2024-03-29 23:30 (금)
사이버공격, 어느 시점에서 전쟁 행위로 간주해야 하나
상태바
사이버공격, 어느 시점에서 전쟁 행위로 간주해야 하나
  • 길민권
  • 승인 2012.12.26 21:34
이 기사를 공유합니다

어느 정도 규모의 사이버 공격을 전쟁으로 규정해야 하나
[박춘식 교수의 보안이야기] WP지의 안전보장문제담당기자 앨랜 나카시마가 지난 10월 27일자에서 “사이버 공격은 어느 시점에서 전쟁 행위가 되는가”라는 기사를 작성했다. 주요 내용으로 10월 11일에 페네타 국방장관이 사이버 진주만에 대해서 경고를 나타낸 연설을 한 것과 관련해 사이버 공간에서의 전쟁 행위는 무엇인가, 전쟁 행위가 되기 전의 공격에 어떻게 대응해야만 하는 지에 대해 말하고 있다.
 
8월에 사우디아라비아의 석유회사 알램코의 컴퓨터가 Shamoon이라는 바이러스에 공격당해, 3만대의 컴퓨터 데이터가 유출되었으며, 카타르의 가스회사인 라스가스도 동일한 공격을 받았다. 이것은 경제 제재나 핵 시설에 대한 STUXNET공격에 대한 이란에 의한 보복 공격이라고 말하는 사람도 있다.
 
Shamoon 공격은 무력 공격에 필적하는 것과 같은 손해를 입히지는 않았지만, 미국의 몇 개 에너지 회사에 이러한 공격이 행하여 진 경우, 어느 정도의 손해가 날 때에 미국은 보복 공격에 나서는 것인가. 정부 내에서는 어느 시점에서 보복공격을 할지, 컨센스가 있는지 모르지만, 그 내용은 분명하게 되어 있지 않다. 전문가는 사이버 공격의 결과, 여기저기에서 항공기가 추락하거나, 정전이 일어나는 등과 같은 것이 일어나지만 누가 공격을 실행하고 있는지 알 수 없는 경우가 있다고 지적하고 있다.
 
사이버 공격의 대상이 되는 컴퓨터 네트워크는 민간 기업의 것인 경우가 많지만 정부는 민간에 대한 공격을 멈추게 해야 하는가. 만일 공격이 성공하고 동시에 공격자를 특정할 수 있는 경우, 정부는 어떠한 대응을 해야 하는가. 예를 들면, 항공 관제에 대한 사이버 공격이 행해져, 항공기가 추락한 경우, 대통령과 국가안전보장회의는 어떻게 대응을 하는지 결정할 필요가 있다.
 
무엇이 전쟁 행위에 해당하는 지를 결정하는 것은 군사적 결정이나 법적 결정만이 아니라 정치적 결정이다. 국제법은 전쟁 행위라는 표현은 피하면서 무력 공격, 무력 행사하는 단어를 사용하지만 전쟁행위인지 아닌지는 그것을 보는 사람에 의해 결정된다.
 
북한이 한국의 군함을 침몰시켰을 때, 또는 이란이 미국 대사관 직원을 인질로 하였을 때, 미국은 전쟁으로 나서지 않았다. 바이러스가 정전을 일으켰다고 해서 전쟁을 할 것인가. 만일 아니라고 한다면 어떠한 대응을 할 것인가.
 
미국방부의 법률 고문은 “사이버 공격의 결과가 폭탄의 투하나 미사일의 발사와 같은 물리적 결과를 가져오면 그것은 무력 행사와 동일시해야만 한다. 사이버 공격이 그러한 수준에 도달한다면 국가는 자위권을 행사할 수 있다”라고 말하고 있다.
 
콜럼비아 대학의 워크스만 교수는 “알램코의 경우와 같이 단순한 경제적 손해가 발생한 경우, 무력 공격이라고는 말할 수 없다고 한다. 증권 시장에 대한 컴퓨터 공격으로 시장이 폭락한 경우에는 어떤가. 의견은 나누어지고 있다. 정부 내에서는 경우에 따른 검토가 행하여지고 있어 교전 규칙도 검토되고 있다며 “그러나 정부의 간부는, 적에게 무엇이 국가에 대한 공격이며, 무엇이 공격이 아니라는 것을 나타내고 있지 않고 있다고 한다. 미국과 세계는 사이버 병기의 보다 전략적인 사용으로 움직이고 있어, 앞으로 사이버 병기 경쟁도 예상된다. 그 피해는 지금은 진주만이나 9.11과 같은 파괴적인 것은 아니지만 그것도 앞으로는 변할 것”이라고 주장하고 있다.
 
이 논설은 어떠한 사이버 공격에 대해서 자위권 행사가 정당화되는가에 대한 문제 제기를 한 것으로 답은 분명히 나오고 있지 않다. 전쟁 행위라는 것은 개념으로서 명확함에는 부족하기 때문에 사이버 공격의 전쟁 행위 정당성이 아니라 자위권 발동으로 이어지는 무력 공격 해당성을 생각하는 것이 좋으며 무력 공격 해당성에 대한 추상적인 답은 논설 중에 인용되고 있는 국무부의 법률 고문의 이야기대로라고 생각된다.
 
구체적인 교전 규칙은 기밀사항이라든지, 경제적인 손실이 나오는 것만으로 무력 행사라고 하는 것은 무리라고 하는 지적도 그대로일 것이다. 사이버 시큐리티 강화 대책은 다양한 경우를 고려해서 각각에 대해서 어떠한 대응을 취해야만 하는지, 검토를 중복해서 시행착오를 하는 것 외에는 없다. 일본에서는 자위대의 대사이버 병기 연구가 단기간으로 시대에 뒤떨어졌다고 해서 낭비라고 비난받은 것처럼 시행착오에 관용이 없는 풍조가 있는 것이 염려된다. 사이버 공격의 특이한 점의 하나는 공격한 곳을 특정하는 것의 곤란함이지만, 이 논설에서도 알 수 있다.
 
페네타 장관의 연설은 이것을 극복하는 기술에 매진하고 있음을 시사하고 있다. 그렇다면 중대한 사이버 공격에 대해서 통상 병기로 보복하는 것도 있을 수 있다. 미국의 독트린은 현실적인 것이 되며, 이 논설이 제기하고 있는 문제는 점점 더 중요함을 더하게 될 것이다.(okazaki lab)(WEDGE.2012.12.18)
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★