홍콩에서 전자기기 비밀번호·암호 제공을 거부하면 형사처벌을 받도록 하는 규정이 최근 법제화되면서, 이른바 ‘비번·암호 제공 의무화’가 사실상 현실이 됐습니다. 이 제도는 베이징이 2020년부터 홍콩에 적용해 온 국가보안법(국가안전법)의 시행 규칙을 개정하는 방식으로 도입되었고, 거부 시 최대 1년 징역과 10만 홍콩달러의 벌금이 부과될 수 있어 국제사회와 인권단체의 큰 우려를 낳고 있습니다.
1. 입법 배경: 국가보안법 체제와 디지털 수사 강화
홍콩의 비밀번호 제공 의무화는 독립된 새로운 법이 아니라, 2020년 도입된 홍콩 국가보안법의 집행 규칙을 손질하는 과정에서 등장했습니다. 2019년 대규모 민주화 시위 이후 베이징과 홍콩 정부는 ‘국가안보 위협’을 강하게 강조하며, 국가분열·전복·테러·외세와의 결탁 등을 폭넓게 처벌하는 국가보안법을 통해 정치적 반대파와 시민단체를 광범위하게 압박해 왔습니다.
하지만 법 집행 과정에서 디지털 증거 접근의 어려움이 반복적으로 지적됐습니다. 시위 참여자나 언론인, 시민단체 활동가들이 메신저 앱, 클라우드, 암호화 기기 등을 적극 활용하면서, 경찰이 압수수색 영장으로 기기를 확보해도 실제 내용에 접근하지 못하는 경우가 많았다는 것이 홍콩 정부의 설명입니다. 이 때문에 정부와 보안 당국은 “디지털 시대에 걸맞은 국가안보 수단”을 확보해야 한다는 논리를 내세웠고, 그 핵심 수단 중 하나가 바로 ‘비밀번호·복호화 정보 제공 의무’였습니다.
이 개정은 2024~2026년 사이 진행된 국가보안법 관련 시행 규칙·보조 입법 정비 패키지의 일부로, 체포·압수수색 권한을 강화하고 ‘선동적’ 온라인 콘텐츠 삭제 요구, 해외 단체·언론에 대한 정보 요구권 확대 등과 함께 추진되었습니다. 특히 홍콩 정부는 “새로운 권한을 만드는 것이 아니라 기존 국가안보 수사 권한을 디지털 환경에 맞게 구체화하는 것”이라고 강조하며, 국제사회 비판을 무마하려는 태도를 보이고 있습니다.
2. 주요 내용: 누구에게, 무엇을, 어느 수준까지 요구하나
2-1. 적용 대상: ‘국가안보 수사’와 ‘관련 전자기기’
개정 규정의 핵심은 ‘국가안보를 위협하는 사건’의 수사 과정에서 적용된다는 점입니다. 즉 일반 형사사건 전체가 아니라, 국가보안법 위반 혐의(국가분열, 전복, 테러, 외세와의 결탁 등)나 ‘선동’ 등 국가안보 관련 범죄에 대한 수사에 한정된다는 것이 정부의 공식 설명입니다.
그러나 “국가안보를 위협한다”는 개념 자체가 매우 넓고 추상적으로 규정되어 있어, 실제로는 광범위한 정치적 발언·시민활동·언론 취재 등이 국가안보 사건으로 포섭될 수 있습니다. 이미 국가보안법 시행 이후 홍콩에서는 380명 이상이 국가안보 관련 혐의로 체포되었고, 170여 명과 기업 여러 곳이 유죄 판결을 받은 것으로 집계됩니다. 이는 국가안보 개념이 상당히 공격적으로 적용되고 있음을 시사하며, 비밀번호 제공 의무 역시 그 같은 광범위한 수사 환경 속에서 작동하게 됩니다.
비밀번호 요구의 대상이 되는 전자기기는 휴대전화, 태블릿, 노트북, 데스크톱 컴퓨터, 외장 하드, USB, 그리고 클라우드 서비스에 접속할 수 있는 계정 등 ‘전자적 저장매체’ 전반을 포괄합니다. 규정 문구에는 “전자기기”와 “암호해독(복호화) 방법”이 함께 언급되어, 단순 PIN·패턴뿐 아니라 복호화 키, 2단계 인증 정보 등 사실상 수사에 필요한 거의 모든 접근 정보를 제공하게 만들 수 있는 구조입니다.
2-2. 의무를 지는 사람: 사용자만이 아니다
규정은 단지 전자기기의 “소유자”만이 아니라, 그 기기를 “보유·관리하거나 접근 권한을 가진 자”, 그리고 “해당 비밀번호·복호화 방법을 알고 있는 자”에게까지 의무를 부과합니다. 따라서 회사 소속 직원, 시스템 관리자, 가족 구성원, 혹은 계정을 공유하는 동료 등도 비밀번호 제공 요구의 대상이 될 수 있습니다.
홍콩 언론 보도에 따르면, 정부는 “특정인(specified person)”이라는 개념을 두어, 필요하다면 IT 기술자나 컴퓨터 수리점 직원 등 제3자에게도 복호화 작업 협조를 요구할 수 있는 여지를 열어 두었습니다. 보안장관은 의회 설명 과정에서 “숨은 고수(hidden gurus)”로 표현되는 민간 기술자들이 수사 협조를 위해 동원될 수 있다는 점을 인정했습니다. 이로 인해 단지 고객의 기기를 수리·관리하던 민간 기술자가 국가안보 수사에 끌려 들어갈 수 있다는 우려가 제기됩니다.
2-3. 요구 내용: 비번, 복호화, ‘필요한 정보·협조’까지
홍콩 정부는 이번 개정으로 경찰이 “어떠한 비밀번호 또는 기타 암호해독 방법”뿐 아니라, 장치에 접근하기 위해 “필요하고 합리적인 정보나 협조”를 요구할 수 있다고 밝혔습니다. 이는 단순히 숫자 네 자리, 패턴을 알려주는 수준을 넘어, 예를 들어 다음과 같은 것들을 포괄할 수 있습니다.
- 복호화에 필요한 소프트웨어·키 파일·시드(seed) 정보
- 2단계 인증(OTP) 코드 수신을 위해 필요한 이메일·전화 접근 협조
- 특정 클라우드 계정 로그인 ID, 비밀번호 제공
- 특정 앱 내 비밀 채팅 방, 숨김 폴더에 접근하는 방법 설명 등
규정 문구가 “any reasonable and necessary information or assistance(합리적이고 필요한 정보나 협조)”로 되어 있어, 실제 수사실무에서 상당히 폭넓게 해석될 소지가 있습니다.
3. 처벌 규정: 거부·허위 진술은 독립 범죄
3-1. 거부 시 최대 1년 징역·10만 홍콩달러 벌금
새 규정의 가장 핵심적인 변화는 비밀번호 제공을 거부하는 행위 자체를 독립적인 형사범죄로 규정했다는 점입니다. 홍콩 정부와 다수 외신 보도에 따르면, 정당한 사유 없이 비밀번호·복호화 정보를 제공하라는 요구에 응하지 않을 경우 최대 1년 징역과 10만 홍콩달러(약 1만2천 달러, 한화 약 1,900만 원 수준)의 벌금에 처해질 수 있습니다.
이때 처벌은 비밀번호 제공 요구를 받은 사람이 실제로 국가보안법 위반 혐의에 대해 유죄 판결을 받았는지와는 별개로 이뤄집니다. 즉 원래 수사 대상 범죄와 무관하게, 비밀번호 제공 요구에 불응했다는 사실만으로도 유죄 판결이 가능해지는 구조입니다. 이는 수사 협조 의무를 독립된 형벌 규범으로 끌어올려 ‘압박 수단’으로 활용할 수 있게 만드는 효과를 낳습니다.
3-2. “까먹었다” 거짓말도 최대 3년 징역
개정 규정은 단순 거부뿐 아니라 ‘허위·오해를 불러일으키는’ 정보 제공도 별도의 범죄로 다룹니다. 예를 들어 비밀번호를 고의로 틀리게 알려주거나, “기억이 나지 않는다”고 거짓말을 하는 경우 등이 여기에 포함될 수 있습니다. 공공 보도에 따르면, 이러한 허위 진술에 대해서는 최대 3년의 징역과 50만 홍콩달러(약 6만4천 달러)에 이르는 더 무거운 벌금이 부과될 수 있습니다.
이처럼 ‘거부’보다 ‘거짓 협조’에 대한 처벌이 훨씬 무거운 구조는, 피조사자에게 사실상 “완전한 협조” 아니면 심각한 리스크를 감수하라는 강력한 압박으로 작용합니다. 비밀번호를 정말로 잊어버렸다고 주장하더라도, 수사기관이 이를 믿지 않을 경우 피조사자가 허위 진술 혐의에 몰릴 위험이 존재합니다. 결국 “기억이 안 난다”는 방어 전략이 사실상 봉쇄되고, 국가안보 수사에서 침묵권의 실질적 행사가 매우 어렵게 되는 셈입니다.
4. 정부 논리: “일반 시민 일상엔 영향 없다”는 주장
홍콩 정부와 보안당국은 이 규정이 “일반 시민의 일상생활에는 영향을 미치지 않는다”며 방어에 나서고 있습니다. 정부 대변인은 개정 규정이 도시의 기본법(미니 헌법)과 인권 조항에 부합하며, 오직 국가안보 관련 수사에 한해서만 적용되는 특수 규정이라고 강조합니다. 또한 디지털 시대 범죄 수사에서 암호화 기술의 발달로 인해 증거 확보가 어려워진 만큼, 수사기관에 합리적인 수준의 디지털 접근 권한을 부여하는 것은 세계적 추세라고 주장합니다.
홍콩 보안장관과 친정부 성향 의원들은 “비밀번호 제공 의무는 이미 많은 관할권에서 도입되어 있는 제도”라고 언급하며, 홍콩이 특별히 예외적인 조치를 취하는 것이 아니라는 메시지를 내놓고 있습니다. 또한 개정 규정에는 피조사자가 비밀번호 제공이 자신을 형사적으로 유죄 입증하는 데 직접 사용될 수 있다고 사전에 주장하는 경우, 그 진술의 증거능력을 제한하는 장치도 포함되어 있어, 최소한의 ‘자기부죄거부권’ 보호장치를 마련했다고 설명합니다.
다만 이러한 장치는 ‘비밀번호를 협조적으로 제공해야 한다’는 기본 틀을 전제로 하며, 그 제공 행위 자체를 거부할 권리는 인정하지 않습니다. 즉 수사기관 접근 자체를 막을 권리가 아니라, 접근 이후 얻어진 정보와 피조사자의 진술을 법정에서 어떻게 쓸 것인가 하는 문제에 국한된 보호라는 점에서, 인권단체들은 실효성이 제한적이라고 평가합니다.
5. 인권·법치 관점 논란: 침묵권·프라이버시와의 충돌
5-1. 침묵권·자기부죄거부권의 사실상 무력화
국제 인권단체와 서방 국가들은 비밀번호 제공 의무화가 표현의 자유뿐 아니라, 형사절차상 기본 원칙인 ‘침묵권’과 ‘자기부죄거부권’을 심각하게 훼손한다고 비판합니다. 자기부죄거부권은 피고인이 스스로에게 불리한 증거를 강제로 제공하도록 강요받지 않을 권리인데, 비밀번호를 강제로 제공하도록 하고, 거부할 경우 독립 범죄로 처벌하는 것은 이 원칙에 정면으로 배치된다는 주장입니다.
홍콩 정부는 “비밀번호 제공은 신체적 증거(지문·DNA와 유사) 제공 의무에 가깝고, 진술을 강요하는 것이 아니라는 점에서 자기부죄거부권 침해가 아니다”라고 반박하지만, 실제로 디지털 기기에 담긴 내용은 개인의 과거 언행·생각·관계망 등 고도의 인격적 정보를 포함한다는 점에서 단순 ‘물적 증거’보다 훨씬 근본적인 프라이버시 침해를 수반합니다. 특히 정치적 견해나 언론 취재원, 시민단체 네트워크 정보 등 민감 정보가 한 번에 노출될 수 있다는 점에서, 야권·언론·시민단체에 대한 ‘위축 효과(chilling effect)’가 극대화될 수 있습니다.
5-2. 광범위한 적용과 ‘국가안보’ 개념의 남용 가능성
인권단체와 해외 언론들은 국가안보 범위가 광범위한 상황에서 비밀번호 제공 의무는 사실상 정치적 반대파를 겨냥한 수사 도구가 될 수 있다고 우려합니다. 이미 국가보안법 아래에서 2019년 추모집회 참가자, 학생단체 구성원, 독립언론 매체 관계자 등이 지속적으로 기소되어 왔고, 유명 언론 재벌 지미 라이(Jimmy Lai)는 외세와의 결탁·선동 혐의로 20년 형을 선고받았습니다. 이런 사례는 안전보장 명분이 실제로는 정치적 비판·언론 자유를 억압하는 데 사용되고 있음을 보여준다는 지적입니다.
또한 비밀번호 제공 대상이 ‘비밀번호를 알고 있는 모든 사람’으로 확장되면서, 가족·동료·IT 기술자 등 주변인들이 수사에 연루될 위험이 커지고, 이들이 받은 압박을 통해 본래 수사 대상자에게 우회적으로 압력을 행사하는 구조가 형성될 수 있습니다. 결국 비밀번호 제공 의무화는 디지털 프라이버시뿐 아니라 주변인까지 포함한 광범위한 감시·위축 효과를 수반할 것이라는 비판입니다.
6. 다른 국가와의 비교: 영국·호주 등과의 유사점과 차이
홍콩 정부는 자신들의 조치가 국제 기준에서 벗어난 것이 아니라며, 유사 제도가 이미 여러 나라에 존재한다고 주장합니다. 실제로 영국에는 RIPA(조사권 규제법) 아래 암호 해독 키 제공 의무를 위반하면 처벌하는 조항이 있고, 호주 역시 2018년 이후 수사기관이 통신사업자와 기술기업에 암호 해독 관련 협조를 요구할 수 있는 제도를 도입했습니다.
그러나 여러 사법 전문가와 인권단체는 홍콩 사례가 몇 가지 중요한 점에서 질적으로 다르다고 지적합니다.
첫째, 제도의 적용 맥락입니다. 영국·호주와 달리 홍콩은 2020년 이후 국가보안법이 정치적 반대파·언론·시민사회에 집중적으로 사용되고 있고, 법원의 독립성에 대한 우려가 지속적으로 제기되고 있습니다. 이 상황에서 비밀번호 제공 의무는 ‘정치적·시민적 활동을 억누르는 도구’로 활용될 가능성이 높다는 평가입니다.
둘째, 거부 자체를 독립 범죄로 삼아 최대 1년 징역형을 부과하고, 허위·기억상실 주장에 대해서는 최대 3년까지 선고할 수 있도록 강한 제재를 둔 점이 눈에 띕니다. 이는 피조사자에게 사실상 선택지를 주지 않는 강압 구조에 가깝다는 비판입니다.
셋째, 국가안보 개념의 불명확성과 정치적 남용 우려입니다. 홍콩 국가보안법은 ‘외세와의 결탁’이나 ‘선동’처럼 추상적이고 정치적으로 가변적인 개념을 폭넓게 포함하고 있어, 수사 대상 선정 단계에서부터 인권 침해 위험이 구조적으로 내재해 있다는 지적이 많습니다. 이 같은 맥락 때문에, 동일한 ‘비번 제공 의무’라도 사법·정치 환경에 따라 인권에 미치는 파급효과가 전혀 다르게 나타날 수 있습니다.
7. 전망: 홍콩 디지털 프라이버시·언론·시민사회에 미칠 영향
단기적으로 이번 비밀번호 제공 의무화는 국가보안 수사에서 디지털 증거 확보율을 크게 높이고, 관련 수사·재판에서 피고인에게 불리한 환경을 만드는 방향으로 작용할 가능성이 큽니다. 특히 언론·시민단체·정치활동가를 대상으로 한 수사에서 휴대전화·노트북 압수 후 비밀번호 제공을 강제함으로써, 내부 네트워크·취재원·후원자 명단 등이 한 번에 노출될 수 있습니다.
중장기적으로는 ‘국가안보와 조금이라도 연관될 수 있는 정치적 발언·조직 활동’을 기피하는 분위기가 강화되면서, 홍콩 사회의 정치적 다양성과 공개적 토론 문화가 더욱 위축될 가능성이 있습니다. 시민들은 SNS·메신저에 기록을 남기는 것 자체를 꺼리게 되고, 디지털 흔적을 최소화하는 자기 검열 행태가 일상화될 수 있습니다.
또한 IT·핀테크 중심 글로벌 금융 허브로서의 홍콩 위상에도 영향을 줄 수 있다는 평가가 나옵니다. 기업·투자자·언론기관 등이 민감한 데이터가 저장된 기기를 홍콩에 두는 것에 대해 점점 더 신중해질 수 있고, 클라우드 서버 위치, 직원의 출장·상주 여부 등에서 리스크 관리 비용이 증가할 수 있습니다. 인권단체와 서방 국가들의 비판이 지속될 경우, 이미 도입된 각종 제재·외교적 압박과 맞물려 홍콩의 국제 이미지에 추가적인 부담이 될 가능성도 있습니다.
마지막으로, 이번 조치는 홍콩 내 프라이버시 규제·데이터 보호 체계와도 긴장의 지점을 형성합니다. 홍콩 개인정보보호위원회(PCPD)는 그간 도킹(doxxing) 처벌 강화 등 개인 정보 보호 조치를 강조해 왔지만, 국가안보를 명분으로 한 광범위한 비밀번호·데이터 제공 의무가 병존할 경우, ‘보호’보다 ‘통제’가 앞서는 이중적 구조가 고착화될 수 있습니다.