북한이 사이버범죄의 다양한 유형에 대해서 분석하고 이를 방지하기 위한 기술적, 법적 조치의 필요성에 관한 연구를 하고 있는 것으로 뒤늦게 확인됐다.
김일성종합대학 홈페이지에 공개된 학보(2022년 제68권 제1호)에는 ‘싸이버(사이버) 범죄의 주요 형태에 대한 법률적 분석’이라는 제목의 논문이 실렸다.
해당 논문에는 “정보통신 부문에서 통신의 안전성과 신뢰성을 확고히 담보하자면 해킹과 도청을 비롯한 싸이버 범죄들을 미연에 방지하기 위한 기술적 및 법률적 대책을 철저히 세워야 한다”는 내용이 담겼다.
특히 논문은 “(논문의 목적은) 싸이버 공간에서 발생하는 범죄행위들을 미연 방지하기 위한 기술적 및 법적 대책을 세우자는 데 있다”며 “비법(불법) 접근행위를 범죄로 규제하는 것이 다른 싸이버 범죄들을 억제하는 중요한 방책으로 된다”고 주장했다.
북한은 논문에서 사이버범죄의 유형을 ▲비법 접근행위(Illegal access) ▲비법 도청행위(Illegal interception) ▲비법 간섭행위(Illegal interference) ▲콤퓨터(컴퓨터) 악성도구(Computer misuse tools)의 제작, 수집, 보관, 리용과 관련한 행위 ▲콤퓨터를 통한 사기 및 위조 행위(Computer-related fraud and forgery)로 분류했다.
여기에서 ‘비법 접근행위’는 접근 권한이 없거나 주어진 권한 이상으로 시스템 또는 네트워크에 침입하는 행위를 가리킨다. 대부분의 사이버 공격은 다른 시스템에 침입해 권한을 획득한 뒤 자료를 불법적으로 복사, 전송, 변조, 삭제하는 방식으로 이뤄진다. 이에 북한은 ‘비법 접근행위가’가 사이버 공격의 출발점이라고 지목하고 이를 범죄로 규정하고 있는 것으로 보인다.
실제 논문에는 “단순한 비법 접근행위도 싸이버범죄로 보아야 한다”며 “비법 접근행위가 정보체계의 완전성을 침해하기 때문”이라는 주장이 담겼다. 특히 단순 접근일지라도 목표설정, 보안 체계분석, 침투, 권한 획득 등 범죄 준비와 실행이 있는 만큼 이를 법적으로 처벌해야 한다고 논문은 설명했다.
다른 나라에서는 정보의 수정, 복사, 파괴의 행위가 없는 단순 접근을 범죄로 인정하지 않는 경우도 있지만, 북한은 이러한 행위 역시 사이버범죄로 규정해야 한다고 강조하고 있는 셈이다.
북한 내부에서 사이버범죄를 저지르거나 가담하는 사람들은 주로 정보통신 분야의 전문가들이기 때문에 가벼운 일탈행위로 취급하는 경향이 있다. 그러나 북한이 본격적으로 사이버범죄에 사회적 문제로 인식하고 이를 처벌하기 위한 법과 제도를 정비하려는 것으로 보인다.
실제 논문은 현행 법률상 사이버범죄를 처벌하는 조항이 없어 법 제정이 필요하다고 강조하고 있다. 또한 논문은 기존의 법으로는 사이버 공간에서 일어나는 범죄 행위에 대해 적절하게 대응하기 어려워 사이버범죄법에 대한 연구가 필요하다는 점도 역설했다.
논문은 “싸이버 공간에서 감행되는 비법 도청행위에 기존법률을 적용하게 되면 전송 체계에 도중보관(기억) 되는 정보가 법의 규제 대상에서 배제되게 된다”며 “싸이버 공간에서 감행되는 비법 도청행위에 대해서는 새로운 싸이버범죄법이 연구돼야 한다”고 밝혔다.
한편, 논문은 전통적 사업체계에서 전자 업무체계로 전환되고 있어 신분 도용을 통한 공격을 조심해야 한다고 강조했다. 산업, 경제, 사회 전반의 정보화를 추진하고 있는 북한이 신분 도용을 통한 정보 탈취를 경계하는 모습이다.
북한은 내부에서 주민들만 이용할 수 있는 폐쇄적인 환경인 인트라넷을 사용하고 있어 외부의 해킹 공격을 거의 받지 않는다. 다만 최근 들어 북한 내부에 있는 해커가 주민들을 해킹해 계정정보 등을 탈취하는 일들이 발생하고 있다.(▶관련 기사 바로가기: 北 주민도 해킹 공격 받는다…계정정보 탈취로 피해 보기도)
