미얀마는 전자정부(e-Government) 추진과 함께 사이버 보안 강화를 위해 지속적으로 노력해 왔다. 2004년에는 사이버 보안사고 대응을 위해 미얀마 컴퓨터 비상 대응팀(mmCERT, Myanmar Computer Emergency Response Team)을 구성하였고, 2021년에는 사이버 보안 정책 수립과 법 제정에 본격 착수하였다. 최근에는 관련 법안을 잇달아 발의하고 있는데, 사이버 보안법과 관련하여 정리해보면 다음과 같다.

사이버 보안법 도입 배경

전 세계적으로 사이버 위협이 증가하는 가운데, 미얀마 역시 이러한 위협에서 예외가 아니다. 미얀마는 아세안(ASEAN) 국가 중 상대적으로 인터넷 사용률이 낮은 국가지만, 지난 10년간 이동통신 네트워크가 빠르게 확산되며 모바일 사용자 수가 급격히 증가했다. MPT, Ooredoo, Telenor, Mytel 등 주요 4대 통신사가 이 과정에서 핵심적인 역할을 했으며, 과거 1달러 미만이던 심카드(SIM 카드) 가격도 현재는 약 5달러 수준으로 낮아져 보급이 쉬워졌다.

2024년 초 글로벌 데이터 분석업체 위아소셜(We Are Social)과 멜트워터(Meltwater)가 발표한 자료에 따르면, 미얀마의 총인구는 약 5,478만 명이며, 모바일폰 보급 대수는 6,528만 대로 인구 대비 보급률이 117.4%에 달한다. 이는 개인이 여러 개의 심카드를 보유하고 있기 때문으로 분석된다. 인터넷 사용자 수는 약 2,411만 명으로, 전체 인구 대비 보급률은 44.0% 수준이다.

이처럼 모바일폰과 인터넷 보급률이 높은 반면, 사이버 보안에 대한 인식과 대응 수준은 여전히 미흡한 실정이다. 2024년 기준 미얀마는 National Cyber Security Index에서 59위, Global Cyber Security Index에서는 95위를 기록하고 있다.

<미얀마 모바일폰 보급률>

[자료: We Are Social]

사이버 범죄 사례

모바일폰 보급률과 인터넷 사용이 증가하면서 미얀마에서도 사이버 사기가 흔하게 발생하고 있다. 특히, 교육 수준이 높지 않은 고령층과 지방 거주자들을 주요 대상으로 한 범죄가 자주 이뤄지고 있다. 흔히 발생하는 사이버 사기 유형들은 다음과 같다.

첫 번째로는 은행직원을 사칭하는 온라인 사기로서 이는 미얀마에서 자주 발생하는 대표적인 사기 유형 중 하나이다. 사기범은 미얀마의 유명한 현지은행 로고를 사용해 가짜 페이스북 계정을 생성하고, 실제 은행직원인 것처럼 피해자에게 메시지를 보낸다. 사기범은 피해자에게 그 현지은행 Wallet 애플리케이션을 1단계에서 2단계로 업그레이드해야 한다며 등록 정보를 확인해야 한다고 속인다. 이 과정에서 주민등록번호와 OTP(일회용 비밀번호) 번호를 요구하며, 피해자가 이를 제공하면 사기범은 계좌에 접근해 자금을 인출한다. 또는, 피해자에게 은행 계좌가 보안 문제로 인해 차단될 위험이 있다고 경고하며, 이를 해결하기 위해 개인 정보 및 OTP 번호를 제공하도록 유도하는 방식도 자주 사용된다.

택배 배송사기도 미얀마에서 많이 발생하는 사기 유형이다. 사기범은 외국에 거주하는 외국인인 것처럼 행세하며, 페이스북을 통해 피해자에게 친구 요청을 보낸다. 이후 며칠간 대화를 나누며 친분을 쌓은 뒤, 선물을 보내겠다고 제안하고, 실제로 선물을 보낸 것처럼 포장된 사진을 피해자에게 전송한다. 이후 사기범은 선물이 미얀마에 도착했으나 수령을 위해 일정 금액을 입금해야 한다고 속이며, 지정한 은행 계좌로 송금을 요청한다. 피해자가 이를 믿고 돈을 송금하면, 사기범의 페이스북 계정은 곧 사라지고 연락이 두절된다.

또는 온라인 대출 사기는 사기범이 합법적인 소액 금융회사나 은행과 동일한 이름과 로고를 사용하여 가짜 페이스북 계정을 생성하는 방식으로 이루어진다. 사기범은 해당 금융기관이 신뢰할 수 있는 곳이라는 인식을 심어주기 위해 많은 사람들이 대출을 받았다는 가짜 후기와 긍정적인 댓글을 조작하여 게시하며, 피해자들에게 믿을만한 회사라는 이미지를 조성한다. 피해자가 대출을 신청하면, 먼저 사진 등록비 등의 명목으로 소액의 선결제를 요구한 후, 이후에도 서류 처리 비용 등의 추가 비용을 계속해서 청구한다. 더 나아가, 사기범은 사전에 이자율에 대해서 잘 설명해 주지 않고 나중에 피해자에게 대출 금액보다 훨씬 높은 이자를 부과하며, 만약 피해자가 이에 응하지 않을 경우, 소셜 네트워크를 통해 개인정보를 공개하겠다며 협박하는 방식으로 추가적인 금전적 요구를 이어간다.

자주 발생하는 또 다른 사기 유형으로 경품 당첨을 빙자한 사기가 있다. 사기범은 자동차나 휴대폰과 같은 고가의 상품에 당첨되었다는 문자나 전화를 피해자에게 보낸다. 그런 다음, 당첨 확인을 위해 특정 링크를 클릭한 후 이름과 개인 정보를 등록하라고 지시한다. 피해자가 링크를 클릭하고 정보를 입력하면, 사기범은 피해자의 휴대폰에 저장된 주소록을 무단으로 확보하게 된다. 이후 사기범은 피해자의 지인들에게 연락하여 피해자를 사칭하며 긴급하게 돈이 필요하다는 식으로 돈을 빌리는 방식으로 추가 범죄를 저지른다. 이러한 사기는 피해자뿐만 아니라 피해자의 지인들에게까지 피해를 줄 수 있어 각별한 주의가 필요하다.

사이버 보안 정책(Cyber Security Policy)

미얀마는 이러한 사기 사건들을 인식하고 사이버 보안에 대해 법적으로 관리할 수 있도록 노력해 왔다. 이에 대응하여 우선적으로 발표하였던 것은 사이버 보안 정책이 있다. 미얀마 교통통신부(Ministry of Transportation and Communications) 산하 정보기술 및 사이버 보안부(Department of Information Technology and Cyber Security) 2023년 3월에 공지 9/2023를 통해 사이버보안정책(Cyber Security Plicy)을 발효하였다. 그리고 이 정책은 2028년까지의 5개년 전략적 프레임워크를 제시하며, 미얀마의 사이버 및 디지털 보안 관리를 강화하는 것을 목표로 하고 있다.

미얀마 사이버보안정책의 주요 구성 요소로는 ➊ 법률적 기반 구축(Legislative Framework), ❷제도적 구조 확립(Institutional Structures), ❸중요 정보 인프라보호(Protection of Critical Information Infrastructure), ❹디지털 인증 및 플랫폼 규제(Digital Certification and Platform Regulation), ➎사이버 보안 서비스 및 사이버 범죄 예방(Cyber security Services and Cybercrime Prevention) 등이다.

먼저 첫 번째로 법률적 기반 구축에는 사이버 및 디지털 보안 조치를 뒷받침할 수 있는 법률 제정이 필수적이다. 이에 따라 개인 정보 보호와 사이버 보안 관리 체계를 포괄하는 사이버 보안법 초안 마련이 핵심 과제로 제시되고 있다.

이와 함께, 사이버 보안 정책을 효과적으로 추진하기 위한 제도적 구조 확립도 중요하다. 이를 위해 사이버 보안 중앙위원회 및 운영위원회의 설립이 제안되었으며, 이들 기구는 정부 부처 및 다양한 산업 간 협력을 조정하고, 사이버 위협에 대한 통합적 대응 체계를 구축하는 데 중추적인 역할을 하게 된다. 또한 중요한 정보 인프라 보호는 사이버 보안 정책의 또 다른 핵심 분야로, 각가의 디지털 자산을 외부의 사이버 공격으로부터 방어하고 필수 서비스의 지속성을 보장하는 것이 목표이다.

그리고 디지털 인증 및 플랫폼 규제와 관련해서는 디지털 인증 라인선스의 발굴 절차와 디지털 플랫폼 서비스 제공업체의 등록 규정이 필요하다. 마지막으로 사이버 보안 서비스 및 사이버 범죄 예방 측면에서 보안서비스 제공업체에 대한 기준과 규정을 마련하고, 사이버 사기, 온라인 도박, 사이버 범죄 및 온라인 금융 서비스 등과 관련된 불법 행위에 대한 명확한 처벌 조항을 법적으로 규정하는 것으로 포함되어 있다.

미얀마 사이버 보안법 제정, 디지털 통제 강화 움직임

미얀마 정부는 2023년 발표한 사이버 보안 정책을 바탕으로, 국가행정위원회(SAC, State Administration Council)가 2025년 1월 1일부로 「사이버 보안법(Cyber Security Law)」을 공식 제정하였다. 해당 법은 총 16장 88개 조항으로 구성되어 있으며, 현재는 시행 전 단계로, 구체적인 적용 시점은 추후 별도로 공지될 예정이다.

사이버 보안법의 주요 목적은 다음과 같다:

(a) 사이버 자원, 주요 정보 인프라, 전자 정보를 안전하게 보호

(b) 사이버 위협 및 공격으로부터 국가의 주권과 안정을 수호

(c) 사이버 보안 서비스의 체계적 발전

(d) 사이버 범죄의 효과적인 수사 및 기소

(e) 디지털 경제 기반 조성을 위한 사이버 자원 보호

이 법률의 실행과 관리는 미얀마 교통통신부(Ministry of Transportation and Communication) 산하 국가사이버보안센터(National Cyber Security Center, NCSC)가 주관하며, 국가 사이버 보안 전문기관으로서 디지털 시스템 통제 및 관리 업무를 수행하게 된다.

사이버 보안법에는 사이버 범죄 예방, 중요 정보 인프라 보호, 디지털 플랫폼 통제 등 다양한 규제 및 처벌 조항이 포함되어 있다. 특히 VPN 사용에 대한 규제와 사이버 공간 내 불법 행위에 대한 형사 처벌 조항이 핵심 내용으로 명시돼 있어, 미얀마에 진출한 우리 기업들은 관련 내용을 숙지하고, 이에 대한 모니터링할 필요가 있다. 이 법안에서 주요 내용들을 정리해 보면 다음과 같다.

1. 가상사설망(VPN)에 대한 정의 및 규제

법안은 VPN을 "네트워크 간의 연결 안전성을 보장하기 위한 기술적 백업 네트워크 시스템"으로 정의하고 있다. 개인이나 기업의 VPN 사용 자체는 금지되지 않지만, VPN 서비스를 제공하는 사업자에 대해서는 별도의 규제 조항이 적용된다. 법의 제44항에 일반 기업이 VPN 서비스를 제공할 경우 정부부처의 승인을 받고 조건에 따라 서비스를 제공해야 한다.

2. 미승인 VPN 서비스 운영 시 처벌

법의 제70항에 정부의 사전 승인을 받지 않고 VPN 서비스를 제공하는 경우, 개인과 기업 모두 처벌 대상이 된다. 개인의 경우 최대 6~12개월 징역형 또는 500만~2,000만 짜트의 벌금형, 기업 및 조직의 경우, 2,000만 짜트의 벌금형이 처할 수 있으며, 사건과 관련된 물품을 몰수 조치가 적용된다.

3. 정부의 감시 및 통제 권한 확대

국가 안보 및 방위를 이유로, 정부가 지정하는 관련 부처는 사이버 보안 서비스와 디지털 플랫폼에 대한 조사 및 통제 권한을 보유하게 된다. 정부 기관 또는 공공 조직의 요청이 있는 경우, 해당 서비스를 점검하고 필요한 조치를 취할 수 있는 법적 근거가 마련된다.

4. 라이선스 제도 도입

법안의 제8장에 두 가지 유형의 라이선스를 규정하고 있다. 하나는 사이버 보안 서비스 제공자를 위한 라이선스, 다른 하나는 디지털 플랫폼 운영자를 위한 라이선스이며, 두 라이선스 모두 유효기간은 3년에서 10년까지이다. 특히, 10만 명 이상의 사용자를 보유한 디지털 플랫폼은 반드시 라이선스를 취득해야 하며, 이를 위반할 경우 최소 제64항에 1억 짜트의 벌금과 위반 수익 몰수 처분이 내려진다.

5. 원치 않은 네트워크 메시지 전송에 대한 처벌

법안의 제68항에 네트워크를 이용하여 수신자의 동의 없이 메시지, 이메일, 데이터 등을 전송하는 행위도 처벌 대상이 된다. 이를 위반할 경우 1~2년 징역형, 500~2,000만 짜트의 벌금형 또는 두가지 모두 처벌 받을 수 있다.

6. 사이버 악용 행위 처벌 조항

컴퓨터 프로그램이나 전자 데이터를 무단으로 변경, 삭제, 판매하거나, 컴퓨터 시스템을 불법적으로 제어 또는 실행하는 행위는 법적으로 금지되며, 이러한 행위를 저지른 개인은 최대 6개월의 징역형에 처해질 수 있다.

7. 온라인 절도 및 사이버 범죄 조장에 대한 처벌

온라인 절도 또는 사이버 자원을 악용한 범죄를 직접 저지르거나, 타인에게 이를 유도하는 행위 또한 처벌 대상이다. 해당 위반 행위에 대해서는 2년에서 7년 사이의 징역형과 벌금형이 부과될 수 있다.

8. 온라인 도박 운영에 대한 규제

정부의 승인 없이 온라인 도박 서비스를 운영하는 경우에도 강력한 처벌이 뒤따른다. 개인의 경우 6개월에서 1년의 징역형 또는 500만~2,000만 짜트의 벌금, 혹은 양자 병과가 가능하다. 기업 및 조직은 최소 2,000만 짜트 이상의 벌금이 부과된다.

<Myanmar Cyber Security Challenge 2024 대회 모습>

[자료원 : National Cyber Security Center 홈페이지]

인터뷰 및 시사점

미얀마는 앞에서 설명했듯이 사이버 공간에 대한 통제를 강화하기 위하여 법적·제도적 장치를 마련하려는 움직임을 가속화하고 있다. 이에 따라 미얀마는 사이버 보안에 대한 인식 제고와 제도적 기반 강화를 위한 사이버 보안법을 제정했다. 한 정부 관계자는 사이버 보안법 제정과 관련하여, “미얀마는 아직 사이버 보안에 대한 국민 인식이 낮은 편으로, 이를 개선하기 위해 정부 차원에서 대학생을 대상으로 한 사이버 보안 교육 및 경진대회 등을 추진해왔다”고 설명했다. 또한 “현재까지 미얀마에서는 대규모 사이버 공격 사례는 많지 않지만, 개인 사용자의 미등록 심카드를 활용한 사기 사건이 빈번하게 발생하고 있으며, 소셜네트워크를 통한 사기 피해자들 역시 경찰에 신고할 수 있다는 사실조차 인지하지 못하는 경우가 많아, 이에 대한 인식 제고가 필요하다”고 밝혔다.

이번 미얀마의 사이버 보안법 제정은 디지털 영역 전반에 걸친 규제 및 통제 권한을 크게 강화하는 방향으로 이루어졌다. 이에 따라 현지에 진출한 기업, 디지털 플랫폼 운영자, VPN 서비스 제공업체, 일반 사용자 등은 해당 법의 세부 내용을 정확히 이해하고, 법적 리스크를 최소화하기 위한 사전 대응 체계를 마련할 필요가 있다. 특히 향후 관련 법령이 본격적으로 시행될 경우, 정보 보호 및 서비스 운영 방식 전반에 영향을 미칠 수 있는 만큼 정기적인 모니터링이 필요한 것으로 보인다.

자료: Myanmar Law Information System 홈페이지, Myanmar National Cyber Security Center 홈페이지, We Are Social 보고서, 인터뷰 및 KOTRA 양곤무역관 자료 종합.