유상선 고려대 정보보호대학원 겸임교수 오늘날 아동 성폭력, 마약 밀수, 가상화폐 탈취 등의 범죄는 국가를 넘나드는 조직적 범죄로 디지털 공간에서 더욱 은밀하고 치밀하게 진화하고 있다. 범죄자들은 암호화 통신, 우회 서버, 클라우드를 활용하며, 범죄의 흔적은 물리적 현장이 아닌 복잡한 디지털 지층 속에 남는다. 기존의 수사 방식만으로는 초기 단서를 확보하기조차 어려워져 신속한 디지털 기반의 법적·제도적 보완은 더 이상 미룰 수 없는 과제가 되었다. 인공지능(AI) 기술은 행정, 산업, 일상 전반의 효율을 끌어올리며 사회 변화를 주도하고 있지만, 그 이면에서 지능적 범죄의 수단으로도 악용되고 있다. 자동화 해킹, 딥페이크 기반의 신종 금융사기, AI가 주도하는 피싱과 봇넷 공격은 인간의 개입을 줄이며 첨단형 범죄로 진화하고 있다. 그 피해 규모와 속도도 전통적 범죄와는 비교할 수 없을 만큼 크고 빠르다. 특히 생성형 AI를 이용한 피싱은 피해자의 직업, 인간 관계, 온라인 활동을 학습한 뒤 실시간 맞춤형 시나리오를 구성하고, 합성 음성으로 가족이나 직장 상급자의 목소리를 구현해 송금을 유도한다. 해킹 영역에서도 AI는 취약점을 탐색하고 공격 경로를 선택하는 과정을 자동화함으로써 공격자가 직접 행동에 나서지 않아도 알고리즘만으로 범죄가 실행되는 구조를 만들어 내고 있다. 이런 상황에서 핵심 증거는 더 이상 눈에 보이는 물리적 형태로 존재하지 않는다. AI 모델의 학습 데이터, 자동화된 명령 체계, 서버와 클라우드 환경에 남는 실행 로그, API 호출 기록, 모델의 판단 경로 등이 범죄의 실체를 드러내는 단서가 된다. 범죄가 자동화·분산화·비인격화되는 현실은 기존 형사사법 체계에 근본적인 재구성을 요구하고 있다. 그러나 정작 이러한 AI 기반 공격 범죄를 상대해야 할 우리의 법 집행 체계는 여전히 과거 기술 환경을 전제로 설계된 틀에서 벗어나지 못하고 있다. 현행 통신비밀보호법은 통신의 자유와 사생활 보호라는 헌법적 가치를 지키기 위해 최소한의 감청만을 허용하고 있으나, 실제 수사 현장에서는 기술적·정책적 제약으로 인해 법원이 허가한 합법적 감청조차 실행되지 못하는 모순적 상황이 반복되고 있다. 어처구니 없게도 치안 공백이 방치되고 있는 근본적인 원인은 정부와 국회에 있다. 정부와 국회가 책임이 있음을 알면서도 선뜻 나서지 못하고 있는 것이다. 나름대로 이유가 많겠지만, 범죄 수사와 인권 보호의 경계에서 범죄 수사의 과잉과 남용이 우려되기 때문일 것이다. 이 공백을 보완할 대안으로 최근 미국과 유럽연합(EU)에서 운영하는 ‘온라인 수색’ 제도를 고려해 볼 수 있다.이는 범죄 혐의와 대상이 명확히 특정된 경우, 물리적 공간에 대한 압수·수색처럼 디지털 환경에서 범죄 데이터를 법원의 영장에 따라 원격으로 확보하는 제도다. 특히 AI 범죄의 증거는 휘발성이 강하고 삭제·변조가 쉬우므로 신속하면서도 범위가 엄격히 제한된 접근 방식으로 재설계할 필요가 있다. 첫째, AI 범죄의 주체가 인간이 아닌 자동화된 시스템일 경우 기존 형사책임 구조만으로는 한계에 봉착한다. AI 시스템의 설계·운영·관리에 대한 책임, 그리고 사전적 규율을 분명히 하는 제도적 장치가 마련되어야 한다. 둘째, AI 범죄는 서버와 데이터가 해외에 분산된 경우가 많아 국내 영장만으로는 증거 확보가 어렵다. 국제 공조 체계를 실질적으로 작동시키고, 국내 법제를 국제 기준에 맞게 조정하며, 통신 사업자의 최소한의 협력 의무를 명확히 하는 작업이 병행돼야 한다. 셋째, AI 공격 수사는 사후 대응만으로는 충분치 않다. 침해 사고 이전 단계에서의 로그 보존 의무, 이상 징후 탐지에 대한 법적 근거, 범죄와 무관한 정보 배제 원칙 등 기술적 표준과 법적 기반이 함께 마련돼야 한다. 물론 AI 범죄 수사제도의 목적은 권한 확대가 아니라 권한 통제의 정교화에 있다. 온라인 수색은 목적·범위·기간이 엄격히 특정돼야 하고, 수집 정보의 분리 보관, 사후 통지, 독립적 통제기구에 의한 점검이 제도적으로 보장돼야 한다. AI 시대의 법치는 단숨에 완성되는 단일 제도로 구현될 수 없다. 온라인 수색은 그 출발점일 뿐이다. 기술을 이해하는 입법, 사전·사후 통제를 아우르는 제도 설계, 국제 협력과 책임 구조의 재정립이 함께 이루어질 때 비로소 ‘법이 기술을 따라잡는 사회’에 한 발 더 가까이 갈 수 있을 것이다.

[포럼] AI시대 ‘범죄 수사제도’ 재설계 필요하다

유상선 고려대 정보보호대학원 겸임교수

입력 2026-02-12 17:03

23면 지면 TOP

추천해요 0
좋아요 0
감동이에요 0
화나요 0
슬퍼요 0

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

유상선 고려대 정보보호대학원 겸임교수

오늘날 아동 성폭력, 마약 밀수, 가상화폐 탈취 등의 범죄는 국가를 넘나드는 조직적 범죄로 디지털 공간에서 더욱 은밀하고 치밀하게 진화하고 있다. 범죄자들은 암호화 통신, 우회 서버, 클라우드를 활용하며, 범죄의 흔적은 물리적 현장이 아닌 복잡한 디지털 지층 속에 남는다. 기존의 수사 방식만으로는 초기 단서를 확보하기조차 어려워져 신속한 디지털 기반의 법적·제도적 보완은 더 이상 미룰 수 없는 과제가 되었다.

인공지능(AI) 기술은 행정, 산업, 일상 전반의 효율을 끌어올리며 사회 변화를 주도하고 있지만, 그 이면에서 지능적 범죄의 수단으로도 악용되고 있다. 자동화 해킹, 딥페이크 기반의 신종 금융사기, AI가 주도하는 피싱과 봇넷 공격은 인간의 개입을 줄이며 첨단형 범죄로 진화하고 있다. 그 피해 규모와 속도도 전통적 범죄와는 비교할 수 없을 만큼 크고 빠르다.

특히 생성형 AI를 이용한 피싱은 피해자의 직업, 인간 관계, 온라인 활동을 학습한 뒤 실시간 맞춤형 시나리오를 구성하고, 합성 음성으로 가족이나 직장 상급자의 목소리를 구현해 송금을 유도한다. 해킹 영역에서도 AI는 취약점을 탐색하고 공격 경로를 선택하는 과정을 자동화함으로써 공격자가 직접 행동에 나서지 않아도 알고리즘만으로 범죄가 실행되는 구조를 만들어 내고 있다.

이런 상황에서 핵심 증거는 더 이상 눈에 보이는 물리적 형태로 존재하지 않는다. AI 모델의 학습 데이터, 자동화된 명령 체계, 서버와 클라우드 환경에 남는 실행 로그, API 호출 기록, 모델의 판단 경로 등이 범죄의 실체를 드러내는 단서가 된다. 범죄가 자동화·분산화·비인격화되는 현실은 기존 형사사법 체계에 근본적인 재구성을 요구하고 있다.

그러나 정작 이러한 AI 기반 공격 범죄를 상대해야 할 우리의 법 집행 체계는 여전히 과거 기술 환경을 전제로 설계된 틀에서 벗어나지 못하고 있다. 현행 통신비밀보호법은 통신의 자유와 사생활 보호라는 헌법적 가치를 지키기 위해 최소한의 감청만을 허용하고 있으나, 실제 수사 현장에서는 기술적·정책적 제약으로 인해 법원이 허가한 합법적 감청조차 실행되지 못하는 모순적 상황이 반복되고 있다.

어처구니 없게도 치안 공백이 방치되고 있는 근본적인 원인은 정부와 국회에 있다. 정부와 국회가 책임이 있음을 알면서도 선뜻 나서지 못하고 있는 것이다. 나름대로 이유가 많겠지만, 범죄 수사와 인권 보호의 경계에서 범죄 수사의 과잉과 남용이 우려되기 때문일 것이다.

이 공백을 보완할 대안으로 최근 미국과 유럽연합(EU)에서 운영하는 ‘온라인 수색’ 제도를 고려해 볼 수 있다.이는 범죄 혐의와 대상이 명확히 특정된 경우, 물리적 공간에 대한 압수·수색처럼 디지털 환경에서 범죄 데이터를 법원의 영장에 따라 원격으로 확보하는 제도다. 특히 AI 범죄의 증거는 휘발성이 강하고 삭제·변조가 쉬우므로 신속하면서도 범위가 엄격히 제한된 접근 방식으로 재설계할 필요가 있다.

첫째, AI 범죄의 주체가 인간이 아닌 자동화된 시스템일 경우 기존 형사책임 구조만으로는 한계에 봉착한다. AI 시스템의 설계·운영·관리에 대한 책임, 그리고 사전적 규율을 분명히 하는 제도적 장치가 마련되어야 한다.

둘째, AI 범죄는 서버와 데이터가 해외에 분산된 경우가 많아 국내 영장만으로는 증거 확보가 어렵다. 국제 공조 체계를 실질적으로 작동시키고, 국내 법제를 국제 기준에 맞게 조정하며, 통신 사업자의 최소한의 협력 의무를 명확히 하는 작업이 병행돼야 한다.

셋째, AI 공격 수사는 사후 대응만으로는 충분치 않다. 침해 사고 이전 단계에서의 로그 보존 의무, 이상 징후 탐지에 대한 법적 근거, 범죄와 무관한 정보 배제 원칙 등 기술적 표준과 법적 기반이 함께 마련돼야 한다.

물론 AI 범죄 수사제도의 목적은 권한 확대가 아니라 권한 통제의 정교화에 있다. 온라인 수색은 목적·범위·기간이 엄격히 특정돼야 하고, 수집 정보의 분리 보관, 사후 통지, 독립적 통제기구에 의한 점검이 제도적으로 보장돼야 한다.

AI 시대의 법치는 단숨에 완성되는 단일 제도로 구현될 수 없다. 온라인 수색은 그 출발점일 뿐이다. 기술을 이해하는 입법, 사전·사후 통제를 아우르는 제도 설계, 국제 협력과 책임 구조의 재정립이 함께 이루어질 때 비로소 ‘법이 기술을 따라잡는 사회’에 한 발 더 가까이 갈 수 있을 것이다.