컴퓨터네트워크 공격과 국제법상 대응조치 ― UN헌장 해석을 중심으로 ―
Computer Network Attack and Countermeasures in International Law – Focused on the Interpretation of the UN Charter –
성재호(성균관대학교)
26권 2호, 199~227쪽
초록
컴퓨터네트워크의 확산은 정보수집이나 활용 등과 같은 일상생활의 편리함을 높여 온 반면, 국가기간시설에서 사용되는 컴퓨터에 대한 공격도 가능하게 되었을 뿐 아니라 향후 이러한 공격이 더욱 빈번히 이루어질 우려가 있다. 흔히 사이버보안의 문제로 불리는 경우들이 그러한 사례에 해당한다. 각국 정부는 사이버보안과 관련하여 기존 국내법제를 정비하고, 새로운 입법을 통해 이에 대응하는 노력을 강화하고 있으며, 국제적 협력을 통해 국제적 공조방안을 만들어가고 있다. 그러나 적대적 관계에 있는 국가간 인터넷을 통해 상대국 컴퓨터를 공격하여 오작동하게 하거나 작동불능상태에 빠트리는 경우, 그 법적 대응은 개별 국가의 국내법으로는 충분치 않다. 타국의 컴퓨터네트워크에 대한 공격은 다양한 국제법적 문제를 야기하고 있다. 컴퓨터네트워크에 대한 공격이 국제법상 금지된 행위인지, 그리고 그에 대한 대응조치로서 국제법상 자위권이 허용되는지를 다루는 것으로, jus ad bellum(전쟁개시에 관한 법)에 관한 것이다. UN헌장은 제2조 4항에서 무력사용의 금지를 명규하고 있는데, 컴퓨터네트워크를 통해 상대국의 군사시설이나 관련 시설에 대해 피해를 야기하는 행위를 한 경우, 이러한 행위가 무력사용금지를 규정한 UN헌장상의 원칙을 위반한 것인가 하는 점이다. 이와 관련하여 UN헌장은 제51조에서 회원국의 자위권을 분명히 밝히고 있는데, 컴퓨터네트워크에 대한 사이버 공격이 무력공격의 수준에 이르는 것인지를 검토하여, 자위권 발동의 요건에 해당하는지를 살펴보는 것이다. UN헌장 제2조 4항에 위반하는 컴퓨터네트워크 공격 또는 사이버 공격으로 국제평화의 위협이나 평화의 파괴가 발생할 경우, UN은 헌장 제40조에 따라 경제관계나 외교관계의 단절 등과 같은 조치를 취할 수 있다. 이에 의하여도 평화적 해결이 도출되지 못할 경우 헌장 제42조를 원용하여 군사적 행동에 의한 조치를 취할 수 있다. 이를 위한 판단의 전제로서 해당 사이버 공격이 무력사용에 이른 것인가에 대한 엄밀한 평가가 요구된다. 모든 형태의 사이버 공격을 UN헌장 제2조 4항이 규정하는 무력사용이라고 획일적으로 판단하는 것은 무리가 있기 때문이다. UN헌장 제2조 4항에 규정된 무력사용의 금지 여부를 결정함에 있어 ICJ는 해당 행동의 ‘정도’와 ‘범위’를 기준으로 제시하고 있다. 사이버 공격 또한 그 정도와 범위에 있어 낮은 수준의 공격적 행위에서부터 무력사용의 금지에 해당되는 행위에 이르기까지 그 범위가 매우 다양하므로, 사이버공격의 경우도 ICJ의 판단기준을 준용할 수 있을 것이다. UN헌장 제51조는 무력공격의 경우 자위권을 용인하고 있다. 이는 무력사용을 금지하는 UN헌장 제2조 4항의 예외를 허용한 것이다. 그러나 무력사용과 무력공격 간에는 실질적 차이가 존재하는 것이어서, 이에 대한 구별이 선행되어야 한다. 이를 위해 수단을 기반으로 한 분석, 대상을 기반으로 하는 분석, 그리고 결과를 기반으로 하는 분석이 가능하다. 본질상 동태적 군사력을 포함하는 무력공격과는 달리, 사이버 공격은 동태적이 아닌 접근방법을 주로 사용하는 것이어서 수단기반접근법을 따를 경우 무력공격이 되지 않는 한계를 갖고 있다. 수단기반접근법에만 기반하여 분석할 경우 현재의 사이버 공격에 대한 자위권 주장은 충분히 수용할 수 없게 되는 것이다. 그러므로 UN 헌장은 채택 당시 수단기반접근을 취해 성립된 것이라 할지라도, 재래식 무력공격 이상으로 막대한 피해를 초래하고 있는 사이버 공격의 경우 국가의 고유한 권리로서 자위권을 발동할 수 있도록 해석의 확대가 요구되는 것이 실상이다. 구체적으로 컴퓨터 네트워크에 대한 공격이 전통적 공격으로 인한 급박한 위협에 상응하거나, 심각한 컴퓨터 네트워크 공격으로 보이는 행동이 급박한 경우에는 자위권 발동이 가능하다고 보는 것이 현행 국제관계의 실태에 부합하는 해석이라 할 것이다.
Abstract
Computer network attack or Cyber attack brings legal issues whether it can be interpreted as a armed attack within the meaning of Article 51 of the Charter. However, there is no definite authoritative interpretation on the issue. Fitting cyber attack within the traditional framework for armed conflict is very difficult, because its unique and ambiguous characteristics. For example, cyber attack can cause any destruction at the speed of light, the damage takes place as soon as the attack has been launched. And then, what international law principles offer the best solutions for extending their application to cyber attacks? Article 2(4) of the UN Charter declares that “all Members shall refrain in their international relations from the threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the Purposes of the United Nations.” Determining whether a cyber attack violates this general prohibition on the use of force requires an understanding of 1) how force is interpreted in international law, and 2) whether cyber attacks can reach the appropriate level under those standards. When there is a conflict between nations, the Charter demands that members “settle their international disputes by peaceful means in such a manner that international peace and security, and justice, are not endangered.” Thus, the authority for a state's use of force originates either from the UN Security Council or by the state's right to act in individual or collective self-defense. The other issue is whether cyber attacks can be regarded as ‘armed attack’ that the right to self-defense under Article 51 of the Charter can be applied. Article 51 provides that “Nothing in the present Charter shall impair the inherent fight of individual or collective self-defence if an armed attack occurs against a member of the United Nations, until the Security Council has taken the measures necessary to maintain international peace and security.” What is difference between an ‘armed attack’ under Article 51 and a ‘use of force’ under article 2(4)? Cyber attacks are usually designed to damage a target state's computer networks instantaneously. A state might find evidence of a cyber attacker's attempted network infringement. In such case, the target state may invoke its right to respond in self-defense if the criteria provided in article 51 are met.
- 발행기관:
- 미국헌법학회
- 분류:
- 헌법