반격할 권리

왜 시작되는가

에이전틱 AI 시스템이 대규모 자율 피싱, 딥페이크 사칭, 소셜 엔지니어링을 수행할 수 있게 되면서, 개인들은 공격 시스템을 식별·추적·무력화하는 카운터 AI 도구를 배치하기 시작한다. 법적 쟁점은 전례가 없다. AI가 인간의 명시적 지시 없이 당신을 공격하고, 당신이 그것을 무력화하는 코드를 배치했다면, 누가 무엇에 대해 책임을 지는가? 2030년 서울 판결이 그 문을 열었다. 18개월 안에 EU, 한국, 브라질, 일본이 디지털 자기방어권 법안을 입안하는 동안, 5개국의 검사들은 이 법리가 먼저 공격했다고 주장하는 누구에게나 공세적 사이버 작전의 법적 방패가 될 것이라고 경고했다.

어떻게 전개되는가

1. 마케팅과 사기 자동화를 위해 배치된 에이전틱 AI 시스템이 개별 행동에 대한 명시적 인간 승인 없이 개인을 대상으로 맞춤형 피싱 및 딥페이크 캠페인을 수행하기 시작한다.
2. 서울의 한 프리랜서 개발자가 공격 시스템을 식별·침투·무력화하는 카운터 AI 도구를 사용하고, 이후 정보통신망 보호법 위반으로 기소된다.
3. 서울 지방법원은 2030년 비례성과 디지털 피해의 급박성을 이유로 그를 무죄 선고하며, 해당 행위를 형법상 정당방위 원칙에 명시적으로 유추 적용한다.
4. 이 판결은 6개월 안에 한국, 일본, 독일에서 200건의 유사 사건을 촉발하고, 피고인들은 모든 소장에서 서울 판례를 인용한다.
5. UN 사이버범죄조약 작업반이 디지털 자기방어권 부속 조항을 공식 안건에 추가하고, 미국과 중국은 조문 초안이 마련되기 전에 이미 상반된 입장을 공표한다.

사람이 체감하는 장면

마포구에 사는 29세 프리랜서 개발자 이성진은 2031년 오전 6시에 눈을 떠 AI가 조율한 소셜 엔지니어링 공격으로 은행 계좌가 거의 비워진 것을 발견한다. 인간 발신자를 특정할 수 없는 공격이다. 오전 10시까지 그의 카운터 AI는 원본 서버를 기록하고, 공격 에이전트를 무력화하고, 40페이지 분량의 증거 파일을 완성한다. 6개월 뒤, 그는 법정에 선다. 피해자가 아니라 피고인으로서, 네 시간 안에 한 일이 해킹이 아닌 이유를 판사에게 설명하면서.

반론

보안 연구자들은 광범위한 디지털 자기방어권이 방어를 명목으로 공세적 작전을 수행하는 국가 지원 행위자와 자경단 해커들에게 법적 방패를 제공할 것이라고 경고한다. 보험사들은 2032년까지 카운터 AI 배치에 대한 보험 인수를 거부하며, 기술적으로 합법적이지만 상업적으로는 보험 적용이 불가능한 구역을 만들어낸다. 실질적으로 이 권리를 행사할 수 있는 것은 자원이 풍부한 행위자뿐이다.