국가사이버안보 강화를 위한 사이버 취약점 규제 개선방안 - 미국의 사이버 취약점 규제를 중심으로

Measures to improve the cyber vulnerability regulation to strengthen national cyber security - Focusing on the US cyber vulnerability regulation

인공지능, 스파이웨어, 양자암호 등 신기술의 등장과 급변하는 IT 환경으로 인해 국가의 안보 영역이 사이버공간으로 확장되었고, 국제 해킹조직이나 국가가 직·간접적으로 지원하는 단체들의 사이버공격이 국가 안보에 심각한 위협으로 부상하였다. 이에 따라, 국가 사이버안보 관련 법제의 정비를 통해 사이버 위협에 대응할 수 있는 규제 체계 정립이 시급하다. 실례로, 개인의 휴대폰에 침투하여 사용자 몰래 개인정보를 수집하고 카메라와 마이크를 작동시킬수도 있는 이스라엘의 NSO 그룹이 개발한 스파이웨이인 ‘페가수스’가 인권 활동가 감시에 악용된 다수의 사례가 보고되고 있다. 페가수스도 일종의 사이버 취약점을 이용한 스파이웨어인데, 이를 악용한 사용자들뿐만 아니라 다양한 국가의 국가기관들에서도 페가수스를 구입한 것으로 알려져 있다. 그런데, 이와 같은 사이버 취약점이 발견되면 이를 악용하는 사례들도 발생하지만 해당 취약점의 패치 개발도 활발히 이루어져 취약점 공격에 방어할 수 있게 된다. 따라서 사이버 취약점 자체를 규제의 대상으로 보아서는 안 되며, 이를 악용하는 행위 혹은 행위자 혹은 사이버 취약점을 이용한 스파이웨어를 규제해야 하는 것이다. 그런데, 우리나라에는 현재 사이버 취약점을 직접적으로 규제하는 법제가 부재할 뿐만 아니라, 용어의 사용에도 사이버 취약점, 제로데이, 익스플로잇, 스파이웨어, 몰웨어, 감시 소프트웨어 등이 명확한 구별 없이 혼용되고 있어 규제적 접근을 어렵게 하고 있다. 이에 본고에서는 관련 용어의 정리를 시작으로 사이버 취약점 거래시장을 분석하고 우리나라의 관련 규제들을 연혁적으로 정리하여 사이버 취약점 규제 체계 개선을 위한 연구의 시작으로 삼고자 한다. 또한, 최근 다양한 규제적 접근 방식을 통해 사이버 취약점 규제를 시행하고 있는 미국의 규제 사례들을 분석하여, 우리 법제 정비의 시사점을 찾아보았다. 이를 통해, 사이버 취약점 관련 공격에 대응하는 법제들은 회색지대조치 등에서 볼 수 있듯이 취약점 자체를 불법으로 보기 어렵기 때문에, 정부의 사이버 취약점 사용을 투명화하고, 기술별 통제보다는 악성 행위자를 대상으로 하는 수출 통제나 행위 규제적 접근이 필요하다는 점을 발견하였다. 또한, 스파이웨어와 같은 제로데이 관련 사이버 취약점 기술들을 규제하기 위한 다양한 접근 방식이 존재하며, 기존의 다자간 기구에 의해 강제해 왔던 규제방식 보다는 자발적인 다자간 연합을 구축하고 이 기구를 강화하는 것이 효율적일 수 있다는 것도 발견하였다. 결국, 국가 사이버 안보 문제에서 사이버 취약점 관련 규제는 기술을 규제하기보다는 악용 행위 및 행위자를 규제하는 방향으로 설정되어야 하며, 정부 기관이 사이버 취약점을 발견·공개할 경우 그 결정의 투명성 문제가 선제적으로 결정되어야 한다.

The emergence of new technologies such as artificial intelligence, spyware, and quantum encryption, coupled with the rapidly changing IT environment, has expanded the realm of national security into cyberspace. Cyber attacks by international hacking organizations or state-sponsored groups pose serious threats to national security. Consequently, there is an urgent need to establish a legal framework capable of addressing these threats through the refinement of national cybersecurity legislation. In particular, since vulnerabilities themselves are difficult to classify as illegal—as seen with grey zone measures—there is a need for transparency in the government's use of cyber vulnerabilities and for a regulatory approach that targets malicious actors rather than specific technologies. The 'Pegasus' spyware developed by Israel's NSO Group can infiltrate personal mobile phones to collect private information and secretly activate cameras and microphones. Although this spyware has been purchased by various government agencies, there have been numerous reports of misuse, such as surveillance of human rights activists. On the other hand, once these cyber vulnerabilities are discovered, patches are actively developed to mitigate the threats. Therefore, while cyber vulnerabilities themselves cannot be the target of regulation, the mixed use of terms such as cyber vulnerabilities, zero-days, exploits, and recently, spyware, complicates regulatory approaches. This paper begins by clarifying these terms and analyzing the cyber vulnerability market, followed by a chronological review of relevant regulations in South Korea, laying the groundwork for improving the cyber vulnerability regulatory framework. Based on this, we analyzed the recent regulatory approaches in the United States, which is actively implementing cyber vulnerability regulations, to derive insights for improving our national cybersecurity regulatory system. There are various approaches to regulating zero-day related cyber vulnerability technologies, such as spyware. Rather than relying on the traditional method of enforcement by existing multilateral organizations, it may be more effective to establish and strengthen voluntary multilateral coalitions. Additionally, in addressing national cybersecurity issues, regulations related to cyber vulnerabilities should focus on regulating malicious acts and actors rather than the technology itself. Furthermore, when government agencies discover and disclose cyber vulnerabilities, the transparency of such decisions must be determined proactively.