이슈 및 정책

2021년 3월 9일

틸만 로덴하우저, ICRC 법률고문

쿠보 마차크, ICRC 법률고문

오늘날 무력 충돌 상황에서 사이버 작전을 운용하는 것은 현실이 되었고, 이러한 작전의 활용은 앞으로도 계속 증가할 것입니다. 이 추세에 대응하여 ICRC는 국제인도법상 무력 충돌 시 사이버 작전의 활용은 규제되고 제한된다고 오랫동안 주장해 왔습니다. 그러나 정말로 중요한 것은 무엇일까요? 본 게시물에서 ICRC 법률 고문인 틸만 로덴하우저(Tilman Rodenhäuser)와 쿠보 마차크(Kubo Mačák)는 사이버 작전이 인간에게 해를 입힐 위험이 매우 크다고 설명하며, 사이버 공간에서의 국제인도법 적용 가능성에 대한 기술적 문제는 현실 세계에도 영향을 미친다고 말합니다.

오늘날의 디지털 세계에서 국가 및 비국가 무장 단체는 군사 작전에 사이버 기능의 사용을 점차 증가시키고 있으며, 그 활용도도 점점 더 커질 것으로 예상됩니다. 그럼에도 불구하고, 이는 여전히 유엔이 후원하는 두 가지 다자간협력 프로세스의 틀에서 가장 두드러지는 주제이며, 사이버 공간에서의 그러한 행위가 기존의 국제법 프레임워크에 어떻게 적용되는지에 대한 논쟁이 있습니다.

지난 20년간 ICRC의 입장은 변함이 없었습니다. 국제인도법 (‘전쟁법’이라고도 불림)은 무력 충돌 중 사이버 작전에도 적용되며, 따라서 이러한 작전은 제한된다는 데 의심의 여지가 없습니다. (자세한 내용 확인: pp. 36–37, 혹은p. 4)

그러나 기술적인 법률 문제로 인해 사이버 작전에 국제인도법이 적용될 때 인도주의적 보호 측면에서 제공되는 매우 실질적인 이점이 가려질 수 있습니다. 따라서 현학적인 논쟁을 하는 대신 국제인도법이 무력 충돌 중 사이버 작전에 적용되지 않았다고 상상해 봅시다. 현대의 무력 충돌은 어떤 모습일까요?

민간인은 전기와 같은 필수 서비스를 박탈 당할 있습니다

전력망에 대한 사이버 작전은 전례없는 것이 아닙니다. 무력 충돌 시, 교전자들은 적을 약화시키고 사기를 저하시키기 위해 상대 진영에 있는 전력망을 해킹하고, 인구 밀집 지역의 전력망을 끊으며, 신속한 회복을 방해하는 데 모든 노력을 기울일 수 있습니다. 이런 일들은 무력 충돌의 영향을 받는 민간인들의 취약성을 심각하게 악화시킵니다.

하지만 국제인도법은 민간 물자에 대한 겨냥, 혹은 민간 물자의 부수적 손상이 예상되는 작전에 대해 명확한 제한을 둡니다. 국제사법재판소(ICJ)가 ‘인도법의 구조(fabric of humanitarian law)’를 구성하는 ‘기본 원칙’ 중 하나로 규정한 구별의 원칙(principle of distinction)은 민간 대상에 대한 공격을 금지합니다. 또한 국제인도법 규칙은 식수 시설과 같이 민간 주민의 생존에 필요 불가결한 물건들의 무용화를 금지합니다. 따라서 무력 충돌의 모든 당사자는 사이버 작전을 포함한 무력 충돌 상황 시, 군사 목표에 대한 공격만을 해야 하며, 적대 행위의 영향으로부터 민간인과 민간 물자를 보호하기 위해 지속적인 주의를 기울어야 합니다.

국제인도법이 없을 경우, 어떤 법률체계가 무력충돌 시 중요한 민간 인프라를 효과적으로 보호하며 사이버 작전을 제한할 수 있을까요? 인구 밀집 지역의 정전은 며칠 또는 몇 주 간 지속될 수 있습니다. 최근 미국 텍사스의 정전 사태와 대한파가 보여줬듯이, 전기 난방에 의존하는 추운 기후에서 난방의 유무는 삶과 죽음을 가를 수도 있습니다. 한 예로, 이러한 기후 조건에서 정전이 될 경우, 송수관의 물이 얼어 파열이 되고, 결국에 물 공급이 중단되는 등 연쇄적으로 영향을 미치는 피해를 일으킬 수 있습니다. 무력 충돌 중에는 인구의 취약성이 적대 행위로 인해 악화되는 경우가 많기 때문에 피해의 위험성이 특히 심각해집니다. 이러한 예외적인 상황에서 민간인을 보호하는 것이 국제인도법의 존재 이유(raison d’être)입니다.

병원에 입원한 환자들은 심각한 위험에 처하게 됩니다.

무력 충돌 시 보건 분야에 대한 사이버 작전 수행 역시 국제인도법이 절실히 필요한 영역입니다. 국제인도법이 이러한 작전에 적용되지 않는다면, 부도덕한 군 사령관은 상대 진영에 있는 병원의 컴퓨터와 네트워크를 무력화 시킬 목적으로 악성코드를 심는 행동에 어떠한 법적 문제가 있는지 의문을 제기할 수 있습니다.

재차 강조하지만, 국제인도법은 본 주제에 관해 다음과 같이 명시하고 있습니다. 국제인도법은, 적군 또는 민간인 지원 여부와 상관없이, 의료단, 의료 수송의료진은 분쟁 당사자들에 의해 항상 존중되고 보호되어야 한다고 규정하고 있습니다. 따라서 1년 전 게시된 기사에서 자세히 설명했듯, 교전국은 사이버 작전을 통해 의료 인프라를 공격해선 안되며 이러한 작전으로 인한 부수적 피해를 방지하기 위해 각별한 주의를 기울어야 합니다. 이러한 분석은 또한 옥스퍼드 대학이 소집하여 100명 이상의 국제 변호사들이 서명한 성명서 초안 작성의 배경을 제공하여 의료 시설/의료진에 대한 보호를 거듭 강조하였습니다.

2020년 5월, 피터 마우러 (Peter Maurer) ICRC 총재는, “의료 부문에 대한 공격은 상상도 할 수 없는 일이며, 사실 매우 충격적입니다. 특히, 코로나19 팬데믹 상황에서는 더 큰 충격으로 다가옵니다”라고 역설하였습니다. 그러나 국제인도법에 따른 금지 규정이 없다면, 무력 충돌 중 적대적인 사이버 작전에 의해 병원이 피해를 입을 경우, 어떤 법적 보호가 존재할 수 있을까요? 실제로 코로나19 팬데믹은 의료 분야 보호의 중요성을 강력하게 상기 시켜 주었습니다. 병원의 기능이 더 이상 원활하지 않게 되면, 생명을 구하는 치료도 불가능해집니다.

3국은 예상치 못한 심각한 사이버 피해에 노출될 수 있습니다

사이버 공간의 주요 특징 중 하나는 상호 연결성입니다. 이는 특정 시스템에 대한 사이버 작전이 다른 시스템에 반향을 일으킬 수 있고, 잠재적으로 전 세계에 무분별한 영향을 미칠 수 있음을 의미합니다. 특히 악성코드가 지리적 또는 다른 제한 없이 자동적으로 확산되도록 프로그래밍 된 경우, 적어도 전 세계의 유사한 소프트웨어를 실행하는 컴퓨터에는 물리적 위치에 상관없이 영향을 미칠 수 있습니다.

국제인도법에 따르면, 특정된 군사 목표물만을 공격할 수 없거나 합법적인 방법으로 그 효과를 제한할 수 없는 전쟁 수단 및 방법을 활용한 공격은 금지됩니다. 사이버 작전의 맥락에서는 무분별하게 확산되어 피해를 유발하는 사이버 도구가 불법임을 의미합니다. 따라서 국제인도법상의 무분별한 공격 금지는 적대 행위의 영향을 받는 지역의 민간인 뿐만 아니라 실제로 그러한 공격에 의해 부수적인 영향을 받을 수 있는 제3국도 보호합니다.

그러므로, 무력 충돌 중 발생하는 사이버 활동에 대한 효과적인 규제는 모든 국가와 관련이 있습니다. 군사적 사이버 역량을 개발하고 있는지, 지리적으로 어디에 위치해 있는지, 그리고 무력 충돌에 연루되었는지와 관계없이 모든 국가에 적용되는 사실입니다.

국제인도법상의 규제가 차이를 만듭니다

그러나 지금까지 설명한 것처럼 국제인도법이 사이버 작전에 공식적으로 적용되는지 여부가 정말로 중요할까요? 법으로 금지되어 있는지 여부에 관계없이 책임이 있는 행위자라면 병원을 공격하거나 민간인이 얼어 죽도록 내버려 두지는 않을 것이라고 말할 수도 있습니다. 결국, 그러한 행위는 국제인도법이 필요 없을 정도로 노골적으로 불명예스럽습니다. 병원과 민간인은 공격하면 안 된다는 사실을 모르는 사람은 없을 것입니다.

하지만 역사적으로, 국제인도법의 적용 여부와 무력 충돌로 인해 영향을 받는 이들에 대한 보호 여부는 실질적이고 가시적인 결과를 발생시킵니다. 법이 교전국의 행동을 결정하는 유일한 이유는 아니지만 국제인도법이 변화를 일으키는 사례는 많이 있습니다. 한 예로, 연구에 따르면 포로의 대우에 관한 1929년 제네바 협약’에 가입한 국가들에서 포로에 대한 대우가 훨씬 더 좋았습니다. 반면, 본 제네바 협약에 의해 보호 받지 못한 전쟁 포로에 대한 대우는 훨씬 더 가혹했으며, 많은 사상자를 내고, 말할 수 없는 고통을 초래했습니다 (사례 확인: p. 3, 혹은 paras 5–7, 12).

이것이 국가들이 평시와 무력 충돌 시에도 국제인도법의 조항을 가능한 한 널리 보급하기로 약속한 이유이기도 합니다. 이 의무는 국제인도법 규정에 대한 정통한 이해가 법률의 효과적인 적용 및 무력 충돌 피해자들의 보호를 위해 필수적이라는 생각에 기반을 두고 있습니다. 군대의 경우, 국제인도법에 대한 존중을 보장하기 위해선 국제인도법에 의해 확립된 제한 규칙을 체득하는 비·공식적인 방법을 요구하는 등 복합적인 노력이 필요합니다 (pp. 28–31). 사이버 공간을 포함하여 모든 관련 상황에서 이러한 규칙에 대한 집중적이고 반복적인 훈련을 함으로써, 모든 전투원이 시대에 앞서, 또한 아주 작은 의심의 여지도 없이, 어떤 사람과 사물을 공격하면 안 되는지 알게 됩니다.

마지막으로, 사이버 작전에 국제인도법을 적용하는 것도 위반에 대한 책임을 확보하기 위한 필수 전제 조건입니다. 국가는 전쟁 범죄 (즉, 심각한 국제인도법 위반)를 저질렀거나 이를 주도한 사람을 수색하여 형사 소송을 수행해야 할 법적 의무가 있습니다 (para. 12 참조). 결국, 책임 있는 교전국 내에도 허용되는 행동 범위를 벗어난 소행을 저지르는 ‘암적인 존재’가 포함되어 있을 수 있습니다. 그러한 행위가 사이버 공간에서 일어났다고 해서 면책을 부여할 사유가 되지는 못합니다.

결론과 나아갈 방향

물론, 국제인도법이 적대적인 사이버 행위에 대한 관련 제약을 포함하는 유일한 국제법 체계는 아닙니다. 특히, 국가들은 제I추가의정서의 ‘유엔헌장과 배치되는 여하한 침략 행위 또는 무력행사를 합법화하거나 용인하는 것으로 해석될 수 없음’을 명확히 했습니다. 즉, 국제인도법을 준수하는 사이버 작전이더라도 무력 사용 금지의 원칙을 위반할 수 있습니다. 또한, 본 게시물에 언급된 특정 사이버 작전은 주권 및 불간섭의 원칙 또는 국제인권법 등 추가적인 국제법 규정을 적용 받을 수 있습니다. 이와 관련하여 의료 분야를 대상으로 하는 사이버 작전에 대한 국제법상의 보호에 관한 분석에서 자세히 설명하고 있습니다.

그러나 국제법의 여러 분야 중에서, 국제인도법이 무력 충돌로 인한 위험으로부터 민간인을 보호하는 데 중추적인 역할을 한다는 것에는 의심의 여지가 없습니다. 국제사법재판소가  확고하게 선언한 바와 같이, 국제인도법은 ‘무력 충돌 시 적대 행위를 규제하고 민간인과 민간 물자 보호를 추구’하는 법체계입니다 (para. 153). 위에 언급된 다른 규칙과 달리, 국제인도법은, 의심의 여지 없이, 무력 충돌의 당사자인 비국가 무장 단체에게도 구속력을 가집니다. (paras 539–542, p. 8). 이러한 이유로, 국제인도법이 어느 수준까지 무력 충돌지역의 민간인, 병원 직원 및 환자, 또는 중요한 민간 인프라와 같이 국제사법재판소가 언급한 다양한 범주를 사이버 피해로부터 보호하고 있는지 이해해야 합니다.

앞서 살펴본 바와 같이, 무력 충돌에서 사이버 작전을 운용하는 것은 (특히 국제인도법을 준수하지 않을 경우) 실질적인 인도주의적 위기를 초래할 수 있습니다. 이번 주 협상 중인 유엔 개방형워킹그룹(OEWG)의 보고서 초안에서 언급한 바와 같이, ‘국제인도법은 무력 충돌 상황에서 전투원들은 물론 민간인과 민간 물자에 대한 위험과 잠재적 피해를 줄여줍니다’ (para.84; 자세한 내용은 ICRC의 해설서를 참고하세요). 점점 더 많은 국가가 무력 충돌 중 사이버 작전에 국제인도법이 적용된다는 사실에 명확히 동의하였습니다. 우리의 견해로는, 모든 국가들이 이런 합의에 동참하는 것이 필수적입니다. 국제사회는 사이버 전쟁에도 제한이 있음에 대해 의심의 여지를 남겨서는 안됩니다.

편집자 주: 본 게시물의 원본은 ‘EJIL:Talk!에 출판되었습니다.

태그: I추가의정서무력충돌사이버사이버 공격사이버작전사이버전쟁디지털기술제네바협약국제사법재판소국제인도법 피터마우러민간인보호,