7. 발표_사이버 공간에 대한 국제법의 적용 – Tallinn Manual을 중심으로[국제법]

 

 

안녕하십니까? 저는 사이버 공간에 대한 국제법의 적용을 탈린메뉴얼을 중심으로 발표할 손혜강입니다. 시작하기 앞서 저는 여러분께 책 한권을 소개하고 시작할까 하는데요. 이 책은 나토의 사이버방위협력 전문센터를 중심으로 발간한 탈린메뉴얼을 국가정보원, 국가보안기술연구소가 한국어판으로 내놓은 책입니다. 제가 보고서를 쓰면서 많이 참고한 책이고 조약과 관습에 의한 국제법의 법원에 관한 국제법 전문도서라는 점에서 여러분께도 많은 도움이 될 수 있을 것이라 생각하여 소개하게 되었습니다.

 

그러면 지금부터 발표를 시작하겠습니다. 저는 먼저 탈린메뉴얼이 무엇이고, 어떠한 내용이 담겨있는지 소개하고 이를 실제로 어떻게 적용할 수 있는지 논의를 거쳐 발전방향에 대해 언급하면서 마무리 할 것입니다.

 

탈린메뉴얼은 사이버 공간에서 국제법 적용에 관한 해설서입니다. 국제법이 어떠한 기준으로 사이버 공격을 무력사용 혹은 무력공격으로 규정하는가?라는 질문에 답을 제시하는 가장 권위있는 연구문서라고 생각하시면 될 것 같습니다. 2007년 러시아와 에스토니아는 에스토니아의 수도 탈린에 잇는 소비에트연방전쟁기념 동상철거로 의견 충돌이 있었고, 에스토니아는 대대적인 분산서비스거부 일명 디도스 공격을 받았습니다. 그 결과 신용카드 거래와 은행계좌 동결, 뉴스 방송중단, 주요기관 홈페이지 다운, 이동통신망 마비라는 공포스러운 상황이 펼쳐졌습니다. 에스토니아 정부는 공격의 근원지로 러시아를 지목하고 집단 방위를 규정한 나토 제 5조를 발동할 것을 고려했지만 다른 나토 국가들이 사이버 공격을 무력공격으로 간주하는 꺼리며 반대하였습니다. 에스토니아는 달리 보복할 방법이 없자 국내법과 규정에 의거하여 피의자들을 기소하였지만 러시아의 범죄인 인도요청을 거절로 탈린에 거주하는 러시아계 한 명을 처벌하는 것으로 이일을 마무리 하였습니다. 에스토이나 전국을 최악의 혼란으로 빠뜨린 이 학생은 고작 2000달러도 되지 않는 벌금형을 받았습니다. 그 후 나토는 사이버 공간에서 국제법을 어떻게 적용할 것인가 본격적인 논의의 필요성을 느끼고 탈린메뉴얼 제작을 착수하였습니다.

 

그렇다면 사이버 공간에서 국제법이 논란이 되는 이유는 무엇일까요? 일단, 국제법은 국가간의 권리와 의무에 관한 규칙을 정한 조약과 관습법입니다. 사례 1과 사례2와 같이 한 국가의 행위가 타국에 피해를 주었을 때 국제법은 비난의 근거와 일방적 조치를 취할 수 있는 권리의 근거가 됩니다. 만약 사례 1과 사례 2가 사이버 공간으로 공간이 바뀐다면 어떻게 될까요? 사이버 공간 자체의 특성인 모호성과 불확실성으로 같은 결과를 가져왔다 하더라도 상대국이 무엇을 잘못했다고 주장할 것인지 정확한 인과관계를 설명하기 어렵습니다. 또한 전시국제법의 기본원칙인 비례의 원칙에 따르면 전투력 사용과정에서 달성하는 성과와 그 과정에서 발생하는 피해를 비례 계산하여야 한다고 하고 있습니다. 하지만 사이버 공간에서 어떻게 유사한 방법으로 대응할 것인지 그 수위와 수단의 결정은 매우 어렵습니다.

탈린 매뉴얼에서는 대다수 국제법인 수단을 한정하지 않는 것에 주목하여 같은 결과를 야기하는 국가의 행위에 대해 동일한 규칙을 적용할 것을 주장하고 있습니다.

 

그렇다면 탈린메뉴얼이 어떻게 구성되어 있는지 간략하게 짚고 넘어가겠습니다. 탈린메뉴얼은 앞서 말씀드렸다시피 새로운 국제법에 대한 조항연구가 아닌 기존의 국제법을 어떻게 적용하여야 하는지 논하고 있기 때문에 위협행위의 수준에 따라 조약, 유엔헌장, 무력충돌법 등을 어느 수준일 때 적용가능한지 이야기 하고 있습니다. 여기서 무력충돌법은 국제인도법입니다.

 

다음은 Tallinn Manual의 주요 규칙입니다.

규칙 1 주권의 일반원칙은 국가주권의 원칙이 사이버 공간에서 적용된다 입니다. 주권은 국제법의 근본적 원칙인데, 본 규칙은 사이버공간 및 국가의 사이버 작업의 다양한 양상들이 주권 원칙의 테두리를 벗어나지 않는다는 점을 밝히고 있습니다. 여기서 말하는 주권은 1928년 Island of Palmas 중재판정에서 제시된 “국가 간의 관계에서 주권은 독립을 나타낸다. 이 지구상의 일부에 관한 독립은 그 안에서 다른 어떠한 국가도 배제하고 한 국가의 기능을 수행할 권리이다”를 의미합니다. 사이버공간은 물리성이 없고 본질이 가상적인 글로벌 영역과 같이 표현되어 왔습니다. 이는 때때로 국제공공재를 구성한다는 의미에서 공해나 국제공역, 또는 우주공간에 비견되어야 한다는 주장에 제기되기도 하였으나, 국제전문가들은 사이버공간의 영토적 측면과 주권 원칙을 위반하는 사이버작업을 고려하지 않는 것이라는 이유에서 채택하지 않았습니다. 즉, 사이버활동이 국가가 자신의 주권적 특권을 행사할 수 있는 물건과 연관되거나 사람 또는 실체에 의해 수행된다는 사실을 반영한 것입니다.

 

규칙 6은 비국가행위자의 행위에 대해서 상대국에 적용 가능한 규칙이라는 점에서 매우 중요한 규칙이라고 볼 수 있습니다.

여기서 상당한 주의란 국가는 자국의 영토 또는 자신의 정부 통제 하에 있는 영토나 사이버 기초설비가 다른 국가의 권리에 영향을 주고 심각하게 부정적인 결과를 유발하는 사이버 작업에 이용되는 것을 허용하지 않기 위해 상당한 주의를 행하여야 한다.는 것입니다. 전문가들은 일반적 상당한 주의의 원칙이 현재의 법의 지위를 갖추지 못하였지만, 국제연합 정부전문가 그룹(UN GGE)이 원칙의 존재를 절대적으로 부인하지 않았다는 점과 위의 판결과 같이 상당한 주의의 원칙이 주권원칙으로 파생되는 것이라는 점에서 사이버 맥락에서 적용된다고 결론지었다. 나아가 전문가들은 상당한 주의의 원칙이 오랫동안 법리에 반영되어 왔으며, 이는 개별 국제법의 체계별로 구체화되어 온 일반원칙이라는 점을 주목하였습니다.

 

이제 실제 사례에 어떻게 적용할 수 있을지 살펴보겠습니다. 사례는 2014년 한국수력원자력 사건과 2018년 미국의 북한해커 박진혁 기소사건을 살펴보았습니다.

먼저 한수원 사건은 한수원 직원에게 악성코드 이메일을 발송하여 PC를 감염, 파괴하고 원전 운용 관련 자료를 공개하며 원전중단을 협박한 사건입니다. 국민안전과 직결되는 국가인프라 시설인 원전을 대상으로 전 국민에게 지속적이고 공개적으로 협박하여 사회불안을 야기하고 국민들의 불안심리를 자극한 사건이라고 볼 수 있습니다. 탈린 매뉴얼은 사이버 공격이 규모와 효과가 무력 사용에 상응하며 비사이버 작전에 준할 때 무력사용에 해당한다고 간주하고 있으며 무력공격으로 간주되려면 공격 결과로 인한 재산의 물리적 피해나 인명손실이 있어야 된다고 보았습니다.

원자력발전소는 위험한 물리력을 포함하는 시설로서 전쟁법에서는 공격할 수 없다고 규정하고 있습니다. 따라서 원자력발전소의 운용을 방해하기 위한 목적으로 파일실행장애, 네트워크 장애를 유발한 본 사건은 공격 중의 주의의 의무를 다하지 않은 것이므로 충분히 사이버 대응조치의 대상이 될 수 있다고 볼 수 있습니다. 하지만 국제법의 원칙이 되고 있는 비례성의 원칙과 필요성의 원칙 측면에서 실제적인 대응조치가 가능한지는 논란의 여지가 있습니다. 탈린메뉴얼을 참고하였을 때, 본 사건은 실질적 피해가 물리적 관점으로 보았을 때 대응의 필요성을 충족하기 어렵다고 보았습니다. 실제로 정부합동수사단은 범인을 악성코드의 유사성 IP 대역을 조사한 결과 북한 해커집단이라고 결론냈지만 보복조치를 고려하지 아니한 채, 사이버 보안노력, 관리감독을 대응방안으로 내놓았습니다.

 

다음은 미국이 2014년 소니픽처스 2016년 방글라데시 중앙은행 해킹등의 혐의로 북한해커인 박진혁이라는 사람을 기소한 사례입니다. 이 사건은 FBI가 미국지방법원에 제출한 보고서를 열람하여 사실관계를 확인할 수 있었는데요. 이 사건은 해커 박진혁이 타국 영토에 물리적으로 소재하면서 국가가 수행한 사이버첩보활동의 특수한 경우입니다. 북한 국적 박진혁은 북한영토 내에서 사이버첩보활동을 한 것은 아닙니다. 하지만 한 국가의 기관에 속한 개인이 다른 국가의 영토에 소재하면서 그 국가의 동의나 다른 법적 정당화 사유없이 사이버 첩보활동을 수행한다면 주권이 침해된 것이라고 볼 수 있습니다. 따라서 국가의 사이버 작업이 타국의 주권 침해를 구성하는 것은 표적국가의 영토, 행위국가의 영토, 제 3국의 영토와 같이 착수된 장소와 무관하다고 볼 수 있습니다. 미국은 컴퓨터이용사기 및 남용 혐의와 인터넷뱅킹을 이용한 금융사기 혐의로 기소하였지만, 이를 탈린메뉴얼로 해석해보자면 박진혁은 비국가행위자이지만, 국가의 지시에 따르거나 통제하에서 이루어졌으므로 국가에 귀속된다고 볼 수 있습니다. 따라서 박진혁의 행위는 국제법상 북한의 행위로 간주할 수 있습니다. 또한 수천대의 컴퓨터 훼손과 8천 100만 달러에 해당하는 금전적 피해는 상당한 실제적 피해라고 볼 수 있으므로 피해국인 미국에 대한 배상으로 원상회복, 금전배상의 형태를 취해야 한다고 결론 낼 수 있습니다.

 

지금까지 탈린메뉴얼과 2가지 사례를 토대로 국제법을 사이버공간에 어떻게 적용할 수 있는지 살펴보았습니다. 사이버 공간은 어느 국가, 어느 기업, 어느 개인에게도 연결되어 있는 초연결성은 물론 익명성 등의 특성을 가지고 있습니다. 사이버 공간에 적용될 규범은 국가들 사이에 적용될 국제법과 국내에서 적용될 국내법의 구별을 어렵게 하고 있습니다. 또한 사이버공간을 통하여 국가들 사이의 전쟁이 가능하고, 기업들의 경제활동이 가능하며, 개인의 다양한 활동이 가능한 점에서 개인의 표현의 자유와 정보의 권리 등 인권과 기업의 영업비밀 등 지적재산권이 보호되어야 하면서, 국가안보가 보호되어야 하는 점에서 전통적인 공법과 사법의 구별을 어렵게 하고 있습니다. 이는 사이버공간에 대한 법적 규율의 통합적 접근의 필요성과 연결됩니다. 저는 탈린메뉴얼이 위부로부터의 위협발생 및 대외적 대응이 필요할 때 법적 판단요소 식별 기준이 될 수 있다고 생각합니다. 다만 탈린메뉴얼 자체가 국제법이 되기에는 아직 논의가 많이 부족해 보입니다. 예를 들자면 사이버 공간에서 피해국이 자위권을 발동할 수 있을 정도로 무력공격이 심각하여야 하는데, 만약 효과적인 방어가 이루어졌을 때 그러한 행위를 무력공격으로 판단할 수 있을 것인가 문제에 대해서는 Tallinn Manual에서 무력공격으로 판단하고 있지 않습니다. 이러한 측면에서 볼 때, 사이버 공격에 대하여 자위권 차원의 무력공격을 정당화하는 것은 상당히 어려워 보입니다. 이처럼 사이버 공격과 무력공격이 동등한 위치에 있는지 여러 의문점을 낳고 있습니다.

저는 사이버 공간에 대한 국제법이 우호적 사이버 규범환경 형성을 위한 국가정책 수립의 기초자료로 활용될 수 있다는 점과 대응에 관한 정치적 결심을 위한 근거가 될 수 있다는 점에서 시급히 사이버 국제법에 대한 논의를 활발히 하여 합의가 이루어줘야 한다고 생각합니다.