사이버 보복 '교전규칙' 성문화…탈린 매뉴얼 시선집중

(워싱턴=연합뉴스) 노효동 특파원 = 버락 오바마 미국 대통령이 소니 픽처스 해킹과 관련해 북한에 대한 '비례적 대응'을 천명함에 따라 과연 어떤 식의 보복조치가 가능할지가 초미의 관심사가 되고 있다.

현재 국제사회에는 '사이버 교전'과 관련한 명시적인 '규칙'이 없다. 현실공간에서의 무력충돌은 유엔헌장(7조)과 제네바·헤이그협약 등 국제법에 따른 교전규칙의 적용을 받지만 사이버 공간은 오바마 대통령의 표현대로 '와일드 웨스트'(황량한 서부)라고 할 수 있다.

다만 지난해 3월 북대서양조약기구(NATO) 사이버방위센터(CCDCOE)가 작성한 '탈린 매뉴얼'(tallinn manual)이 일종의 가이드라인이 될 수 있다고 외교소식통들은 보고 있다. 나토가 공식으로 채택한 구속력있는 문서는 아니지만, 사이버 교전규칙과 관련한 국제사회의 컨센서스를 반영하고 있기 때문이다.

◇'닮은꼴' 사이버 보복 가능…'비례성' 중요 = 우선 탈린 매뉴얼(9조)은 "국제적으로 잘못된 사이버행위로 피해를 본 국민은 공격에 책임이 있는 국가들을 상대로 대응조치(countermeasures)를 취할 수 있다"고 규정하고 있다.

이는 무조건 보복할 수 있다는 의미는 아니다. '비례성'(proportionality)과 '필요성'(necessity)이라는 두 가지 요건이 충족될 때 국제법적으로 인정되는 사이버 보복조치가 될 수 있다고 탈린 매뉴얼은 설명하고 있다.

'비례성'이란 가해국의 공격에 대해 질적·양적으로 유사한 대응을 꾀할 수 있다는 뜻이다. 가해국이 행한 공격의 심각성(gravity)과 피해 정도에 비례하는 대응을 뜻한다.

'필요성'은 가해국의 중대한 '안보이익' 침해를 보호하기 위해 필요한 조치를 취할 수 있다는 얘기다.

미국은 이번 해킹사건과 관련한 발표에서 이 두 가지를 모두 거론했다. 오바마 대통령은 19일 기자회견에서 "북한에 대해 '비례적으로'(proportionally) 대응할 것"이라고 밝혔고, 존 케리 국무장관과 연방수사국(FBI)은 이번 사건을 "중대한(gravest) 국가안보의 위험"이라고 규정했다.

◇국가 기간시설 공격 금지…민간인 공격도 불가 = 두 가지 요건을 총족하는 경우라고 하더라도, 사이버 보복 공격의 대상과 범위에는 분명한 한계가 있다.

농업과 식품, 가축, 식수, 관개시설, 병원 등 의료시설 등 시민들의 생존에 필수불가결한 목표물들은 공격을 삼가도록 하고 있다. 광범위한 인명의 손실을 가져올 잠재적 위험성이 있기 때문이다.

댐과 제방, 원자력 발전소, 문화재와 같은 국가기간 시설에도 특별한 주의를 기울이라고 주문하고 있다. 다만, 방송사와 언론사, 금융기관, 인터넷, 통신망 등은 공격 대상이 될 수 있다.

또 이른바 '핵티비스트(hactivist)'와 같이 적대적 해킹행위에 가담한 개별 민간인은 합법적인 공격대상이 될 수 있지만, 민간인은 공격대상이 될 수 없다.

◇'책임규명' 난제…북한 소행 '확증' 필요 = 이처럼 '합법적 요건'을 갖춘 사이버 보복 조치가 이론적으로는 가능하지만, 국제사회의 복잡한 현실 속에서 실제로 행동에 옮기기는 쉽지 않다는 지적이 나온다.

무엇보다도 사이버 보복조치는 '책임'(attribution)의 소재가 분명히 드러났을 경우를 전제로 하고 있다. 그러나 사이버 공격은 그 속성상 '진원지'를 얼마든지 은폐·위장할 수 있는데다 북한이 책임을 공식 부인하고 있어 '확증'이 있느냐를 놓고 논란이 있을 수 있다.

물론 FBI는 ▲해킹 공격에 사용된 데이터 삭제용 악성 소프트웨어와 북한의 해커들이 과거에 개발했던 다른 악성 소프트웨어가 연계돼있으며 ▲북한내 사이버 인프라와 관련된 몇 개의 인터넷 프로토콜(IP) 주소와 이번 공격에 사용된 악성소프트웨어 내장 IP 주소 사이에 교신이 이뤄졌으며 ▲북한이 작년 3월 한국의 은행과 언론사들을 공격하는 데 쓰였던 악성 소프트웨어와 이번 공격에 쓰인 프로그램과 유사성이 있는 점을 제시했다. 하지만, 사이버 공격이 특정 국가의 사이버 인프라에서 시작됐거나 경유됐다는 것만으로 공격의 책임이 있다고 단정하기 어렵다는 게 탈린 매뉴얼의 설명이다. 해당 국가가 사이버 작전에 연관돼 있음을 보여주는 지표에 불과하다는 얘기다.

지난해 3·20 사이버 테러 당시 공격에 이용된 IP가 북한 내부 인프라에서 나왔더라도 이것을 이유로 북한에 공격의 책임이 있다고 확정하기는 어렵다는 주장도 나온 바 있다.

◇사이버 보복 효과 미지수…물리적 응징은 어려워 = 책임이 입증되더라도 미국이 응징해야 할 대상인 북한의 사이버 인프라 시설 자체가 제대로 구축돼있지 않은 점이 문제다. 바꿔말해 사이버 보복조치가 북한 김정은 정권에 실질적으로 '고통'을 주기 어렵다는 얘기다.

주목할 대목은 탈린 매뉴얼이 사이버 보복조치가 반드시 사이버 공간에만 국한되지 않는다고 규정한 점이다.

유엔헌장 7장 등이 규정한 자위권 발동요건, 즉 '무력공격(armed attack)'에 준하는 현저한 물리적 피해가 발생했을 경우 무력사용(use of force)이 가능하다는 것이다. 다시 말해 이번 공격으로 인해 인명피해가 발생하거나 국가자산이 손상 또는 파괴되는 경우, 즉 '치명적이고 파괴적인' 물리적 피해가 발생한 경우에는 군사력을 사용할 수 있다는 것이다.

그러나 이번 소니 해킹 사건의 경우 이 같은 인명피해나 국가자산의 손상이 아니라 할리우드 유명인사와 전·현직 임직원 등 4만7천 명의 신상, 미개봉 블록버스터 영화 등의 기밀정보가 유출되는 민간자산의 피해만이 발생했다. 따라서 미국이 무력을 사용할만한 상황은 아니라는 평가가 나온다.

◇'우회적 카드'로 응징 가능성 커 = 이런 맥락에서 볼 때 미국이 현재 국제사회의 컨센서스에 부응하는 문자 그대로의 '비례적 대응' 차원의 보복조치를 취하기는 쉽지 않아 보인다.

다만, 미국으로서는 양자 차원에서 '우회적 카드'로 북한을 제재하는 수단을 강구할 가능성이 크다는 지적이 나온다. 금융제재 강화와 테러지원국 재지정, 대북 선전전 강화, 한미 군사훈련 강화 등이 논의될 수 있을 것으로 외교소식통들은 보고 있다.

탈린 매뉴얼은 에스토니아 수도 탈린에서 발생한 사이버 테러를 계기로 국제사회가 교전수칙 논의를 시작해 붙여진 이름이다. 문제의 테러는 2007년 러시아를 기반으로 분산서비스거부(DDoS) 공격이 가해지며 에스토니아의 전체 인터넷이 2주간 마비된 초유의 사건이었다.

긴장한 나토는 이듬해 CCDCOE 본부를 탈린에 세우고 국제법 전문가 20명을 소집해 교전수칙 논의에 착수했고 국제적십자사와 미국 사이버사령부까지 참여한 가운데 3년간에 걸쳐 논의를 거쳐 지난해 3월 완성됐다.

'사이버 전장의 바이블'로 불리고 있지만, 중국과 러시아 등 비(非) 서방 진영은 이를 인정하지 않고 있다.

rhd@yna.co.kr

제보는 카카오톡 okjebo <저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지> 2014/12/22 04:54 송고