|
사이버공격과 사이버억지의 국제정치
규제와 새로운 패러다임을 중심으로*민 병 원 **
지난 10여 년 동안 온라인 네트워크상에서
여러 가지 형태의 사이버공격이 이루어져왔
고, 그중 일부는 심각한 물리적 피해를 야기
하기도 했다. 이러한 경험은 최근 들어 사이
버안보 담론이 전면에 부상하도록 만든 견인
차 역할을 해왔는데, 여기에는 기술적 차원의
공격과 방어를 뛰어넘어 사회적, 정치적, 법적
차원의 다양한 시각과 견해가 중첩되어 있다.
이 논문은 이와 같은 문제의식 하에 사이버안
보 개념의 의미를 검토하고, 그것이 과거의
재래식 억지 및 핵억지의 상황과 대비하여 오
늘날의 국제정치에서 어떤 의미를 갖는가를
탐구하려 한다. 특히 사이버공간에서 이루어
지는 공격과 방어, 억지행위가 전통적인 국제
규범에서 규정하고 있는 무력사용 기준에 어
느 정도 부합하는지를 집중 검토한 후, 사이
버억지의 현황과 한계, 그리고 그것을 이해하
기 위해 제안되고 있는 새로운 패러다임을 살
펴보고 그 국제정치적 의미를 논의한다.
핵심어: 사이버안보, 사이버공격, 사이버억지, 국제법, 규제, 패러다임
국가전략 2015년 제21권 3호
* 이 논문은 2015년 6월 한국국제정치학회 학술회의 및 7월 제주평화연구원(JPI) 정책포럼에
서 발표한 내용을 수정한 것임. 논문을 준비하고 보완하는데 도움을 주신 조화순 교수, 김의
영 교수, 이수형 박사와 익명의 심사자 분들께 감사의 말씀을 드립니다.
** 이화여자대학교 정치외교학과 교수
사이버공격과 사이버억지의 국제정치
규제와 새로운 패러다임을 중심으로*
민 병 원 **
Ⅰ. 들어가는 말
2015년 1월 오바마 미국 대통령은 언론매체와의 인터뷰에서 국제사회에서 고립
되어 있는 북한에 대한 대응조치로서 인터넷의 효율성에 대하여 언급한 바 있다.
2014년에 일어난 소니사 해킹사건과 관련하여 이후 미국의 보복조치가 이루어진
것으로 알려지고 있지만, 미 행정부는 북한의 특수한 상황을 타개하는데 군사적
수단을 활용하기 어렵다는 점을 인정하고 있기도 하다. 이런 맥락에서 인터넷을
통한 정보의 활용이 권위주의 체제를 붕괴시키는데 군사력보다 훨씬 더 강력한
도구가 될 수 있다는 오바마 대통령의 견해에는 타당성이 있다. 하지만 이와 같은
판단이 사이버공간에서 일어나는 모든 문제에 보편적으로 적용될 수 있는 것은
아니다. 오늘날 사이버안보의 문제가 국제정치에서 중요한 화두로 떠오르게 된
배경에는 바로 이러한 판단을 복잡하게 만드는 사이버공간의 고유한 속성이 자리
잡고 있다.
지난 10여 년 동안 여러 형태의 사이버공격이 이루어져왔고, 일부의 경우에는
심각한 물리적 피해를 야기하기도 했다. 이러한 경험은 최근 들어 사이버안보 담
론이 전면에 부상하도록 만든 견인차 역할을 해왔는데, 여기에는 기술적 차원의
공격과 방어를 뛰어넘어 사회적, 정치적, 법적 차원의 다양한 시각과 견해가 중첩
되어 있다. 이 논문은 이와 같은 문제의식 하에 사이버안보 개념의 의미를 검토하
고, 그것이 오늘날의 국제정치에서 어느 정도 적용 가능한지를 탐구하려 한다.
특히 사이버공간에서 이루어지는 공격과 방어, 억지행위가 전통적인 국제규범에서
규정하고 있는 무력사용 기준에 어느 정도 부합하는지를 집중 검토한다. 이러한
논의를 통해 사이버안보 이슈가 오바마 대통령이 언급한 것처럼 새로운 소프트파
워의 도구로서, 그리고 군사전략의 새로운 유형으로서 다루어질 수 있는지를 짚어
보고자 한다.
이를 위해 제2장에서는 먼저 ‘사이버안보’의 담론체계를 살펴보고자 한다. 사이
버침해, 사이버공격, 첩보 등 여러 유형의 공격행위들이 어떤 기술적 특성을 지니
고 있는지, 그리고 실제로 물리적 파괴효과를 야기했던 ‘올림픽게임’ 작전이 어떤
방식으로 운용되었으며 그 의미는 무엇인지 등을 검토한다. 이어 제3장에서는 ‘사
이버공격’ 행위가 국제규범으로 어느 정도 규제 가능한 것인지에 대해 논의한다.
이를 통해 새롭게 등장하고 있는 공격 유형이 국제정치적으로 어떤 의미를 갖는가
를 짚어본다. 제4장에서는 사이버공격에 대응하는 ‘사이버억지’의 개념을 살펴보
고, 냉전기의 핵억지 논리가 사이버공간에서 어느 정도 타당한지, 그리고 새롭게
보완되어야 할 요소는 무엇인지를 여러 대안적 패러다임과 함께 논의하고 그 의미
를 검토할 예정이다.
Ⅱ. 사이버공격과 사이버억지
1. 사이버안보의 개념과 한계
탈냉전기의 군사안보 영역에서 두드러진 현상 중의 하나는 사이버공간에서 벌
어지는 새로운 종류의 공격과 분쟁이다. 2007년의 에스토니아 사례, 2008년의 그
루지야 사태, 2009년 미국과 한국에서 일어난 대규모의 사이버공격, 그리고 2010
년 이란의 핵시설에 대한 악성코드공격 등이 대표적인 경우였다. 정보통신기술의
발달과 디지털 교류의 확산으로 인해 전 세계는 눈에 보이지 않는 촘촘한 그물망
속으로 편입되었고, 이와 비례하여 국가부터 개인에 이르기까지 다양한 행위자들
에게 가해지는 네트워크상의 위험과 위협도 증가해왔다.1) 사이버공간에서 네트워
크를 통해 가해지는 공격과 방어능력은 이제 전통적인 물리적 차원의 능력과 더불
어 정보화 시대의 승패를 좌우하는 중요한 요소로 자리 잡고 있다. 이제 세계는
바야흐로 ‘사이버전쟁(cyber war)’의 시대로 접어들었다는 인식이 널리 공유되고
있다.2)
사이버전쟁은 그 성격이나 수행 방식에 있어 과거의 물리적 전쟁과 동일하지
않다. 과거의 전쟁이 물질적 차원의 공격, 즉 ‘동역학적(kinetic) 공격’을 중심으로
한 것이라면, 사이버전쟁은 이러한 요소 없이도 커뮤니케이션 시스템, 전력망, 석
유화학공장, 핵발전소, 상하수도 시스템 등 중요 기간망에 대한 공격과 방어가 일
어나는 경우에 해당한다. 따라서 ‘사이버전쟁’은 ‘한 나라가 의도적으로 다른 나라
의 컴퓨터 시스템 또는 디지털 기간시설에 대하여 사이버공격을 가함으로써 정치
적 이득을 얻거나 보복을 가하는 행위’로 규정할 수 있다(Debus 2012, 8-10). 사이
버전쟁은 적국의 군 또는 민간부문에 대한 컴퓨터 네트워크 공격을 통해 위협적인
의도를 전달하려 하며, 그로부터 정치적인 양보를 이끌어내고자 한다. 그리하여
상대국의 보복능력과 전쟁의지를 약화시키는 것이 사이버전쟁의 목표이다(Liff
2012, 407-408).
하지만 이러한 개념 규정은 전통적인 ‘전쟁’의 개념을 그대로 사이버공간에 적용
한 것으로서, 몇 가지 문제를 안고 있다. 우선 위협의 원천을 파악하기 어렵다는
점에서 ‘책임소재(attribution)’을 밝히는 것이 쉽지 않다. 인터넷을 통해 제기되는
다양한 위협이 어디에서 유래했는지를 추적하는 일은 상당히 어려운데, 기존의
인터넷 프로토콜(IP) 주소만으로는 위협의 정확한 주체와 위치를 파악할 수 없을
뿐더러 이를 우회하는 간접공격 기술도 다양하게 존재한다. 공격자의 상당수가
국가가 아닌 개인 또는 소규모 집단이라는 점도 문제를 어렵게 만든다. 예를 들어
러시아나 중국에서는 국가와 직접적인 연관성을 갖고 있지 않은 해커들을 양산하고
있는데, 이들을 대상으로 하는 예방조치나 보복전략은 사실상 불가능하다. 또한
전통적인 전쟁과 달리 사이버전쟁에서는 공격자들이 자신들의 의도를 공개적으로
드러내는 대신 비난과 보복을 피하기 위해 은밀하게 공격하는 경우가 다반사이다.
그동안 이루어진 사이버공간의 적대적인 행위는 대부분 전통적인 군사력과 병
행하여 사용되었는데, 이를 고려할 때 ‘사이버전쟁’이라는 개념이 전통적인 전쟁양
식을 대체하는 새롭고 독자적인 유형이라고 이해하기는 곤란하다. 따라서 전통적
인 시각을 지닌 학자들이 비현실적 ‘가상’ 공간을 전제로 한 ‘사이버전쟁’ 개념을
비판하는 것도 그리 이상한 일은 아니다.3) 하지만 이러한 가상 공간의 행위로
말미암아 현실 공간의 피해가 양산되고 있으며, 그로 인한 위협이 무시할 수 없는
지경에 다다른 것도 사실이다. 한 나라의 사이버공격이 다른 나라에 치명적이고
파괴적인 효과를 야기할 수 있다는 사실은, 이것을 전쟁법 또는 여타의 국제법으로
규제해야 할 대상으로 주목받게끔 만들어왔다. 이런 점에서 오늘날의 사이버안보
문제는 전통적인 국제규범에 의한 규제에 커다란 도전을 제기한다. 새로운 기술의
발전과 도입이 이와 같은 과거의 규범으로 다스릴 수 있는 한계를 뛰어넘고 있기
때문이다. 이러한 점들을 고려하여 이 논문에서는 논란이 진행 중인 ‘사이버전쟁’
의 개념 대신 사이버공간의 안보문제를 통칭하는 ‘사이버안보(cyber security)’ 개
념을 사용한다. 특히 논문의 주제와 관련하여 ‘사이버공격(cyber attack)’ 및 ‘사이
버억지(cyber deterrence)’의 개념에 초점을 맞춘다.
전통적인 핵안보의 문제와 비교해볼 때, 사이버안보의 문제는 국제규범 및 제도
의 측면에서 큰 차이를 보인다. 핵무기를 보유한 나라들은 상대적으로 소수였기
때문에 이들 사이에 핵공격의 가능성에 따른 ‘보복의 균형’을 유지하기가 용이했
고, 따라서 ‘상호확증파괴(Mutually Assured Destruction)’가 명확한 억지의 원칙
으로 작동했다. 핵확산방지협정(NPT)이라는 국제규범이 핵보유국들을 중심으로
하여 안정적으로 유지되어온 것도 이런 맥락에서 가능했다. 기존의 재래식 분쟁을
전제로 만들어진 국제법 규범이 핵 대결에도 큰 수정 없이 적용되어왔다는 점은
재래식 무기와 핵무기를 막론하고 일정한 수준의 억지전략에 대한 기대가 현실적
으로 작동해왔음을 시사한다. 하지만 이러한 국제규범과 상호 기대의 프레임워크
가 사이버안보에 그대로 적용되기는 어렵다는 평가가 지배적이다. 사이버공간의
공격행위는 확산이 용이하며 책임소재를 추적하기 어렵고, 기술적 진입장벽이 낮
은데 비해 이를 규제하기는 상대적으로 어렵다는 여러 난점이 존재하기 때문이다
(Geers 2011, 10-12).
사이버공간에서 이루어지는 공격 행위에는 사이버침해(cyber exploitation), 사
이버공격, 첩보 등이 포함된다. 사이버 침해는 은밀한 정보를 취득하려는 목적을
띠는 일반적인 범죄행위인 반면, 사이버공격은 의도적으로 적대국의 컴퓨터 시스
템이나 네트워크를 파괴하려는 목적을 지닌다. 첩보의 경우 전통적으로 국가 간에
빈번하게 자행되는 정보 절취행위라고 할 수 있는데, 오늘날 정보기술의 발전과
더불어 물리적 접촉 없이도 이러한 행위가 더욱 활발하게 일어나고 있다. 이와
같은 사이버공격 행위가 특정 목표물을 대상으로 한다는 점에서는 전통적인 공격
과 유사하지만, 공격행위로 인한 피해의 범위는 훨씬 더 크다는 점에서 차이를
보인다. 네트워크상에서 이루어지는 사이버공격이 복잡하고 불확실하기 때문에
재래식 무기나 핵무기에 비해 더 불안정한 상태를 야기할 수 있기 때문이다. 한편
인명이나 물리적 시설에 대한 파괴력이 상대적으로 덜 치명적이므로 사이버공격을
심각하지 않게 간주하는 성향도 존재한다.
사이버안보 문제를 논의하는데 있어 주목해야 할 또 하나의 특징은, 기술이 고
도로 발전한 국가일수록 오히려 사이버공격에 취약하다는 점인데, 이를 가리켜
사이버안보의 ‘비대칭성 역설’라고 부른다(Debus 2012, 9). 정보기술과 네트워크
화의 첨단을 달리고 있는 미국에서 사이버위협에 대한 우려가 가장 크다는 점이
이를 잘 말해준다. 미국이 사이버공격에 대하여 특별한 관심과 주의를 기울이고
있는 이유는 이러한 비대칭성에서 찾을 수 있다. 미국이 재래식 전력과 핵전력에
서 어떤 국가나 테러단체보다도 우위를 점하고 있다는 사실을 고려할 때, 진입장벽
이 낮고 위협의 원천을 추적하기 어려운 사이버공격을 통해 적대세력들이 미국사
회를 마비시킬 가능성은 상존한다(Lynn III 2010, 108). 이와 같은 특징으로 인하
여 오늘날 사이버안보의 문제는 국가안보를 확립하고 이를 탐구하는데 있어 집중
적인 관심의 대상으로 떠오르고 있다.
2. 사이버공격과 사이버억지: 개념과 속성
사이버안보의 문제를 논의하는데 있어 중요한 출발점 중의 하나는 ‘사이버공격’
을 어떻게 개념화하는가이다. 앞서 언급했듯이 ‘사이버전쟁’을 별도의 전쟁 유형으
로 다룰 것인가에 관해 논란이 지속되고 있는 점을 고려할 때 ‘사이버공격’의 개념
도 쉽사리 정의하기는 어렵다.4) 구체적으로 사이버공격은 분산형 서비스거부
(DDoS) 공격, 정보 교란, 그리고 네트워크 침해의 형태로 이루어진다. 분산형 서
비스거부 공격은 봇넷(botnets)이라고 불리는 코드를 통해 수많은 ‘좀비’ 컴퓨터들
을 포획 및 조종함으로써 특정 웹사이트에 과도한 부하를 유발하고 시스템 작동에
피해를 주는 행위이다. 과거 버마넷이나 파룬궁 웹사이트 공격사례가 이에 해당하
며, 2007년의 에스토니아 및 2008년의 그루지야 공격, 2009년의 한국 정부 및
민간 기업에 대한 공격도 전형적인 사례이다. 정보 교란은 상대국의 컴퓨터에 은
밀하게 침입하여 잘못된 정보를 입력함으로써 시스템 혼란을 야기하는 행동이다.
1999년 미국이 세르비아를 폭격할 당시 세르비아 방공지휘 네트워크를 교란했던
경우가 이에 해당하며, 2007년 이스라엘이 시리아의 핵시설을 공습할 때에도 유사
한 공격이 이루어졌다. 네트워크 침해는 2010년의 스턱스넷(Stuxnet) 사건과 같이
상대국의 컴퓨터 네트워크를 대상으로 고의적인 오작동이나 파괴를 추구하는 행위
이다(Hathaway et al. 2012, 837-839).
사이버공격의 여러 유형 중에서도 군사적으로 ‘지능형 지속위협(Advanced Persistent
Threat; 이하 APT로 약칭)’이라 불리는 공격유형에 대한 관심이 고조되고 있는데,
이는 2006년 미 공군에서 국방부와 정보 당국 등 관련 기관과 사이버안보 관련
커뮤니케이션을 위해 고안한 개념이다. 이 개념은 사이버위협을 야기하는 침해세
력들이 다양한 방법을 총동원하여 특정한 목표의 취약한 부분을 공격하는 ‘지능형’
위협을 뜻한다. 이들은 기존에 알려지지 않았던 새로운 시스템 취약성을 찾아내고
이를 집중적으로 공략하는 제로데이(zero-day) 공격방식을 주로 채택한다. 또한
APT는 주어진 목표를 달성하기 위해 사전에 설정된 임무를 완수하레는 체계적이
고 목표지향적인 공격행위이다(Bejtlich 2010, 21-22). APT를 위주로 한 사이버공
격은 최근 점차 강화되는 추세인데, 가장 두드러진 사이버공격의 사례로서 미국과
이스라엘이 이란의 핵시설을 대상으로 한 ‘올림픽게임(Olympic Games) 작전’을
들 수 있다.
‘올림픽게임’ 작전은 2006년 부시행정부에 의해 추진된 비밀공작으로, 오바마
행정부에서도 지속적으로 추진되어 2010년 이란 나탄즈(Natanz) 핵시설의 작동을
중단시키는 피해를 주었다. 특히 우라늄 농축에 이용되는 원심분리기를 제어하는
컴퓨터를 대상으로 삼았는데, 이스라엘 정보기관도 여기에 동참한 것으로 알려져
있다.5) 스턱스넷이라고 불리는 악성코드는 2010년 외부와 연결이 차단된 이란의
컴퓨터 시스템에 침입하여 원심분리기의 작동을 일시적으로 멈추도록 만들었다.
이와 같은 ‘올림픽게임’ 작전은 사상 최초로 미국정부가 사이버공격을 수행한 사례
라는 의미를 지닌다. 미국이 냉전기에 소련과 핵대결을 펼쳤던 경험, 그리고 최근
들어 사이버공간에서 중국과 벌이고 있는 경쟁을 고려할 때, 이 작전은 분명 군사
적 효과를 노린 일종의 ‘공격적 행동’이라고 할 수 있다(Ambinder and Grady
2013, 256).
APT와 같은 사이버공격에 사용되는 주요 수단은 스턱스넷과 같은 악성코드인
데, 이러한 코드는 인터넷에 연결된 네트워크뿐 아니라 외부로부터 차단된 독립적
인 네트워크도 공격한다. 2011년에 발견된 두쿠(Duqu)는 스턱스넷과 유사한 방식
으로 작동하는 악성코드로, 미래의 공격을 위해 특정한 컴퓨터 시스템에 침입하여
정보를 수집하는 기능을 수행한다. 이 코드의 경우에도 기존에 알려지지 않은 제
로데이 취약성을 공격하며, 다양한 산업통제시스템(ICS)에 침투하여 정보를 탈취
하는데 이용된다(Symantec 2011). 2012년에 정체가 드러난 악성코드 플레임
(Flame)은 마이크로소프트 윈도우를 운영체제로 하는 컴퓨터 시스템을 공격하며,
주로 중동지방에 확산되어 사이버 첩보활동의 목적으로 사용되고 있다. 이 코드는
지금까지 알려진 것 중 가장 복잡하고 정교한 것으로, USB 드라이브와 LAN을
통해 다른 시스템에도 침투하여 음성, 화면, 키보드 움직임, 네트워크 트래픽 등의
정보를 기록한다. 취합된 정보는 문서로 저장되었다가 전 세계 여러 곳의 서버로
전송된 후 다음 명령을 기다린다(Farwell and Rohozinski 2012, 107).
이처럼 정교한 형태의 사이버공격은 상대국에 대하여 직접적인 무력공격을 가
하지 않고도 치명적인 물리적 파괴 효과를 야기할 수 있다는 점에서 국제사회의
관심을 끌고 있다. 이러한 사이버공격은 미국과 같이 첨단기술을 보유한 국가에
의해 주도되고 있지만, 이와 더불어 사이버공격에 대한 보복이나 유사한 모방공격
이 일어날 가능성도 점차 커지고 있다. 특히 미국과 같이 고도의 첨단기술을 통해
복잡하게 연결된 사회가 이와 같은 사이버공격에 더욱 취약하다는 점은 분명하다.
그동안 사이버공격의 대상이 되었거나 위협을 받는 국가들이 이란이나 북한처럼
상대적으로 정보화가 더딘 곳이었음을 감안할 때, 사이버공격에만 집중하는 전략
이 과연 효용성이 있는지 의문이 제기되기도 한다. 사이버공격 기술을 갖춘 주도
국가로서 미국이 국가전략의 필수요소로서 공격능력보다도 방어능력을 배양하는
데 노력을 기울여야 한다는 주장도 이런 맥락에서 이해할 수 있다(Coll 2012).
사이버공격은 대부분 직접적인 전쟁 행위보다는 정치적 범죄를 겨냥한 공격행위
로 이해할 필요가 있다. 사이버기술이 발전함에 따라 집단적으로 자신들의 의지를
표현하고 익명으로 이에 동참하는 일이 용이해지면서 사이버공격의 빈도와 강도는
증가해왔다. 이런 점에서 사이버공격은 사보타지, 첩보, 전복(subversion)과 같은
정치적 행위에 가깝다. 경제 또는 군사시스템을 약화시키거나 파괴하기 위한 고의
적인 시도, 예를 들어 APT와 같이 기술적이고 전술적인 차원에서 이루어지는 공격
이나 산업콘트롤 시스템 공격에 이용되는 ‘프로그램 논리 콘트롤러(Programmable
Logic Controller)’는 전형적인 사보타지와 유사하다. 첩보의 경우 특정 목표물에
침입하여 민감한 정보나 금지된 내용을 절취한다는 점에서 기술적, 사회적 속성을
동시에 지닌 범죄행위라고 할 수 있다. 한편 전복은 고의적으로 특정 조직이나
정부를 무력화함으로써 사회적 유대감과 신뢰를 약화시키려는 고도의 정치사회적
행위이다.6)
이처럼 사이버공격의 특수한 성격에 비추어 볼 때, 이것이 전통적인 ‘전쟁’의
범주에 포함되기 어렵다는 주장에는 일리가 있다. 클라우제비츠에 따르면, ‘전쟁’
행위는 폭력성, 도구성, 정치적 성격을 모두 지니고 있어야 한다. 즉 전쟁이라는
행위는 자신의 의지를 적에게 강요하기 위한 무력 사용이어야 하며, 이를 위해
물리적 폭력이나 위협을 수단으로 삼는다. 또한 전쟁은 무력 사용을 결정하는 정
치적 행위자의 의지를 반영하며, 이러한 의지가 적에게 전달되는 과정이다. 이러
한 기준에서 볼 때, 지금까지 이루어진 사이버공격을 보편적인 전쟁 행위라고 규정
하기는 어렵다는 것이다(Rid 2012, 15-16). 이처럼 사이버공격이 국제법상 ‘무력’
또는 ‘전쟁’에 해당하는가의 여부에 대해서는 논란이 분분하지만, 적어도 이러한
행위가 오늘날 분쟁의 양상을 크게 바꾸고 있다는 점은 부인할 수 없다. 특히 전략
적인 차원에서 사이버공격은 전통적인 공격-방어의 관계를 역전시키고 있다. 예를
들어 클라우제비츠는 방어가 공격에 비해 우위에 있다는 견해를 피력했지만, 오늘
날 사이버공격에서는 공격하는 쪽이 방어하는 쪽에 비해 훨씬 더 유리한 고지를
점령하곤 한다. 사이버공간에서 공격자의 신원을 파악하기 쉽지 않기 때문에 방어
태세를 갖추는데 훨씬 더 많은 노력과 자원이 소요되기 때문이다. 이러한 비대칭
적 파괴효과는 과거의 전략가들이 우려하던 ‘전쟁의 안개(fog of war),’ 즉 전쟁의
불확실성을 더욱 높이는 결과를 초래해왔다(Farwell and Rohozinski 2012, 114).
Ⅲ. 사이버공격의 국제법적 정당성과 규제
사이버공격은 그 다양성과 영향력에서 주목을 받고 있지만, 오늘날 국제정치에
서 그 의미를 부여하는 일은 쉽지 않다. 무엇보다 사이버공격의 패턴이 전통적인
전쟁규범의 적용을 받는가의 여부가 중요한 관건이라고 할 수 있는데, 부분적으로
무력행사를 규제하는 국제규범의 적용을 받는다고 볼 수 있지만 기존의 규범만으
로는 관리하기 어려운 속성을 지니고 있다. 사이버공격을 규제하는 국제법 규범은
크게 ‘전쟁의 정당성에 관한 법(jus ad bellum)’과 ‘전쟁 중 무력행위에 관한 법(jus
in bello)’으로 나누어 볼 수 있다. 먼저 ‘전쟁의 정당성에 관한 법’으로서 국제연합
헌장 제2조 4항은 ‘자위(self-defense)’의 목적을 위한 최소한의 합법적인 무력 사
용 조건을 명시하고 있다. 이에 따르면, 회원국의 영토적 통합이나 정치적 독립성
을 해칠 수 있는 ‘위협’ 또는 ‘무력사용(use of force)’은 허용되지 않는다. 하지만
이러한 조항에서 구체적으로 무엇이 ‘무력’의 범주에 해당하는지를 명시하고 있지
않으므로 그 해석에 있어 의견이 분분한 실정이다.7)
이런 상황에서 ‘사이버공격’이라는 새로운 유형의 공격행위가 ‘무력사용’으로 규
정될 수 있는지는 더욱 불명확하다. 사이버공격이 ‘물리적 폭력’을 동반하지 않을
경우 무력으로 보기 어렵다는 의견도 타당하지만, 그로 인한 파괴적 효과를 고려할
경우 무력공격으로 보아야 한다는 주장에도 일리가 있기 때문이다. 이처럼 서로
배치되는 해석의 논거를 모두 고려한다면, 미국과 이스라엘의 ‘올림픽게임’ 작전이
국제연합헌장의 ‘무력사용’ 금지의무를 위반한 것인가에 대해 확실한 결론을 내리
기가 불가능하다. 2014년 미국 소니사에 대한 해킹공격의 경우에도 북한의 행위로
의심될만한 여러 정황이 있었지만 이를 분명하게 입증할 증거는 드러나지 않았다
(Inkster 2015, 106-107). 국제연합헌장 제51조에 따르면, “국제연합 회원국에 대
한 무력공격(armed attack)이 이루어질 경우, 안전보장이사회가 국제평화와 안전
을 위한 별도의 조치를 취하지 않는 이상 국제연합헌장의 어떤 조항도 개별 또는
집단자위를 위한 본연의 권리를 침해할 수 없다.” 따라서 사이버안보와 전쟁법의
연관성을 논의하는데 있어 가장 중요한 이슈는 사이버공격 또는 사이버침해 행위
가 국제연합헌장에서 금지하는 ‘무력공격’에 해당하는가를 판단하는 기준인데, 이
역시 사이버공격에 적용하기에는 여전히 모호한 규정이다.
이처럼 사이버공격이 기존의 국제법 규범에 어느 정도 부합할 수 있는가에 대해
다양한 의견이 존재하는데, 공격의 도구, 목표, 효과 중 어디에 초점을 맞추는가에
따라 입장이 구분된다. 우선 도구기반 시각에서는 사이버공격이 물리적 특성상
그 자체로서 ‘무력’으로 규정될 수 없으며, 오로지 군사적 목적으로 활용되는 경우
에만 무력 사용으로 해석될 수 있다고 본다. 이에 비해 목표기반 시각은 주요한
컴퓨터 시스템을 대상으로 한 공격이 이루어지는 경우 자동으로 무력공격이라고
간주한다. 한편 효과기반 시각은 사이버공격이 야기하는 효과의 정도에 따라 무력
공격 여부가 달라진다고 본다. 이러한 해석이 오늘날 가장 보편적인 것으로 통용
되고 있기는 하나, 공격의 효과가 실제로 발생한 이후에만 무력행사 여부를 판단할
수 있다는 단점을 안고 있다. 이러한 논의를 기반으로 할 때, ‘사이버공격’ 행위가
기존 국제법 규범에서 금지하고 있는 무력사용 또는 전쟁으로 분류될 가능성은
여전히 희박하다(Hathaway et al. 2012, 841-849). 그만큼 사이버공간에서 전통적
인 ‘전쟁의 정당성에 관한 법’이 적용될 여지는 매우 좁다.
이러한 한계는 실제 분쟁이 일어날 경우 물리적 수단을 동원하지 않은 채 사이
버공격을 독자적으로 전개하기 어렵다는 점에 기인한다. 지금까지 ‘올림픽게임’
작전 이외에는 순수하게 사이버수단만으로 공격이 이루어진 경우가 거의 없었다.
오히려 물리적 공격과 더불어, 또는 물리적 공격이 이루어지기 전 단계에서 사이버
공격이 전개되는 경우가 많았는데, 대표적으로 2007년 이스라엘의 시리아 핵시설
폭격과 2008년 러시아와 그루지야 사이의 분쟁을 꼽을 수 있다. 이러한 몇몇 사례
에 걸쳐 공격국은 상대방의 물리적 대응능력과 의지를 무력화하기 위한 도발의
일환으로 사이버공격을 감행하였다(Gill and Ducheine 2013, 461-462). 이렇게
본다면 사이버공격이 그 자체로서 국제규범의 적용을 받기는 아직 이르다고 할
수 있다.8) 대부분의 경우 사이버공격은 물리적 공격의 보완적인 수단으로서 활용
되고 있으며, 따라서 그것이 물리적 공격과 함께 야기한 파괴의 ‘효과’가 어느 정도
인가에 의해 국제규범의 적용을 받게 될 것으로 보인다.
그럼에도 불구하고 ‘방어’의 관점에서 국제연합헌장이나 국제관습법에 따라 합법
적인 무력 사용이 이루어질 경우 사이버공격이 얼마든지 가능하다는 견해도 존재한
다. 일정한 법적 기준이 충족되는 자위권 행사의 경우 사이버공격 자체가 허용될
수 있다는 것이다. 물론 이 경우에도 자위권을 바탕으로 한 ‘선제(anticipatory)조치’
가 항상 ‘예방적 자위(preventive self-defense)’를 의미하는 것은 아니다. 다시 말
해 잠재적 위협이 존재한다는 사실만으로 어떤 조치를 취하는 것이 정당화되지는
않는다.9) 이런 점에서 미국과 이스라엘의 ‘올림픽게임’ 작전이 합법적인지의 여부
는 여전히 불확실하다. 이란의 핵시설이 야기할 위협과 그에 대한 자위권 발동의
요건에 대한 해석이 다분히 주관적이기 때문이다. 또한 사이버공격은 그 피해가
국제법에서 규정하는 ‘자위권’을 행사할 정도로 치명적이지 않으며, 피해가 광범위
하게 발생했다 하더라도 앞서 논의한대로 책임소재를 밝혀내는 일이 쉽지 않다.
이처럼 사이버공격은 정보의 부족과 법적 근거의 미흡함으로 말미암아 국제규범에
따른 합법적인 대응조치를 취하기가 어려운 실정이다(Gill and Ducheine 2013,
471).
한편 사이버공격이 실행되는 과정에서도 국제규범이 중요한 제약을 가할 수 있
는데, 이러한 규범은 ‘전쟁 중 무력행위에 관한 법’으로 통칭된다. ‘전쟁 중 무력행
위에 관한 법’은 대부분 관습법으로 존재하는데, 정당한 무력행사에 요구되는 조건
으로서 ‘필요성(necessity)의 원칙’과 ‘비례성(proportionality)의 원칙’을 세워왔다
(Gill and Ducheine 2013, 449-451). 필요성의 원칙은 평화적 수단을 모두 고려한
이후 최후의 수단으로서 무력행위가 선택되어야 한다는 것이며, 비례성의 원칙은
무력사용의 범위와 강도가 실질적이고 긴급한 위험수준을 지나치게 초과해서는 안
된다는 것이다. 이외에도 ‘구분(distinction)의 원칙’과 ‘차별적 공격(discriminate
attack)의 원칙’은 적에 대한 공격이 군사목표에 국한되어야 하며 민간 목표물을
공격대상으로 삼아서는 안 된다고 규정한다. 하지만 사이버공격에 대하여 이와
같은 전통적인 전쟁법의 조건들을 부과하기는 매우 어렵다. 정보 전달의 매개체인
네트워크의 속성상 이것이 ‘최후의 수단’임을 입증하기도 불가능하고, 민간 부문을
따로 분리하여 피해를 최소화하는 일이 기술적으로 용이하지 않기 때문이다.10)
이와 같이 ‘전쟁 중 무력행위에 관한 법’은 민간 목표물에 대한 공격을 제한하는
데 주안점을 두고 있으며, 공격의 결과가 ‘의미 있는 군사적 우위’를 달성하기 위한
것이 아닌 여타의 무력사용을 금지한다. 여기에서 무엇이 ‘의미 있는 것’인가에
대한 객관적인 기준은 존재하지 않기 때문에 군 지휘관이나 정치지도자들의 주관
적 판단이 중요한 역할을 차지한다. 하지만 사이버공격의 경우 그 속성상 민간
목표물에 대한 ‘부수적 피해(collateral damage)’가 양산될 수밖에 없는 까닭에 ‘전
쟁 중 무력행위에 관한 법’을 어떻게 적용할 것인가는 국제사회의 중요한 과제로
남아 있다. 이런 맥락에서 최근 이루어진 탈린(Tallinn) 매뉴얼 구축 작업은 ‘사이
버전쟁에 적용 가능한 국제법’을 구축하기 위한 다국적 차원의 진지한 노력이라는
의미를 갖는다. 이 매뉴얼은 북대서양조약기구(NATO) 산하 사이버방위 협력센터
의 주도 하에 사이버공격과 사이버전쟁의 상황에서 국제법을 어떻게 해석할 것인
가를 집중 논의하고 있다(Schmitt 2014).11) 이 매뉴얼은 아직까지 구속력을 지니
고 있지 않지만, 사이버안보에 관한 국제조약이 아직 마련되지 않은 상황에서 국제
협력의 모범적인 사례로 꼽히고 있다.
20세기 이후 새로운 첨단기술이 군사 분야에 지속적으로 원용되기 시작하면서
전통적인 규제의 틀이 점차 무너져왔다. 이러한 추세는 사이버공격이 빈번해지면
서 더욱 심각해지고 있는데, 이를 전통적인 전쟁법으로 규제하기는 사실상 불가능
하다는 주장이 점차 강화되어왔다. 그렇지만 ‘전쟁의 정당성에 관한 법’과 ‘전쟁
중 무력행위에 관한 법’ 등 분쟁에 관한 국제규범이 여전히 사이버공격에 대하여
어느 정도의 법적 통제장치로 작동하고 있는 것도 사실이다. 이와 같은 불안정한
균형은 핵확산방지조약과 같은 레짐의 역사와도 밀접한 연관성을 갖는다. 완벽한
기술적 통제가 불가능함에도 불구하고 핵무기 통제레짐이 국가 간의 꾸준한 협력
을 통해 무력행위의 확산을 막는데 기여해왔다는 점을 고려할 때, 향후 사이버안보
분야에서도 이러한 추세는 얼마든지 가능하다. 또한 국제사회에서 지속적으로 확
장되고 있는 ‘강행규범(jus cogens)’과 “법은 지켜져야 한다(pacta sunt servanda)”
는 메타규범의 존재는 앞으로 사이버공격을 규제하는 새로운 장치들이 등장할 것
이라는 기대를 가능케 해주고 있다.12)
Ⅳ. 사이버억지와 새로운 패러다임
1. 사이버억지의 전략적 제한성
냉전기에 초강대국 간의 경쟁관계를 유지해온 억지전략은 상대방의 행동을 통제
하기 위해 위협을 가하는 독특한 유형의 국가행위를 가리켰다. 강요(compellence)
와 더불어 ‘위협외교’의 주요 수단으로 자리 잡은 ‘억지’는 극단적인 총력전과 민족
주의 감정, 그리고 파괴적 무기의 등장으로 인한 위기를 해결하려는 ‘저렴한 승리
전략’이었다(Morgan 2003, 6-7). 핵무기는 이러한 목적을 수행하는데 가장 효율적
인 도구였다. 그렇다면 ‘사이버공격’을 대상으로 한 ‘사이버억지’의 관념도 핵억지
와 마찬가지로 작용할 수 있을까? ‘사이버억지’라는 표현은 1990년대 초 데어 데리
안(James Der Derian)에 의해 사용되기 시작했는데, 상호의존적 네트워크화의 추
세 속에서 상대방을 통제하기 위한 새로운 전략적 패러다임이 필요하다는 인식을
기반으로 한 것이었다. 핵무기 시대의 억지전략과 마찬가지로 전쟁을 하지 않으면
서 상대방을 굴복시키거나, 또는 전쟁을 하더라도 신속하고 결정적인 승리를 거둘
수 있는 대안의 전략이 사이버공간에서도 절실하게 필요했던 것이다.
냉전기의 억지전략은 크게 ‘보복(punishment)을 통한 억지’와 ‘거부(denial)를
통한 억지’로 구분된다. ‘보복을 통한 억지’는 예상되는 적의 공격에 대하여 이익보
다는 비용이 더 클 것이라는 부담을 줌으로써 공격을 사전에 차단하는 경우이다.
예를 들어 적국이 핵공격을 가할 경우 그에 상응하는 핵무기로 보복하겠다는 메시
지를 전달함으로써 공격을 억지할 수 있다. 이 경우 핵공격을 당하더라도 이에
대한 ‘보복’을 가할 수 있는 ‘2차 핵공격 능력’이 필수적이다(Kugler 2009, 327).13)
이에 비해 ‘거부를 통한 억지’는 예상되는 공격에 대한 ‘방어’를 강화함으로써 적의
공격 자체가 성공하지 못할 것이라는 확신을 주는데 주안점을 둔다. 잠재적인 적
국의 공격이 실패할 수밖에 없기 때문에 공격을 하지 말도록 설득하는 효과를 노
리는 것이다(Auerswald 2006, 545-549). 이 때 적국의 공격을 무력화하는 ‘시스템’
의 구축이 중요한데, 1980년대의 ‘전략방위구상(SDI)’나 2000년대의 ‘미사일방어
계획(MD)’ 등은 거부를 통한 억지 개념을 구현한 대표적인 사례라고 할 수 있다.
이와 같은 ‘보복’과 ‘거부’를 통한 억지전략이 사이버공간에서는 어느 정도 가능
할까? 냉전기에 보복을 통한 억지전략이 성공하기 위해서는 세 가지의 요건이 충
족되어야 했는데, 억지능력의 확보, 억지위협의 신뢰성, 그리고 억지위협의 전달이
그것이었다. 이러한 요건은 핵대결의 시대에 필수불가결한 것이었지만, 공격의 형
태가 다양하게 변하면서 이를 달성하는 일이 점차 쉽지 않게 되었다. 예를 들어
낮은 수준의 공격에 대하여 핵무기로 보복하겠다는 위협은 설득력이 떨어질 뿐더
러 실행에 옮기기도 어렵다. 물론 사이버억지를 위한 잠재적인 보복공격에는 재래
식 전력과 핵무기 등 다양한 형태의 수단이 동시에 활용될 수 있다. 하지만 사이버
위협이나 사이버공격의 경우 이와 같은 냉전식 논리를 그대로 적용하기가 곤란하
다. 사이버공격의 진입비용이 매우 낮기 때문에 상대적으로 열세인 국가 또는 비
국가행위자들의 공격이 빈번하게 일어나며, 그에 대한 보복 가능성이나 억지 효과
도 크지 않다. 또한 방어하는 쪽의 취약성이 클 경우 보복의지를 강하게 전달하기
도 어렵다(Lupovici 2011, 52-53).
한편 ‘거부’를 통한 사이버억지 전략은 근본적으로 사이버공격을 방어할 수 있는
시스템을 구축함으로써 공격의지를 무산시키려 한다. 여기에는 네트워크 보안, 다
중화(redundancy) 및 재건을 통한 시스템의 탄력성 제고, 시스템 보호, 상대국과
의 시스템 상호의존성 증가 등 여러 방법이 동원된다(Jensen 2012, 807-823). 하
지만 사이버공간에서 공격이 방어에 비해 압도적으로 유리하다는 사실로 인해 ‘사
이버억지’의 개념이 ‘공포의 균형’이라는 극단적인 모습으로 바뀌기도 한다. 사실
방어가 기술적으로 쉽지 않은 상황에서 완벽한 사이버방어 시스템을 구축하겠다는
계획은 합리적이지도 않으며 또한 바람직하지 않다. 이런 상황에서 사이버공격의
가능성에 대비하는 최선의 방법은 공격가능성에 대한 ‘공포’가 공유되는 ‘상호억지
시스템을 구축하는 것이다. 한 국가가 압도적으로 사이버공간을 지배하기보다 주
요 국가들 사이에 상호 억지가 이루어지는 시스템이 더 안정적인 균형을 유지할
수 있기 때문이다. 이처럼 사이버공간에서 이루어지는 공포의 균형을 ‘사이버 상호
확증파괴’라고 부른다. 이 개념은 공포의 균형 속에서 국가들이 공개적으로 사이버
공격 능력을 유지하면서 동시에 그러한 공격에 대한 자신들의 취약성을 드러냄으
로써 안정을 도모하는 ‘사이버억지’를 지향한다(Crosston 2011, 100-101).
결국 제한적인 조건 하에서 작동하던 냉전기의 억지전략을 오늘날의 사이버공
간에서 그대로 적용하기가 어렵다는 것이 많은 학자들의 의견이다. 과거에는 비슷
한 수준의 파괴력을 지닌 초강대국 사이에 안정적인 양극화 구도가 유지될 수 있
었는데, 여기에는 핵전쟁이 쌍방의 생존에 치명적인 위협이라는 공동의 인식이
자리 잡고 있었다. 하지만 오늘날의 사이버공간에서 이런 상황이 반복될 것이라고
가정하는 것은 무리이다. 소수의 강대국들만이 참여하던 냉전기의 억지게임과 달
리, 사이버공간에서는 수많은 행위자들이 동시에 공존한다. 또한 냉전기의 초강대
국들이 유사한 수준의 물리적 파괴력을 보유함으로써 메시지의 교환과 기대의 수
렴을 통한 억지전략이 가능했던 반면, 오늘날의 사이버공간에서는 심각한 비대칭
으로 말미암아 과거와 같은 예측 가능한 억지효과를 기대하기 어렵다. 특히 앞서
언급한대로, 사이버공간의 억지전략을 구현하는데 있어 공격자의 신원을 파악하는
‘책임소재’의 문제는 중요한 장애가 되고 있다. 이를 밝혀낸다 하더라도 실제 보복
공격을 수행하는데 있어 여러 애로사항이 존재하는데, 예를 들어 비국가행위자에
대한 보복행위는 불가피하게 행위자가 속한 국가의 주권을 침해하는 결과를 초래
할 수 있다. 이와 더불어 사이버공간에서 이루어지는 보복행위가 선의의 제3자에
게 ‘부수적 피해’를 야기할 가능성도 매우 크다(Sterner 2011, 65-67).
이상의 논의를 바탕으로 할 때 사이버억지 개념이 환상에 불과하거나 지나치게
과장된 것이라는 비판은 어느 정도 타당하다. 실제로 대부분의 정책결정자들은
몇 줄의 컴퓨터 코드가 한 나라의 의사결정에 중대한 영향을 미칠 수 있다는 점을
소홀하게 간주하는 것으로 알려져 있다. 이러한 성향은 미국을 비롯한 많은 나라
에서 공통적으로 나타나고 있는데, 그럴 경우 사이버공격의 위협을 통한 억지전략
을 기대하기는 쉽지 않다. 핵무기를 이용한 억지전략과 달리 사이버공격은 훨씬
낮은 수준의 위협이라는 인식이 무의식적으로 지배하고 있기 때문이다(Clarke
and Knake 2010, 189-197). 또한 사이버공격의 위협이 지나치게 과장되었기 때문
에 사이버억지 전략이 실제로 작동하지 않을 것이라는 비판도 존재한다. 이런 시
각에서는 사이버안보를 ‘전략적’ 차원으로 격상시키는 것은 그 효과를 지나치게
과대 평가한 결과라고 본다(Gray 2013, 44-53). 1941년 12월의 ‘진주만공격’이 사
이버공간에서도 재현될 수 있다는 경고도 사이버공격의 속성을 제대로 파악하지
못한 데에서 유래한다(Gartzke 2013, 63).14)
이처럼 사이버공간의 위협이나 위험이 사회적으로 지나치게 과장되는 이유는
이것이 군사적인 프레임으로 포장되었기 때문이라는 견해는 설득력을 갖는다. 사
이버공간의 위협을 전략적, 군사적 차원으로 격상시킴으로써 ‘승리 아니면 패배’라
는 이분법적 사고방식 속에서 다루려는 성향에 문제의 발단이 있다는 것이다. 따
라서 이러한 비판적 입장에서는 사이버공간의 위협을 전쟁이나 사이버억지 차원에
서 과장하는 대신, 한 단계 낮은 수준에서 ‘사이버범죄’나 ‘사이버첩보’로 보아야
한다고 주장한다. 이러한 위협에 대하여 군사적인 대응조치를 취하겠다는 발상은
사이버안보의 속성상 가능하지도 않을뿐더러 그것이 지닌 중요한 측면을 간과할
수 있기 때문이다. 결국 대부분의 사이버위협은 고도로 ‘정치화된(politicized)’ 이
슈라는 비판이 가능한데, 이는 정책 또는 정치 차원에서 이루어지는 왜곡된 인식의
결과라고 할 수 있다(Dunn Cavelty 2012, 149). 이처럼 오늘날 안보문제의 중요한
화두로 떠오르고 있는 ‘사이버공격’과 ‘사이버억지’는 전통적인 사고와 규범으로
충분하게 구현 또는 규제하기 어렵다는 문제를 안고 있다.
2. 사이버억지의 새로운 패러다임
이처럼 사이버억지가 과거의 억지전략에 비해 실행이 어렵다는 주장이 제기되
고 있지만, 현실에서 일어나고 있는 사이버공격의 여러 면모를 살펴보면 사이버억
지가 아주 불가능한 것은 아니다. 예를 들어 사이버공간에서 책임소재를 가리는
일이 기술적으로 어려운 문제이기는 하지만 아주 불가능하지도 않으며 이를 해결
하기 위한 기술적 진보도 빠르게 이루어지고 있다. 따라서 사이버억지의 어려움이
이론적 차원에서 지나치게 과장되어 왔으며, 실제 현장에서는 이보다 억지전략이
훨씬 수월하게 이루어진다는 반론도 제기되고 있다(Goodman 2010, 128). 특히
그동안의 사이버공격 패턴은 기술적 우위가 여전히 강대국의 전유물이라는 사실을
잘 입증하고 있는데, 스턱스넷 공격은 그 대표적인 사례이다. 그동안 사이버공격
이 사이버방어에 비해 상대적으로 용이하다는 평가가 지배적이었지만, 방어기술이
발전하면서 이러한 현상이 역전되는 모습도 나타나고 있다(Lindsay 2013). 그렇다
면 바람직한 사이버억지의 원칙은 어떻게 확립되어야 할까? 핵시대의 억지전략을
그대로 사용할 수 없다면, 사이버공간의 공격과 위협은 어떤 방식으로 이해하고
대비해야 하는 것일까? 여기에서는 기존의 시각으로 다루기 어려운 사이버억지를
위한 대안의 프레임워크로서 누적적 억지, 맞춤형 억지, 보증전략, 그리고 신(新)
일상성 개념에 관해 논의하고자 한다.
첫째, 억지의 개념이 일회성 사건이나 단순한 선택의 상황에만 적용될 필요가
없다는 점을 강조하려 한다. 일반적으로 분쟁이 일어나지 않으면 억지전략이 성공
했다고 평가하는 반면, 분쟁이 일어날 경우에는 그것이 실패했다고 본다. 이와
같은 이분법적 사고는 냉전기의 산물로서, 오늘날 사이버공간의 복잡성은 그보다
한 단계 더 진화된 형태의 대응전략을 요구한다. 냉전기에는 분쟁과 억지 사이에
하나의 선택만을 요구했지만, 오늘날의 사이버분쟁에서는 이 두 가지 현상이 복합
적으로 존재하는 경우가 빈번하다. 따라서 상황에 따라 억지전략을 구사하거나
아니면 억지를 포기하고 직접 분쟁에 개입하는 양면의 해결책을 구현할 수 있어야
한다. 이러한 복합전략을 효과적으로 구사하는 국가인 이스라엘은 분쟁이 발발할
경우 무력사용을 할 수 있다는 ‘위협’과 실제의 ‘무력사용’을 동시에 구사해왔다.
이는 장기간에 걸쳐 이스라엘의 전략적 입지를 강화시켜왔는데, 이와 같이 억지와
무력사용을 중첩적으로 운용하는 전략을 ‘누적적 억지(cumulative deterrence)’라
고 한다(Sterner 2011, 70).15) 사이버공간에서도 공격과 억지의 두 전략을 동시에
구사하는 접근방법에 관한 개념화가 요구된다.
둘째, 억지를 추구하는데 있어 적이 바라는 바가 무엇인지를 파악하여 이를 수
용함으로써 스스로 ‘자제(restraint)’를 하도록 한다면 굳이 대결구도로 치닫지 않더
라도 억지의 목표를 달성하게 된다. 사실 사이버억지를 구현하는데 있어서도 냉전
기와 마찬가지로 ‘보복위협을 통한 억지’와 ‘거부를 통한 억지’의 두 가지 방법을
모두 활용할 수 있다. 공격의 책임소재를 가리는 일이 쉽지 않지만, 대규모의 사이
버공격을 예방하고 구체적으로 진원지를 추적할 수 있는 기술도 가능하기 때문이
다(Kugler 2009, 326). 하지만 보복위협이나 방어 이외에도 궁극적으로 적의 자제
를 유도함으로써 억지효과를 낼 수도 있다. 예를 들어 경쟁관계에 놓여 있는 적국
이 노골적인 공격행위를 취하는 대신 스스로 자제한다면 훨씬 더 매력적인 결과가
보장될 것이라는 확신을 주는 전략이 가능하다. 이를 위해서는 상대방의 이해관계
와 선호를 파악하고 있어야 하며, 어느 정도 수준의 제안을 해야 상대를 설득할
수 있는지를 고민해야 한다. 이와 같이 상대방의 공격가능성과 선호를 고려한 다
양한 형태의 대응조치를 추구하는 전략을 ‘맞춤형(tailored) 사이버억지’라고 부른
다(Kugler 2009, 328-331).
맞춤형 사이버억지는 특히 강대국에 대한 전략을 추구하는데 유용한 대안이 될
수 있는데, 과거 핵억지의 경험에서 그 유래를 찾을 수 있다. 원래 핵보유국과
비보유국 사이의 비대칭적인 관계에서 핵무기를 이용한 억지전략은 신뢰성 있는
메시지를 전달하기 어려운 것으로 알려져 왔다. 핵무기는 ‘사용할 수 없는 무기’라
는 ‘금기(taboo)’의 관행이 작동한다는 사실을 서로 간에 인지하고 있을 경우, 핵무
기를 보유하고 있다는 사실 자체가 스스로의 선택을 제한하는 억지효과를 유발하
기 때문이다. 상대방을 억지해야 할 핵무기가 ‘사용할 수 없는’ 속성으로 인해 자기
자신의 행동도 억지하는 역설적인 결과, 즉 ‘자기억지(self-deterrence)’가 초래되
는 것이다(Paul 2009, 18-19). 사이버공격 능력이 비대칭적으로 분포된 상황에서
도 이와 같은 자기억지의 가능성이 존재하는데, 미국과 같이 압도적인 능력을 갖춘
나라들이 그 능력에 비례하여 사이버위협에 노출되어 있다는 점은 앞서 언급한
바와 같다. 따라서 사이버공격을 시도하는 국가나 사이버억지를 추구하는 국가
모두 상대방의 사이버공격 및 방어 역량, 그리고 이해관계에 따라 적절한 맞춤형
전략을 모색할 필요가 있다.
셋째, 사이버억지의 관념이 지나치게 ‘갈등’의 상황을 전제로 하고 있다는 점을
고려하여 그 한계를 극복하기 위한 포괄적 대안으로서 ‘보증(reassurance)’전략으
로 전환해야 한다는 목소리가 높다. 냉전의 산물인 억지전략은 ‘받아들이기 어려운
(unaccpetable) 피해’를 가하겠다는 위협을 상대방에게 전달함으로써 목표를 달성
하려는 것이었다. 만약 이러한 관계의 이면에 존재하는 위협의 상호의존성을 쌍방
이 인식한다면, 위협과 억지의 실패로 인한 분쟁가능성 대신 협력을 통한 상호
이익의 가능성을 부각시킬 수 있을 것이다. 이와 같이 상대방에 대한 ‘동기’ 부여를
통해 자발적인 억지를 유도하는 전략이 바로 보증전략이다. 억지전략이 기존의
권력관계를 유지한다는 전제 하에 추진되는 전쟁 방지의 수단이라면, 보증전략은
상대방의 선호도와 취약성을 간파하여 선의의 이해관계 증진을 목표로 한다. 이런
점에서 보증전략은 ‘자기억지’를 유도하고 협력의 규범을 지향하는 혼합전략이다
(Lebow and Stein 1987, 64).
보증전략이나 자기억지의 개념은 다양한 정치적 행위자들 사이에 복잡한 상호
의존 관계가 형성된 경우 유용하다. 사이버공간의 특성상 네트워크의 연결과 교류
를 통한 상호의존성은 우호적 관계와 적대적 관계를 동시에 포함하기 때문이다.
말하자면 처음부터 적대적인 관계가 존재하는 경우란 거의 없으며, 대부분 협력적
관계와 적대적 관계를 동시에 유지하고 있다. 또한 이러한 관계는 시간과 장소,
상황에 따라 수시로 변화한다. 이런 점에서 네트워크상에서 이루어지는 적대적
관계의 이면에 자리 잡고 있는 ‘우호적 점령(friendly conquest)’ 현상에 주목할
필요가 있다. 우호적 점령이란, 사이버공간에서 행위자들 사이에 자발적인 교류를
통해 발생하는 상호의존 상태를 기반으로 한 나라가 다른 나라에 영향력을 행사하
는 상태를 가리킨다. 점령의 우위를 지닌 국가는 상대국에 대하여 지속적인 접촉
의 요구를 창출함으로써 선호와 가치체계를 통제할 수 있게 된다(Libicki 2007,
126). 이와 같은 우호적 점령은 ‘적대적 점령’이 일어나기 전부터 상대방의 시스템
에 침투하고 상호의존적인 관계를 강화함으로써 이탈비용을 증가시키고 억지효과
를 부과하는데 효율적이다(Yannakogeorgos 2012, 107).16)
넷째, 사이버공간에서 제기되는 위협을 ‘비정상적인 위기’로 인식하기보다 항상
겪을 수밖에 없는 정상적 상태, 즉 ‘신(新)일상성(new normalcy)’으로 간주해야
한다는 주장에 주목할 필요가 있다.17) 이러한 시각은 안보담론의 지나친 확장 대
신 한정된 자원으로 외부의 위협에 적절하게 대처해야 한다는 우려를 반영한다.
예를 들어 미국이 테러와 사이버공격에 대한 최적화된 방어시스템을 구축하는데
심혈을 기울여왔지만, 투입된 노력과 자원에 비례하여 그 성과가 확연하게 개선되
었다고 보기는 어렵다. 이런 점에서 자원과 위협의 인식 사이에 적절한 균형이
필요하다는 주장은 타당하다. 특히 일상생활에 상존하면서 지속적으로 진화를 거
듭하는 사이버위협을 ‘신(新)일상성’으로 간주할 경우, 그에 대한 대응전략은 직접
적인 억지를 뛰어넘는 근본적인 변화를 요구한다. 질병을 완벽하게 퇴치하는 대신
적절한 수준에서 통제하려는 보건전략과 마찬가지로, 웬만한 수준의 사이버공격을
감내하면서 사회적 부담의 한도 안에서 합리적으로 이를 통제하려는 억지전략이
더 바람직한 대안이 될 수 있기 때문이다.
Ⅴ. 맺는 말
오늘날 사이버공간의 발전은 세계를 하나로 묶는 통합의 역할을 수행하면서 동
시에 더욱 복잡한 갈등의 원천이 되고 있다. 사이버침해, 사이버공격, 첩보 등 다
양한 형태의 공격이 네트워크상에서 일상화되면서 이를 방어 또는 억지하기 위한
군사전략적 대응태세도 점차 강화되고 있는 추세이다. 사이버공격은 지난 10여
년에 걸쳐 간헐적으로 이루어져왔지만, ‘올림픽게임’ 작전과 같이 물리적 피해를
야기하는 수준에 이르렀다. 지능형 지속위협(APT)으로 알려진 사이버공격은 구체
적인 목표를 달성하기 위한 체계적인 노력으로서 오늘날 사이버공간에서 위협의
중요한 근간을 이룬다. 이처럼 최근의 기술 발전과 사이버공간에서 벌어지는 새로
운 유형의 갈등은 ‘사이버안보’의 문제가 국제정치와 안보연구에서 더 이상 등한시
할 수 없는 핵심적인 과제라는 점을 잘 말해준다.
하지만 기존의 방대한 담론과 달리 실제 사이버안보의 구체적인 현안들은 매우
불명확할뿐더러 앞으로 지속적인 논의가 필요로 한다. 무엇보다도 사이버공격 행
위가 국제규범에서 금지하거나 제한적으로 허용하고 있는 무력행사에 해당하는가
의 여부가 관심을 끌고 있다. 국제규범은 크게 ‘전쟁의 정당성에 관한 법’과 ‘전쟁
중 무력행위에 관한 법’으로 구분되는데, 사이버공격은 양자의 기준에서 다양한
해석을 유발하기 때문에 명확하게 이를 국제규범으로 규제할 수 있는가가 여전히
논란이 되고 있다. 이를 바탕으로 이 논문에서는 사이버공격을 사전에 방지하기
위한 사이버억지의 개념도 검토하였는데, 사이버공간의 특성상 냉전기의 핵억지
논리가 그대로 수용되기 어렵다는 의견이 지배적이다. 이런 한계를 극복하기 위해
이 논문에서는 누적적 억지, 맞춤형 억지, 자기억지, 보증전략, 우호적 점령, 신(新)
일상성과 같은 대안의 패러다임들이 사이버공간의 억지전략을 새롭게 규정하는데
얼마나 타당한가를 논의하였다.
국제정치는 지난 수백 년 동안 근대국가의 영토성을 기반으로 하는 복수의 주권
체제로 작동해왔다. 오늘날에도 이러한 근대국가의 존재감이 여전히 영향력을 행
사하고 있지만, 기술의 진보를 바탕으로 새롭게 등장하는 사이버공간의 교류와
갈등은 영토기반 주권의 관념으로 관리하기 어려운 다양한 문제를 양산하고 있다.
이러한 문제를 새롭게 인식하고 대안의 질서를 모색하기 위해서는 국가를 포함하
는 다양한 정치적 행위자들 사이에 지속적인 논의와 협력이 요구된다. 이 논문은
이와 같은 문제의식 하에 사이버안보의 핵심적인 이슈로 등장하고 있는 사이버공
격과 사이버억지의 개념을 심층적으로 논의하고, 이것이 오늘날 국제정치에서 가
지는 함의를 살펴보았다. 이러한 노력은 향후 기술의 발전과 네트워크화의 전개를
통해 끊임없이 바뀌어갈 국제정치의 현안과 문제를 이해하고 진단하는 첫걸음에
불과하다고 볼 수 있다.
|