세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
영국, “사이버 공격 받으면 군사적 행동 취할 수 있다”
  |  입력 : 2018-05-28 17:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공격으로 인명 피해 발생시, “군사적으로 보복”
많은 국가들의 입장...문제는 공격 행위의 주체자 입증하기


[보안뉴스 문가용 기자] 영국이 사이버전에 대해서 대담한 발표를 했다. 영국 국방부의 공군 중장인 필 콜린스(Phil Collins)의 입을 통해서였다. 왕립합동군사연구소(Royal United Services Institute, RUSI)에서의 연설을 통해 “사이버 공격 행위의 결과로 물리적 군사 행위가 유발될 수 있다”는 것이었다.

[이미지 = iclickart]


콜린스 중장은 “최근에 영국 및 그 동맹국들을 겨냥한 과도한 스파이 행위가 이뤄지고 있다”며 “시리아에서 보안 전문 인력 및 단체들이 계약을 맺고 사실상의 전쟁 행위를 하고 있으며, 각국의 주요 사회 기반 시설을 겨냥한 사이버 공격 사례가 끝도 없이 발생하고 있고, 명성을 손상시키고 정치적 과정들을 왜곡시키려는 시도는 물론 암살 시도도 있었다”고 말했다.

그러면서 “현대에 와서는 전쟁의 속성이 보다 광범위한 곳에서 전략적으로 일어나는 것으로 변했으면, 경쟁과 대립을 지속적, 전방위적으로 하는 것으로 바뀌었다”고 설명했다. “그래서 영국은 물리 및 가상 공간 모두에서 이러한 위협적 행위를 먼저 이해하고, 결정하고 필요하다면 행동을 취할 수 있어야 합니다. 즉 사이버 공격에 맞서 자기 방어를 위해 필요한 곳에서 미리 선제적인 행위를 할 수 있어야 한다는 겁니다.”

이에 영국 법무상 제레미 라이트(Jeremy Wright)는 “국가적 행위와 국제법 사이의 관계에 대해서도 생각해야 한다”며 “사이버 공간은 국제 질서에 근거를 한 규칙에서 자유로울 수 없고, 그러므로 국가가 인터넷 공간에서 할 수 있는 일이 있고 할 수 없는 일이 있다”고 말했다. 즉 “어떤 행위에 대해서나 국가는 그에 대한 책임을 져야 한다”는 것으로 “사이버 공격을 받은 국가는 이에 대항할 권한이 있다”고 그는 말한다.

“여기에는 두 가지 관점이 있습니다. 먼저 인명 피해를 일으킬 수 있거나 일으킨 사회 기반 시설 사이버 공격에 대해서는 ‘사이버적인’ 방법 외에 다른 수단을 취해서 합법적으로 대응할 수 있습니다. 죽음은 물론 실제 파괴적인 무기를 사용한 것과 비슷한 수준의 피해가 발생했다면, UN 헌장 51조에 근거해 자기방어 권한이 주어지는 것이죠.” 51조에는 “무장 공격이 발생했을 때 개인 혹은 집단적인 자기방어 권을 누구나 갖게 된다”고 명시되어 있다.

이에 보안 업체 스카이스(Scythe)의 CEO인 브라이슨 보트(Bryson Bort)는 “이런 국제법 해석이나 정부 차원의 접근이 새로운 건 아니다”라고 말한다. “사실 이런 의견은 매우 인기가 높은 것이죠. 어떤 국가든 생명과 관련된 사건이 발생하면 군사적 보복을 할 수 있다는 것이 국제법에 있기 때문에 근거가 없는 것도 아닙니다.”

그렇다면 미래에 있을 인명 피해 때문에 미리 하는 선제적인 방어는 괜찮은 걸까? 보안 업체 데미스토(Demisto)의 CEO인 슬라빅 마르코비치(Slavik Markovich) 역시 이 부분이 궁금하다. “예를 들어 스턱스넷(Stuxnet) 사태는 어떨까요? 자국민들에게 쏠지도 모르는 핵 무기 개발을 막기 위해 취한 미국과 이스라엘의 선제적 방어라고 볼 수 있을까요? 사이버 공격을 받은 곳에서 인명 피해가 발생하기라도 했다면, 이란은 미국과 이스라엘에 군사적 보복을 해도 됐던 것일까요?”

다른 한 개의 관점은 ‘인명 피해가 없는’ 사이버 공격에 대한 보복 조치다. 라이트는 그의 연설을 통해 “인명 피해가 없는 사이버 공격에 대해서 물리적인 대응을 할 수 없다”고 말한다. “그러므로 러시아가 2016년 미국 대선에 개입했어도 미국이 군 병력을 동원해 조치를 취할 수는 없다는 것입니다.”

물론 사이버 공격에 대해 대응 자체가 금지된 것은 아니다. 다만 무력(즉 군사력)을 동원해서는 안 되고, 적대적 국가의 행위나 행위자들을 멈추기 위한 정도로만 조치를 취해야지, 그 이상 과도한 행위는 불법이다. “국제법상 올바른 필요에 의해서, 적절한 정도 선 내에서는 보복 행위가 가능합니다.”

하지만 라이트는 이 시점에서 국제법 위원회와 반대되는 의견 하나를 발표했다. “어떤 보복 행위라도, 행위자가 보복을 받는 상대 국가에 이를 고지할 의무가 없다고 봅니다. 보복에 대한 권한이 있으므로, 그냥 그 권한을 실행하면 되는 문제입니다.” 이는 그의 개인적인 의견이 아니라 영국이라는 국가의 정부가 취할 방향과 같을 것이라고 외신들은 전파하고 있다.

보트는 “간단히 말해 사이버 공격으로 누군가 죽었으면 군사적인 보복 행위가 가능하고, 사이버 공격으로 아무도 죽지 않았으면 사이버 공격으로 더 큰 피해를 입힐 수 있다는 말이고, 영국은 앞으로 그렇게 할 것이라는 말”이라고 정리한다. 보트는 “이것이 사실 우리가 처한 상황에서의 현실”이라고 덧붙인다. “사이버전이 그만큼 심각한 수준에 올랐다는 뜻이죠. 이런 방향성이 많은 인기를 구가하고 있기도 하니 영국의 이런 입장이 주류가 될 것으로 봅니다.”

그런데 문제가 하나 있다. 바로 귀속성(attribution)이다. 많은 국가들이 발표는 하지 않았지만 영국과 같은 입장을 고수하고 있었다고 하더라도, 결국 기술적으로 공격 행위자를 증명할 수가 없었기 때문에 사이버 공격으로 인한 전쟁이 발발하지 않은 것이다. 보트는 “이에 대한 해결은 쉽지 않을 것으로 보이며, 공격 국가를 찾아낸다 하더라도 ‘개인의 일탈’ 정도로 얼마든지 돌려버릴 수 있을 것”이라고 예상한다.

보안 업체 애즈텍(AsTech)의 최고 보안 전략가인 네이든 웬즐러(Nathan Wenzler) 역시 “귀속 문제가 큰 장애가 될 것”이라고 예상한다. “보안 업계에서는 영원히 풀리지 않을 것 같은 문제죠. 아무도 이렇다 할 답을 낸 적이 없고요. 그런 상태에서 누군가 보복 행위를 취한다면 윤리적, 법적, 정치적 문제가 한 번에 발생할 겁니다. 여기에다가 보복을 당한 자가 공격 행위와 전혀 상관이 없다는 것이 밝혀지기라도 한다면 이제 그 국가가 보복 대상국이 되는 것이죠. 누가 그랬는지 정확히 밝혀낼 수만 있었다면 사이버전이라는 게 지금의 수준으로 오지도 않았을 겁니다. 보복? 좋아요. 정확한 증거만 제시할 수 있다면요.”

하지만 보트는 이 문제가 장애물 수준으로까지 작용하지는 않을 것이라고 본다. “귀속은 일반 범죄에서도 까다로운 문제입니다. 억울하게 죽은 사람들도 많죠. 하지만 정부 기관들이 가진 사이버 보안 및 수사 능력은 일반 사람들이 상상하기 힘들 정도로 대단합니다. 첩보 수집을 통한 전쟁의 역사도 오랫동안 수행해왔죠. 잡기 힘들 거라고 생각했던 범인들을 체포하는 데 성공한 사례도 많습니다. 영국 정부가 행동을 취한다면 증거가 확실하니까 취하는 걸 겁니다.”

그러나 웬즐러는 그리 긍정적이지 않다. “저는 이러한 사이버 공격에 대한 정당한 보복의 개념이 정치적으로 악용될 소지가 높다고 봅니다. 실질적으로 보안이 강화되는 긍정적 효과는 미비할 것 같고요.” 실제로 라이트 법무상은 “국가가 어떠한 행위에 대해 누군가를 귀속시킬 때, 그 증거가 되는 자료를 대중에게 공개할 의무가 없다”고 발표했다. “심지어 귀속시킨다는 것을 발표할 의무도 없으며, 보복 행위를 공개할 의무도 없습니다.”

보트는 “이러한 발표는 앞으로 영국을 공격하려면 대가를 치를 생각을 해야 할 것이라는 전 세계적인 경고 메시지”에 가깝다고 보고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)