AI 악용 등 신·변종 사이버 공격 느는데…“20년 전 망법 손봐야”

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

한국인터넷진흥원(KISA)이 20년 넘게 유지된 정보통신망 침해행위 금지 관련 법체계 개선안 마련에 나섰다. 디지털 전환(DX) 가속화로 사이버 위협이 커진 데다 인공지능(AI) 기술 발전 등으로 신·변종 공격기법이 등장했기 때문이다.

15일 정보보호업계 등에 따르면, KISA가 최근 사이버 위협 고도화에 따른 침해행위 금지 규정을 개선하기 위한 연구용역을 발주했다. 주요기반시설 등 사이버 공간에 대한 침해행위 고도화에 대응하기 위한 법·제도적 개선 방안을 모색하는 게 목표다.

AI가 대표적이다. 안랩·SK쉴더스·이스트시큐리티 등 국내 정보보호기업은 물론 팔로알토네트웍스·크라우드스트라이크 등 글로벌 기업까지 올해 사이버 위협으로 AI 기술을 악용한 사이버 위협을 꼽았다. AI 기술을 활용해 누구나 쉽고 빠르게 사이버 공격 도구를 제작할 수 있을 뿐만 아니라 딥페이크·딥보이스 등은 이미 심각한 위협으로 떠올랐다.

이처럼 AI 등 신기술을 악용한 사이버 공격 수단은 늘어나는 반면 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'(정보통신망법)은 2001년에 머문 상태다. 정보통신망 침해행위 금지에 관한 정보통신망법 제48조는 정보통신망 침입금지(해킹), 악성 프로그램 전달·유포 금지, 정보통신망 장애 발생 금지(디도스 공격) 등으로 규정하고 정보통신망 안정성을 훼손하는 행위를 금지, 위반 시 처벌하고 있다. 하지만 현행법으로 AI 등 새로운 사이버 공격 수단을 금지하고 처벌할 수 있을지는 검토가 필요하다. 일례로, 인간의 구체적 지시 없이 벌어진 AI 행위를 어떻게 처분할지 등 사각지대가 존재한다. 이종호 과학기술정보통신부 장관도 최근 취임 2주년 기자간담회에서 'AI 기본법'이 제정돼야 AI 악용 범죄에 대한 처벌 규정을 시행령에 담을 수 있다고 밝힌 바 있다.

KISA 관계자는 “2001년 정보통신망법 개정 이후 침해행위 금지 규정은 큰 변화 없이 틀을 유지하고 있고 올해 백도어 설치 금지 등 단편적인 개정만 이뤄지고 있다”면서 “사이버 위협이 고도화되고 있는 상황에서 현행 정보통신망법이 AI, 랜섬웨어 등 다양한 위협을 금지하고 처벌할 수 있는지에 대한 연구가 필요하다”고 말했다.

이 관계자는 “다양한 사이버 위협에 적절히 대응하기 위해 현행 법 규정의 적절성을 검토하기 위한 연구를 추진하고 있다”고 덧붙였다.

조재학 기자 2jh@etnews.com