2023 한국인터넷거버넌스포럼(KrIGF): <(Youth)사이버안보 관점에서 인터넷거버넌스의 발전방향> 발표 회고
https://youtu.be/7nbV1Z2VXJo
올해로 제 12회를 맞이한 한국인터넷거버넌스포럼에 참여했다.
트랙은 인공지능, 사이버보안, 거버넌스 총 3가지로 나뉘어져 있었는데
나는 숙명여대 소프트웨어학부 학부생들로 구성된 팀으로 사이버보안 트랙으로 발표했다.
참가하게 된 경위
우선 처음엔 "인터넷 거버넌스"라는 타이틀에 관심이 생겨서
인터넷 거버넌스 전문가 그룹(EG@IG) 3기에 들어갔고,
4월부터 해당 그룹에서 인터넷 거버넌스라는 것이 무엇인지 기초 교육 자료를 공부하고
교내 동아리원들끼리 모여 우리가 집중해서 공부해 볼 인터넷 거버넌스 관련 주제가 무엇인지 탐색했다.
그래서 우리 학교 부원들은 "부다페스트 조약" 을 중점적으로
부원들끼리 각각의 역할을 맡아서 역할 토론을 하는 것으로 주제를 잡아서
KrIGF에 지원서를 작성하였고
합격하여 발표를 진행할 수 있게 되었다.
어떤 역할로 발표를 했나?
나는 미 외교안보국 소장 역(ㅋㅋㅋ)을 맡았는데
이것이 굉장히 모순적인 것이 미국은 외교나 안보부처가 따로 없다
역할을 맘껏 부여할 수 있는 우리끼리의 역할토론이니만큼 다른 부원들도 변호사와 경찰청 등의 직위높은 역할을 도맡아서 진행했다...
나는 클라우드에 관심이 있어서,
"클라우드 액트 법안" 과 (사실 클라우드 액트 법안은 내가 공부하는 그 클라우드의 의미를 갖고 있진 않지만, 클라우드 컴퓨팅 시대가 도래하면서 밀접한 의미를 갖고 있어서 넣었다.)
이외의 사이버 보안 사건 등을 엮어서
부다페스트 조약 및 이러한 미국의 선제적 대처를 본받아서
한국이 사이버 보안에서 어떤 식으로 발전해나가면 좋겠는지의 입장을 표명했다.
대략 내 발표 내용을 포함한 간략 대본...↓
1. 이 법을 본받아서 부다페스트 협약에 가입해야하는 이유에 대해 소개하겠다 서론.
경찰청 과장님이 말씀하신 것처럼 클라우드 환경 에서 압수수색이 어려운 점을 개선하고
사이버 범죄 수사 과정에서도 협조하기 수월해진 전례인 클라우드 액트 법안에 대해 소개
(the Clarifying lawful overseas use of data)
2. 배경
- 2013년 미 법무부가 마이크로소프트의 아일랜드 데이터 센터에 저장된 전자메일을 요청하는 영장을 발부한 후 마이크로소프트가 이를 거부하면서 시작
- 마이크로소프트는 해당 정보가 미국 서버가 아닌 아일랜드 서버에 저장되어 있으므로 미국 정부가 발부한 영장은 효력이 없다는 논리로 데이터 제공을 거부했으며 대법원까지 이어지는 소송이 진행됨
- 고객의 정보를 비공개로 유지할 의무가 있는 기술 회사들의 경우, 자국의 법 집행 기관에게 협조할 의무와 해당 국가의 데이터 보호법을 준수해야 할 의무 사이에서상반된 요구를 받으며 난처한 상황에 직면
- 클라우드법은 클라우드 산업과 정부가 직면한 이러한 법률적·윤리적 딜레마를 해결하기 위한 방책으로 고안됨
3. 칼레아 비교
- 칼레아는 아날로그적 감청 법안
- 대표적으로 미국은 1994년 12월 이동전화를 포함한 디지털 통신감청지원법(CALEA)을 제정하여 휴대폰 감청을 시행하고 있고 한국만 제외하고 OECD 국가 전부가 휴대폰 감청을 시행하고 있다.
- 근데 갈수록 인터넷 전화 화상전화 메신저 등 나오고 , 암호화나 보안 기술 들어가니까, 그런데 보안을 하나하나 뚫고 들어가는 건 일임
- 그러니까 내가 내놓으라고 하면 줘야지! 암호화까지 풀어서! 한 게 칼레아 2차버전 디지털.
- 이후 클라우드 컴퓨팅 시대 도래에 따라 클라우드 법안 발제
4. 특징
- 미국의 법 집행 기관은 법원의 압수수색 영장을 발부 받지 않은 채 전 세계 모든 국가에 저장된 온라인 정보에 대한 액세스를 요구하는 것이 가능
- 가입자 정보 및 트래픽 데이터를 효과적으로 얻기 위해서
- 국제 협정을 통해 이 같은 법률적 의무 간의 상호충돌 가능성을 해결할 수 있는 매커니즘을 마련하고, 이러한 매커니즘 하에서 법치와 시민 자유 및 개인정보보호에 대한 미국과 해당 해외 국가 간의 공통의 약속을 공유
5. 우려있지만 해야되는 이유
- 개인정보보호 옹호 단체들과 시민단체들은 클라우드법에 대해 강한 반대 의사를 표명
- 마이크로소프트, 애플, 구글, 페이스북 등 미국의 대형 IT 기업들은 법안이 통과되기 전부터 클라우드법에 대한 찬성입장을 표명, 이 기업들은 일정 수준 이상의 고객 정보를 1차 보호함.
- IT 기업들이 오랫동안 전 세계 고객과 인터넷 사용자를 보호하기 위한 국제 협약과 글로벌 차원의 해결책을 지지해 왔다며 클라우드법이 시행되면 소비자의 권리를 보호하기 위해 현저한 진전을 이루고 법률 간의 충돌을 줄여줄 것
- 클라우드법은 법 집행 기관이 전자 메일, 메시지, 파일 등 전자 데이터를 더 손쉽게 확보할 수 있도록 한 것 외에도 미국 기반의 서버에서 다른 국가로 정보를 전송하는 경우에 적용될 프레임워크를 제시했다는 점에서 의의가 있음
- 하지만 해당 데이터가 저장된 국가의 개인정보보호법의 적용을 받는다는 것을 의미하므로 이 경우 미국 정부가 선택할 수 있는 수단은 해당 지역에서 영장을 발부받거나 미국 대통령이 다른 국가와 체결한 “행정 협정”을 통해 일종의 외교적 절차를 추구하는 것
5.1. 우리나라 예시
- 넥슨의 데이터 센터가 룩셈부르크에 있음, 룩셈부르크에 있어서 요청해도 안줘도 됨
- → 룩셈부르크는 저런 데이터 법안에 가입이 안되어 있음(넥슨 유럽 법인) 그나라법 따라야 됨, 사이버 범죄에 데이터 필요한 경우 못 받음
5.2.필리핀 ILOVEYOU, 랩서스 해킹 예시
- 미국이 피해입었던 필리핀 바이러스 사건이 있다. 과거 시만텍이 인터넷 탄생 40주년을 맞아 ‘인터넷 역사상 최고의 보안위협 TOP10’ 안에 들었던 보안위협 사건임.
- 사건 구체 내용:
-“ILOVEYOU”라는 이름의 메일에는 txt 파일을 확인하라는 내용이 담김.
- “LOVE-LETTER-FOR-YOU.TXT.vbs” 파일을 열면 컴퓨터의 사진이나 데이터들이 전부 “ILOVEYOU”로 대체되고 원본 복구 불가 & 컴퓨터 디렉토리의 이메일 계정들에게 같은 메일을 보냄.
-홍콩, 유럽, 미국으로 넘어가며 컴퓨터들을 감염시킴.
-약 55억 달러에서부터, 일부 보고서에서는 100억달러까지 손해를 입었다고 기록.
-이 바이러스 때문에 10일 이내에 5천만 건이 넘는 감염 보고가 있었으며 인터넷에 연결된 전 세계 컴퓨터의 10%나 영향을 받았다.
-감염을 제거하고 복구하는 데 걸린 시간에 큰 피해를 입었음. 특히, 이 바이러스가 나왔을 때는 이 바이러스부터 보호하기 위해 펜타곤, CIA, 영국 의회 및 대부분 대기업은 메일 시스템을 완전히 폐쇄하기로 하기도 했다.
-그들은 체포되었지만, 이런 사이버 관련 법 없어서 잡을 수 없었고, 석방되었고 애당초 기소가 안되었음
- 클라우드 컴퓨팅 시대에서 이런 바이러스가 클라우드 서버에서 배포된다면 더 잡기 어려워짐
- 우리는 이러한 환경 자체를 인지하고 있는데도 불구하고 법안에선 준비가 안되어 있는 게 사실이지 않냐
- 사전에 온전히 예방하기는 어려울지라도 조약에 가입해서 이런 문제가 현대에 발생했을 때 이런 법안 부분에서 보완이 필요하다고 생각
-ILOVEYOU → 2000년, 필리핀 위주 (단순)
-랩서스 해킹단체 사건→ 작년, 임직원 계정정보를 통해 랩서스는 공격 대상의 사용자 PC에 손쉽게 접근했으며 이후 내부 정보를 탈취
- 비슷한 수법이지만 결국 같은 이메일 보내서 감염시킴. 미국에 훨씬 영향을 많이 받은 사건. 가입된 활동하는 해커들이 중고등학생. 같은 수법에 어린 친구들에게 영향. 22년이 지났는데 이번에는 심지어 MS,Samsung도 공격받음.
- 22년동안 우리는 단순한 수법을 막아내지 못함. 두 사건 수법은 둘 다 단순한데 계속해서 기술발전에만 집중하고 이를 대처하기 위한 정책은 지지부진 여전히 너무 안일한 것 아닌지
6. 결론
- 최종 목표는 국제 협조인데 타국에 있어도 달라고 해야되는 방향으로 나아가기 위해.
- 외국 정보는 받는데 우리는 우리나라의 정보를 못 주고 못 본다 → X
- 한국인이 데이터 이용에 이전에 악용한 사례가 있어서 신뢰도 ↓
- 타국이 요청하는 건 이유가 있다고 생각, 그런데 우리나라가 요청하는 건 의심스러운데? 악용하려는 건 아닐까? 그게 불법적으로 쓰이지 않는다는 걸 확인하지? 하는 생각을 완화해야 하고
- OECD국가에서 우리나라만 감청법을 안하고 이렇게 한국의 데이터 이용에 신뢰도가 낮은 실정에 기술적인 면은 충분하지만 이러한 법-협안에 약한 우리나라가 이러한 클라우드액트법을 본받은 부다페스트 협약을 가입해서 사이버 범죄 수사 발전에 한 걸음을 내딛어야 합니다.
- 유엔 국장님이 말씀하신 것처럼 선진적인 사이버안보 체계 구축을 이룩하기 위해 노력해야 한다고 생각합니다.
다른 부원들도 각각의 역할에 맞춰서
우리나라가 사이버 안보 및 보안의 측면에서 다양한 사건들을 겪으면서
글로벌적으로 어떤 방향으로 나아가야될지 본인의 역할의 관점에서 볼 수 있는 입장들을 표명했다.
아! 맨처음에
주제를 선정하기 위해 부원들끼리 어떤 주제로 제안할지 각각 작성했었는데
나는 처음에는 이런 식으로 내용을 작성했었다.
- 제안내용: 클라우드 환경(SaaS, IaaS 등) 의 보안 기술은 주로 Service 형태로 제공되고 있고, 그로 초래되는 이중 보안 문제를 해결하기 위해 DaaS와 같은 클라우드 컴퓨팅 제품에 제로 트러스트 정책을 적용하여 보안 강화 방법에 대해 제안한다.
보안 문제와 클라우드를 엮기 위해 이런 식으로 주제를 선정했었는데,
지금 생각해보면 조금 무모했던 것 같기도 하고
클라우드의 보안을 정확히 이해하지 못한 상태에서 작성했던 느낌이 있다.
클라우드 보안 관련 사건을 좀 더 찾아보면 도움이 됐을 것 같다.
어땠나?
사실 인터넷 거버넌스 기초교육을 받을 때 개념을 공부하면서
내가 그렇게 관심있는 분야가 아님을 깨달았다
기술적인 이야기보다 정책적인 면, 외교적인 면의 이야기가 많아서
그 부분에 집중하기보다는
나는 사이버 세상에서 내가 주로 사용하게 될 혹은 사용했던 기술이 불러오는 현상, 내지는 사건에 대해서
왜 그랬나 혹은 어떤 식으로 바꾸어야 하나... 같은
정말 "사이버 보안 및 안보" 측면, "사이버" 에 집중해서 살펴보며 관심을 그나마 유지했던 것 같다
그리고 우리가 저 주제를 잡기까지
정~~~~말 많은 레퍼런스 서치와 회의를 진행했다
모의 발표를 연습한다고 발표할 공간을 대여하여 연구소장님, 변호사님, 장관님, 교수님께서 지켜보는 앞에서 발표 연습을 하기도 했다
(사실 그렇게 부담되진 않았다.)
최근 사이버 보안의 동향은 어떤지, 국내외에서 이목을 끌고 있는 사건이 있는지, 보안 기술이 발전할수록 우리가 챙겨야하는 기술이나 법안 등은 어떤 게 있는지 정말 다방면으로 논문과 기사를 찾아보며
부원들끼리 공유하고 부다페스트 조약이라는 큰 뿌리를 정하기까지 많은 시간이 걸렸다...
부다페스트 조약을 뿌리로 거기서 나올 수 있는 사이버안보 사건이 전달되는 과정을 개선하거나 한국이 나아가야할 방향에 대해 또 찾아보며 많은 시간을 들였다
단, 부다페스트 조약조차도 굉장히 느린 시스템이라는 것을 알게되었지만... 그 시스템의 의의를 가져오자는 것으로 이해해주면 될 것 같다
얻은 점
1. 나는 정책적이고 사이버 보안이나 관련 사건에는 관심이 없었다. 하지만 이번 기회를 통해서 한국의 현상황이나 부다페스트 조약, 클라우드 액트 법안, 칼레아 법안 등의 정보를 알 수 있게 되었다.
2. 포럼에 참여해서 발표 기회를 가져볼 수 있었던 게 좋았다. 교수님, 변호사님, 연구소장님, 대학생 등의 다양한 사람들 앞에서 발표를 해야했기에 많은 준비를 해 본 경험을 가질 수 있었다.
3. 포럼에 참가하여 2번에서 언급한 다양한 각계 분야의 분들이 가지고 있는 인터넷 관련 주제 내용을 들어볼 수 있어서 좋았다. 특히 인공지능 분야의 현태에 대해 들으면서 좀 더 관심이 생겼다.
4. 관심 없는 분야도 새로 탐색하고 도전해보려는 시도를 했다는 경험... 하면할수록 재미없었는데 도움이 되겠거니 하고 그냥할 수 있는 끈기를 얻었달까...
+추가...
아·태지역 인터넷거버넌스 아카데미(APIGA)에도 지원하였고 합격하였지만 참가하지 않았다!
이유:
1. 일정이 안 맞기도 했고
2. 흥미를 잃어 참가하고 싶지 않았다
인터넷 거버넌스라는 걸 좀 더 재밌게 배울 수 있었으려나? 싶기도 한데
다양한 토의나 발표를 참여해봤음에도 흥미가 잘 생기지 않았다