국가가 연루된 비국가행위자의 사이버공격에 대한 국가책임 귀속성
Attribution of State Responsibility for Non-State Actors' Cyber Operations Implicating States
김효권(고려대학교)
193권, 279~312쪽
초록
오늘날 사이버 수단을 이용한 적대행위로서 타국을 대상으로 일국이 자행한 사이버공격은 국제법의 영역에 포섭되는 반면, 해커와 같은 범죄조직이 저지른 사이버범죄는 국내 형사법의 규율을 받는다. 본고는 이처럼 행위의 주체에 따라 국제법과 국내법을 각각 적용하는 현재의 규율방식이 실제 현실에서 나타나는 복잡한 사이버공격 혹은 사이버범죄의 양태를 적절히 해결할 수 없다는 문제를 제기한다. 국가가 자행하는 사이버공격과 개인이 저지른 사이버범죄 간 경계의 모호성은 여하한 방식으로 국가가 개입되거나 관여되었다고 추정되는 비국가행위자의 사이버공격 사례에서 나타난다. 2007년 에스토니아 사태와 같이, 국가 간 정치적 갈등을 배경으로 발생하는 사이버공격 사례는 이를 수행한 비국가행위자의 배후에 피해국과 적대관계에 놓인 국가가 은밀히 자리하고 있기 때문이다. 국가책임법과 국내 형사법은 이처럼 국가와 개인이 복잡하게 연계된 사이버공격을 적절히 규율하기 어렵다. 먼저 국제법의 한계로서, UN GGE 보고서에 따르면 오늘날 비국가행위자의 사이버공격에 대하여 피해국이 원용 가능한 유일한 법원은 국가책임법이다. 그러나 ILC 국가책임초안과 ICJ 판례는 사인 행위의 귀속을 판단하는 기준으로 실효적 통제 기준을 제시하는바, 사이버공격의 익명성과 국가와 개인 간 다양한 유형의 연계 방식을 고려할 때, 실제 문제 된 공격이 국가의 지시·지휘·통제 아래 자행되었다는 사실을 법적·기술적으로 입증하는 작업은 지극히 까다롭다. 다음으로 국내법의 한계로서, 적대국을 배후로 둔 비국가행위자의 사이버범죄에 대하여 피해국은 디지털 증거의 보전 등 사이버범죄 수사를 위한 국가 간 공조를 기대하기 어렵다. 또한, 국가면제 원칙에 따라 국가의 행위를 처벌할 수 없다는 사실은 국내법을 통한 사이버범죄의 처벌이 국가 간 갈등 및 분쟁을 배경으로 한 사이버공격의 근본적 해결책이 될 수 없음을 시사한다. 이에 본고는 국가가 연루된 비국가행위자의 사이버공격 혹은 사이버범죄를 규율하기 위하여 어떠한 법리가 적용될 수 있는지를 검토하고, 그 해결방안으로 ICJ Corfu Channel 사건에서 확인되는 상당주의의무가 사이버공간에 적용되는 국제법 영역에 포섭될 필요가 있음을 주장하고 있다.
Abstract
The UN GGE report distinguishes international law applicable to cyberspace from voluntary and non-binding norms as responsible state behavior. Considering the former, the report makes it clear that states’ malicious ICT activities may constitute international wrongful acts whereby a victim state could invoke the law of state responsibility. On the contrary, subsuming a cybercrime under the latter, the report simply recommends that states should seek cooperation and mutual assistance to effectively punish a cybercrime. This difference implies that while a cyberattack committed by states is subject to the application of international law, a cybercrime perpetuated by individual criminal organizations falls within the scope of domestic criminal law. This article points out that there are legal gray areas where the law of state responsibility, as well as states’ domestic criminal law, could not resolve or regulate certain patterns of cyber operations. The ambiguity of the boundary between the cyberattack committed by states and the cybercrime perpetrated by non-state actors appears in the case of cyber operations suspected using of proxies. The article argues that the dichotomy cannot properly solve the complex aspects of cyber operations where states and non-state actors are complicatedly involved with each other. According to the GGE report, the only legal principle that can hold the state responsible for malicious cyber operations of non-state actors is the law of state responsibility. Considering the anonymity of cyber operations and various types of links between states and non-state actors, however, it is nearly impossible to prove that the non-state actors concerned were acting on the instructions of, or under the direction or control of, the suspected state. Concerning the domestic law regulating cybercrime, it is unrealistic for the victim states to expect cooperation between the hostile state for cybercrime investigations. Accordingly, this article argues that it is necessary to apply the principle of due diligence affirmed in the ICJ Corfu Channel case as a way to remove the gray areas.
- 발행기관:
- 한국법학원
- 분류:
- 기타법학