사이버 공격에 대한 공법적 대응의 기초
The foundation in publlic law for response to cyber attack
박재윤(충북대학교)
34권 3호, 87~109쪽
초록
전세계적으로 상시적으로 발생하는 사이버 공격의 양상은 단순한 개인의 범죄활동으로서 수사의 대상이 되는 것에서부터, 테러행위로서 국가안보에 위협으로서 경찰작용 내지 정보활동의 대상이 되는 것에까지 미친다. 더 나아가 무력사용에 준하는 물리적 피해를 야기하게 되면, 이는 전쟁에 준하는 것으로서 국제법의 적용대상으로 진화하게 된다. 이 과정에서 공법은 형사법과 국제법 사이의 어느 지점에서 자리매김하게 될 것이다. 그런데 대부분의 사이버 공격은 법적 책임을 물을 수 있을 만큼 원인지나 원인행위자를 명백히 규명하기가 거의 불가능하다는 한계에 부딪치게 된다. 사이버 공격의 배후에 있는 원인자를 밝히는 것은, 인터넷 설계의 문제, IP 변조, 패킷 세탁 등과 같은 위장수단, 사이버 공격의 국제성과 추격의 시간적 지연, 인간과 기계 사이의 공백 등의 기술적 어려움에 처하게 된다. 원인자에 대한 추격에 성공하더라도 국제법적인 차원에서 국가의 책임을 묻기 위해서는 법적인 책임귀속의 문제가 해결되어야 한다. 국가기관은 아니지만 국가의 위탁이나, 지휘, 감독 하에서 사인의 행동이 이루어지는 경우 국가의 책임이 인정되기 위하여 국제사법재판소는 국가나 국가기관이 개별적인 행위에 대하여 ‘효과적인 통제(effective contro)’를 하여야 책임귀속이 가능하다는 입장이다. 그 후에도 여전히 법적 입증의 문제는 남는다. 사이버 환경에서의 악의적인 행동을 포착하는 개념을 설정하는 문제는, 비단 법적용의 범위와 효과를 결정할 뿐만 아니라 법정책적인 측면에서 그 행위에 대한 대응방향을 정하는데 결정적인 영향을 미치고, 더 나아가 정치적인 관점에서의 관심을 집중시키는 수사적 기능을 갖기도 한다. 본 논문에서 사용하는 사이버 공격은 일종의 집합개념으로서, 사후적으로 원인자, 원인지, 피해대상 및 정도 등이 밝혀지게 되면 법적용이 구별된다는 것을 전제로 하여, 그 동안의 불명확한 법적 상태를 대처하기 위한 개념으로서 이해하여야 한다. 이러한 사이버 공격에 의하여 발생하는 사실적·법적 불명확성의 리스크에 대한 대응이 바로 국가와 공법의 중요한 임무가 될 것이다. 공법적 대응으로서 원인규명을 위하여 행정조사와 정보교환제도가 각국의 입법례에서 사용되고 있다. 사고의 원인을 밝히는 행정조사에 있어서는 그 결과가 수사의 단초가 될 수 있다는 점에서 형사법상의 적법절차를 우회하는 문제가 있다. 각국의 입법례에서 공통적으로 나타나는 정보교환 내지 신고제도는 사고발생의 원인을 파악하고 보안조치를 강구하는데 있어서 필수적이라고 볼 수 있어서, 상호간의 신뢰의 기반 하에서 솔직하고 자유로운 정보교환을 촉진하도록 제도를 설계할 필요가 있다. 사이버 공격에 대한 사후적인 대응이 언제나 한계가 있으므로, 환경법상 마련된 사전배려원칙을 적용하여 사이버 공격을 예방하기 위한 기술적, 법적 안전장치를 사전에 마련하는 것이 중요한 국가의 책임이 된다. 최근 정부안으로 제출된 국가사이버안보법안에 대한 분석을 통하여, 특히 개념정의에 있어서의 불명확하고 포괄적인 점, 사고의 통보와 조사에 있어서 나타나는 법체계적인 문제점 등이 지적될 수 있다. 사이버 보안법제에 완전한 체계구축이 불가능할 수 있다는 관점에서 보면, 지금부터라도 사이버 공격을 방지하기 위한 입법적 기초를 차분히 점검하자는 것이 본 논문의 취지이며 향후의 과제가 될 것이다.
Abstract
The recently increasing phenomena of cyber attack cover from mere individual criminal offences that is target of criminal investigation, to acts of terrorism that bring a intelligence agency for threat to national security. Furthermore this attack could become a cyber war ruled by international law when the damage of it surpass physical damage like use of armed force. Most of cyber attacks can not be inquired into to such an extent that the causer of attack is fully identified and prosecuted. This attempt to reveal the actor in hiding behind might end in failure, because of technical problems like architecture of internet, disguising methode, internationality, time gap, gap between machine and man, etc. Although the actor can be identified, the question about attribution of responsibility of state and evidential problem will remain still. The concept of cyber attack should be treated as collective one consist in various legal systems and applicabilities. It is a very important mission for state and public law to respond to the risk of uncertainty caused by cyber attack,As a measure of public law’s response, several institutions can be chosen like administrative investigation, sharing of information, precautionary instruments in technic and legal areas. This study covers also Draft of National Cyber Security Act from this point of view. The Draft has several problems of ambiguity of legal concepts, broad applicability and excessive concentration of power etc. As a response to situations from lack of knowledge about Cyber phenomena, just a statute can not become a total solution like traditional area. The legislative foundation to protect from the risk of cyber attack should be sought and reviewed step by step for that reason.
- 발행기관:
- 법학연구소
- 분류:
- 법학