2021년 7월 1일, 이사벨 피어트 (Isabelle Peart), 퀀즐랜드 대학교(University of Queensland)
2021년 봄, ICRC와 제네바 아카데미(Geneva Academy)는 ‘군사 사이버 작전으로 인한 위험으로부터 민간인 보호’라는 주제 하에 학생 논술 대회를 개최하였습니다. 전 세계 약 30개국의 학생들은 다음 질문에 대한 짧은 에세이를 기고했습니다: ‘각국 정부는 무력 충돌 시 군사 사이버 작전으로 인한 민간인의 피해를 방지하거나 최소화 하기 위해 어떤 (기술적, 정책적, 법적) 조치를 취해야 하는가?’. 본문은 대회 수상자, 이사벨 피어트 (Isabelle Peart)의 수상작을 소개하고 있습니다. 대회 심사위원 중 한명인 ICRC의 로홍 지젤 (Laurent Gisel)은 ‘군 사이버 작전으로 인해 야기되는 민간인에 대한 피해를 줄이는 방법에 대한 논리적 제안을 완성도 있게 서술하여 깊은 인상을 주었다’고 피어트의 에세이에 대한 평가를 하였습니다. 본문은 비무장지대에서의 국제인도법의 개념을 사이버 상황에 적용시키며, 이를 바탕으로 국제 디지털 안식처 구축의 필요성을 제시하고 있습니다.
2020년 9월, 독일 경찰은 사이버 공격으로 인해 병원으로 이송된 환자의 사망에 대한 살인사건 수사에 착수했습니다. 비록 기소에는 실패하였지만, 이 사건으로 인해 사이버 공격이 대중에게 미칠 수 있는 심각한 위험이 제기되었습니다. 점점 더 많은 국가가 군사적 사이버 능력에 투자하고 사이버 공간에서 군사 작전을 수행함에 따라, 민간인에 대한 위협이 더욱 심해지고 있습니다. 일반적으로 국제인도법의 원칙은 무력 충돌 시 군사 사이버 작전에도 적용되는 것으로 인정됩니다. 그러나, 국제인도법은 군사 사이버 운영 측면에서 민간인을 더 큰 위험에 처하게 할 수 있습니다. 이는 사이버 충돌 시 (민수용이나 군수용으로 사용 가능한) 이중용도 물자(dual-use objects)의 사용 원칙과 그 적용 때문입니다.
국제인도법에 따른 군사목표물과 ‘이중 용도’ 물자
제1추가의정서 제52조 2항에 따르면, 공격의 대상은 엄격히 군사 목표물에 한정됩니다. 또한, 제58조 1항에 따르면, 충돌당사국은 가능한 한 최대 한도로 민간인 및 민간 물자를 군사목표물의 인근으로부터 이동시키도록 노력하여야 합니다. 물리적 힘으로 작동되는 전통적인 전쟁(Kinetic warfare)의 경우 민간인과 민간 물자를 군사목표물로부터 최대한 분리함으로써 공격의 영향으로부터 보호할 수 있습니다.
하지만, 물자가 군사 목적과 민간 목적을 동시에 수행하는 경우 문제가 발생할 수 있습니다. 이 경우, 국가관행에 따르면 ‘이중 사용’ 물자는 군사 목표물로 여겨집니다. 예를 들어, 구 유고슬라비아 국제형사재판소 심리부 (Trial chamber)는 야드란코 프를리치 (Prlić) 사건에서 파괴된 모스타르 다리가 민간 및 군사 목적의 보급 경로로 이중 사용되었지만, 군사목표물로 여겨졌음을 보여줍니다 (1582항).
사이버 작전의 측면에서 탈린 매뉴얼 2.0 (Tallinn Manual 2.0, 554페이지)에는 민간 및 군사 목적으로 사용되는 사이버 기반시설을 잠재적 군사목표물로 규정하고 있습니다. 이러한 규정은 민간 및 군사 기반시설의 상호 연결성을 고려할 때 군사 사이버 작전 수행 시 민간인에게 실질적인 위협을 야기합니다. 한 예로, 군사 기밀 통신을 포함한 미국 정부 통신망의 98%가 민간 통신망을 통해 전송되는 것으로 추정됩니다. 군용 및 민간용 통신망의 통합정도는 이러한 통신망들의 분리가 실현 불가능한 것으로 간주됨을 의미합니다.
비록 ‘이중 용도’ 물자가 군사목표물로 간주되더라도, 공격이 민간인에게 비례원칙에 어긋난 피해를 주지 않도록 비례성 평가가 수행되어야 합니다. 이것은 민간인들에게 최소한의 보호를 제공할 것입니다. 예를 들어, 탈린 매뉴얼 2.0은 군사적 목적으로 인터넷이 사용되더라도 인터넷 전체를 군사목표물로 간주하지 않습니다. 그럼에도 불구하고 군사용 사이버 기반시설과의 상호 연결로 인해 민간 사이버 기반시설이 우발적으로 손상될 위험은 여전히 존재합니다.
해결책: 디지털 안식처 협정
군사 사이버 작전 중 민간인 피해의 위험을 줄이기 위해 각 국가는 ‘디지털 안식처’ 협정을 채택하여 사이버 작전 중 특정 컴퓨터 통신망이 표적이 되는 것을 방지해야 합니다. 로빈 가이스 (Robin Geiß)와 헤닝 라만 (Henning Lahmann)이 논의한 바와 같이 디지털 안식처는 제네바 제1추가의정서 60조에 명시되어 있듯, 사실상 비무장 지대에 해당됩니다. 통신망을 민간 또는 군용으로 분리하기 보다, 각국 정부는 국제적으로 구속력이 있는 협정을 통해 필수적인 민간 통신망을 분리하여 군사적 간섭으로부터 보호해야합니다. 이러한 협정이 효력을 발휘하려면 두 가지 주요 의무를 각국 정부에 부과해야합니다. 첫째, 각국은 지정된 통신망과 자료 체계 (data system)에 대해 군사 작전을 실시해서는 안되며, 둘째, 각국은 이렇게 지정된 통신망 및 체계를 군사 목적으로 사용해서는 안됩니다.
디지털 안식처에 접속하기 위해 각국 정부는 보호받는 통신망과 자료 체계를 분리시켜야합니다. 예를 들어, 군사 자료는 보호받는 자료와 동일한 컴퓨터 서버 상에 배치될 수 없습니다. 어떤 통신망이 보호되어야 하는지를 결정할 때, 우선 디지털 안식처가 성공적이고 효율적일 수 있도록 보다 신중한 접근방식을 택해야 합니다. 물론 금융 체계 및 전령망과 같은 영역이 민간인에게 가장 필수적인 것으로 간주될 수 있지만, 보호 체계는 병원의 디지털기반시설과 같은 의료 통신망에 우선 적용되어야합니다.
안식처 협정에 의해 보호받는 지역을 제한시키는 것은 디지털 안식처가 각국 정부에 의해 악용될 가능성이 적다는 것을 의미합니다. 또한, 최근 병원을 대상으로 한 범죄 사이버 공격이 급증함에 따라 의료 통신망을 보호하여 데이터 암호화 개선 등의 조치를 통해 병원들의 사이버 보안을 강화할 수 있는 기회가 추가 제공됩니다.
2020년 9월 독일에서 발생한 사건에서 알 수 있듯이 의료 통신망의 중단은 민간인에게 즉각적이고 치명적인 피해를 줄 수 있습니다. 의료 기반시설이 국제인도법에 따라 이미 보호되고 있지만, 디지털 안식처를 구축하는 국제 협약의 도입은 이러한 체제를 강화하고 민간인에게 추가적인 보호를 제공할 것입니다. 의료 통신망에서 군사 활동을 제거함으로써 디지털 안식처 협약은 이러한 통신망이 합법적으로 공격의 대상이 될 수 없음을 보장합니다.
편집자 참고사항: 본문은 게시 형식에 맞게 부분적으로 수정이 되었습니다.