국제사이버법상 상당한 주의 의무에 관한 국가실행
State Practice on the Principle of Due Diligence Applicable to Cyberspace
박노형(고려대학교); 김효권(고려대학교)
66권 4호, 61~96쪽
초록
2017년 제5차 UN GGE의 실패는 사이버공간을 규율하는 국제법을 확인 혹은 형성하는 과정에서 국가 간 입장의 차이가 쉽게 좁혀질 수 없다는 문제를 제기하였다. 이에 2021년 제6차 UN GGE는 이러한 입장의 차이를 조율하기 위하여, 참가국에게 사이버공간에 어떠 한 국제법이 적용될 수 있는지에 관한 자국의 국가실행을 성명하는 ‘자발적 국가 기여’의 제출을 요구하였다. 제6차 GGE 보고서의 부속서로 회람되는 공식 컴펜디엄은 이러한 자 발적 국가 기여를 통합하여 수록하고 있다. 이 논문은 국제사이버법 분야에서 주목받고 있는 상당한 주의 의무를 주제로 삼아, 이에 관한 주요국의 국가실행을 공식 컴펜디엄을 통하여 분석하고 있다. 오늘날 상당한 주의 의무는 국제환경법 분야에서 논의되고 있으나, 이 원칙은 환경법 분야와 또 다른 맥락에서 사이버공간에 적용되는 주요한 규범으로 인식 되고 있다. 기술의 발전에 따라 점차 지능화되고 있는 사이버공격의 익명성은 국가책임법 의 원용을 어렵게 만들고 있다. 특히, 해커조직과 같은 비국가행위자에 의하여 자행되는 사이버공격을 국가책임으로 귀속시키는 작업은, 비국가행위자와 이들 사인을 실효적으로 통제하는 배후국 사이의 관계를 입증해야 한다는 기술적·법적 난관에 직면하고 있다. 이러 한 맥락에서 다수의 GGE 참가국은 국가책임의 귀속과 무관하게 사이버공격이 발생한 영토국에 대하여 책임을 물을 수 있는 상당한 주의 의무가 국제관습법으로서 사이버공간 에 적용될 필요가 있음을 피력하고 있다. 공식 컴펜디엄에 관한 본 논문의 분석은 상당한 주의 의무의 당위를 주장하는 국제사회의 여론을 확인함과 동시에, 그 의무 이행에 관한 주요국의 국가실행이 구체적으로 일치하지 않는다는 사실을 확인하고 있다. 따라서 향후 국제사회는 자발적 국가 기여에서 확인되고 있는 국가실행을 공유하고 이에 관한 지속적 토의를 통하여 상당한 주의 의무의 법적 지위와 그 실체적 내용에 관한 합의를 도출해야 할 것이다.
Abstract
The failure of the fifth UN GGE indicates clear divergences among the participating States on how international law applies to cyberspace. In this vein, the UNGA establishing the sixth GGE mandates an official compendium of voluntary national contributions of participating States whereby current state practice on the subject concerned would be exchanged and shared for common understandings. By way of analysis thereof, this article particularly explores States’ view and assessment on the principle of due diligence. It discusses the ongoing controversy on the legal status of the principle; while some States argue that it has acquired the status of customary international law, other States including the U.S. and the U.K. dissent such view based on the lack of opinio juris as well as state practice widely recognized. The article, however, points out that while the latter simply relies on the GGE Report under which the principle of due diligence has been classified as voluntary and non-binding norms, the former refers to the ICJ’s Corfu Channel as its legal basis, that is, every State has a general obligation not to allow knowingly its territory to be used for acts contrary to the rights of other States. The article also opines that, compared to the past GGE discussion, the position of the U.S. towards the due diligence principle seems to be slightly changed as the voluntary national contribution of the U.S. itself confirms its practical necessity. Particularly, the Colonial Pipeline ransomware attack occurred in May 2021 might be a turning point; U.S. President Joe Biden explicitly opined that, despite the lack of evidence proving any involvement of the Russian government, Russia has some responsibility to deal with the cyberattack in light of the fact that the attack was emanated from the territory thereof. The article points out that such logic embedded within the President’s statement nothing but admits the principle of due diligence. It should be noted that States recognizing the principle as a general obligation of international law do emphasize the legal or technical difficulty in establishing state responsibility since ‘anonymity’ derived from the intrinsic nature of cyberattack indeed prevents an injured State from proving attribution of the attack and invoking the law of state responsibility. In this light, the article argues that the due diligence principle should be applicable to cyberspace as a matter of international law, not a non-binding norm, and the international community should strive to clarify the scope, practical applications, and other substantial contents of the due diligence principle.
- 발행기관:
- 대한국제법학회
- 분류:
- 법학