美 국방성 지침에 사이버무기 제외...사이버무기 위험성 간과 지적도
사이버무기 국제규범 필요성 제기...관련 국제회의에서 논의 필요

무인전투기 드론과 유도탄 등과 같은 자동화 무기체계의 오류와 실수에 의한 오폭과 민간인 살상과 같은 의도하지 않은 개입과 부수적인 피해(collateral damage)를 최소화하기 위한 기술적 보호조치들을 취하라는 것이다. 이는 자동화 무기에서 국제전쟁법과 전쟁윤리를 준수하기 위해서는 필수적인 조치이다.

이 지침에 따르면 자동화 무기에 의한 부수적인 피해를 막기 위해 무기가 언제, 누구를 겨냥해야 하는지에 대한 최종적인 판단은 사람이 내릴 수 있도록 해야 하고, 무기체계에 문제가 생기거나 적정 시간프레임 내에 임무가 완수되지 못하면 공격이 취소되거나 임무가 수행되지 않음을 보장하는 엄격한 하드웨어 및 소프트웨어 검증이 필요하다. 이를 위해 美 국방성은 자동화 무기 개발 시에 사람들에게 최종 판단을 수행할 수 있는 인터페이스와 통제기능을 제공할 것을 요구하고 있다.

이번 국방부 지침에서 특이한 점은 사이버무기는 적용대상이 되지 않는다고 명시하고 있다는 점이다. 웜과 바이러스와 같은 대부분의 사이버 무기들이 사전에 소프트웨어로 코드화 되어 인간의 개입 없이 작동하는 자동화 무기라고 할 수 있지만, 이번 지침에서 자동화된 사이버무기는 특별히 면제되고 있다.

그 근거로 언론기사들은 사이버공격의 피해가 인명피해로 직접 연결되지 않는 등 사이버무기는 상대적으로 덜 치명적인 온건한 무기이며, 사이버공격의 경우 마이크로초 단위의 짧은 시간에 수행되므로 사람이 수동으로 감시하고 판단하는 것이 거의 불가능하다는 점을 들고 있다. 또한, 수동으로 이러한 무기들을 조작할 전문적인 인력의 부족하기 때문에 실시간 위협에 신속하게 대응하기 위해서는 인간의 개입 없이 자동화된 무기들에 의해 수행되어야 한다는 점을 꼽았다. 최근 美 국방성의 사이버무기 개발 프로젝트인 플랜X 또한 그 핵심은 사이버작전에 사용되는 무기들의 자동화된 능력의 개발이라 할 수 있다.

하지만, 이번 국방성 지침의 논리에 대한 반대의견 또한 존재한다. 먼저 사이버 무기 또한 목표대상과 수행방법에 따라 오히려 물리적 무기보다 더 큰 범위에 걸친 심각한 피해를 입힐 수 있다는 것이다.

스턱스넷의 경우처럼 국가의 주요기반시설에 대한 사이버공격은 물리적인 피해를 넘어 인명피해로까지 이어질 수 있다. 또한, 사이버무기의 특성 중의 하나는 다른 소프트웨어들처럼 일반적으로 높은 에러율과 낮은 신뢰성을 가진다는 것이다. 엄격한 소프트웨어공학 방법론을 적용하더라도 결점이 없는 사이버무기의 설계와 구현은 쉽지 않다.

모든 영역이 연결되어 있는 개방망으로서의 인터넷의 특성상 사이버무기는 표적공격이 쉽지 않고 제3자가 부수적인 피해를 입을 가능성이 높다. 이러한 사이버무기의 저신뢰성과 개방 네트워크의 속성 때문에 사이버 무기는 다른 부위를 손상시키지 않는 외과수술과 같은 정교한 표적공격이 어려워 목표에 대한 과잉피해와 부수적 피해의 위험이 상존한다. 이 때문에 많은 학자들은 비윤리적이고 반인간적인 대량살상 무기로서의 특징을 가지고 있는 사이버무기를 불법화하고 금지해야 한다는 의견을 제시하고 있다.

특히, 美 해군대학원의 닐 로우 교수는 사이버 무기를 생물학 무기에 비유하면서 낮은 신뢰성과 통제 불가능성을 그 특징으로 제시하고 있다. 생물학무기가 바람을 타고 전파되어 원래 목표하지 않았던 사람들에게 피해를 주는 것처럼 사이버무기 또한 네트워크상에서 목표대상 PC와 민간인 PC를 구분하지 않고 심각한 피해를 입힐 수 있다는 것.

로우는 사이버무기의 가장 큰 문제로 사이버 무기가 기존의 국제전쟁법 원칙을 심각하게 훼손할 수 있다는 점을 들고 있으며, 이 때문에 전쟁윤리 준수를 위해 사이버 무기가 설계단계에서부터 갖추어야 할 속성들로 통제가능성, 오류발생 등 필요시 중지가능성, 부수적 피해발생 시 복구가능성 등을 제시하고 있다. 즉, 목표만을 타격함을 보장함으로써 의도하지 않은 피해를 최소화해야 하며, 민간을 공격하는 것을 알았을 경우 무기 작동을 중지시키고, 불가피하게 민간에 피해가 발생할 경우 쉽게 복구할 수 있어야 한다는 것이다.

이처럼 부가적 피해에 대한 사이버무기의 안전조치 적용에 대해서는 사이버공격의 신속성과 대응인력의 부족이라는 현실 때문에 면제는 불가피하다는 현실론과 사이버무기의 특성상 더 위험할 수 있으니 면제해서는 안 된다는 규제논리가 충돌하고 있다.

문제는 이러한 논리의 충돌을 명확히 해결할 수 있는 사이버무기에 대한 국제규범이 아직 없다는 것이다. 이런 상황에서 미국이 독자적으로 사이버무기 원칙과 사이버교전 규칙을 정하고 다른 국가들에 대해 일방적으로 적용하는 것은 분명한 한계가 존재하며, 외교 분쟁을 야기할 수 있는 등 위험하기까지 하다.

이미 미국 내에서조차 다른 국가들의 서명이나 동의 없는 나 홀로 교전규칙과 사이버전 독트린의 의미에 대해 회의론이 일어나고 있는 상황이다. 사이버 교전규칙이나 사이버무기 규칙은 분명히 한 국가만의 노력으로 해결할 수 있는 문제가 아니다.

따라서 내년에 있을 서울 사이버공간회의나 서울안보대화를 포함한 사이버안보와 사이버국방 관련 국제회의에서 이에 대해 국제적으로 논의해볼 필요가 있다. 전 세계 국가들은 이런 자리를 통해 부수적 피해에 대한 안전장치가 없는 사이버무기들을 허용할 것인지 아니면 비윤리적, 반인류적 무기로 금지할 것인지에 대한 대원칙을 마련해야 한다.

만일 조건부로 허용한다면 어떤 조건하에서 허용할 것인지에 대한 구체적인 보호조치 요구조건들과 개발 가이드라인 및 부수적 피해에 대한 사전 영향평가와 같은 통제수단들을 마련하기 위해 전 세계가 함께 노력해야 할 것이다.

[글_고려대학교 사이버국방연구센터] 

[사이버국방리포트 원본 링크]
http://www.boannews.com/board/view.asp?idx=20

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>