2. 본론_사이버 공간에 대한 국제법의 적용 – Tallinn Manual을 중심으로[국제법]

Ⅱ 본론

1. 이론적 배경 및 주요 개념

1.1. Tallinn Manual의 채택

사이버공간은 육지, 바다, 상공, 우주에 추가된 인위적인 공역으로서 가상의 존재로 인식되었다. 21세기에 들어서면서 실제적인 물리공간으로 현실적인 요소로 반영하게 되었다. 사이버전(4)에 관한 국제법적 연구에 있어 Tallinn Manual은 큰 의미를 가진다. Michael Schmitt교수를 비롯한 25명의 국제법 및 기술전문가가 3년에 걸쳐 연구에 참여하였다. 이 전문가 그룹(Internatinal Group of Experts)는 미국 사이버사령부(USCYBERCOM) 및 NATO가 참관인 역할을 하였는데, 흥미로운 점은 연구에 미국, 영국, 독일 등 주요 서방국가의 군사교본이 참조된 사실이다.(5)

 

Tallinn Manual의 의의는 현존 국제법이 사이버공간에 적용되다는 원칙을 확인하였다는 것이다. 현제 국제법 중 전시국제법의 jus ad bellum과 jus in bello의 사이버전 적용가능성을 판단한 것이라 볼 수 있다. 다만 Tallinn Manual의 연구과정에서 주요서방국의 군사교본만을 참조한 것은 한계점으로 지적될 수 있으며 구체적인 논증 없이 결론이 제시된 것은 추가적인 연구에 많은 부담을 줄 수 있다.

 

1.2. Tallinn Manual의 체계

Tallinn Manual은 2부 95개 규칙과 각 규칙에 대한 주석으로 구성되어있다. 이는 국제관습법을 반영하는 것으로 보인다. 주석은 법적 쟁점에 대해 전문가들 사이의 입장 차이를 드러내고 있다. 제1부 국제사이버보안법(International cyber security law)과 제 2부 사이버 무력분쟁법(The law of cyber armed conflict)으로 구별한 후 전통적인 전시국제법의 적용을 설명하면서 새로운 전투방법과 수단에 적용할 수 있는 규칙을 제시하고 있다. 내용면으로는 제 1장은 사이버 공간에서 국가주권 및 관할권 그리고 국제적 위법행위에 대한 국가의 책임, 제 2장은 무력사용의 허용여부 제 3장에서 제 7장에는 무력사용에서 허용되는 규범의 여러 규칙을 다루고 있다. 이는 기존의 국제법을 바탕으로 구체적인 적대행위 및 대응이 사이버 공간상에서 논의한 것이다.(6)

Tallinn Manual의 체계는 부록 <표. 1>에 정리해 놓았다.

 

1.3. 사이버 공격 개념 정의

사이버전과 관련하여 새로운 전쟁수단으로서 ‘컴퓨터네트워크공격’(Computer network attack)이 개발되고 2007년 에스토니아 및 2008년 조지아에 대한 해킹 사건으로 새로운 전쟁수단에 대한 국제법적 관심이 높아지게 되었다. 이후 2010년 이란의 핵시설에 대한 공격을 전후로 미국을 비롯한 서방국가들이 ‘국가사이버안전전략(National Cyber Security Strategy; International Strategy for Cyberspace)’를 채택하였다. 본 보고서는 주요 개념들을 International Strategy for Cyberspace에서 도입하였다.(7)

 

미국 국방부는 ‘컴퓨터 네트워크 공격(Computer network attack)’을 컴퓨터와 네트워크에 존재하는 정보 또는 그 자체를 교란하고, 저하하거나 파괴하기 위해 컴퓨터네트워크의 사용을 통하여 행해지는 행위라고 정의한다.(8) NATO는 미국 국방부의 정의를 따르고 있다. ‘컴퓨터 네트워크 공격’은 법적용어가 아닌데, 이 용어에 포함된 ‘공격’은 국제법상 의미를 가지는 전문용어이다. 즉 국가가 평시에 무력으로 진압할 수 있다는 것은 잘못된 생각이며, 사이버 무력사용과 사이버 무력공격은 중요한 개념이라 볼 수 있다.

 

2. 국내 예시

한국은 정보통신기반보호법에서 해킹, 컴퓨터바이러스, 서비스거부 또는 고출력 전자기파 등에 의한 정보통신기반시설을 공격하는 행위를 전자적침해행위라고 정의하고 있다.(9)

 

한국수력원자력 해킹사건을 본 보고서에서 주요예시로 소개하고 Tallinn Manual의 적용한 사건해석을 시도할 것이다. 한국수력원자력 해킹사건은 한국수력원자력 핵발전소를 해킹으로 파괴하겠다는 목표로 6차례에 걸쳐 한국수력원자력의 유출자료를 웹사이트에 공개하며 원전중단을 요구한 사건이다. 이 사건에서 해커들은 이메일을 통해 한국수력원자력에 악성코드를 감염시킨 것으로 알려져 있다. 해킹에 사용된 IP대역과 공격특성 유사성 등에서 공격수법이 320, 625 해킹사건과 유사성이 있다는 분석이 있었으며 이로 인해 검찰, 국가정보원, 한국인터넷 진흥원 등으로 이루어진 정부합동수사단은 한국수력원자력 해킹은 북한해커 조직의 소행으로 잠정 결론을 내렸다.

 

Tallinn Manual의 사이버전 적용 국제법의 관점에서 사실관계를 해석해보자면, 원자력발전소와 같은 기반시설에 대한 공격 금지 조항이 적용가능한지에 대해 살펴보고 원자력발전소의 피해단계가 파괴에 이르렀는지 논의해보아야 할 것이다. 주요한 사이버전 국제법 원칙인 비례성의 원칙과 필요성의 원칙 측면에서 위 사건은 실질적인 피해가 크지 않다는 점에서 필요성의 원칙까지 연계하기에는 무리가 있다. 즉, 원자력발전소의 피해단계가 파괴단계가 아니며 유출자료를 웹사이트에 공개하여 원전중단을 요구한 것은 원자력발전소 가동에 필요한 시설에 대한 직접적인 공격이 아니므로 대응 조치는 매우 한계적이라는 결론에 도달하였다. 하지만 사이버 작업의 주권 침해 성립 여부를 판정하는 데 있어 물리적 손상이나 상해는 결정적 요인이 아니라 관련 요인들 중 하나에 불과하다는 견해이며 기능의 상실은 주권의 침해를 구성한다고 보고 있어 어느 정도의 기능 상실을 주권의 침해를 구성하는지는 조금 더 논의가 필요해 보인다.

 

이는 과거 북한의 사이버 공격이 웹사이트를 통해 서버 자체를 파괴하거나 암호화시키는 등 테러형 공격에 집중하였다면, 최근엔 금융해킹을 통한 외화벌이로까지 활동영역을 확대하여 Proxy 서버의 주소를 변조하거나 DNS 트래픽 하이재킹의 방법으로 가상화례를 빼내가고 있다. 북한은 대규모 사이버 전력을 구축하고 있는데 국외 예시에서 다룰 ‘래저러스 그룹(Lazarus Group)’과 같은 여러 그룹이 존재한다. 이는 정찰총국 소속의 전자정찰국 사이버전지도국(121국)이 지도하는 것으로 보이며 기술정찰조(121소)와 100호 연구소를 통합해 창설한 기술정찰국(110호)은 2014년 한국수력원자력 해킹과 미국 소니사 해킹까지 공격을 자행한 핵심기관으로 알려져 있다.(10)

반응형

3. 국외 예시

미국의 경우 2011년 International Strategy for Cyberspace에서 ‘정당화된다면’(when warranted) 자국에 대한 어떠한 다른 위협에 대한 경우처럼 미국은 ‘사이버공간에서의 적대행위’(hostile acts in cyberspace)에 대응할 것이라고 밝혔다.(11) Koh교수는 UN헌장 제51조에서 인정된 국가의 자위권은 무력공격 또는 그 임박한 위협이 되는 컴퓨터네트워크행동(computer network activities)으로 촉발될 수 있다고 밝혔다.(12) 국토안보법을 통해 정부조직의 이러한 개편 및 운영의 법적근거를 마련하고 연방정보보안관리법, 사이버보안강화법 등의 후속입법으로 사이버전에 대한 국가안보전략을 뒷받침하고 있다. 미국의 세계경제에 대한 권한과 영향력은 타국가에 비해 크므로, 미국은 미국의 사이버보안침해범죄에 대한 광범위하고 신속한 수사의 법적 근거를 마련하고 경제적 제재로 가해국에 대응할 수 있다는 것이 큰 특징이다. 실제로 미국은 주로 재무부나 국무부 등이 제재 위반자를 제재 명단에 올리는 방식으로 처벌을 가했지만, 최근에는 사법부가 나서 관련인들에게 몰수 소송을 제기하고, 형사기소를 하는 등 사이버안보에 관한 처벌을 강화하고 있다. 9.11 테러 이후 국토안보법(Homeland Security Act)과 애국법의 시행으로 테러 위협에 대응하게 되었는데, 이때 미 하원은 연방이법을 통해 법집행기관에 테러리스트에 대한 전자 모니터링 및 감시권한을 대폭 강화 부여하였다. 또한 외국정보감시법(FISA: Foreign Intelligence Surveillance Act)은 외국요원에 대한 전자적 감청을 규정하고 있는데, 정부의 테러 및 사이버공격 방지를 위해 영장없는 감청에 대한 법원의 심사절차를 완화하였다. ISP와 정보통신업체등이 국가안보국에 개인정보 등 정보를 제공할 경우 면책을 허용하는 규정을 두었고 미 국민의 해외통신감청을 허용하는 등 국가안전보장국의 정보수집 범위를 대폭 강화하였다.(13)

 

국제 사이버공간에 대한 사이버보안 조정 법안을 국내적으로도 다루고 있는데, 상원의 외교위원회는 사이버범죄에 대해 외국의 대응능력을 조사하고 이를 대응하기 위한 계획을 마련하라는 International Cybercrime Reporting and Cooperation Act의 2011년 8월외교위원회 상정에 맞추어 ICCCA(International Cyberspace and Cybersecurity Coordination Act of 2010)법안을 제출하였다. 이 법안은 인터넷과 국제사이버보안과 관련된 사안에 대한 국제적 협력을 제시하고 다자간협약을 체결하기 위한 방안을 담당토록 하는 내용을 담고 있다.(14)

 

 

본 보고서는 북한 국적 해커 박진혁을 2014년 미국 소니 픽처스, 2016년 방글라데시 중앙은행 해킹, 워너크라이 랜섬웨어 공격을 자행한 혐의로 북한 해커인 박진혁이라는 인물을 기소한 사례를 검토할 것이다. 이는 FBI가 미국지방법원(UNITED STATES District Court for the Central District of California)에 제출한 진술서를 열람하여 어떠한 사실관계가 논의되고 법적조치를 취하였는지 확인한 것이다.(15) FBI에 고용된 Special Agent은 미국법률위반에 대해 조사하고 영장을 신청 집행할 권한을 부여받았는데, 열람한 진술서는 박진혁의 컴퓨터에 대한 무단 접근 및 정보 탈취, 컴퓨터와 관련된 사기 및 손상 강탈의도를 밝히고 컴퓨터 이용 사기 및 남용 혐의를 공모한 것으로 기소하고 있다.(16) Dynamic DNS와 같이 구체적인 사이버 공격에 대한 행위도 진술서에는 적시되어 있지만 이는 본 보고서의 범위를 벗어나므로 생략한다.

 

연방 컴퓨터 사기 및 남용법은 사이버 범죄를 기소하는 주요한 법적 메커니즘이며 형사 및 민사 처벌의 근거를 모두 제공하고 있다.(17) 또한 전자 통신 보호법은 전자통신 서비스를 제공하는 시설을 허가없이 의도적으로 접근하는 것을 금하고 있다. 하지만 해커 박진혁의 경우 미국 국내법으로 기소한 것이기 때문에 Tallinn Manual의 적용이 매우 어려워 보인다. 특히 FBI의 진술서에 따르면 국제법의 구체적인 적용에 관한 내용은 검토하고 있지 않다. 즉, Tallinn Manual과 같이 국제법의 적용이 아니더라도 국제 금융영역 내에서 충분히 제재를 가할 수 있다는 견해이다.

 

이 사례에서 Tallinn Manual은 타국 영토에 물리적으로 소재하면서 국가가 수행한 사이버첩보활동의 특수한 경우에 대해 논의 될 수 있을 것이다. Tallinn Manual의 제 1장 규칙 4 주권의 침해 조항을 보았을 때, 위 사건은 북한 국적 박진혁은 북한영토 내에서 사이버첩보활동을 한 것은 아니다. 하지만 한 국가의 기관에 속한 개인이 다른 국가의 영토에 소재하면서 그 국가의 동의나 다른 법적 정당화 사유 없이 사이버 첩보활동을 수행한다면 주권이 침해된 것이다. 원격 사이버 작업의 정확한 법적 성격은 국제법상 다소 불분명한데, 2가지 근거에서 적법성을 판단 할 수 있어 보인다. 첫째, 표적국가의 영토적 완전성에 대한 침해의 정도 둘째, 정부 고유 기능에 대한 개입이나 침탈이 있었는지 여부이다. 첫 번째는 국가가 자신의 주권적 영역에 대한 접근을 통제한다는 전제에, 두 번째는 국가가 자신의 영토 내에서 “다른 어떤 국가도 배제하고 국가의 기능을” 수행할 주권적 권리에 기초한 것이라고 볼 수 있다. 즉, 국가의 사이버 작업이 타국의 주권 침해를 구성하는 것은 그 위반의 근거를 불문하고 행위국가의 영토, 표적국가의 영토, 제 3국의 영토와 같이 어디에서 착수되었는지와 무관하다고 볼 수 있다. 다만, 한 국가의 사이버 작업이 타국의 주권을 침해하는 결과를 낳도록 설계되었으나 효과적인 방어조치에 의해 실패한 경우 후자의 주권이 침해되지 않는다고 판단하기 때문에 사이버 작업에 의한 주권 침해를 위해 반드시 결과가 발현되어야 한다. 따라서 북한 국적 해커 박진혁이 행한 여러 사건 중 실제 미국의 주권을 침해한 결과가 발현한 사건에 대해서만 법적 책임을 물을 수 있다는 결론을 도출 할 수 있다.