북대서양조약기구(NATO)는 동맹국 간 정책·기술 협력, 정보교류, 인적자원 활용을 바탕으로 활발한 사이버방위 정책을 펴고 있다. 2012년 나토는 사이버공격 발생 시 회원국과 함께 수행해야 할 활동을 명확히 설정했고 군사작전 일환으로 대응절차를 수립했다. 사이버방위 활동 원칙은 △예방활동 강화 △피해 최소화와 신속한 복구 △회원국 간의 중복기능은 피한다는 것이다.
나토는 2013년 3월 사이버교전규칙 탈린 매뉴얼(Tallinn Manual)을 발표했다. 탈린 매뉴얼은 2007년 4월 에스토니아 수도 탈린에서 발생한 디도스 공격으로 기간 네트워크가 마비된 사건이 계기가 됐다. 당시 에스토니아 정부는 러시아 연방보안국(FSB) 소행임을 주장했지만 러시아 당국은 자국 내의 인터넷 사용자들이 벌인 해프닝이라고 일축했다.
사이버테러 심각성을 인식한 나토는 사건 이듬해 탈린에 사이버방위센터(CCDCOE)를 세우고 국제법 전문가 20명을 구성해 교전규칙 논의에 착수했다. 국제적십자사와 미국 사이버사령부까지 참여해 3년간 논의 끝에 대응원칙을 세웠다. 탈린 매뉴얼은 사이버공격을 무력분쟁으로 규정하고 사이버테러로 인해 인명·재산 피해가 발생하면 군사력을 사용할 수 있도록 한 것이 골자다.
총 95개 규칙으로 구성된 탈린 매뉴얼은 국제사회가 공식적으로 채택한 구속력 있는 문서가 아니고 가이드라인 성격을 띠고 있다. 그러다 2014년 12월 소니픽처스 해킹 사건이 일어나고 미국 오바마 대통령이 북한에 대한 ‘비례적 대응’을 천명하면서 재조명됐다.
매뉴얼 9조는 불법 행위의 피해국은 귀책 국가에 대해 비례적 대응조치를 취할 수 있다고 규정했다. 사이버 대응조치는 국제사회의 복잡다단한 관계와 기술적 문제, 특히 공격 근원지의 식별(attribution)을 전제로 하기 때문에 실제로 행동에 옮기기는 쉽지 않다. 하지만 미국은 막강한 기술력과 정보력으로 북한을 즉각 식별하고 응징했다.
![[손영동의 사이버세상]<12> 사이버교전규칙과 임기응변](https://img.etnews.com/photonews/1509/728688_20150929105815_159_0001.jpg)
무력공격 수준의 사이버공격 목표가 된 국가는 자위권을 행사(13조)할 수 있는데 여기에는 필요성·비례성·임박성·즉각성의 요건이 적용된다. 사이버작전을 포함하는 무력 사용은 반드시 필요하고 비례적이어야 한다(13조). 사이버공격이 발생하거나 임박하면 자위 수단으로 무력을 사용할 권리가 발생하며 이 권리는 즉각성 요건을 충족해야 한다(15조)고 정해놓고 있다. 이처럼 탈린 매뉴얼은 인도적 차원에서 불필요한 피해를 최소화하기 위한 규범이지만 다소 현란하고 애매한 표현으로 해석의 주체에 따라 큰 차이를 보일 수 있다.
매뉴얼 49조에는 적법한 목표물과 민간인 또는 민간물자를 구별하지 않고 타격하는 사이버공격을 금지하고 있다. 그러나 현실은 특정국가 혹은 국가 지원을 받은 해커집단이 민간기업과 민간인들을 공격하는 일이 비일비재하게 발생하고 있다.
이에 사이버교전규칙이 굳이 필요한지에 대한 회의적 시각도 없지 않다. 미 보안업체 파이어아이는 “사이버전쟁에서는 이러한 교전규칙이 통용되지 않는다”면서 사이버공격에 대응하기 위해선 국가 간, 정부-산업 간 공동대응의 중요성을 강조한다.
우발적 충돌이 확전으로 이어지지 않도록 일선 지휘관에게 하달되는 사전지침이 막상 사이버전쟁이 발발하면 소용이 없다. 물론 북한과 같은 국가는 국제적 교전규칙을 지키지 않고 앞으로도 지키지 않을 것이다. 국제조약이 있으나마나 한 북한 사이버공격은 헤아릴 수조차 없고, 비국가 해커집단까지 가세해 국가안위를 위협하는 지경에 이르렀다.
탈린 매뉴얼은 잠재적인 위법 행위를 억지하고 국제 법에 맞는 군사적 대응을 가능케 했다는 점에서 의의를 둘 수 있다. 이를 참고해 우리만의 간단명료한 사이버 교전규칙을 마련해야 한다. 한치 앞을 가늠할 수 없는 한반도에서 사이버전 규범은 군 기본 행동 단초를 제공할 뿐이어야 한다. 나머지에 얽매이지 않도록 해야 한다.
사이버전 대응태세의 개념을 포괄적으로 압축하면 그 핵심은 ‘임기응변(臨機應變)’에 있다. 임기응변이란 다급한 상황에서 최선의 전략을 동원해 즉각 행동으로 옮기는 것이며, 대책 없이 엉겁결에 둘러맞춰 요행을 바라는 것과는 다르다. 이러한 대책의 근간이 사이버 교전규칙이다.
손영동 고려대 정보보호대학원 초빙교수 viking@paran.com