[박춘식 교수의 보안이야기] 세계 각지에서 사이버 공격 사건이 계속되고 있는 가운데, 국가간 중요 인프라를 공격하는 사이버 전쟁을 예방·규제하는 국제행동규범 만들기를 목표로 하는 움직임이 서방 세계 주도로 시작하였다.
 
일반 시민 생활에 심각한 영향을 주는 전력이나 교통 기관 등의 시스템은 사이버 공격의 대상으로 하지 않는 것을 주된 사항으로 하고 있다. 그러나 현시점에서 중국이나 러시아 등이 참가할 가능성은 적으며 현실은 복잡함이 불가피한 정세다.
 
「미국은 기존의 국제법이 사이버 공간에도 적용된다고 생각하고 있다. 과거 1세기 이상에 걸쳐서 국제 사회는 국가간의 전쟁에 관해서 전투원과 민간인을 구별하는 것을 포함한 규칙을 만들어 왔다」 바이덴 미국 부 대통령은 금월 초, 영국 정부 주최의 사이버 문제에 관한 국제회의에 보내온 메시지에서 사이버 전쟁이 일반 국민이 휩쓸리는 사태를 회피하는 수단을 조속하게 준비해야만 한다고 주장하였다.
 
최근 각국에서는 정부의 컴퓨터 시스템의 기능 정지를 노린 데이터의 대량 송신이나 네트 경유로 기밀 문서 도난 등이 계속해서 발생하고 있다. 1990년대 후반에 핵병기 관련을 포함한 미국 정부의 기밀 정보가 누설된 다시 말해 “달빛의 미로” 사건을 둘러싸고 러시아 정보 기관의 관여에 대한 소문이 나돌았다.
 
중국이 발신지로 추정되는 사이버 사건도 계속해서 일어나고 있다. 단순하게 네트워크 상의 피해에 그치지 않고 막대한 물리적 피해를 일으킬 가능성도 커졌다. 실제 2008년에는 항공기의 정비기기가 바이러스에 감염되어 처리속도가 떨어진 것이 원인이 된 스페인 민간 항공기가 추락하여 승객 인원 172명이 사망. 사이버 공격으로 사망자가 난 최초의 사건으로 전해지고 있다.
 
이러한 위협 증대를 받은 서방세계의 정부 당국이나 전문가 사이에서 국가간의 사이버 전쟁을 예방?규제하는 행동 규범을 만들자는 기운이 높아져 왔다.
 
구체적으로는 △국가는 다른 국가에 선제 사이버 공격을 시도하는 것을　멈춘다. △전력이나 교통, 금융 등 민간 시스템을 공격하지 않는다. △다른 국가에 중대한 공격을 시도한 개인이나 테러 조직이 자국 내에 있는 경우, 책임을 가지고 단속한다는 등의 안이 떠오르고 있다.
 
바이덴씨가 제창한 전력이나 교통, 금융 등 민간 시스템을 공격하지 않는다는 것은 종래의 전쟁에서 민간 시설에 대한 공격 등 금지행위를 규정한 “전시국제법”의 이념을 사이버 전쟁에도 준용하고자 하는 것이다.
 
그러나 어떠한 아이디어도 현실에는 장해가 있다. 일부의 국가는 통상 전력으로는 감당할 수 없는 대국에 대항하는 “비대칭수단”으로써 사이버 공격을 중시하고 있는 모양으로 행동 규범에 대한 참가는 기대하기 어렵다.
 
중국과 러시아에는 자발적으로 미국과 유럽 등에 공격을 시도하는 애국 해커가 상당수 존재하고 있다. 가령 중국과 러시아 등이 행동 규범에 동의하여도 수면 하에서는 애국 해커에게 다른 나라를 공격하게 하는 사태도 생각된다. 행동 규범이 실효성을 갖게 하는 데에는 공격자를 중지시키는 고도의 정보 능력이 필요하게 된다.
 
미국과 유럽의 사이버 관계자 사이에는 여하튼 많은 나라가 참가할 수 있도록 처음에는 구속력이 강한 조건이 아닌 신사 협정부터 행동 규범이 시작해야만 한다는 소리가 많다. 그 중에서도 중국과 러시아는 전쟁의 방지보다도 네트워크상에서의 정부 비판 등 언론의 규제를 중시하고 있다. 주요국이 참가한 보편성이 높은 행동 규범의 실현은 앞날에 어려움이 많을 것으로 보인다.　
 
이렇기 때문에 각국은 지금 당장, 노력과 비용이 소요될 지라도 중요한 사회 인프라의 제어 시스템을 네트워크로부터 완전 분리하거나, 이미 잠입한 바이러스의 발견·대처, 민관 협력 강화 등의 자체적인 노력을 구하고 있는 것 같다. 참고로 사이버 공격의 당사자가 개인이나 그룹으로 노린 것이 장난이나 데이터를 훔친 것이라면 일반으로 범죄행위로 보여진다.
 
국제 사회에 있어서는 사이버범죄조약(2004년 발효)으로 단속을 위한 협력체제가 될 수 있다. 반면, 사이버 공격의 당사자가 국가로 목적이 상대국에 중대한 피해를 미치는 공격인 경우, 단순한 범죄를 넘어, 국가에 의한 무력행사에 해당하는 것으로 보는 견해도 최근 부상하고 있다. 미국은 자국의 사이버 공격에 대해서 군사력을 포함한 보복을 시사하고 있다. 단지 유엔헌장이나 국제 조약 등 기존의 국제법 체계 가운데에서의 사이버전쟁의 위치 정립은 명확하게 되어 있지 않다. [박춘식 서울여자대학교 정보보호학과 교수]