국제적인 사이버 공간에서의 평화, 국제 규정들의 회색 지대가 위협
사이버 공간에서는 ‘내 나라’만 평화로울 수 없어...모두가 ‘같은 말’ 사용해야

[보안뉴스 문가용 기자] 소리도 없고 형체가 없어서 그렇지 지금 사이버 공간은 전쟁터를 방불케 한다. 그리고 여기에는 아무런 규제가 존재하지 않는다. 해당 국가들끼리 외교적으로 풀어야 하는 게 지금의 상황이다. 그래서 등장한 것이 탈린 매뉴얼(Tallinn Manual)이다. 이는 현재의 국제법을 사이버 공간에 적용시킬 수 있도록 한 해설서 혹은 제안서다. 법적인 효과는 없다.


전 세계 곳곳에서 차출된 19명의 전문가들이 모여 만든 탈린 매뉴얼 2.0은 올해 초에 발간되었고, 세계의 여러 정부들은 다양한 반응을 보였다. 전자정부, 전자 시민권 등으로 유명한 에스토니아의 대통령은 “정치 논리에서부터 자유롭게 제작된 이 책은 정부들의 로드맵으로서 유용하게 사용될 것”이라고 평했다. 네덜란드의 외교부 장관은 “이 책으로 인해 많은 정부들이 공감대를 형성할 수 있을 것”으로 내다봤다.

하지만 일부 국가가 몇 가지 표현을 불편해 했다. 국제적으로 잘못된 행위에 ‘대응할 수 있는 권리’, ‘자기 방어권’, ‘국제인도법’과 같은 표현을 고치거나 빼달라고 했다. 심지어 주권(sovereignty)에 대한 해석 논란이 불거지면서 국제법을 사이버 보안 혹은 사이버 안보에 적용하는 문제가 더 복잡하게 변했다.

탈린 매뉴얼 제작 팀을 이끌었던 마이클 슈미트(Michael Schmitt) 교수는 “주권을 ‘가장 기본적인 규칙(rule)’이 아니라 다른 규정이나 이론의 토대가 되는 ‘원칙(principle)’으로 봐야한다는 주장이 나왔다”며 “정말 주권을 ‘규칙’이 아닌 것으로 이해하기 시작한다면 주권을 침해하는 행위 역시 규정할 수 없게 된다”고 설명했다. 그러면서 “나는 개인적으로 왜 이런 논란이 나오는지 이해가 가지 않는다”고 밝혔다. 그에 따르면 지금 미국 법계는 ‘주권의 정의’에 대한 논란이 한창 진행 중에 있다고 한다.

중국, 러시아 등 일부 국가들이 특정 표현을 불편해하고, 주권에 대한 기본적인 개념 단계에서 논란이 생겨버리니, 탈린 매뉴얼과 같은 국제적인 규약 혹은 협약 작업에 차질이 생겼다. 즉 이렇게 해석해도 되고, 저렇게 해석해도 되는 애매한 영역들이 그대로 남겨지게 된 것이다. 마이클 슈미트 교수는 이러한 ‘회색 지대’를 누리는 국가들이 있다고 말을 잇는다. 그리고 이 국가들은 회색 지대가 더 많아지기를 원한다고 설명한다.

“회색 지대가 없는 명확한 규칙들이 있으면 공격적인 작전을 펼치는 데에 제한이 걸립니다. 또한 규칙이 명확하면 모두가 합의할 수 있는 근거가 생긴다는 것이고, 이는 곧 공격자 혹은 위반자에 대한 공통적인 대응을 취할 수 있다는 뜻이 됩니다. 거대한 수사 공조 혹은 대대적인 대응 조치가 취해질 수 있게 되죠. 반대로 말하면 지금 사이버 안보에 대한 국제적인 규칙이 모호하기 때문에 우리는 공격에 대해 대응도 제대로 할 수 없다는 겁니다.”

대부분의 국가들은 국제법을 준수하기 위해 애쓰는데, 이것이 오히려 지금 상황에서 피해 국가들의 발목을 잡는다고 슈미트 교수는 주장한다. “사이버 작전을 펼치기 전에 ‘이것이 남의 나라 주권을 침해하는 건 아닐까’를 검토해야 하고, 인권 침해 문제, 합법적인 행위의 범위를 조사해야만 합니다. 그러고도 늘 ‘혹시...’ 하면서 불안해하죠. 움직임이 늦을 수밖에 없습니다.” 그에 반해 공격자들은 이런 상황을 너무나 잘 알고 있다. “그래서 비대칭적인 전쟁이 자꾸만 일어나는 겁니다.”

슈미트 교수는 이 회색 지대를 없애는 것이 세계적인 사이버 안보를 위한 첫 걸음이라고 주장한다. “주권을 ‘원칙’이라고 보는 시각으로는 아무 것도 이룰 수가 없습니다. 그리고 사실 아무도 받아들이지 않을 거라고 예상합니다. 모든 국가가 자기 영토에 누군가 침범하는 걸 원치 않고, 다양한 정부 기능을 자주적으로 이행하고 싶어하니까요. 주권을 존중하는 게 규칙이 아니라 원칙이라면, 이 모든 것들이 위협을 받게 되죠.”

사이버 안보에 관한 국제법이 명확해진다면 전쟁 억제력도 높아지고, 무엇보다 쓸데없는 국가 간 긴장상태도 줄어들 것이라고 슈미트 교수는 설명한다. “규칙이 모든 것을 분명히 정해놓는다면 이런 저런 행위에 대해 독자적으로 해석하고 기분 나빠하거나 위협을 느낄 일이 없습니다.”

슈미트 교수는 “물론 쉽지 않은 일”이라는 데에 이견이 없다. 명확함에 대한 합의를 모든 국가로부터 이끌어내는 것은 지난한 과정일 것이다. 이에 슈미트 교수는 “가장 뻔한 것, 누구나 동의할 만한 사안에서부터 출발해야 할 것”이라고 제안한다. “사회 기반 시설에 대한 공격을 적국이 감행했다고 한다면, 이는 어떠한 방법으로 대응할 수 있을까요? 사회 기반 시설에 멀웨어를 심어놓고 정찰만 했다면? 아무런 인명 피해나 물리적 피해가 없었다면 이는 공격일까요?”

그래서 그는 ‘어디에 공격이 들어왔다’, ‘누가 공격을 했다’보다 ‘실제로 발생한 피해가 어느 정도인가’를 기준으로 삼아야 한다고 주장한다. “인권이 실제로 침해되고, 누군가 목숨을 잃고, 개전으로 이어진다면 사이버 공격을 정말로 ‘공격’이라고 봐야 합니다. 누구나 이것에 대해서는 동의할 겁니다. 하지만 그렇지 않은 사이버 공격들도 많죠. 명확히 할 것부터 정해놓고, 회색 지대를 차차 줄여나가는 게 앞으로 국제 사회가 할 일이 아닐까 합니다.”

최근 유럽연합이 사이버 공격을 공격 행위로 간주할 것이라는 보도가 있었다. 이에 대해 슈미트 교수는 “마찬가지로 피해 규모를 산정하고, 그걸 바탕으로 전쟁을 언급해야 할 것”이라는 의견을 조심스럽게 밝혔다. “결국 모두가 ‘같은 말’을 해야 합니다. 그래야 공동으로 대응을 하고, 공동으로 대응할 시스템을 갖춤으로써 위협을 사전에 억제할 수도 있습니다. 회색 지대를 공격자들이 더 누리게 해서는 안 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>