세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
국제법의 사이버 버전인 탈린 매뉴얼, 두 번째 판 발표
  |  입력 : 2017-02-06 16:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
탈린 1.0을 잇는 2.0 버전 작성 완료...현재 60달러에 판매 중
기존 국제법을 사이버 공간에서의 행위에 적용하기 위한 제안


[보안뉴스 문가용 기자] 에스토니아의 수도 탈린에 위치한 NATO 산하 사이버방어협력센터(Cooperative Cyber Defense Centre of Excellence, CCDCOE)가 최근 ‘탈린 매뉴얼 2.0’을 발표했다. 정확한 이름은 ‘사이버 작전에 적용할 수 있는 국제법에 관한 탈린 매뉴얼 2.0’이며, 2월 8일 워싱턴과 2월 13일 헤이그, 탈린에서 2월 17일 공식으로 발표될 예정이다.

▲ 충돌하면 튀어나오는 갖가지 문제들...


탈린 매뉴얼 2.0은 당연히 2012년에 공개된 탈린 매뉴얼 1.0을 계승한 것으로, 1.0이 사이버전과 관련된 국제법을 정의하는 데에 초점을 맞췄다면 2.0은 엄밀히 말해 사이버전으로 분류될 수는 없지만 유사한 사이버 범죄 활동들에까지 범위를 넓혔다. 그렇기에 1.0의 부제가 ‘사이버전에 적용이 가능한’인 것에 반해 2.0의 부제는 ‘사이버 작전에 적용이 가능한’으로 책정된 것이다.

탈린 매뉴얼의 특징은 ‘도덕적 혹은 윤리적 관점’에서 사이버전이나 사이버 범죄 행위들을 바라보지 않는다는 것이다. 철저하게 현재의 각종 사이버전 및 사이버 범죄 행위를 기존의 국제법이라는 틀에서 관찰하고, 그에 따라 현존하는 국제법을 어떤 식으로 적용시켜야 할 것인지를 짚어낸다. 국제법을 사이버 공간으로 옮겨온다고 했을 때 스스로를 방어할 권리, 보복 공격의 권리, 공격 근원지 식별에 관한 내용 등을 적용하는 게 논란거리로 부각되어 왔는데 2.0 버전은 이 부분을 어느 정도 해결하고 있다.

예를 들어 민간 부문의 기업들 사이에서는 현재 ‘보복 공격 혹은 응징’에 대한 요구 사항이 늘어나고 있는데, 대부분의 국가에서 이는 금지되어 있는 사안이다. 한 정부가 다른 나라 정부 혹은 다른 나라에 있는 외국 업체를 공격했을 때, 피해 업체로서는 보복 공격을 할 권리가 법적으로 보장되지 않는 경우가 많다는 건데, 이를 ‘국가가 국가를 공격한 것’으로 해석하면 국제법상 보복 공격이 가능해진다고 탈린 매뉴얼은 언급하고 있다. 물론 ‘비례적인 대응 조치’로 한정되어 있긴 하다.

공격 근원지 식별에 관한 내용도 다뤄진다. 현재 대부분의 법에서 범죄 행위가 명확하게 밝혀지지 않은 자에 대해서 처벌을 내릴 수 없는 게 당연하다. 범죄자가 확실하게 드러나지 않은 사건에 대하여서도 법이 적용되기는 힘들다. 그건 탈린 매뉴얼에서도 마찬가지이지만, 최근 MS가 다양한 기술 및 방법을 통해 국제 재판이나 사건에 도움을 주고자 가장 강력한 용의자의 정체를 제안하기로 했다. 그러나 이 부분에서는 내부 집필진들 사이에서도 의견이 분분하다. 워싱턴 등지에서 공식 발표되기 전까지도 이 부분은 해소되지 않을 것으로 보여 논란이 예상된다.

다만 MS가 제공할 수 있는 건 ‘제안’일 뿐이라, 사건 관계자 및 재판 권한을 가진 자 혹은 단체가 이를 받아들이기를 거부하면 그 후 절차에 대해서는 탈린 매뉴얼 2.0의 내용을 따르지 않아도 된다. 즉 탈린 매뉴얼 2.0을 발동시킬 수 있는 여러 가지 필요 조건 중 하나에 불과할 뿐이라는 것이다. 그렇기에 합의점에 이르지 못한 작성자들이 ‘제안’이라는 선까지만 정해서 매뉴얼을 발표한 것으로 보인다.

탈린 매뉴얼의 작성은 무력 충돌에 관한 법률 전문가이자 영국 엑세터로스쿨의 국제법 교수인 마이클 슈미트(Michael Schmitt)가 주도하고 있으며, 그 외에 18명의 국제법 전문가들이 집필에 참여하고 있다. CCDCOE가 NATO의 산하이긴 하지만 탈린 매뉴얼 2.0이 NATO의 정치적이거나 법적인 스탠스를 정확히 계승하거나 대변하고 있는 건 아니다. 하지만 탈린 1.0은 그 동안 국제 관계에 있어서 사이버 문제가 생겼을 때 중요한 참고자료로서의 역할을 해왔다.

슈미트는 “1.0의 인기가 예상했던 것보다 훨씬 높았다”며 그 이유에 대해 “그 어느 나라 건 정부는 잠재적인 공격자들에게는 법의 잣대를 높이고 싶어하지만, 동시에 자기들 스스로를 위해서는 법의 잣대를 낮추고 싶어하기 때문”이라고 설명한다. “탈린 매뉴얼이 그걸 정확히 충족시키거든요. 이미 존재하고 있는 국제법을 엄격히 활용하는 거라, 정부들에게는 더 복잡하거나 고민할 게 없고, 사이버 범죄자들을 처단할 근거만 생긴 거니까요.”

국제법을 사이버 공간에 적용 가능하도록 해석한 시도가 어느 정도나 통용될지는 미지수이나, 1.0의 그것과 비슷한 수준이 될 것으로 많은 전문가들은 예상하고 있다. CCDCOE 홈페이지는 여기서 열람이, 탈린 매뉴얼 2.0은 여기서 구매가 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)