사이버 공격에도 국제법이 적용될 수 있을까?
한 기업의 전산망이 정지되자 같은 도시에 있는 금융기관 여러 곳에서도 접속 지연이 시작됐다.
시점이 비슷했고 각 기관이 사용하는 서버 공급업체도 같았다.
그날 오후 해당 국가의 통신망을 관리하는 정부 부서에
다수의 긴급 점검 요청이 들어왔다.
서버 기술팀은 로그를 분석해 일괄적인 접속 시도가 있었다는 사실을 확인했다.
문제는 그 시도가 외부에서 들어왔고 동유럽과 중동 지역 IP가 혼합되어 있었다는 점이었다.
이후 정보기관이 조사에 착수했지만 공격의 ‘발원지’를 정확히 특정하는 데는 상당한 시간이 걸렸다.
정부는 공식 입장 대신 피해 복구에 집중하는 쪽을 택했다.
그 결정이 내려진 배경에는 하나의 질문이 있었다.
“이 행위에 대해 국제적으로 어떤 책임을 물을 수 있는가?”
현실은 디지털인데, 법은 여전히 물리 경계 안에 머문다
국가 간 충돌은 전통적으로 군대의 이동이나 국경 침범, 폭격과 같은 명확한 행위로 인식되어 왔다.
그러나 사이버 공격은 물리적인 흔적을 남기지 않으면서도 기능적으로는 동일한 피해를 유발할 수 있다.
실제로 발전소 제어시스템에 대한 사이버 공격으로 전력 공급이 차단된 사례,
병원 네트워크가 마비되어 응급진료가 중단된 사례가 여러 국가에서 보고된 바 있다.
문제는 이런 공격을 받은 뒤 해당 국가가 자국의 안보를 침해당했다고 주장해도
국제법상 어떤 조치를 취할 수 있느냐가 불분명하다는 점이다.
국경을 넘어 전쟁무기를 쓴 것이 아니라는 이유로 기존의 법적 기준이 그대로 적용되지 않는 일이
점점 더 자주 나타나고 있다.
공격을 받았다고 해도 법적 반응은 쉽지 않다
국가가 사이버 공격의 피해를 입었다고 주장하기 위해선 우선 ‘누가’ 그 공격을 했는지를 명확히 해야 한다.
하지만 공격자는 흔히 여러 국가의 서버를 경유하고 익명성과 암호화 기술로 흔적을 숨긴다.
IP만으로는 실제 주체를 특정하기 어렵고 심지어 내부 직원의 실수인지
해외에서 조직적으로 설계된 공격인지 판단조차 어려운 경우도 많다.
더 어려운 문제는 설령 특정 국가와 연관성이 드러난다 하더라도 그 공격이 ‘정부 주도의 작전’이었는지까지 입증해야 국제법상 책임 논의가 가능하다는 점이다.
정부의 명시적 지시 없이 정부와 연결된 해커 집단이 움직인 경우는 책임 소지가 흐려진다.
이런 구조 때문에 실제 공격을 당하고도 공식 항의조차 하지 못하는 국가들이 많다.
법 조항은 있었지만 그 안에 디지털 공간은 들어 있지 않았다
외교부의 긴급회의가 소집된 건 정부 주요 기관의 서버가 동시에 멈춘 직후였다.
초기 보고서에는 전산 오류로 분류되었지만 몇몇 보안 담당자는 정밀 분석 결과 의도적인 외부 개입 가능성을 언급했다.
관련 회의에 참석한 법률 자문팀은 국가 간 무력사용을 다룬 조항들을 꺼내 들었지만
그 어디에도 ‘네트워크’를 침범당한 상황이 그 기준에 명확히 포함된다고 말할 수는 없었다.
한 외교 고위 관계자는 "무기 없이 멈춰 세운 공격을 법적으로 어떤 식으로 해석할 수 있는지 불확실하다"고 전했다.
피해는 분명했지만 기존의 법 구조 안에서 그 피해를 어떤 범주로 넣을 수 있을지는 국가마다 해석의 차이가 너무 컸다.
그래서 이 회의는 대응보다 해석의 방향을 정하는 데 더 많은 시간을 썼다.
명확한 합의는 없었고 실무자들은 그 빈자리를 자체 기준으로 채웠다
공식적으로 채택된 규범이 없다는 이유로 사이버 공격의 법적 판단이 미뤄지는 경우는 많다.
그 공백을 그대로 두고 보기엔 사건이 너무 자주 일어나고 피해가 크다 보니 몇몇 국가에서는 내부 기준을 마련했다.
특히 군사·법률 전문가들이 실제 사례를 바탕으로 정리한 문건이 실무선에서는 종종 참조되곤 한다.
이 문건은 ‘탈린 매뉴얼’이라는 이름으로 알려졌지만 조약이나 합의서가 아니기 때문에 국제법상의 공식 지위는 없다.
그럼에도 불구하고 일부 국가에서는 관련 내용이 국방전략 문서에 반영되거나 정부 보고서에 인용되기도 했다.
법은 여전히 조용했지만 사건은 계속 발생했고 그 대응을 위해 참고된 기준은 공식이 아니어도 각자 선택되고 있었다.
책임을 묻기보다 흔적을 감추지 않으려는 싸움이 계속된다
피해 사실은 대부분 공개되지 않는다.
공격 경로가 외부에서 유입된 것이 확인돼도 그 출처가 특정 국가라는 발표는 거의 이루어지지 않는다.
이유는 간단하다.
정치적 부담이 너무 크기 때문이다.
특정국을 지목하는 순간 외교관계가 급격히 악화될 수 있고 투자·통상에도 영향이 생길 수 있다.
그래서 많은 국가는 ‘기술적 분석 중’이라는 표현 아래에서 사건을 정리한다.
그렇다고 모든 것이 침묵 속에 남는 건 아니다.
국제회의에서 비공식적으로 공유되는 정보, 동맹국 간의 경고 수준 조정, 자체 보안 수준의 재점검 등 다양한 움직임이 동시에 이뤄진다.
국제법이 아직 이 영역을 완전히 포괄하지 못한 상태에서는 정식 대응보다 피해를 드러내지 않으면서 복구하는 방식이 여전히 현실적인 선택지로 남아 있다.