총성 없는 전쟁, 규칙도 없는 전장
2021년 5월, 미국 최대 송유관 운영사 콜로니얼 파이프라인(Colonial Pipeline)이 랜섬웨어 공격을 받아 미국 동부 해안 연료 공급의 45%가 닷새간 차단되었다(당시 미국 에너지부 및 복수 주요 언론 보도). 주유소마다 차량이 줄을 서고, 일부 지역에서는 사재기가 벌어졌다. 총 한 발 쏘지 않았지만 수백만 명의 일상이 흔들렸다.
이것이 21세기 전쟁의 실제 모습이다. 그리고 그 전장에는 아직 어떠한 국제 규칙도 작동하지 않는다. 이 '규칙의 공백'이 이 기사의 핵심 문제의식이다.
가디언(The Guardian)이 보도한 바에 따르면, 국가 주도 사이버 간첩 활동과 글로벌 해킹 공격이 급증하면서 기존 국제법으로는 대응 자체가 불가능한 새로운 형태의 위협이 현실화되었다. 유엔(UN)과 주요 기술 기업들이 사이버 공간에서의 무력 충돌을 규제하고 민간 인프라를 보호하기 위한 국제적 합의의 필요성을 공개적으로 역설한 것도 이런 맥락에서다.
'디지털 제네바 협약(Digital Geneva Convention)'이라는 개념이 국제 무대에서 진지하게 논의된 배경이 여기에 있다. 1949년 체결된 제네바 협약(Geneva Convention)은 전쟁 중 민간인과 부상자, 포로를 보호하는 국제 인도법의 근간이다. 핵심 논리는 단순하다.
전쟁에도 지켜야 할 선이 있다는 것이다.
광고
디지털 제네바 협약은 이 원칙을 사이버 공간에 이식하려는 시도다. 구체적으로는 국가 간 사이버 공격의 '레드 라인(red line)'을 설정하고, 병원 전산망이나 국가 전력망을 겨냥한 공격을 명시적으로 금지하며, 공격 발생 시 책임 소재를 국제법적으로 확정하는 것을 목표로 삼는다.
여기에 악성 코드(malware)의 개발과 거래를 제한하는 사이버 무기 비확산 조항도 포함될 수 있다고 전문가들은 내다본다. 현실의 피해가 너무나 구체적이기에 이 논의는 단순한 이상론에 머물지 않는다. 병원 전산망이 랜섬웨어에 감염되면 수술실 예약 시스템과 환자 기록 접근이 동시에 마비된다.
2020년 9월 독일 뒤셀도르프 대학병원이 랜섬웨어 공격을 받았을 당시, 응급 환자 한 명이 시스템 마비로 인해 다른 병원으로 이송되는 도중 사망한 사례가 보고되었다. 다만 독일 당국은 이후 수사에서 랜섬웨어와 해당 사망 간의 직접적 인과관계를 최종 확인하지 않았으며, 이 사건은 사이버 공격이 초래할 수 있는 인명 위험의 경고 사례로 주로 인용된다. 전력망 공격은 더 광범위한 파급력을 갖는다.
2015년 우크라이나 전력망을 겨냥한 사이버 공격은 약 23만 명의 가정에서 최장 6시간 동안 전기를 끊었다(미국 산업제어시스템 사이버비상대응팀 ICS-CERT 분석). 이는 단순한 해킹이 아니라 민간인에 대한 실질적 공격이었다.
광고
디지털 제네바 협약이 이러한 공격 유형에 명시적 금지선을 그을 수 있다면, 그 억지 효과는 충분히 논거를 갖는다. 그러나 합의의 길은 험난하다. 미국, 러시아, 중국이라는 세 개의 사이버 강대국이 제각각의 논리로 충돌하기 때문이다.
미국은 사이버 공격에 대한 즉각적인 보복 권리를 포기할 수 없다는 입장을 고수해왔다. 특히 국가 주도 공격에 대한 귀속(attribution) 문제에서 자국의 판단 권한을 국제 기구에 넘기는 데 강한 저항감을 보인다.
반면 러시아와 중국은 사이버 공간에서의 군사적 행동을 엄격히 규제해야 한다는 원칙론을 내세우면서도, 실제로는 국가 주권을 명분으로 내부 인터넷 통제와 해외 정보전을 지속해왔다. 두 입장 사이에는 표면적 수사와 실제 행동 사이의 간극이 분명히 존재한다.
전문가들이 디지털 제네바 협약의 단기적 체결을 비관적으로 보는 핵심 이유가 바로 이 구조적 불신이다. 일각에서는 기술 기업들의 자발적 규범 수용이 국가 간 합의를 우회하는 현실적 대안이 될 수 있다고 주장한다.
마이크로소프트(Microsoft)는 수년 전부터 '사이버 평화 협약(Cybersecurity Tech Accord)'을 통해 민간인을 겨냥한 사이버 무기 개발에 참여하지 않겠다는 원칙을 내부적으로 채택했다. 이 협약에는 150개 이상의 기술 기업이 서명한 것으로 알려져 있다.
광고
그러나 이 접근법에는 결정적 한계가 있다. 기술 기업의 자율 서약은 국가 행위자를 구속하지 못한다.
러시아 군 정보기관 산하 해킹 조직이나 중국 국가안전부 연계 그룹이 기술 기업들의 자발적 선언에 따를 이유는 없다. 규범의 실효성은 결국 강제력을 수반하는 국가 간 조약의 형태를 필요로 한다는 것이 이 기사의 판단이다.
강대국 이견이 가로막는 합의의 길
반론도 경청할 필요가 있다. 일부 국제법 학자들은 이미 기존 국제법 체계, 특히 유엔 헌장의 무력 사용 금지 조항과 자위권 규정이 사이버 공간에도 적용 가능하다고 주장한다. 별도의 협약보다는 기존 틀을 사이버 영역에 적용하는 해석론이 더 현실적이라는 시각이다.
탈린 매뉴얼(Tallinn Manual)이 이 방향을 제시한 대표적 문서다. 그러나 이 접근법의 약점은 명확하다. 해석의 여지가 넓을수록 강대국은 자국에 유리한 방향으로 적용하며, 분쟁 시 책임 귀속 판단은 사실상 불가능해진다.
'이미 규칙이 있다'는 주장이 '그 규칙이 실제로 작동하고 있다'는 것을 의미하지 않는다. 현실의 공백을 채우기 위해서는 사이버 공간에 특화된 명시적 규범 체계가 필요하다는 결론을 피하기 어렵다. 한국은 이 논의에서 어떤 위치에 서 있는가.
한국은 고도로 디지털화된 사회이면서 동시에 지정학적으로 가장 심각한 사이버 위협에 노출된 국가 중 하나다.
광고
북한의 국가 주도 해킹 조직은 국제 사이버 보안 당국이 지목하는 최상위 위협 행위자에 속한다. 금융기관, 국방 연구소, 암호화폐 거래소에 이르기까지 한국을 겨냥한 사이버 공격의 스펙트럼은 어느 나라보다 다양하고 지속적이다. 이런 현실에서 디지털 제네바 협약 논의를 강대국들만의 문제로 방치하는 것은 스스로 방어막을 포기하는 것과 다름없다.
유엔 안보리 비상임이사국 경험과 중견국 외교의 자산을 활용해 국제 사이버 규범 논의에 적극 참여하고, 의제 설정 과정에서 자국의 안보 이익을 반영해야 할 시점이다. 디지털 제네바 협약이 실현되든 그렇지 않든, 그 논의 테이블에 앉아 있지 않으면 결과를 수동적으로 수용하는 처지가 될 수밖에 없다. 사이버 전쟁의 무법 지대는 강대국이 원해서 유지되는 측면이 있다.
규칙이 없을수록 힘이 센 쪽이 유리하다는 냉혹한 논리가 작동하기 때문이다. 그러나 역사는 총력전의 참화 이후에야 제네바 협약이 탄생했음을 보여준다. 디지털 세계에서 그 임계점이 어디에 있는지, 우리는 아직 모른다.
국제사회가 그 임계점에 도달하기 전에 합의를 이끌어낼 수 있을지 여부가, 이 세기 국제 질서의 핵심 시험대 가운데 하나로 남아 있다. Q. 디지털 제네바 협약이 실제로 체결되면 사이버 공격을 완전히 막을 수 있나.
A. 협약이 체결된다고 해도 모든 사이버 공격이 즉각 사라지지는 않는다.
광고
기존 제네바 협약도 민간인 피해를 완전히 막지 못했듯, 디지털 제네바 협약은 공격을 억제하고 책임을 묻는 국제적 근거를 제공하는 수단이다. 특히 국가 귀속이 확인된 공격에 대해 외교적·법적 대응의 틀을 마련한다는 점에서 실질적 억지력을 가질 수 있다고 전문가들은 내다본다.
한국이 이 논의에 침묵할 수 없는 이유
Q. 한국은 현재 국제 사이버 규범 논의에 어느 정도 참여하고 있나. A.
한국은 유엔 산하 정부전문가그룹(GGE)과 개방형작업반(OEWG) 논의에 참여해왔다. 그러나 의제를 주도하거나 규범 형성의 핵심 행위자로 부상했다는 평가는 아직 공식적으로 확인되지 않았다.
북한의 지속적 사이버 위협에 직접 노출된 국가로서 피해 사례와 대응 경험을 국제 논의에 적극 투입하는 것이 한국의 현실적 기여 방안으로 거론된다. Q.
기술 기업들의 자발적 규범 참여는 왜 한계가 있나. A.
마이크로소프트 등 150개 이상의 기업이 서명한 사이버 평화 협약(Cybersecurity Tech Accord)은 민간 기업들의 자율적 약속에 기반한다. 국가 정보기관이나 군 산하 해킹 조직은 이 협약의 적용 대상이 아니며, 위반해도 제재를 가할 강제 수단이 없다.
실효성 있는 규범은 국가를 직접 구속하는 조약 형태여야 한다는 것이 국제법 전문가들의 일반적인 견해다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}