A cyber attack originating in one country, routed through servers in a second, targeting infrastructure in a third, and affecting citizens of a fourth presents a jurisdictional puzzle that existing international law was not designed to solve. The UN Charter, the International Law Commission's Articles on State Responsibility, and the Tallinn Manual provide theoretical frameworks for attributing state responsibility for cyber operations—but the practical challenges of attribution (proving who conducted the attack), jurisdiction (determining which courts have authority), and enforcement (compelling compliance with legal obligations) remain formidable.

The result is a governance gap: the most consequential threats to national security, critical infrastructure, and economic stability in the 21st century operate in a legal space that is under-regulated, under-enforced, and under-cooperative. The gap is not primarily technical—the technology for sharing threat intelligence, coordinating incident response, and conducting forensic attribution exists. The gap is legal and political: states are reluctant to share intelligence, disagree on definitions of "cyber attack" versus "cyber espionage," and protect their own offensive capabilities by resisting the development of binding international norms.

State Responsibility

Sakib and Nayeem (2024) examine the extent to which existing legal doctrines apply to cross-border cyberattacks. The growing prevalence of these attacks poses significant challenges to international law, particularly in defining state responsibility.

The paper analyzes how the UN Charter (particularly Article 2(4) on the prohibition of force and Article 51 on self-defense), the ILC's Articles on State Responsibility, and the Tallinn Manual (which applies existing international law to cyber operations) address state-sponsored or state-tolerated cyber attacks. The analysis reveals that while these frameworks provide theoretical coverage, practical application is constrained by: the difficulty of attributing attacks to specific state actors, disagreement about whether cyber operations constitute "use of force" or "armed attack" under the UN Charter, and the absence of binding international cyber norms.

Cross-Border Intelligence Sharing

Pulivarthy (2025) establishes a framework for cross-border Cyber Threat Intelligence (CTI) sharing between India and the UK. Given the constantly changing cyber threat landscape, the framework focuses on how two countries with different legal systems, data protection regimes, and security classifications can share actionable intelligence in real time.

The framework addresses several operational challenges: classification compatibility (matching different national security classification systems), data protection compliance (sharing threat data without violating GDPR or India's DPDPA), timeliness (ensuring that intelligence is shared fast enough to be actionable), and trust (building institutional relationships that enable intelligence sharing between agencies that have historically operated independently).

AI and Cyber Defense

Iqbal, Ansari, and Ismail (2025) explore how AI can enhance cross-border cyber defense. The global cybersecurity environment demands rising importance on cross-border threat intelligence combined with AI systems because these tools help organizations protect against modern cyber threats.

The paper examines how AI can: automate threat detection across distributed networks, analyze attack patterns that span multiple jurisdictions, generate real-time threat intelligence from diverse data sources, and predict emerging attack vectors before they are exploited. But it also notes that AI itself introduces new vulnerabilities: adversarial attacks on AI defense systems, AI-generated social engineering, and the dual-use nature of AI offensive and defensive capabilities.

Cyber-Telecoms Fraud: A Case Study in Cooperation

Wong (2024) examines international cooperation in combating cross-border cyber-telecoms fraud, focusing on the criminal activities of scam operations in Northern Myanmar. The rampant criminal activities have attracted international attention, and in combating such crimes, international cooperation is crucial.

The Myanmar case illustrates both the necessity and the difficulty of international cooperation. The fraud operations are physically located in Myanmar but target victims globally, use telecommunications infrastructure that spans multiple countries, and move proceeds through international financial networks. Effective law enforcement requires cooperation among police, prosecutors, telecommunications regulators, and financial authorities across multiple jurisdictions—cooperation that is technically feasible but institutionally challenging.

Systematic Review

Khan (2025) provides a PRISMA-guided systematic review of cross-border data privacy governance, international legal compliance frameworks, and cyber law enforcement mechanisms. The review examines how organizations navigate the complex web of national cybersecurity and data protection laws when operating across jurisdictions.

The systematic evidence reveals that fragmentation is the dominant characteristic of the international cybersecurity legal landscape: different definitions of "cybercrime," different standards of evidence, different data retention requirements, and different enforcement capabilities create a compliance environment that is complex for law-abiding organizations and exploitable for criminal actors.

Claims and Evidence

Implications

The cybersecurity governance gap will not be closed by technology alone. It requires institutional innovation: bilateral and multilateral agreements that enable real-time intelligence sharing, international standards that harmonize definitions and procedures, capacity building that extends cyber defense capabilities to less-resourced states, and normative development that establishes binding rules for state behavior in cyberspace. The Budapest Convention on Cybercrime provides a foundation, but its reach (primarily European and allied states) and scope (primarily criminal law) are insufficient for the scale of the challenge.

면책 조항: 이 게시물은 정보 제공 목적의 연구 동향 개요이다. 학술 작업에서 인용하기 전에 구체적인 연구 결과, 통계 및 주장은 원본 논문과 대조하여 검증해야 한다.

국경 없는 사이버보안법: 국제 협력은 국경을 초월한 위협에 발맞출 수 있는가?

한 국가에서 발생하여 두 번째 국가의 서버를 경유하고, 세 번째 국가의 인프라를 표적으로 삼으며, 네 번째 국가의 시민들에게 피해를 미치는 사이버 공격은, 기존 국제법이 해결하도록 설계되지 않은 관할권 문제를 제기한다. UN 헌장, 국제법위원회(ILC)의 국가책임 조문, 그리고 Tallinn Manual은 사이버 작전에 대한 국가 책임을 귀속시키기 위한 이론적 틀을 제공한다. 그러나 귀속(공격을 수행한 주체의 입증), 관할권(어느 법원이 권한을 갖는지 결정), 집행(법적 의무 이행 강제)에 관한 실질적인 과제는 여전히 만만치 않다.

그 결과는 거버넌스 공백이다. 21세기 국가 안보, 핵심 인프라, 경제적 안정에 대한 가장 심각한 위협이 규제 미흡, 집행 미흡, 협력 미흡의 법적 공간에서 작동하고 있다. 이 공백은 주로 기술적인 문제가 아니다. 위협 인텔리전스 공유, 사고 대응 조율, 포렌식 귀속 수행을 위한 기술은 이미 존재한다. 공백은 법적·정치적 문제이다. 국가들은 인텔리전스 공유를 꺼리고, "사이버 공격"과 "사이버 첩보활동"의 정의에 대해 의견이 엇갈리며, 구속력 있는 국제 규범의 발전에 저항함으로써 자국의 공격적 역량을 보호하고자 한다.

국가 책임

Sakib과 Nayeem(2024)은 기존 법 원칙이 국경을 초월한 사이버 공격에 적용되는 범위를 검토한다. 이러한 공격의 증가하는 만연은 국제법, 특히 국가 책임 정의에 있어 상당한 과제를 제기한다.

이 논문은 UN 헌장(특히 무력 사용 금지에 관한 제2조 제4항과 자위권에 관한 제51조), ILC의 국가책임 조문, 그리고 Tallinn Manual(기존 국제법을 사이버 작전에 적용한 문서)이 국가 후원 또는 국가 묵인 사이버 공격을 어떻게 다루는지를 분석한다. 분석 결과, 이러한 틀이 이론적 적용 범위를 제공하는 반면, 실질적 적용은 다음과 같은 요인에 의해 제약받는 것으로 나타난다. 특정 국가 행위자에 대한 공격 귀속의 어려움, 사이버 작전이 UN 헌장상 "무력 사용" 또는 "무력 공격"에 해당하는지에 대한 의견 불일치, 그리고 구속력 있는 국제 사이버 규범의 부재이다.

국경을 초월한 인텔리전스 공유

Pulivarthy(2025)는 인도와 영국 간 국경을 초월한 사이버 위협 인텔리전스(CTI) 공유를 위한 프레임워크를 수립한다. 끊임없이 변화하는 사이버 위협 환경을 고려하여, 이 프레임워크는 서로 다른 법체계, 개인정보 보호 체계, 보안 분류 체계를 가진 두 국가가 어떻게 실시간으로 실행 가능한 인텔리전스를 공유할 수 있는지에 초점을 맞춘다.

이 프레임워크는 여러 운영상 과제를 다룬다. 분류 호환성(서로 다른 국가 안보 분류 체계의 매칭), 개인정보 보호 법규 준수(GDPR 또는 인도의 DPDPA를 위반하지 않고 위협 데이터 공유), 적시성(인텔리전스가 실행 가능할 만큼 충분히 빠르게 공유되도록 보장), 신뢰(역사적으로 독립적으로 운영되어 온 기관들 간의 인텔리전스 공유를 가능하게 하는 제도적 관계 구축)이다.

AI와 사이버 방어

Iqbal, Ansari, 그리고 Ismail(2025)은 AI가 어떻게 국경을 초월한 사이버 방어를 강화할 수 있는지를 탐구한다. 글로벌 사이버보안 환경은 AI 시스템과 결합된 국경을 초월한 위협 인텔리전스의 중요성이 높아질 것을 요구하는데, 이러한 도구들은 조직이 현대적 사이버 위협으로부터 스스로를 보호하는 데 도움을 준다. 이 논문은 AI가 어떻게 분산 네트워크 전반에 걸친 위협 탐지를 자동화하고, 여러 관할권에 걸친 공격 패턴을 분석하며, 다양한 데이터 소스로부터 실시간 위협 인텔리전스를 생성하고, 악용되기 전에 새로운 공격 벡터를 예측할 수 있는지를 검토한다. 그러나 동시에 AI 자체가 새로운 취약점을 도입한다는 점도 지적한다. 즉, AI 방어 시스템에 대한 적대적 공격, AI가 생성하는 사회공학적 공격, 그리고 AI 공격·방어 역량의 이중 사용 특성이 그것이다.

사이버-통신 사기: 협력의 사례 연구

Wong (2024)은 미얀마 북부 사기 조직의 범죄 활동에 초점을 맞추어, 국경을 초월한 사이버-통신 사기에 대응하기 위한 국제 협력을 검토한다. 만연한 범죄 활동은 국제적 주목을 받고 있으며, 이러한 범죄에 대응하는 데 있어 국제 협력은 매우 중요하다.

미얀마 사례는 국제 협력의 필요성과 어려움을 동시에 보여준다. 사기 조직은 물리적으로 미얀마에 위치하지만 전 세계 피해자를 대상으로 삼고, 여러 국가에 걸친 통신 인프라를 이용하며, 국제 금융 네트워크를 통해 수익을 이전한다. 효과적인 법 집행을 위해서는 여러 관할권에 걸쳐 경찰, 검사, 통신 규제 당국, 금융 당국 간의 협력이 필요한데, 이는 기술적으로는 실현 가능하지만 제도적으로는 어려운 과제이다.

체계적 문헌 고찰

Khan (2025)은 국경을 초월한 데이터 프라이버시 거버넌스, 국제 법적 준수 프레임워크, 사이버 법 집행 메커니즘에 대한 PRISMA 기반 체계적 문헌 고찰을 제공한다. 이 고찰은 조직들이 여러 관할권에 걸쳐 운영될 때 복잡하게 얽힌 국가 사이버보안 및 데이터 보호 법률을 어떻게 헤쳐 나가는지를 검토한다.

체계적 증거에 따르면, 단편화(fragmentation)는 국제 사이버보안 법적 환경의 지배적 특성이다. "사이버범죄"에 대한 상이한 정의, 상이한 증거 기준, 상이한 데이터 보존 요건, 그리고 상이한 집행 역량이 법을 준수하는 조직에는 복잡한 컴플라이언스 환경을 만들고, 범죄 행위자에게는 악용 가능한 환경을 조성한다.

주장과 증거

시사점

사이버보안 거버넌스 격차는 기술만으로는 해소될 수 없다. 이를 위해서는 제도적 혁신이 필요하다. 즉, 실시간 인텔리전스 공유를 가능하게 하는 양자 및 다자 협정, 정의와 절차를 조화시키는 국제 표준, 자원이 부족한 국가들의 사이버 방어 역량을 확대하는 역량 구축, 그리고 사이버 공간에서의 국가 행동에 관한 구속력 있는 규범을 확립하는 규범적 발전이 필요하다. 사이버범죄에 관한 부다페스트 협약(Budapest Convention on Cybercrime)은 토대를 제공하지만, 그 적용 범위(주로 유럽 및 동맹국)와 대상 범위(주로 형사법)는 이 과제의 규모에 비해 불충분하다.