 클라우드 컴퓨팅의 제공자라고 한다 (Riigikogu. 2018). 사이버 안보법§8에 따르면 서비스 행위자와 디지털 서비스 행위자가 본인이 담당하는 영역에서 사이버 공격을 발견 시 24시간 이내 단일점(one point) 연락 센터인 에스토니아 정 보 시스템 기관 (Estonian Information System Authority, RIA)에 사이버 사건에 대하여 신고해야 한다. 그렇지 못한 경우에 20,000 유로(이만 유로)의 벌금을 내야 한다.

 

<사이버 안보법>에서 에스토니아의 사이버 안보의 중요한 특징 볼 수 있는데바로 공무원과 국민이 국가의 사이버 안보의 행위자가 되고 그것에 대한 책임감을 가져야 한다는 것이다. 물질적 자 원이 부족한 가운데 에스토니아 정부가 기댈 수 있는 것은 에스토니아의 국민이다. 아래 논의에서 나 온 바와 같이 에스토니아의 일반 국민들이 에스토니아의 수호 리그의 사이버 부대(Estonia Defence League's Cyber Unit)에서 봉사 활동을 하면서 국가의 사이버 안보를 강화시키도록 지원하고 있으면 서 <사이버 안보 법>이 사이버 안보에 대한 국민들의 책임감을 확산시키도록 하고 있다. 이 방식은 중견국다운 "국민이 우리 유일한 자원이다"하는 방식이 아닐까 싶다.

 

1. 형법전(A criminal code, penal code)의 수정

에스토니아는 2001년 체결된 유럽의회의 사이버 범죄 조약(Convention of Cybercrime) 및 2005년 유럽연합의 정보 시스템에 대한 공격의 예방(Council Framework Decision 2005)규범과의 일관성을 위하여 형법전을 수정하였다.

 

이때 추가된 내용에 사이버 범죄에 관한 내용이 §206, §207, §208, §213, §217이다. 이 형법전은 2007년 에스토니아 사태까지 유지되었다.

 

에스토니아 사태의 가해자를 밝히는 절차는 국가의 보안관찰법과 관련이 있다.

이 법에 의해 컴퓨터 네트워크를 이용하여 국민의 개인 정보를 모으거나 활동에 관한 실적을 수집하는 것은 ‘감시의 활동’이기에 이것을 실행할 수 있는 기관은 경찰이나 CERT(Computer Emergency Response Team, 컴퓨터 비상 대응팀)등의 정부의 검찰 기관이 할 수 있다.

형사소송법에 따라 정부의 검찰 기관은 국민에 대한 감시의 활동을 오직 2가지의 경우에 할 수 있다.

A) 본 사건을 조사할 수 있는 다른 방법이 매우 어려울 때

B) 혐의자가 적어도 3년의 징역의 범죄를 저지를 경우

그러나 그 당시의 형법전에 따라 사이버 범죄에 대한 처벌금전적인 형벌 또는 최고 1년의 징역이었다.

 

2007년의 형법전과 형사소송법의 그런 조건으로 인해 에스토니아 사태에 대한 조사가 제대로 실행되지 못했고 혐의자들도 발견하지 못하거나 금전적인 형벌만 받게 되자 이로 인해 에스토니아의 형법전은 2007년 대거 수정되었다.

 

예를 들면,

§206은 “컴퓨터 데이터 네트워크로 불법적인 간섭”이라는 내용만 있었으나,

2014년에 이 조항은 수정되었고 그에 대한 다음의 추가 조항이 생겼다.

 

2014년부터 본 행위가

1) 많은 컴퓨터가 들어가 있는 네트워크에 대한 피해를 주는 경우

2) 단체에 의해 저질러진 경우

3) 주요 기반시설에 대해 저질러진 경우

4) 거대한 피해를 일으킨 경우

→ 가해자는 5년의 징역을 받거나 금전적인 형벌의 대상이 된다.

 

2. 사이버 안보법(Cybersecurity Act)

2018년 5월 에스토니아 의회는 최초의 사이버 안보법을 통과시켰다.

사이버 안보법은 정보 시스템의 네트워크, 사이버 사건, 시스템의 보안, 디지털 서비스 제공자의 대표 등의 개념을 다루며 디지털 서비스 제공자가 사이버 공격 사건을 발견 시 행동해야 하는 절차에 대해 자세히 설명하는 것이다.

디지털 서비스 제공자 대표와 서비스 제공자가 본 법의 주요 행위자이기 때문에 여기서 그에 대한 정확한 설명이 필요한 것이다.

에스토니아 사이버 보안법 §3에 따르면 서비스 제공자란,

1) 긴급 법령에서 나온 바와 같이 필수적인 서비스의 제공자

2) 철로 인프라의 매니저

3) 비행장 조직자

4) 항구 서비스 제공자

5) 지역 또는 중앙 병원의 소유자

6) 가족의 의사

7) 에스토니아의 최상위 도메인의 관리자

8) 해상이동무선장치를 포함하여 주요 정보시설의 제공자

9) 에스토니아의 대중매체

 

여기서 언급한 서비스 제공자란 주요 기반시설의 제공자를 의미하는 것이라고 판단하면 된다. 사이버 안보법의 두 번째 주요 행위자는 디지털 서비스 제공자인데 §3에 따르면 1) 온라인 마켓플레이스의 제공자 2) 온라인 검색 앤진의 제공자 3) 클라우드 컴퓨팅의 제공자라고 한다.

사이버 안보법 §8에 따르면 서비스 행위자와 디지털 서비스 행위자가 본인이 담당하는 영역에서 사이버 공격을 발견시 24시간 이내에 에스토니아 정보 시스템 당국에 사이버 사건에 대하여 신고해야 한다. 그렇지 못한 경우에 20,000유로의 벌금을 내게 된다.

 

에스토니아의 사이버 안보법의 중요한 특징은, 바로 공무원과 국민이 국가의 사이버 안보의 행위자가 되고 그것에 대한 책임감을 갖도록 하고 있다는 것이다. 물질적 자원이 부족한 가운데 에스토니아 정부가 기댈 수 있는 것은 에스토니아의 국민이다. 그러므로 에스토니아는 일반 국민들이 에스토니아의 수호 리그의 사이버 부대에서 봉사활동을 하면서 국가의 사이버 안보를 강화하도록 지원하고 있다.

 

※ 출처

쉬만스카 알리나. (2019). 에스토니아 사이버 안보전략. 서울: 서울대학교 국제문제연구소

bottom of page