진영 간 대립이 판단 기준 흐려...‘탈린매뉴얼’ 서방국들서 인용
국제인도법 바로알기
사이버공간에 적용되는 국제인도법
물리적 공간의 확대 vs 각국의 배타적 공간
사이버공격 다수 국제법상 무력 해당
2010년 이란 핵시설 공격 사례도
한·미 등 국제인도법 그대로 적용
대량인명 살상 땐 자위권 발동 주장
중·러 등 비서방국 “내정 간섭 해당”
국제법 학자들이 정리한 ‘매뉴얼’
학술서지만 가이드라인·모델법 기능
|
사이버공격은 가시적 미래가 아닌 현재
오늘날 과학기술의 발전으로 해킹, 디도스(DDoS·분산서비스거부) 공격, 랜섬웨어 등 사이버 수단을 이용한 사이버 공격이 급증하는 추세다. 특히 에너지·금융·교통 전산망 등 국가기반시설을 겨냥한 사이버공격은 미사일과 같은 전통적·물리적 공격과 비교할 때 피해 규모가 유사할 수 있다는 점에서 국가안보에 중차대한 영향을 미친다.
사이버공격이 국제법상 무력 사용을 구성할 수 있음을 보여주는 사례는 다수 존재한다. 2007년 수도 탈린에 자리한 구소련 상징인 스탈린 동상을 철거한 후 에스토니아는 러시아 영토에서 개시된 대규모 디도스 공격으로 막대한 피해를 입었다. 정부·금융·교통 전산망 등 주요 국가기반시설을 장기간 마비시킨 이 사건의 배후로 에스토니아는 러시아를 지목했다.
2010년 이란 원자력발전소 파괴를 목적으로 감행된 스턱스넷(Stuxnet) 공격 사례 역시 주목할 필요가 있다. 스턱스넷은 원자력발전소 원심분리기의 과부하를 유도해 원심분리기 자폭, 즉 핵시설 파괴를 유도할 목적으로 개발됐다. 스턱스넷은 SCADA(감시·제어 데이터 취득) 시스템을 겨냥한 웜 바이러스로, 원자력발전소 기간시설에 사용되는 SCADA 시스템 가운데 독일 지멘스의 SIMATIC PCS7 시스템을 공격하도록 설계됐다. 특히 스턱스넷은 해당 소프트웨어를 불법으로 사용하는 경우에만 작동하도록 설계됐다. 이는 스턱스넷을 배포한 자가 이란이 해당 소프트웨어 불법 복제본을 무단으로 사용한다는 사실을 알고, 그 공격 대상을 이란 핵시설로 ‘특정’했음을 의미한다. 이처럼 공격 대상을 특정해 핵시설 파괴를 가능케 하는 정교한 사이버공격이 14년 전에 이미 존재했다는 사실은 사이버공격에 내재한 위험성을 여실히 보여주고 있다.
|
기존 국제인도법이 어떻게 적용되는지 명확한 기준은 아직 존재하지 않아
법의 속도가 기술의 그것을 따라잡지 못함에 따라 오늘날 어떠한 사이버공격에 어떠한 국제법이 적용되는지 명확한 기준이 존재하지 않는다. 이러한 입법 흠결을 치유하기 위해 현재 국가들은 사이버공간에 적용되는 국제법의 식별과 명확화 작업을 유엔에서 진행 중이다. 특히 2019년 설립돼 2021년 제1차 보고서를 채택한 유엔 OEWG(Open-ended Working Group·공개 실무그룹회의)는 유엔 회원국 견해를 수렴하는 방식으로 국제법 명확화 작업을 선도하고 있다.
주목할 것은 무력 충돌을 규율하는 개전법(開戰法)과 국제인도법 적용에서 목도되는 국가 간, 진영 간 대립이다. 대한민국과 미국을 비롯한 서방 진영은 기존 국제법이 사이버공격에 온전히 적용된다는 원칙에 따라 사이버 수단을 이용한 공격이 전통적·물리적 공격과 차이가 없음을 강조한다. 이러한 주장은 국제사법재판소(ICJ)의 핵무기(Nuclear Weapons)에 대한 의견에 그 근거를 둔다. 여기서 재판소는 무력 사용 금지 원칙과 자위권을 규정한 유엔 헌장이 ‘사용된 무기와 무관하게’ 어떠한 무력 사용에도 적용된다는 의견을 개진했다.
즉, 대한민국을 비롯한 서방 진영은 어떠한 공격이 사이버 수단을 활용했는지와 무관하게 유엔 헌장에 따른 개전법과 제네바협약 등에 따른 국제인도법을 그대로 적용할 수 있다는 견해다. 대한민국은 유엔 OEWG에서 국제인도법 적용 여부를 언급하고 있지는 않으나, 기존 국제법이 사이버공간에 온전히 적용되므로 사이버 수단을 이용한 국가 행위를 규율하는 과정에서 ‘법적 공백’, 즉 입법 흠결은 존재하지 않는다는 견해를 견지한다. 이러한 견해는 전시 공격 수단과 무관하게 사이버공격에 대해 국가는 기존 국제인도법을 그대로 적용할 수 있다는 사실을 시사한다. 나아가 미국을 비롯한 다수 서방 국가는 1)대량 인명 살상을 초래하는 사이버공격에 대해 피해국은 그 규모와 효과에 따라 자위권을 발동할 수 있으며 2)전시 사이버공격은 구별의 원칙, 비례성 원칙, 불필요한 고통 금지 등과 같은 국제인도법 원칙에 따라 수행돼야 한다고 주장한다.
이와 달리 러시아와 중국을 필두로 한 비서방 진영은 사이버공간을 각국이 지니는 배타적 공간으로 인식하고 주권의 배타성과 내정불간섭을 강조한다. 특히 중국은 사이버공간은 평화로운 공간이므로 이러한 공간을 전장으로 간주해 개전법과 국제인도법을 적용하는 것은 타당하지 않다고 주장한다. 주지하는 바와 같이 국제법을 창설하는 주체는 국가다. 이에 비춰 볼 때 작금의 국가 간 혹은 진영 간 대립은 어떠한 사이버공격이 전시 국제인도법을 위반했는지 판단 기준을 흐리게 만들고 있다.
|
사이버전에 적용되는 국제인도법 규칙을 제시한 탈린 매뉴얼을 숙지해야
사이버공격에 적용되는 국제인도법 식별과 명확화 작업에서 주목할 문서는 국제 전문가그룹이라고 불리는 국제법 학자들이 집필한 탈린 매뉴얼(Tallinn Manual on the International Law Applicable to Cyber Warfare)이다. 이 매뉴얼은 ‘사이버 무력 충돌법’이라는 제목 아래 전시 사이버공격에 대해 기존 국제인도법이 어떻게 적용되는지 자세하고 방대하게 규칙을 제시하고 있다. 특히 탈린 매뉴얼은 저자 고유의 학술적 견해가 아니라 상트페테르부르크 선언에서 제네바협약 추가의정서에 이르기까지 무력 충돌을 규율하는 기존 관습국제법 및 조약 일체를 망라하고 있다. 미국·영국·독일·캐나다 등 다수 국가의 국방부 교범들을 총체적으로 다루고 있다.
즉, 탈린 매뉴얼이 제시하는 일련의 국제인도법 규칙은 국제법의 유효한 법원에 근거해 치밀하고 철저한 논증에 따라 제시된 것이다. 비록 학술서 지위를 가지나 북대서양조약기구(나토) 지원 아래 집필된 탈린 매뉴얼은 오늘날 나토 회원국을 비롯한 서방 국가들에 의해 적극적으로 수용되고 있다. 적지 않은 국가가 유엔에 제출한 자국 입장문에서 탈린 매뉴얼을 직·간접적으로 인용하고 있다. 이처럼 탈린 매뉴얼은 단순한 학술서 지위에서 더 나아가 오늘날 서방 국가들의 가이드라인 혹은 모델법으로 기능하고 있다. 따라서 우리 군과 장병은 사용된 무기 수단과 무관하게 사이버공격에도 기존 교전수칙이 그대로 적용된다는 원칙을 숙지하고, 세부 규칙 내용은 탈린 매뉴얼을 참고하는 것이 바람직하다고 할 것이다. 우리 군의 국가실행은 우방 및 동맹과 같은 노선을 견지할 필요가 있기 때문이다.
오늘의 뉴스
Hot Photo News
많이 본 기사
이 기사를 스크랩 하시겠습니까?
진영 간 대립이 판단 기준 흐려...‘탈린매뉴얼’ 서방국들서 인용
국제인도법 바로알기
사이버공간에 적용되는 국제인도법
물리적 공간의 확대 vs 각국의 배타적 공간
사이버공격 다수 국제법상 무력 해당
2010년 이란 핵시설 공격 사례도
한·미 등 국제인도법 그대로 적용
대량인명 살상 땐 자위권 발동 주장
중·러 등 비서방국 “내정 간섭 해당”
국제법 학자들이 정리한 ‘매뉴얼’
학술서지만 가이드라인·모델법 기능
|
사이버공격은 가시적 미래가 아닌 현재
오늘날 과학기술의 발전으로 해킹, 디도스(DDoS·분산서비스거부) 공격, 랜섬웨어 등 사이버 수단을 이용한 사이버 공격이 급증하는 추세다. 특히 에너지·금융·교통 전산망 등 국가기반시설을 겨냥한 사이버공격은 미사일과 같은 전통적·물리적 공격과 비교할 때 피해 규모가 유사할 수 있다는 점에서 국가안보에 중차대한 영향을 미친다.
사이버공격이 국제법상 무력 사용을 구성할 수 있음을 보여주는 사례는 다수 존재한다. 2007년 수도 탈린에 자리한 구소련 상징인 스탈린 동상을 철거한 후 에스토니아는 러시아 영토에서 개시된 대규모 디도스 공격으로 막대한 피해를 입었다. 정부·금융·교통 전산망 등 주요 국가기반시설을 장기간 마비시킨 이 사건의 배후로 에스토니아는 러시아를 지목했다.
2010년 이란 원자력발전소 파괴를 목적으로 감행된 스턱스넷(Stuxnet) 공격 사례 역시 주목할 필요가 있다. 스턱스넷은 원자력발전소 원심분리기의 과부하를 유도해 원심분리기 자폭, 즉 핵시설 파괴를 유도할 목적으로 개발됐다. 스턱스넷은 SCADA(감시·제어 데이터 취득) 시스템을 겨냥한 웜 바이러스로, 원자력발전소 기간시설에 사용되는 SCADA 시스템 가운데 독일 지멘스의 SIMATIC PCS7 시스템을 공격하도록 설계됐다. 특히 스턱스넷은 해당 소프트웨어를 불법으로 사용하는 경우에만 작동하도록 설계됐다. 이는 스턱스넷을 배포한 자가 이란이 해당 소프트웨어 불법 복제본을 무단으로 사용한다는 사실을 알고, 그 공격 대상을 이란 핵시설로 ‘특정’했음을 의미한다. 이처럼 공격 대상을 특정해 핵시설 파괴를 가능케 하는 정교한 사이버공격이 14년 전에 이미 존재했다는 사실은 사이버공격에 내재한 위험성을 여실히 보여주고 있다.
|
기존 국제인도법이 어떻게 적용되는지 명확한 기준은 아직 존재하지 않아
법의 속도가 기술의 그것을 따라잡지 못함에 따라 오늘날 어떠한 사이버공격에 어떠한 국제법이 적용되는지 명확한 기준이 존재하지 않는다. 이러한 입법 흠결을 치유하기 위해 현재 국가들은 사이버공간에 적용되는 국제법의 식별과 명확화 작업을 유엔에서 진행 중이다. 특히 2019년 설립돼 2021년 제1차 보고서를 채택한 유엔 OEWG(Open-ended Working Group·공개 실무그룹회의)는 유엔 회원국 견해를 수렴하는 방식으로 국제법 명확화 작업을 선도하고 있다.
주목할 것은 무력 충돌을 규율하는 개전법(開戰法)과 국제인도법 적용에서 목도되는 국가 간, 진영 간 대립이다. 대한민국과 미국을 비롯한 서방 진영은 기존 국제법이 사이버공격에 온전히 적용된다는 원칙에 따라 사이버 수단을 이용한 공격이 전통적·물리적 공격과 차이가 없음을 강조한다. 이러한 주장은 국제사법재판소(ICJ)의 핵무기(Nuclear Weapons)에 대한 의견에 그 근거를 둔다. 여기서 재판소는 무력 사용 금지 원칙과 자위권을 규정한 유엔 헌장이 ‘사용된 무기와 무관하게’ 어떠한 무력 사용에도 적용된다는 의견을 개진했다.
즉, 대한민국을 비롯한 서방 진영은 어떠한 공격이 사이버 수단을 활용했는지와 무관하게 유엔 헌장에 따른 개전법과 제네바협약 등에 따른 국제인도법을 그대로 적용할 수 있다는 견해다. 대한민국은 유엔 OEWG에서 국제인도법 적용 여부를 언급하고 있지는 않으나, 기존 국제법이 사이버공간에 온전히 적용되므로 사이버 수단을 이용한 국가 행위를 규율하는 과정에서 ‘법적 공백’, 즉 입법 흠결은 존재하지 않는다는 견해를 견지한다. 이러한 견해는 전시 공격 수단과 무관하게 사이버공격에 대해 국가는 기존 국제인도법을 그대로 적용할 수 있다는 사실을 시사한다. 나아가 미국을 비롯한 다수 서방 국가는 1)대량 인명 살상을 초래하는 사이버공격에 대해 피해국은 그 규모와 효과에 따라 자위권을 발동할 수 있으며 2)전시 사이버공격은 구별의 원칙, 비례성 원칙, 불필요한 고통 금지 등과 같은 국제인도법 원칙에 따라 수행돼야 한다고 주장한다.
이와 달리 러시아와 중국을 필두로 한 비서방 진영은 사이버공간을 각국이 지니는 배타적 공간으로 인식하고 주권의 배타성과 내정불간섭을 강조한다. 특히 중국은 사이버공간은 평화로운 공간이므로 이러한 공간을 전장으로 간주해 개전법과 국제인도법을 적용하는 것은 타당하지 않다고 주장한다. 주지하는 바와 같이 국제법을 창설하는 주체는 국가다. 이에 비춰 볼 때 작금의 국가 간 혹은 진영 간 대립은 어떠한 사이버공격이 전시 국제인도법을 위반했는지 판단 기준을 흐리게 만들고 있다.
|
사이버전에 적용되는 국제인도법 규칙을 제시한 탈린 매뉴얼을 숙지해야
사이버공격에 적용되는 국제인도법 식별과 명확화 작업에서 주목할 문서는 국제 전문가그룹이라고 불리는 국제법 학자들이 집필한 탈린 매뉴얼(Tallinn Manual on the International Law Applicable to Cyber Warfare)이다. 이 매뉴얼은 ‘사이버 무력 충돌법’이라는 제목 아래 전시 사이버공격에 대해 기존 국제인도법이 어떻게 적용되는지 자세하고 방대하게 규칙을 제시하고 있다. 특히 탈린 매뉴얼은 저자 고유의 학술적 견해가 아니라 상트페테르부르크 선언에서 제네바협약 추가의정서에 이르기까지 무력 충돌을 규율하는 기존 관습국제법 및 조약 일체를 망라하고 있다. 미국·영국·독일·캐나다 등 다수 국가의 국방부 교범들을 총체적으로 다루고 있다.
즉, 탈린 매뉴얼이 제시하는 일련의 국제인도법 규칙은 국제법의 유효한 법원에 근거해 치밀하고 철저한 논증에 따라 제시된 것이다. 비록 학술서 지위를 가지나 북대서양조약기구(나토) 지원 아래 집필된 탈린 매뉴얼은 오늘날 나토 회원국을 비롯한 서방 국가들에 의해 적극적으로 수용되고 있다. 적지 않은 국가가 유엔에 제출한 자국 입장문에서 탈린 매뉴얼을 직·간접적으로 인용하고 있다. 이처럼 탈린 매뉴얼은 단순한 학술서 지위에서 더 나아가 오늘날 서방 국가들의 가이드라인 혹은 모델법으로 기능하고 있다. 따라서 우리 군과 장병은 사용된 무기 수단과 무관하게 사이버공격에도 기존 교전수칙이 그대로 적용된다는 원칙을 숙지하고, 세부 규칙 내용은 탈린 매뉴얼을 참고하는 것이 바람직하다고 할 것이다. 우리 군의 국가실행은 우방 및 동맹과 같은 노선을 견지할 필요가 있기 때문이다.