‘비례성’ 원칙 따라…”물리적 반격은 쉽지 않아”
만일 한 국가가 적국으로부터 사이버 테러를 당했다면 과연 어떤 식으로 ‘합법적’ 대응을 꾀할 수 있을까.당장 한국은 북한 정찰당국의 소행으로 추정되는 3.20 사이버 테러로 방송과 금융시스템이 수시간 동안 마비되는 사태를 겪었다. 미국은 중국 인민해방군 해킹부대가 자국 민간기업들과 연방정부를 해킹했다는 의혹을 제기하며 강경대응을 모색하고 있다.
아직까지 사이버 대응공격에 관한 한 국제적으로 구속력있는 ‘룰’은 없는 실정이다. 그러나 현시점에서 최선의 해답은 ‘탈린 매뉴얼’에서 찾아볼 수 있다.
탈린 매뉴얼 9조는 “국제적으로 잘못된 행위로 피해를 입은 국가는 비례성 원칙에 따라 공격의 책임있는 국가를 상대로 대응조치(countermeasures)를 취할 수 있다”고 밝히고 있다.
그러나 이는 무턱대고 대응조치를 취할 수 있다는 얘기는 아니다. 국제법에 따라 ‘비례성’(proportionality)과 ‘필요성’(necessity)이라는 두가지 원칙에 입각해야 한다.
우선 ‘비례성’은 쉽게 말해 가해국의 공격에 대해 질적·양적으로 유사한 대응을 꾀할 수 있다는 의미다. 이는 가해국이 행한 공격의 ‘심각성’(gravity)과 ‘손상 정도’에 비례해 대응수단을 강구하라는 얘기다.
일례로 A국과 B국 사이에 강이 흐르는데, A국이 강의 유량과 흐름을 자신들에게 유리하게 돌려놓으려고 B국의 발전시설에 사이버 공격을 가하는 경우를 상정해볼 수 있다. 이 때 B국은 비례성 원칙에 따라 A국 관개수로 통제시스템에 대해 사이버 공격을 가할 수 있다.
’필요성’은 가해국의 중대한 위협으로부터 국가의 본질적 이익을 보호하기 위해 필요한 조치를 취할 수 있다는 의미다. 예를 들어 북한 정찰총국이 남한 사회의 혼란과 시스템 교란을 목적으로 방송과 금융시스템에 사이버 공격을 가했다면 이는 본질적 이익의 하나인 ‘안보이익’을 침해받은 것으로 간주할 수 있다.
앞으로 북한의 사이버 테러가 더욱 위협적 양상으로 발전할 가능성이 커 점에서 대응조치의 필요성은 더욱 크다는 분석이다. 특히 탈린 매뉴얼은 상황이 급박한 위난으로 발전할 가능성이 있을 경우 ‘긴급피난’ 차원의 대응조치도 가능하다고 해석하고 있다.
예를 들어 자국의 민감한 인프라를 겨냥한 상대국의 사이버 공격을 포착할 경우 즉각적인 해킹으로 ‘맞대응’하는 것도 합법적 대응으로 인정된다는 얘기다.
그러나 대응 공격이 합법적이라고 하더라도 거기에는 일정한 ‘한계’가 있다는게 국제법 전문가들의 컨센서스다.
’눈에는 눈, 이에는 이’ 식의 보복적 또는 응징적 공격이어서는 안되며 상대국이 국제법을 준수하도록 유도하는 선에서 ‘적절한’ 대응조치가 검토돼야 한다는게 탈린 매뉴얼의 취지다. 사이버 기능과 인프라가 완전히 파괴될 정도로 상대국의 본질적 이익을 훼손해서는 안된다는 것이다. 다시말해 ‘임시적’이고 ‘되돌릴 수 있는’ 대응공격이 돼야 한다고 탈린 매뉴얼은 강조하고 있다.
그러면 사이버 테러를 당했을 때 국제법이 허용하는 ‘무력 사용’(use of force), 즉 물리적 대응이 가능할까.
탈린 매뉴얼을 보면 가능하지 않아 보인다. 상대국의 사이버 공격에 대해 무력사용을 하려면 자위권 발동의 요건으로 볼 수 있는 ‘무력공격(armed attack)’이 발생해야 한다. 탈린 매뉴얼은 이를 사이버 공격으로 사람이 사망 또는 부상당하거나 국가자산이 손상 또는 파괴되는 등 현저한 물리적 피해가 있어야 한다고 규정하고 있다.
예를 들어 3.20 사이버 테러가 방송과 금융시스템의 마비로 국민생활에 큰 불편을 초래하기는 했지만 이것이 ‘무력사용’을 행사할 수준은 아니라는게 대체적인 해석이다. 다만 소수의견으로는 제한적인 형태로나마 무력 사용이 가능하다는 시각도 없지 않다.
이렇게 볼 때 적어도 탈린 매뉴얼에 근거해보면 피해국은 가해국이 가한 공격의 강도와 피해규모에 비례하는 유사 사이버 공격을 ‘적절한 수위’에서 가할 수 있는 것으로 해석할 수 있다.
그러나 이는 이론상의 시나리오일 뿐, 이를 실행에 옮기는 것은 또다른 문제라는게 전문가들의 지적이다.
탈린 매뉴얼은 국제 논의의 큰 컨센서스를 반영하고 있지만 아직까지 국제법적 효력을 갖는 정책이 아니기 때문이다. 또 국제법상 가능하다고 해도 실제로 사이버 공격을 가하는 것은 정치·외교적으로 고도의 전략적 판단을 요하는 사안이다.
가해국이 공격의 흔적을 지우고 자신들의 소행이 아니라고 부인할 경우 이를 국제적으로 ‘입증’하는 것 역시 난제라는 지적이다.
연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지