저널명
  국제법학회논총
표   제
  國際法上 情報戰에 관한 硏究
발행처
  대한국제학회
작성일
  2006-03-10 오후 2:00:00
조회수
  3160

   
 
國際法上 情報戰에 관한 硏究*
Information Warfare from the Standpoint of International Law



문 규석**


◀ 목 차 ▶

Ⅰ. 서론 이 침략행위인지 여부
Ⅱ. 국제법상 정보전에 관한 고찰 1. 문제의 제기
1. 의의 2. 컴퓨터네트워크에 대한 공격이
2. 성격 무력행사로 간주되는 경우에 그
3. 유형적 구별사항 것이 곧 무력행사인지 여부
4. 평가 3. 비살상무기로 침략행위가 가능한
Ⅲ. 다른 국가의 컴퓨터네트워크에 대한 공격이 무력 것인지 여부
행사인지 여부 4. 악성 컴퓨터프로그램으로 개시한
1. 문제의 제기 공격을 폭발성이 있는 무기로
2. 악성 컴퓨터프로그램이 무기로 될 수 있는지 여부 대응할 수 있는지 여부
3. 컴퓨터네트워크에 대한 공격이 무력행사인지 여부 5. 평가
4. 평가 Ⅴ. 결론: 문제의 해결 방향 및 제언
Ⅳ. 무력행사로 간주되는 컴퓨터네트워크에 대한 공격


Ⅰ. 서 론


1930년대에 컴퓨터가 최초로 발명되었다. 초창기의 컴퓨터는 단순한 산술적인 계산정도가 전부이었으나 거듭된 발전을 통해서 모든 산업분야에서 사용되고 있고 성능, 메모리 용량 및 스피드 면에 있어서 초기의 컴퓨터와 비교하는 것 자체가 불가능하다. 현재 전세계적으로 사용되고 있는 컴퓨터는 사람이 어떻게 사용하느냐에 따라서 경제적 생산성을 배가할 수 있고, 범죄의 도구로 악용될 수 있다. 또한 컴퓨터네트워크를 통해서 의사소통이 가능한 가상공간이 창출되어 그 공간에서 개인간의 정보교류 뿐만 아니라 평?전시에 적의 정보통신망을 운영하는 프로그램을 마비시킬 수 있는 공격행위가 가능하게 되었다. 정보화시대는 20세기 최고의 발명품이라고 할 수 있는 컴퓨터에 의해서 수행되고 있다.
컴퓨터공학기술의 발전의 양상이 앞으로 어떻게 전개될지 예측하기 어렵지만 순기능적인 측면과 역기능적인 측면의 고찰이 가능하다. 순기능적인 측면은 각종 정보가 대규모로 국경을 초월해서 광속으로 전달이 가능하고, 사람의 손으로 해결할 수 없는 각종 업무를 용이하게 처리할 수 있으며, 행하고자 하는 모든 업무는 그 업무에 관련된 프로그램만 개발되면 간편하게 수행할 수 있다. 반면에 그의 역기능은 인터넷을 이용한 범죄(명예훼손, 사기)와 인터넷시스템을 대상으로 하는 범죄가 가능하고, 최악의 경우에 핵무기와 같은 대량살상 무기의 컴퓨터 통제시스템이 파괴되어 상상을 초월하는 사고가 발생될 가능성도 예상할 수 있다.
사이버공간에서 발생할 수 있는 범죄행위가 개인 대 개인(또는 법인)이라면 기존의 형사사법공조에 관한 국제협력을 통해서 그 문제의 해결이 가능하다. 문제는 이러한 범죄행위가 사인간의 관계가 아니라 국가의 지원(국가의 지시?명령, 묵인?방조)하에 평시에 행해진 경우이다. 즉 다른 국가의 컴퓨터네트워크에 대한 공격이 국가의 행위로 귀속될 수 있고, 또 이 공격행위가 평시에 행해졌다면 그 공격행위를 무력행사로 간주할 수 있는지, 무력행사로 간주된다면 그것이 곧 침략행위인지, 침략행위로 간주되면 곧 재래식무기로 자위권을 행사할 수 있는지 등의 문제가 제기된다.
본 논문의 연구 목적은 국내외 각종 문헌을 기초로 국제법상 정보전에 대한 연구이다. 즉 사이버공간에서 벌어질 수 있는 국가간의 전쟁을 국제법적인 측면에서 연구한다. 따라서 행위의 주체는 국가의 활동으로 한정되고, 일반 사인에 의해서 발생할 수 있는 인터넷을 이용한 또는 인터넷 시스템에 대한 국제사이버범죄는 제외된다. 또한 전시에 행해지는 정보전은 전쟁의 방법과 수단의 한 유형으로 볼 수 있으므로 정보전이 수행되는 시기는 일단 평시로 한정된다. 그러므로 Ⅱ에서 정보전이 무엇인지 고찰하고, Ⅲ에서 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사인지 여부, Ⅳ에서 무력행사로 간주되는 컴퓨터네트워크에 대한 공격이 침략행위인지 여부 및 Ⅴ에서 결론(문제의 해결 방향 및 제언)을 기술하고자 한다.


Ⅱ. 국제법상 정보전에 관한 고찰


1. 의의

전쟁의 수단 및 방법에 관하여 규율하고 있는 1907년 헤이그법, 무력행사?위협 금지의 원칙을 천명한 UN헌장 및 무력충돌이 발생한 경우에 사람의 보호에 관한 1949년과 1978년 제네바법의 제정시에 컴퓨터네트워크을 통해서 창출되는 사이버공간은 존재하고 있지 아니하였다. 또한 그 당시 과학기술의 수준에서 사이버공간이 창출될 것이라고 상상할 수도 없는 상황이었다. 그러나 엘빈 토플러가 예상한 정보화시대라고 하는 제3의 물결이 도래하여, 현행 국제법의 체제에서 전쟁과 평화에 관련된 국제규범의 근간을 이루고 있는 헤이그법, UN헌장 및 제네바법의 제정시에 상상도 할 수 없었던 가상공간이 창출되었다. 따라서 사이버공간에서 벌어질 수 있는 정보전의 문제를 국제법적인 측면에서 어떻게 정립해야 하는지에 대한 문제가 제기된다.
현재 정보전의 정의가 무엇인지 국제법적인 측면에서 일반적으로 수용된 정의는 아직 나타나 있지 않다. 현재까지 제시된 몇몇 정의를 다음과 같이 나누어서 살펴보고자 한다.
첫째, 정보전의 개념을 단일의 문장으로 정의하고 부연 설명한 경우이다. 즉 정보전은 정보통신망을 사용 또는 운영하는 어느 실체의 능력이 마비되도록 행하는 국가의 활동이라고 한다. 여기에서 정보통신망은 통신, 전력, 가스?석유 저장 및 수송, 은행, 재정, 군사, 의료, 경찰, 소방 및 구조와 같은 긴급서비스 등이 모두 포함된다.
둘째, 정보전에 관련된 군 조직이 정의한 경우이다. 우리 나라의 합동참모본부는 정보전이란 군사적인 정보우위를 달성하기 위하여 자국의 정보 및 정보체계를 보호하는 한편, 상대국의 정보체계를 교란, 파괴시키기 위해 실시하는 광범위한 제반 활동이라고 한다. 미공군에서도 정보전은 적의 정보 및 그 정보의 기능이 작동 거부, 오용, 변질, 파괴하는 조치이고, 이러한 역 조치에 대하여 자국을 보호하고, 자국의 군사정보의 기능이 오용되는 것을 방지하는 조치를 의미한다.
셋째, 정보전과 정보작전을 구별하면서 정보전의 개념을 정립하는 방식이다. 먼저 정보작전은 자국의 정보 및 정보체제를 방어하면서 적의 정보 및 정보체제에 영향을 미치는 조치, 평?전시에 컴퓨터에 의하여 조작되거나 또는 컴퓨터네트워크를 통하여 전송되어 컴퓨터에 저장된 데이터를 발견하여 변경, 파괴, 분쇄, 이전하기 위하여 의도된 모든 일방적 조치를 말한다. 이와 비슷하게 정보전은 특정한 적에 대하여 특별한 결과를 야기할 의도로 위기시 또는 전시에 행하는 정보작전을 의미한다. 따라서 정보작전은 사실상 정보전과 동일한 의미로 볼 수 있으나 양자의 차이는 정보작전이 평시 또는 특정한 결과를 야기할 의도로 전시에 행해지는 것이고, 정보전은 위기시 또는 전시에 행해지므로 평시는 제외된다.
넷째, 정보전의 변화 가능성을 지적하면서 조사적 측면을 강조하는 경우이다. “정보전의 개념은 여전히 발전하는 단계에 있고, 각국에 따라서 그 의미를 표명하는 바가 다양할 수 있기 때문에 정보전의 적용을 이해하는 최대 방법은 정보전이 어떻게 존재해 왔고 어떻게 사용되어질 것인지를 조사하는 것이다” 라는 견해에 기초하여 정보전을 평시에 무력사용이 동반되지 아니한 정보전과 전시에 무력사용이 동반된 정보전으로 나누어서 고찰하는 경우이다. 물론 조사적 측면이 강조되어 있으므로 무력사용이 동반되지 아니한 정보전, 전시에 무력사용이 동반된 정보전에 대하여 구체적인 개념을 설명함이 없이 여러 사례를 예시하였다.
다섯째, 정보전이 무엇인지 정확히 이해하기 어렵기 때문에 정보전 공격의 형태를 공격의 근원지(국내와 국외), 공격의 형태(데이터에 대한 공격, 소프트웨어에 대한 공격, 해킹, 물리적 공격) 및 즉각적인 전략적 목적(이용, 속임수, 분쇄 or 서비스거부, 파괴)으로 나누어서 정보전 공격은 위의 세 가지 범주의 일부 결합으로 서술하는 경우이다.
여섯째, 군사적 측면에서 정립된 다양한 정의이다. 세 가지의 정의를 고찰하면, 하나는 정보전이 ① 상대국에 대한 정보를 획득하고 활용하기 위해 취하는 제반활동, ② 상대국의 정보체계를 파괴하기 위한 활동, ③ 자국의 정보 및 정보체계를 보호하기 위한 활동 등이 내포된 개념으로 본다면, 정보전이란 전쟁의 한 유형으로서 군사 및 비군사 분야를 포함하여 아국의 정보 및 정보체계를 보호하고 적의 정보 및 정보체계를 교란, 파괴, 마비시키기 위해서 실시하는 광범위한 제반활동이다. 다른 하나는 정보전은 전?평시 상황에서 상대적인 정보우위를 달성하기 위해 모든 수단과 방법을 이용하여 모든 공간에 존재하는 상대방의 중요한 정보 및 정보자원을 탐색 및 공격하고, 아측의 정보 및 정보자원을 방어하는 제반활동이다. 또 다른 하나는 정보전을 이해하려는 것은 마치 장님 코끼리 만지기와 비슷한 면이 있다고 지적하면서 정보전이 무엇이라고 명확하게 정의하지 아니하면서 정보전의 형태는 공간, 수단, 목적 등 3가지 관점에서 7가지 형태(① 지휘통제전(적의 지휘통제 구조의 파괴), ② 정보기반전(戰場을 지배하기 위한 많은 첩보를 확보하여 이를 활용한다), ③ 전자전(통신영역에서 전파 전자 혹은 암호기법의 사용), ④ 심리전, ⑤ 해커전, ⑥ 경제정보전(경제력 지배를 달성하기 위하여 정보의 봉쇄 또는 사용), ⑦ 사이버전으로 분류하고 있다.
위에서 설명한 정보전의 정의에 대하여 세 가지를 언급하고자 한다. 하나는 정보전의 정의에서 전시와 평시를 구별하고 있다. 이것은 국제법상 정보전에 관한 연구라는 본 연구의 주제와 관련하여 정보전과 정보작전이 전?평시와 관계없이 사실상 동일한 방법으로 공격과 방어행위가 수행된다고 한다면 양자는 사실상 동일한 개념으로 파악된다. 다만 국제법에서 전시와 평시의 구별에 따른 법적 효과에 유의하여 정보전은 위기시, 무력충돌시에 행해지는 것이고, 평화시는 정보작전을 의미한다고 할 수 있다. 다른 하나는 정보전의 개념을 좁은 의미와 넓은 의미로 나누어서 고찰하고 있다. 좁은 의미의 정보전은 정보전을 수행하는 자와 관련하여 정보전의 수행자를 국가의 활동으로 한정하는 경우이다. 넓은 의미의 정보전은 정보기반 자원과 관련하여 어느 국가의 민간, 군사, 정부의 정보기반 자원에 연결된 컴퓨터네트워크를 공격하기 위하여 컴퓨터 및 컴퓨터에 관련된 기술을 사용하는 것이다. 또 다른 하나는 군사적인 측면과 국제법적인 측면에서 정보전의 개념이 지향하고 있는 바가 상이하다. 군사적인 측면은 자국의 정보체계를 보호하는 한편 적의 정보체계를 파괴?교란하여 정보우위를 달성하고, 무력출동이 발생한 경우에 승리로 이끄는 것이 목적이다. 반면에 국제법적인 측면은 정보전이 가상공간에서 발생할 수 있는 국가간의 무형의 무력충돌이라면 가상공간을 통하여 행한 사이버공격이 UN헌장 제2조 4항에서 금지하고 있는 무력행사에 포함되고 있는지 여부가 주된 논의의 핵심이다. 따라서 사이버공격이 무력행사에 포함이 된다면 전쟁 수단의 합법성과 인도주의적인 측면에서 민간인 피해의 최소화를 고려하여 정보전이 수행되어야 하고, 이를 기초로 정보전의 정의도 정립되어야 한다.
그러므로 본 연구에서 정보전은 사이버공간에서 국가간에 무형의 형태로 벌어질 수 있는 무력충돌의 형태, 또는 가상공간에서 행해질 수 있는 적의 컴퓨터네트워크에 대한 공격과 방어행위를 뜻하는 사이버전쟁을 의미한다. 따라서 Libicki에 의하여 정보전이 7가지 형태로 구분되고 있다는 견해에 따른다면 컴퓨터시스템에 대한 공격인 해커전과 사이버전으로 한정되므로 좁은 의미를 지닌다.

2. 성격

현실의 세계에서 발생하는 전쟁, 즉 정규?비정규군에 의하여 행해지는 국가간의 무력충돌은 일정한 유형적 형태를 지닌 무기로 공격과 방어가 행해지고 있다. 그러나 정보전은 유형적 형태를 지닌 무기는 존재하지 않고 컴퓨터라는 도구가 다른 수많은 다양한 종류의 컴퓨터 및 서버에 거미줄처럼 상호 연결되어 있는 통신망이 설치되어 있어야 정보전이 가능하다는 점에서 그의 성격은 다음과 같이 살펴볼 수 있다.
첫째, 정보전에 있어서 새로운 공격목표가 등장하였다. 예를 들면, 핵?화학무기 시설, 미사일 발사기지 및 기타 군사시설이 주된 공격목표였으나 정보전에 있어서는 컴퓨터 통제시스템, 통신망을 연결하고 있는 유무선 시설, 전력 통제시스템 등이 공격목표로 포함되었다. 즉 군사시설에 대한 물리적 파괴가 아니라 컴퓨터시스템 또는 통신망을 운영하는 소프트웨어가 파괴되어 작동불능이 되거나 또는 데이터가 변경?변질되어 요구되는 임무를 수행하지 못하도록 하는 조치가 공격목표로 되었다. 둘째, 물리적인 힘을 사용하여 적에게 타격을 가하는 것이 공격의 의미라면 그것은 물리적?동적인 힘의 사용이 전제가 되고 있다. 그러나 정보전에 있어서 공격은 어느 한 컴퓨터에서 다른 컴퓨터로 사이버명령을 이전하는 것, 또는 데이터와 프로그램을 파괴?변경하기 위하여 적의 컴퓨터네트워크에 컴퓨터바이러스를 전달하는 것이므로 물리적 파괴는 거의 발생하지 않는다. 셋째, 사이버공격은 UN헌장 제2조 4항에서 언급하고 있는 영토의 보전과 관련하여 타국의 실제 영토에 공격을 가하기 위하여 군대가 국경을 넘고 있지 아니하므로 기존의 침략이라는 개념 속에 포함되지 않는다. 넷째, 정규?비정규군이 취득할 전문기술의 측면이다. 정보전은 컴퓨터 관련 전문기술이 있는 자만이 공격과 방어에 관한 상부의 지시?명령을 수행할 수 있다는 점에서 기존의 정규?비정규군이 취득할 전문기술(군사장비의 운용기술)과 다르다. 다섯째, 컴퓨터바이러스는 그 프로그램을 인위적으로 조작하여 작동시기가 일정한 시간적 오차에 따라서 주기적으로 활동하게 할 수 있다. 여섯째, 컴퓨터공학기술의 발전 정도가 급속도로 변하고 있으므로 사이버공격에 대한 피해규모도 구체적으로 측정하기 어렵다. 일곱째, 컴퓨터 공학기술의 발전에 따라 국가간에 차이가 있겠지만, 사이버공격은 언제, 어디에서, 어느 국가가 공격을 해오고 있는지 레이더 또는 군사위성에 의해서 사전에 탐지가 사실상 불가능하다. 여덟째, 폭탄에 의한 공격인 경우에 사상자와 파괴된 건물이 명시적으로 나타나기 때문에 피해규모는 쉽게 측정할 수 있다. 그러나 사이버공격으로 발생한 피해는 직접적으로 여러 컴퓨터시스템이 다운되어 작동불능 상태이므로 재산적 피해이지만 그로 인하여 간접적으로 발생할 가능성이 있는 인명살상 및 사회 혼란으로 야기되는 피해규모를 예측하기 어렵다. 아홉째, 적국의 사이버공격에 대한 방어시스템은 레이더 등에 의한 조기경보시스템이 아니라 컴퓨터시스템에 대한 방화벽 설치 및 기타 방법으로 행해지고 있고, 파괴된 시스템에 대한 복구도 장기간에 걸쳐 유형적 형태를 지닌 건물을 새로 짓는 것이 아니라 단시일 내에 새로운 프로그램을 설치하거나 침투된 컴퓨터바이러스의 퇴치, 삭제 및 변경된 데이터의 백업작업이다.

3. 유형적 구별 사항

본 연구에 있어서 명확히 구별해야 할 사항이 두 가지가 있다. 하나는 정보전이 물리적인 무력충돌의 유무에 따라서 구별하는 전?평시에 관계없이 사이버공간에서 무형의 형태로 벌어질 수 있는 국가간의 무력충돌, 즉 가상공간에서 행해질 수 있는 컴퓨터네트워크에 대한 공격과 방어행위를 의미하는 사이버전쟁이라고 하더라도 전통적 의미의 전시와 평시는 구별되어야 한다. 다른 하나는 사이버공격이 국가의 지시?명령에 의한 행위로서 국가 자신의 행위로 귀속되는 경우와 순전히 민간인에 의해서 행해진 경우의 구별이다.

(1) 전시 및 평시의 구별

사이버전쟁이 전시 중에 진행되었다면 그 사이버전쟁의 수단과 방법이 현행 국제법상 합법성이 있는지 여부를 떠나서 일단 그것은 진행되고 있는 전쟁의 수단과 방법의 한 유형으로 볼 수 있다. 즉 전시에 사이버전쟁을 수행한 자의 신분이 정규?비정규군에 관계없이 발생된 전쟁을 승리를 이끌기 위한 전쟁의 수단과 방법으로 간주되므로 일단 합법성을 지닌다고 추정할 수 있다. 따라서 검토되어야 할 사항은 제네바 제1의정서 제35조 및 제36조와 관련된다.
전시에 수행된 사이버전쟁에 대하여 구체적으로 논의해야 할 사항을 예시하면, ① 다른 국가의 컴퓨터네트워크에 대한 공격이 인간에게 과도한 상해 및 불필요한 고통을 초래할 성질의 무기인가? ② 자연환경에 대한 광범위하고 장기간의 심대한 손해를 야기하거나 야기할 것으로 예상되는 전투수단이나 방법으로 볼 수 있는가? ③ 기타 적용될 수 있는 국제법상의 원칙을 근거로 그 사이버공격행위를 금지할 수 있는가? ④ 민간인이 그 공격행위를 한 경우에 그 민간인이 교전자가 될 수 있는가? ⑤ 미래의 사이버전쟁이 새로운 전투수단 및 방법을 선택하고 있는 경우에 제네바법의 적용 여부 등이다.
반면에 평시에 그 사이버공격이 국가의 지원 하에 수행된 경우에 파생되는 법적 결과는 다르다. 구체적으로 나열하면 ① 그 피해가 ‘I Love You 바이러스’, 2003. 1. 25. ‘인터넷 대란’과 같이 대규모인 경우에 국가책임이 성립될 수 있다. ② 그 사이버공격이 UN헌장 제2조 4항에서 금지하고 있는 무력행사에 포함되는지 여부이다. ③ UN헌장 제2조 4항에서 금지하고 있는 무력행사에 포함된다면 피해국은 그 무력행사를 침략행위로 볼 수 있는지 여부이다. ④ 그 공격행위가 무력행사의 범주에 포함되고, 침략으로 간주된다면 피해국은 그 공격에 대하여 재래식 무기로 자위권을 행사할 수 있는지? 또한 안보리의 결의를 통하여 무력행사가 포함된 군사?비군사적 제재조치의 행사여부이다. ⑤ 그 사이버공격이 무력행사에 포함된다면 침략을 의미한지? ICC규정(International Criminal Court: ICC) 개정시에 침략죄의 정의가 정립될 때 그 공격행위도 침략죄의 범주에 포함될 수 있는지 여부이다. 문제는 그 피해가 컴퓨터네트워크에 대한 공격에서 야기된 것인지, 그 행위자가 구체적으로 누구인지 피해국이 명확히 입증할 수 있는지 여부이다. ⑥ 인명살상이 사이버공격으로 야기되었다는 보고가 현재까지 없고, ICC의 관할범죄도 아니다. 다만, 국가기관의 지시?명령으로 대형병원을 공격하여 그 병원 전체를 운영하고 있는 컴퓨터시스템이 다운되어 간접적으로 수많은 사람들이 사망한 경우에 인도에 반한 범죄의 유형에 포함될 것인지는 논의의 여지가 있다.

(2) 국가 및 민간인의 행위의 구별

전통적인 무력충돌에서 무력에 의한 해적수단을 행사할 수 있는 교전자는 정규군과 비정규군, 비정규군은 다시 민병, 의용병 및 군민병으로 나뉘어 민간인을 보호하고 있다. 그런데 정보전에서 교전자격을 가진 교전자는 해킹과 컴퓨터바이러스 제조능력, 적의 컴퓨터가 작동불능?다운될 수 있도록 할 수 있는 사람이 교전자가 될 수 있다. 따라서 정보전에서 교전자는 정보전 수행능력이 있는 자가 국가기관의 요원으로서 이들의 행위가 국가로 귀속될 수 있는 자이다. 반면에 정보전 수행능력이 없는 자, 국가기관의 요원이 아닌 자, 국가기관의 지시?명령으로 사이버공격을 수행하지 아니한 자는 민간인으로 볼 수 있다.
국가와 민간인의 행위를 구별하고자 하는 이유는 첫째, 국가의 행위로 귀속할 수 없는 민간인이 적 또는 가상적국에 대하여 행한 사이버공격이 정보전 또는 사이버전쟁이라는 개념이 아니라 보통범죄의 성격을 지닌 사이버범죄, 즉 상호 연결된 컴퓨터의 네트워크를 통하여 창출된 의사소통이 가능한 공간에서 발생되는 범죄를 의미한다. 둘째, 반대로 그 사이버공격행위가 국가의 행위로 귀속된다면 그 행위로 인하여 국가책임이 성립될 여지가 있다. 셋째, 공격을 행한 국가와 그 공격을 받은 국가간에 범죄인인도조약의 체결 유무에 관계없이 그 공격을 받은 국가는 가해자를 처벌하기 위하여 범죄인인도를 요청하면 그 공격을 가한 국가는 그 자를 정치범이라는 이유로 요청된 범죄인인도를 거절할 개연성이 있다.

4. 평가

국가의 행위로 귀속될 수 없는 사인에 의한 사이버범죄는 ① 국가간에 범죄로 일치된 부분(어린이 포르노), ② 국가간에 범죄로 일치되지 아니한 부분(성인포르노), ③ 범죄로 인정되나 국가간에 그의 기준과 처벌이 상이한 부분(컴퓨터 해킹, 국가안보에 대한 위협)이 있다. 이러한 유형의 범죄는 크게 세 가지의 주된 이슈가 있다. 첫째, 범죄행위지와 그 결과의 발생지가 다른 경우에 어느 국가가 형사관할권을 가지고 있는가? 둘째, 범죄행위지의 국가에서 사이버범죄에 관한 법률이 없는데 반하여 피해의 결과가 발생한 국가에게 관련 법률이 있는 경우에 나타날 수 있는 죄형법정주의의 문제, 셋째, 사이버범죄의 피해국은 그 범죄행위지의 국가에 사이버범죄에 관한 법률이 없다고 하여 그 범죄자를 수수방관하고 있어야 하는 것과 관련된 형사사법공조의 문제가 있다.
반면에 정보전은 사이버범죄의 행위자가 일반 사인의 행위가 아니라 국가의 행위로 귀속될 수 있는 자(예를 들면, 대통령, 군사지도자, CIA와 같은 정보기관의 장)의 지시?명령, 묵인?방조 하에 행위진 행위로 국가의 행위로 간주되는 경우에 나타나는 문제와 관련된다. 즉 국가의 행위로 귀속될 수 있는 자에 의해서 행해진 사이버범죄는 침해행위 자체의 합법성 유무를 떠나서 단순히 사인에 의해서 행해진 사이버범죄라는 관점보다는 무형의 형태로 행해진 무력행사인지 여부에 대한 측면으로 이해하는 것이 타당하다. 그 이유는 컴퓨터바이러스의 유포, 해킹에 의하여 컴퓨터프로그램의 소스의 변경, 삭제 및 기타의 행위로 2003년의 ‘1?25 인터넷 대란’과 같은 사태, ‘I Love You 바이러스’와 같은 손해의 발생, 최악의 경우에 핵무기 통제시스템의 파괴로 인한 폭발과 같은 사태를 예상할 수 있기 때문이다. 이러한 의미에서 볼 때 정보전은 적의 컴퓨터네트워크에 대한 공격이 단순히 범죄라는 관점이 아니라 적에 대항하기 위하여 국가에 의해서 수행된 군사활동이라는 측면이다. 그러므로 좁은 의미의 정보전은 사이버전쟁(cyberwarfare)으로 보고, 그 사이버전쟁은 평시?전시를 구분하지 아니하고 사이버상에서 나타나는 국가간 무형의 무력충돌의 형태, 사이버공간에서 무형의 형태로 벌어질 수 있는 국가간 무력충돌의 형태, 가상공간에서 행해질 수 있는 적의 컴퓨터네트워크에 대한 공격과 방어행위를 의미한다.
국제범죄의 개념을 이원론적으로 분류한 필자의 견해를 반영하면, 국제적 관련성이 있는 모든 유형의 사이버범죄는 국제사이버범죄라 칭할 수 있고, 이 국제사이버범죄는 사인에 의한 국제보통사이버범죄와 정보전으로 구별할 수 있다. 따라서 국제보통사이버범죄는 사인에 의해서 인터넷을 이용한 또는 인터넷 시스템을 대상으로 하는 범죄를 의미하고, 정보전은 사인의 행위가 국가의 행위로 귀속될 수 있는 모든 유형의 행위이고, 그 행위는 주로 인터넷시스템을 대상으로 행해지는 공격행위와 그 시스템의 보호를 위한 방어행위를 의미한다.
전통적 의미의 전쟁 또는 무력충돌이 무력에 의해서 투쟁하고 있는 국가들의 상태 또는 상황을 의미할 때, 정보전은 <표 1>에서 보는 바와 같이 전통적 의미의 무력충돌과 여러 가지의 면에 있어서 차이가 있다. 그 차이는 ① 전쟁에서 사용되는 무기(폭탄)의 물리적 폭발성의 유무와 유?무형적 존재형태, ② 무기사용의 목적, ③ 무력충돌이 행해지는 공간과 전투지역이라는 전?후방 및 중립지대의 존재 유무, ④ 군사장비의 운용기술의 습득과 해킹능력, 컴퓨터바이러스 제조, 탐지 및 삭제능력을 조건으로 하는 정규?비정규군이 되기 위한 자격요건, ⑤ 민간인과 정규?비정규군과의 구별의 애매성, ⑥ 전투지역에서 상병자, 민간인의 보호를 위한 무력충돌시 적용되는 법규의 존재 유무, ⑦ 전?평시에 관계없이 국가가 항상 암암리에 수행할 수 있다는 점에서 사이버전쟁 그 자체에서 전?평시의 구별 기준의 애매성 등이다.


Ⅲ. 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사인지 여부


1. 문제의 제기

인류의 역사에서 군사적으로 사용할 수 있는 武器의 정의가 ‘전쟁에서 쓰이는 온갖 기구’라는 의미로 볼 때 일반적으로 무기인지 여부는 네 가지 기준, 즉 ① 유형적 폭발력에 의한 인명살상 및 각종 건물파괴가 가능한 무기(화약류), ② 유형적 폭발력은 있으나 각종 건물을 파괴함이 없이 인명만 살상하는 무기(중성자탄), ③ 유형적 폭발력이 없으므로 각종 건물을 파괴함이 없이 유?무형적으로 존재하면서 인명살상이 가능한 무기(칼, 화살, 생물?화학무기), ④ 유형적 폭발력이 있다고 해도 미미하고 인명을 살상하지 아니하며 건물도 파괴하지 아니한 무기(최루탄, 물대포, 혐오성 가스, 구토유인제, e-폭탄)로 나눌 수 있다.
이러한 기준이 타당하다면 무기는 일곱 가지 유형으로 나눌 수 있다. ① 고대에서 화약이 발명되기 이전까지의 무기로서 무기를 사용하는 자가 자신의 물리적인 힘을 이용하여 사용하고 또한 유형적 형태를 지닌 것으로 칼, 화살, 도끼 및 기타 등이다. ② 화약의 발명 이후에 등장한 무기로 화약의 힘으로 탄알?포탄을 내쏘는 것으로 물리적 운동력 또는 폭발력으로 인명살상, 각종 건물의 파괴가 가능한 소총류 및 대포, 또는 ③ 인명살상, 각종 건물을 파괴할 수 있는 대포, 폭탄 등이다. ④ 물리적 폭발력은 없고, 각종 건물도 파괴하지 아니하면서 오직 인명살상을 위한 생물?화학 무기, ⑤ 폭발력이 있으나 건물은 파괴하지 아니하면서 인명만 살상하는 중성자탄이 있다. ⑥ 비록 유형적 폭발력이 있다고 해도 인명을 살상하지 아니하면서 건물도 파괴하지 아니한 비상살무기(non-lethal weapon), ⑦ 인명의 살상이 가능하나 폭발력의 정도에 대해서 명확히 설명하기 어려운 레이저에 관한 무기 등이다.
또 무기가 무기로서 행사되기 위하여 운반되는 수단도 ① 무기를 사용하는 사람의 물리적인 힘에 의하여 운반되는 화살, 창, 단도 및 기타 등이 있고, ② 화약의 폭발력에 의하여 운반되는 총기, 대포, ③ 사람이 만든 물체(예, 비행기)의 힘의 이용하여 운반되는 폭탄, ④ 운반체에 정착된 연료의 힘에 의하여 운반되는 미사일 및 ⑤ 발사체의 강력한 힘에 의해서 전달되는 레이저 등이 있다.
일반적으로 무기의 용도는 전쟁 중에 적의 전투요원의 살상이 일차적 목적이고 이차적으로 군사시설, 각종 병기 및 건물의 파괴로 인하여 적의 군사적 저항능력을 상실하게 하는 것이다. 문제는 물리적 폭발력에 의해서 인명을 살상하지 아니하고 또한 유형적 형태의 각종 병기 및 건물을 파괴하지 아니하면서, 단지 현대의 각종 첨단시설의 소프트웨어를 파괴하는 악성 컴퓨터프로그램(예를 들면, 컴퓨터바이러스)이 무기가 될 수 있는지 여부이다. 또한 평시에 그 컴퓨터프로그램으로 다른 국가의 컴퓨터네트워크에 대하여 공격을 감행한 경우에 그 공격이 UN헌장 제2조 4항에서 금지하고 있는 무력행사로 볼 것인지 여부이다.

2. 악성 컴퓨터프로그램이 무기로 될 수 있는지 여부

정보전에서 무기로 이용할 수 있는 것은 스니퍼, 트로이목마, 논리폭탄, trap door, video morphing, 서비스거부, 컴퓨터 웜 또는 바이러스라고 한다. 미국 국내외의 경우에 Top 10에 해당하는 정보전의 공격목표는 ① Culpeper(미국 연방의 자금과 거래를 처리하는 버지니아 전자스위치), ② 알래스카 파이프라인, ③ 모든 전화를 운영하는 전자스위치 시스템, ④ 인터넷, ⑤ 시간분류체제시스템, ⑥ 파나마운하, ⑦ 전세계적인 군사명령 및 통제시스템, ⑧ 공군위성통제시스템, ⑨ 말래카 해협, ⑩ 국내사진해석센터라고 한다.
문제는 컴퓨터바이러스의 경우에 유형적으로 존재하지 아니하고, 물리적 폭발력도 없다. 또 소프트웨어의 파괴로 재산상 손해를 야기할 수 있어도 유?무형적 물질 또는 물체에 의하여 직접적으로 인명을 살상하지 아니하고, 다만 간접적으로 사람을 살해하는 결과를 야기할 수 있는 경우에 무기로 볼 수 있는지 여부이다. 무기인지의 여부에 대한 판단의 기준이 앞서 설명한 네 가지가 있다고 본다면 이 기준의 측면에서 각종 첨단시설의 소프트웨어가 제 기능을 작동할 수 없도록 하는 악성 컴퓨터프로그램이 무기로 될 수 있는지 여부이다.
인명을 살상함이 없이 재산상의 손해를 야기하고, 각종 첨단무기를 운영하고 있는 컴퓨터시스템을 다운시킬 수 있는 악성 컴퓨터프로그램도 무기로 볼 수 있다고 생각한다. 그 이유는 첫째, 컴퓨터바이러스가 적의 재산상의 손실 또는 손해를 야기할 수 있다는 점이다. 그 예는 ‘I Love You 바이러스’의 경우에 전세계적으로 4,500만대의 피해를 주었다는 점, ‘CIH 바이러스’의 경우에 대한민국에서만 순수 물질적 피해가 20억원에 달하였다는 점 및 ‘2003년 1?25 인터넷 대란’에서 대규모의 손해가 발생하였다는 점이다. 즉 미사일 또는 장거리포의 물리적 폭발력에 의해서 발생한 재산적 손해와 크게 다를 바가 없다. 둘째, 단지 가상인지는 몰라도 미사일 또는 핵무기 통제체제를 운영하고 있는 컴퓨터시스템의 소프트웨어를 파괴하여 관련 업무의 정지, 자동폭발 및 오발하게 할 수 있다면 저 비용으로 고강도의 효과를 야기할 수 있다는 측면에서도 무기로 볼 수 있다는 점이다. 셋째, 물리적 폭발력에 의해서 컴퓨터운영시스템이 사용할 수 없을 정도로 파괴된 경우나 그 시스템의 운영 소프트웨어가 오작동 또는 다운되어 더 이상 사용할 수 없는 경우나 결과적으로 같은 결과를 초래한다는 점이다. 넷째, 컴퓨터바이러스는 비살상무기의 유형에 포함된다는 점이다. 다섯째, 악성 컴퓨터프로그램은 유형적 폭발력이 없고, 직접적으로 인명살상도 하지 아니하면서 컴퓨터프로그램으로 운영되고 있는 무기 통제시스템을 無力化할 수 있다. 즉 악성 컴퓨터프로그램은 전투에서 공격에 사용할 수 있는 첨단 무기를 사용할 수 없도록 하여 적을 효과적으로 제압하는데 이용될 수 있는 도구로 볼 수도 있다는 점이다. 그러므로 인터넷망을 통하여 전달된 악성 컴퓨터프로그램은 가상공간을 통하여 운반되는 비살상무기의 한 유형으로 볼 수 있다.

3. 컴퓨터네트워크에 대한 공격이 무력행사인지 여부

(1) 무력의 행사의 의미

UN헌장 제2조 4항은 국가의 영토보전이나 정치적 독립에 대하여 또는 국제연합의 목적과 양립하지 아니하는 어떠한 기타 방식으로도 무력행사나 위협을 삼가해야 한다고 규정하고 있다. 그렇다면 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사에 포함될 수 있는가? 이러한 문제의 제기는 사이버공간을 통하여 행한 컴퓨터네트워크에 대한 공격이 무력행사에 포함된다면 피해국은 이에 대한 대항조치로서 자위권의 행사가 가능하고 안보리의 결의를 통하여 군사상의 조치가 포함된 집단적 자위권을 행사할 수 있기 때문이다.
악성 컴퓨터프로그램을 이용하여 다른 국가의 컴퓨터네트워크에 대한 공격은 컴퓨터와 컴퓨터네크워크 또는 컴퓨터와 네트워크 자체에 저장되어 있는 정보의 분쇄, 거부, 변질, 파괴하는 것을 의미한다. 다시 말해서, 미사일 통제시스템에 저장되어 있는 프로그램(또는 데이터)을 변경, 파괴하여 그 컴퓨터가 원래 수행하도록 되어 있는 작업을 거부하도록 하여 사실상 무용지물로 만들거나 최악의 경우에는 그 미사일이 자동 폭발하게 하는 것을 의미한다. 이러한 행위는 악성 컴퓨터프로그램이 군사상 이용할 수 있는 무기라고 볼 때 UN헌장 제2조 4항에서 금지하고 있는 무력행사와의 관계이다.
UN헌장 제2조 4항에서 규정하고 있는 ‘use of force''''''''에서 ’force''''''''는 일반적으로 군사상의 힘을 의미하는 무력(armed force)을 뜻한다는 것이 다수설이다. 그 근거는 세 가지를 제시할 수 있다. 첫째, UN헌장 초안작업에 관련된 샌프란시스코회의에서 브라질이 무력행사의 범주에 경제적 강제도 포함되어야 한다는 제안이 26 대 2로 거절되었다는 사실을 고려할 수 있다. 마찬가지로 ‘국가간의 우호관계 및 협력에 대한 국제법의 원칙에 관한 선언’의 초안작성에 관한 위원회에서도 선진국은 ‘force''''''''의 의미를 UN헌장 제51조의 자위권과 관련된 무력행사(armed force)로 제한하였다. 반면에 아프리카 및 아시아의 많은 국가들은 정치?경제적 강제가 포함된 모든 형태의 압력으로 확대되어야 한다고 주장하였으나 결과적으로 동 선언에서 경제적 강제는 무력행사의 범주에 포함되지 아니하였다. 둘째, UN헌장 제51조에서 ‘어느 국가가 UN회원국에 대하여 무력공격을 감행한 경우’에 그 피해국은 자위권을 행사할 수 있다. 이때 자위권 행사의 내용은 비례성의 원칙을 근거로 볼 때 무력행사를 의미하므로 제2조 4항의 ‘force''''''''도 동일하게 해석하면 무력을 의미한다. 세째, UN헌장 서문에서 ‘공동의 이익이 있는 경우를 제외하고 무력(armed force)을 행사하지 아니한다’는 구절 및 제42조의 안보리의 결의에 의한 군사조치, 제44조에서 안보리가 ‘force''''''''를 사용하기로 결정한 경우에 행사할 수 있다는 규정 등을 조약법에 관한 비엔나협약 제31조의 조약해석의 일반규칙에 따라서 해석할 때 use of force는 무력(armed force)을 뜻한다고 볼 수 있다.
문제는 UN헌장 제2조 4항에서 금지하고 있는 무력행사가 군사상의 힘을 의미한다면 무형적 형태로 존재하는 악성 컴퓨터프로그램이라는 무기로 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사의 범주에 포함될 수 있는지 여부이다. 따라서 무엇이 구체적으로 무력행사인지 살펴보아야 한다.
첫째, 침략은 어느 국가가 타국의 주권, 영토보전 또는 정치적 독립에 대한 무력행사 또는 ‘침략정의에 관한 결의’에서 규정하고 있는 7가지의 행위가 UN헌장에 위배되는 방법으로 사용하는 것을 말한다고 하였으므로 침략행위 자체는 무력행사이다. ‘국가간의 우호관계 및 협력에 대한 국제법의 원칙에 관한 선언’은 ‘침략의 정의’에서 규정하고 있는 구체적인 군사적 활동에서 한 걸음 나아가 침략 전쟁을 위한 선전활동, 국경분쟁의 해결을 위한 무력행사, 복구행위, 다른 국가의 영토 침입을 위한 비정규군의 조직화, 그 조직화를 고무하는 행위, 내란?테러행위에 대한 조직?선동?지원?참여하는 행위 및 UN헌장 위반의 결과로 국가의 영토가 군사점령의 객체가 되는 것도 UN에서 금지하고 있는 무력행사에 포함되고 있다. 둘째, 국제사법재판소(International Court of Justice: ICJ)의 판결에서 찾아볼 수 있다. ICJ는 Case concerning military and paramilitary activities in and against Nicaragua(이하 Nicaragua case)에서 불법성이 배제되어 정당화할 상황이 존재하지 아니한다는 조건하에 ① 니카라과의 내수 및 영해에 수뢰를 부설하는 것, ② 니카라과의 항구, 정유시설 및 해군기지에 대한 일정한 공격, ③ 니카라과의 영토 및 초계정에 대한 일정한 공격, ④ 니카라과 정부군에 대한 반군의 무장과 훈련 등은 무력의 행사로 보았다. 그러나 반군에 대한 자금지원은 국내문제에 대한 간섭행위라 하여도 무력행사가 아니라고 하였다. 셋째, 여러 학자들이 내린 정의, 법 해석 및 예시를 통해서 무엇이 무력행사인지 여부를 파악할 수 있다. 정의인 경우에, 어떤 목적이나 이익을 확보하기 위하여 군사력을 동원하는 것, 법 해석인 경우에, 정치?경제적 유형의 압력이 다른 국가의 영토보전 또는 정치적 독립을 위협하는 효과가 있으므로 ‘force''''''''의 의미는 확대하여 해석되어야 한다는 견해, 예시적인 경우에, 단지 한 대의 전투기가 다른 국가를 공격하는 경우에 영토보전에 반한 무력행사로 보고 있다.
따라서 위의 두 개의 국제문서, Nicaragua case에서 ICJ의 견해, 학자들이 내린 정의 및 예시의 경우에 무력행사로 간주하고 있는 사항은 정규?비정규군에 의해서 수반되는 군사활동과 직접적으로 관련되어 있다. 다만, 예외적으로 확대 해석하는 경우에 경제?정치적 제재와 같은 무형적 형태의 압력도 무력행사로 보고 있으나 다수의 견해는 부정적이다. 결론적으로 볼 때 UN헌장 제2조 4항에서 금지하고 있는 것은 무력(armed force)의 행사로 볼 수 있고, 이를 구체적으로 표현하면, 유형적으로 활동하는 형태, 즉 기동력을 지니면서 군사적인 힘으로 표출되는 다양한 형태의 군사활동을 의미한다.

(2) 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사로 볼 수 있는 근거

외관적으로 볼 때 다른 국가의 컴퓨터네트워크에 대한 공격은 무력행사로 보기에는 어려움이 있다. 그 이유는 세 가지가 있다. 하나는 군사력을 이용하여 타국의 영토의 보전과 정치적 독립을 침해하는 행위가 침략행위라고 본다면 사이버공격은 구체적으로 어느 국가의 군사력이 타국의 영토에 구체적으로 침입 또는 잠입하는 것이 아니다. 다른 하나는 그 공격행위와 관련된 활동은 일반인의 눈으로 쉽게 확인하여 군사활동이라고 단정할 수 있을 정도로 구체적인 형태로 드러나지 아니한다. 또 다른 하나는 사이버공격이 조직적?체계적으로 행해진다고 해도 항상 자연인의 행위가 국가로 귀속될 수 있는 자에 의해서 행해지는 것이 아니라 불특정 다수인 일반 사인에 의해서 행해지는 경향이 더욱 많다는 것이다.
다른 국가의 컴퓨터네트워크에 대한 공격, 즉 컴퓨터바이러스의 유포, 해킹에 의한 데이터의 삭제, 변경, 군사장비의 운영에 관련된 컴퓨터 통제시스템의 무력화 및 기타 등은 무력행사에 포함될 수 있다고 생각한다.
그 근거는 첫째, 미사일이 목표물을 향하여 타국의 영토에 진입하는 것은 타국영역에 대한 폭격이고, 그 폭격은 무력행사이다. 마찬가지로 악성프로그램으로 행한 사이버공격이 ‘2003년 1?25 인터넷 대란’ 또는 ‘I Love You 바이러스’와 같은 손해가 발생한 경우라면 결과적인 측면에서 미사일에 의한 공격과 동일하게 볼 수 있다. 즉 다른 국가의 컴퓨터네트워크에 대하여 악성 컴퓨터프로그램의 전달은 발사된 미사일과 같이 나아가서 목표물이 소재하는 국가에게 직?간접적인 물질적 손해를 야기할 수 있다. 물론 그 악성 프로그램은 목표물을 향해서 나아가는 공간이 가상공간이고, 물리적 폭발력이 없으므로 미사일과 다르지만, 결과적인 측면에서 볼 때 양자가 표적으로 삼고 있는 목표물이 물리적 폭발력에 의하여 파괴되는 것이나 관련 소프트웨어가 파괴?변질되어 무용지물이 되는 것이나 그 결과는 사실상 동일하다.
둘째, 위험한 군사활동의 금지에 관한 미국과 구 소련간의 조약에서 그 근거를 찾을 수 있다. 즉 어느 국가의 군대의 인원과 장비의 통제를 위하여 제공된 신호?정보의 전달 수단과 체제의 운영을 방해?차단하거나 또는 제한하는 조치를 의미하는 네트워크에 대한 명령과 통제에 관련된 간섭(interference)이 동 조약에서 금지된 위험한 군사활동의 유형에 포함되어 있다. 따라서 컴퓨터네트워크에 대한 공격은 군대의 인원과 장비의 통제를 위하여 제공된 신호?정보의 전달 수단과 체제의 운영을 방해?차단하거나 또는 제한하는 조치를 의미하는 네트워크에 대한 명령과 통제에 관련된 간섭으로 볼 수 있으므로 위험한 군사활동이고, 그 위험한 군사활동은 무력행사로 간주하여 금지할 수 있다고 해석될 수 있다.
셋째, 컴퓨터바이러스는 비살상무기에 포함되어 있고, 적의 대한 비살상무기의 사용은 무력행사에 포함될 수 있다. 비살상무기의 사용이 무력행사와 직접적 관계를 맺고 있다고 볼 수 있는 이유는 ① 비살상무기는 직?간접적인 측면에서 인명을 살상할 수 있는지 여부를 떠나서 적을 효과적으로 제압하는데 사용될 수 있는 무기의 한 유형이다. ② 비살상무기의 한계는 완전한 비살상을 보장하지 못한다. 즉 간접적으로 살상효과를 가져올 수 있다. ③ 비살상무기만으로 항상 무력충돌이 개시, 진행되는 것이 아니라 인명살상 및 건물파괴가 가능한 여러 다른 무기와 혼용하여 부분적으로 사용된다. ④ 비살상무기의 사용이 무력행사가 아니라면 민간인과 민간인 시설을 대상으로 비살상무기를 사용할 가능성이 있고, 군 당국은 민간인과 민간인 시설에 대한 공격이 그들을 살해하는 것 보다 적의 무력화 또는 사기를 떨어뜨리는 데에 더 효과적이라는 의도 하에 그 사용이 허용된다고 인식할 수 있다.
넷째, 다른 국가의 컴퓨터네트워크에 대한 공격은 경제적 제재보다는 무력에 의한 공격행위와 유사성이 있다는 점을 근거로 제시할 수 있다. 먼저 무력에 의한 공격행위와 컴퓨터네트워크에 대한 공격의 유사성이다. ① 양자의 공격행위는 일정한 목적성을 지닌 의도로 행해진다. ② 양자는 모두 일정한 형태의 무기로 행해진다. ③ 양자의 공격은 지대지 미사일을 발사하는 것과 같이 일차적으로 특정한 목표물을 향해서 행해진다. ④ 양자의 공격행위에 의한 결과는 모두 일정한 재산적 손실을 야기한다. ⑤ 국가의 행위로 귀속될 수 있는 자에 의하여 행해진다. ⑥ 국가간의 긴장관계가 형성될 때 또는 무력행사의 합법성이 갖추어져 있지도 아니한 경우에도 행해질 수 있다.
반면에 경제적 제재와 컴퓨터네트워크에 대한 공격은 다른 국가의 영토에 군대가 직접 진입하지 않는다는 점, 결과적으로 경제적 손실을 야기할 수 있다는 점, 직접적으로 인명살상 및 건물파괴와 같은 물리적인 힘의 행사를 목적으로 하지 않는다는 점은 같다. 그러나 다른 점은 ① 경제제재조치는 일정한 범위의 영토 밖에서 무역봉쇄, 수출입금지와 같은 거래관계를 유?무형적인 힘에 의한 단절조치로서 경제적인 손실을 목적으로 행해진다. 반면에 컴퓨터네트워크에 대한 공격은 비살상무기로 분류된 무기로 직접적으로 다른 국가의 영토에 진입하여 중요 컴퓨터네트워크의 다운, 데이터의 변경?삭제하는 것을 목적으로 행해지고 이차적으로 그 국가전체로 확대될 수도 있다. ② 경제적 제재는 그 국가 전체에 경제적 영향을 미친다. 반면에 컴퓨터네트워크에 대한 공격은 지대지 미사일을 발사하는 것과 같이 일차적으로 특정한 컴퓨터시스템을 목표로 행해진다. ③ 경제적 제재는 무역 등 거래행위의 금지이므로 경제활동과 관련된 능동적 행위의 정지를 의미한다. 반면에 컴퓨터네트워크에 대한 공격은 파괴 또는 침해를 목적으로 행해진 공격이라는 능동적 행위의 개시를 의미한다. ④ 경제적 제재는 물리적 파괴를 수반하지 아니하면서 그 경제적 손실이 천천히 나타나는 것이 특징이다. 반면에 컴퓨터네트워크에 대한 공격은 비록 hardware가 아니라 할지라도 software에 직접적인 물리적 파괴가 나타난다. 따라서 컴퓨터네트워크에 대한 공격은 UN헌장 제2조 4항에서 제외하고 있는 경제적 제재의 의미보다는 무력공격의 의미에 더 근접하고 있다.

(3) 무력행사로 간주하기 위한 전제조건

지대지 미사일의 발사 자체는 인명살상과 각종 건물이 파괴될 수 있는 물리적 폭발력을 지니고 있다는 점에서 일정한 목표물에 대한 명중 여부를 떠나서 일단 무력행사로 볼 수 있다. 반면에 컴퓨터네트워크에 대한 공격은 발사된 미사일과 같이 목표물에 도착과 동시에 폭발하면서 파괴행위가 발생하는 것이 아니라 공격받은 컴퓨터의 보안시스템이 어떻게 작동하느냐에 따라서 피해가 대규모로 발생할 수 있고, 아니면 공격 자체가 있었다는 사실 자체도 인지할 수 없을 수가 있다. 또한 그 컴퓨터시스템에 설치된 방화벽을 침투하지 못하여 침해행위 자체는 있었으나 아무런 손해가 발생하지 아니할 수도 있다. 따라서 컴퓨터네트워크에 대한 공격이 무력행사의 의미로 간주하기 위해서는 전통적인 의미의 무력행사, 즉 지대지 미사일을 발사하는 것과 같은 의미로 파악한다는 것은 사이버공격 그 자체를 너무 군사적인 측면으로 확대 해석하는 것으로 볼 수 있다. 게다가 컴퓨터네트워크에 대한 공격으로 아무런 손해가 발생하지도 아니하였고, 설사 발생하였다고 해도 그 손해가 지극히 미미한 경우에 그 공격행위 자체를 무력행사로 본다는 것은 지극히 위험한 해석이다. 그러므로 컴퓨터네트워크에 대한 공격이 무력행사로 간주하기 위해서 몇 가지 전제조건이 있어야 한다고 생각한다.
그 전제조건은 첫째, 다른 국가의 컴퓨터네트워크에 대한 공격이 군대가 동원된 대규모의 공격행위가 개시되기 이전에 또는 그 대규모의 군사행동과 동시에 행해진 경우, 즉 침략행위가 개시되기 이전에 또는 동시에 수행된 경우에 그 사이버공격은 군사활동의 일환으로 볼 수 있고, 반대로 피해국은 곧바로 자위권이 성립하므로 컴퓨터네트워크에 대한 공격은 그리 큰 의미를 지닐 수가 없다. 따라서 사이버공격은 컴퓨터네트워크에 대한 공격행위 그 자체만을 전제로 하여야 한다. 둘째, 다른 국가의 컴퓨터네트워크에 대한 공격이 개시되는 동안이 아니라 결과론적인 측면에서 파악하는 것이 바람직하다. 즉 사이버공격의 결과로 첨단무기를 통제하는 컴퓨터시스템이 파괴되어 대규모의 손실이 발생한 연후에 무력행사인지 여부를 판단하자는 것이다. 이러한 경우에 문제점으로 지적할 수 있는 것은 사이버공격이 현재적으로 개시되고 있는 경우에 이에 대한 대응조치로서 자위권을 행사할 수 없고, 사후적으로 復仇만이 가능하다. 셋째, 중요한 컴퓨터네트워크가 파괴되어 대규모의 재산적 손실이 발생한 경우에 무력행사로 간주하자는 것이다. 예를 들면, 컴퓨터네트워크에 대한 공격의 결과가 단지 개인용 컴퓨터 한 대가 망가졌다면 이것은 묵과할 수 있는 손실로 간주해야지 무력행사로 본다는 것은 지나치게 무력행사의 의미를 확대 해석한 것으로 볼 수 있다. 마찬가지로 이에 대한 판단도 발생된 손해라는 결과를 중요시하고, 단지 각 컴퓨터시스템에서 기본적으로 갖추어져야 할 보안시스템이 설치되어 있지 아니한 경우 또는 컴퓨터시스템이 너무 쉽게 파괴될 만한 요인(복제품의 사용)을 제공한 경우 등은 고려하여야 한다. 넷째, 행위자의 숫자에 관계없이 A국의 누가 B국의 컴퓨터네트워크에 대하여 공격을 개시했는지 피해국이 명확히 입증하여야 한다. 다섯째, A국의 D라는 사람이 B국에 사이버공격을 하였다면 D의 행위가 A국의 행위로 귀속할 수 있는지, 아니면 국가의 행위로 귀속할 수 없는 불특정 다수인의 행위가 우연히 결합되어 발생하였는지에 대한 입증의 문제를 피해국이 증명하여야 한다.
그러므로 사이버공격이 군대에 의한 공격이 없이 단지 컴퓨터네트워크에 대한 공격만이 행해진 경우에 결과적인 측면에서 무력의 행사인지, 컴퓨터네트워크의 파괴로 대규모의 재산적 손실이 발생하였는지 여부 및 피해국은 누가 자국의 컴퓨터네트워크에 대하여 공격을 하였는지에 대하여 입증하고 그 가해자의 행위가 그의 국가의 행위로 귀속시킬 수 있는지 여부 등의 판단이 선행된 이후에 그에 대한 합당한 대응조치를 취할 수 있다고 생각한다.

4. 평가

일반적으로 힘(force)은 단지 군사적인 힘, 즉 무력(armed force) 뿐만 아니라 경제?정치적 압력 및 그 밖에 모든 폭력적 행위도 무차별적으로 포함될 수 있다. 그러나 앞서 살펴본 바와 같이 UN헌장 제2조 4항에서 ‘use of force''''''''의 의미는 정치?경제적 제재는 제외되고 오로지 군사상의 힘인 무력(armed force)을 뜻하고 있다는 것이 다수설이다. 또한 그 무력행사의 금지 대상은 일차적으로 ① 다른 국가의 영토적 보전, ② 정치적 독립의 침해이고, 이차적으로 합법적인 무력행사가 제외된 일체의 무력행사를 금지한다는 의미를 UN의 목적과 관련하여 포괄적으로 ③ ‘기타 국제연합의 목적과 양립하지 아니한 어떠한 방식’이라는 표현으로 규정하고 있다. 따라서 UN헌장상 합법적 무력행사는 개별적 또는 집단적 자위권의 행사, UN안보리의 결의에 의한 강제조치, 구적국에 대한 조치, 인도적 간섭 및 그 외에 공해상에서 해적선, 해적항공기 또는 해적행위의 진압과 관련된 무력행사 등이다. 반면에 불법적인 무력행사는 1979년 12월 소련의 아프가니스탄 침공, 1982년 4월 아르헨티나의 포클랜드 점령, 1990년 8월 이라크가 쿠웨이트 영토에 대한 병합조치, 2003년 3월 20일 UN안보리의 결의 없이 미국과 영국이 이라크에 대하여 후세인 정권의 축출, 무장해제조치 및 대량살상무기의 제거를 명분으로 행한 군사행동 등으로 UN총회에서 정의한 침략행위의 범주에 포함된 군사활동이다.
전통적 의미의 무력행사와 정보전에 있어서 컴퓨터네트워크에 대한 공격행위는 무기의 존재형태, 무기사용의 목적, 전투지역, 정규?비정규군의 자격조건과 민간인과의 구별, 상병자 보호를 위하여 적용되는 규범 및 전?평시의 구별 기준 등에 있어서 차이가 있다. 그렇다면, 다른 국가의 컴퓨터네트워크에 대한 공격이 일정한 전제조건, 즉 ① 군사행동이 없이 단지 다른 국가의 컴퓨터네트워크에 대한 공격일 것, ② 발생된 손해는 결과적인 측면에서 파악할 것, ③ 대규모 경제적 손실이 발생할 것, ④ 누가 공격행위를 하였는지 입증이 되어야 할 것, ⑤ 그 공격행위를 한 자의 행위가 그 국가의 행위로 귀속되어야 할 것이 성취된다는 조건하에 무력행사로 간주하게 된다면 그 무력행사가 침략행위인지 여부에 대하여 검토되어야 한다.


Ⅳ. 무력행사로 간주되는 컴퓨터네트워크에 대한 공격이 침략행위인지 여부


1. 문제의 제기

다른 국가의 컴퓨터네트워크에 대한 공격이 전시에 행해졌다면 전쟁의 방법과 수단의 일환으로 볼 수 있다. 그런데 만약 평시에 정규?비정규군을 동원한 무력행사와 전혀 관계없이 단지 사이버공간을 통하여 컴퓨터네트워크에 대한 공격만이 행해진 경우에 무력행사로 간주하기 위한 다섯 가지의 전제조건이 갖추어져 있다면 그 무력행사는 곧 침략행위인지? 즉 선전포고 없이 행한 적대행위의 개시로 볼 수 있을 것인지? 비살상무기로 분류된 컴퓨터바이러스로 침략이 가능한 것인지? 악성 컴퓨터프로그램으로 컴퓨터네트워크에 대한 공격에 대응하기 위하여 재래식무기로 공격할 수 있는지 여부이다.

2. 컴퓨터네트워크에 대한 공격이 무력행사로 간주되는 경우에 그것이 곧 침략행위인지 여부

(1) 침략행위의 정의

UN총회의 결의에 따른 침략의 개념은 타국의 주권, 영토보존, 정치적 독립에 대한 무력행사 및 UN헌장에 위배되는 기타 방법이 사용되는 것을 말한다. 이러한 개념을 좀더 상세히 설명하기 위하여 침략행위에 해당하는 7가지 사항을 다음과 같이 열거하고 있다.
① 어느 국가의 병력에 의한 타국 영역의 侵入?攻擊 또는 이와 같은 결과를 발생시키는 군사점령 및 무력행사에 의한 타국 영역의 전부나 일부 병합, ② 병력에 의한 타국영역의 폭격 또는 무기의 사용, ③ 병력에 의한 타국의 항?연안의 봉쇄, ④ 병력에 의한 타국의 육?해?공군 또는 해병대나 항공대의 공격, ⑤ 합의로 규정된 주둔조건을 위반하여 일 국의 무력의 사용 또는 주둔종료 후의 연장, ⑥ 제3국에 대한 침략행위를 수행할 목적으로 한 자국영역의 사용을 허용하는 행위, ⑦ 이상의 행위에 상당한 무력행위를 행하는 무장단, 집단, 비정규병, 용병의 파견 또는 그러한 활동에 대한 실질적인 관여행위 등을 말한다. 이와 더불어 “비록 안보리가 침략행위가 행해졌다는 결정이 당해의 행위나 혹은 그들의 결과가 충분히 중대하다는 사실을 포함하여 다른 관련된 상황의 견지에서 정당화되지 않는다고 추정된다 할지라도 UN헌장을 위반하여 어느 국가에 의한 최초의 무력행사는 침략행위의 자명한 증거를 구성한다” 라고 하여 최초의 무력행사를 침략개시의 증거로 보았다. 따라서 가시적인 물리적인 힘이 수반된 정규?비정규군의 활동이 없고, 또 타국 영역에 대한 폭격 또는 항?연안의 봉쇄, 무력행사와 밀접한 관련이 있는 군사적 활동이 없는 경우에 침략으로 볼 수 없다.
1998. 7. 17. 로마회의에서 채택된 ICC규정은 침략죄가 ICC의 물적 관할에 포함된다고 규정하고 있다. 그러나 동 규정에서 명시적으로 침략죄의 정의에 대하여 규정하고 있지 아니하다. 그 이유는 로마회의에서 침략죄가 ICC의 관할범죄로 포함하기로 합의는 하였지만 어떻게 정의할 것인지, 침략행위의 존재결정 기준과 성립요건은 어떻게 정립할 것인지, 침략범죄와 관련하여 UN안보리의 역할은 어떻게 할 것인지 등에 대한 쟁점이 제기되었기 때문이다. 일단 ICC규정은 동 규정이 발효된 이후 7년이 경과하여 개정하고자 할 때에 제기된 쟁점이 해결되면 관할권을 행사한다고 규정하고 있다. 따라서 현재 침략죄의 정의에 대한 공인된 문서는 UN총회의 결의 이외는 없고, 다만 무력행사의 개념에 대하여 ICJ의 판결(Nicaragua case)에서 설명하고 있는 부분이 보일 뿐이다.
UN총회의 결의로 채택된 침략의 정의는 켄센서스의 방식으로 채택되었으므로 UN회원국의 의사가 함축된 정의로 받아들일 수 있다. 문제는 UN총회의 결의 그 자체는 법적 구속력이 있는 문서가 아니므로 ICC는 새로운 정의를 필요로 한다. 따라서 2002. 7. 1. 발효되고 2003. 3. 11. 공식적으로 출범한 ICC는 침략죄에 대하여 관할권이 없고, 2009년 이후의 개정시에 침략죄에 관련된 쟁점이 해결되어 규정되면 관할권이 성립한다. 그러므로 ICC와 관련하여 침략죄의 정확한 정의, 범죄의 구성요건, 안보리의 역할 등에 대해서 명확하게 언급하기에는 한계가 있다.

(2) 침략행위인지 여부

UN총회에서 결의한 침략의 정의에 따르면 침략행위는 7가지의 유형으로 분류되고, 그 유형은 모두 다른 국가의 주권, 영토보존, 정치적 독립에 대한 무력행사 및 UN헌장에 위배되는 기타 방법이 사용되는 것을 의미한다. UN헌장 제2조 4항에서 금지하고 있는 무력행사도 다른 국가의 영토보전, 정치적 독립 또는 UN의 목적과 양립하지 아니하는 어떠한 기타 방식으로 무력을 행사하는 것이다. 즉 침략행위와 무력행사의 금지가 모두 보호하고 있는 것은 다른 국가의 주권, 영토보전, 정치적 독립이고, 이외에 UN헌장의 목적상 허용되지 아니하는 기타 다른 방식으로도 주권, 영토보전, 정치적 독립이 침해되는 것이므로 양자의 보호 대상은 동일하다. 게다가, “…UN헌장을 위반하여 어느 국가에 의한 최초의 무력행사는 침략행위의 자명한 증거를 구성한다” 라고 하여 최초의 무력행사를 침략개시의 증거로 보았다. 따라서 무력행사 및 침략행위의 금지가 보호하고 있는 대상이 모두 동일하다는 점, UN헌장이 허용하지 아니한 방법의 사용을 금지하고 있다는 점, 침략의 정의에서 UN헌장을 위반하여 행사한 최초의 무력행사를 침략개시의 증거로 보고 있다는 점 등을 근거로 볼 때 다른 국가에 대한 무력행사는 침략행위이고, 그 침략행위는 곧 무력행사를 의미한다고 볼 수 있다.
따라서 다른 국가의 컴퓨터네트워크에 대한 공격이 다섯 가지 전제조건하에서 무력의 행사로 본다면 그 무력행사는 침략행위로 볼 수 있다. 즉 선전포고 없이 행한 적대행위의 개시로 볼 수 있다. 문제는 공격에 사용될 수 있는 무기는 가상의 공간을 통하여 전달된 컴퓨터바이러스와 같은 악성 컴퓨터프로그램이고, 이 악성 컴퓨터프로그램은 비살상무기로 분류되고 있으므로 이 비살상무기로 행한 무력행사가 곧 침략행위인지 여부이다.

3. 비살상무기로 침략행위가 가능한 것인지 여부

다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사로 간주하기 위한 다섯 가지의 전제조건이 성취된 경우에 무력행사로 본다면 그것은 곧 침략행위이다. 문제는 일반적으로 침략행위 그 자체는 군대가 동원된 무력행사이므로 그 군대가 사용한 무기는 현대전에 있어서 각종의 兵器가 포함된 살상무기이다. 또한 현재까지 비살상무기만으로 침략행위가 개시되어 비살상무기만으로 무력충돌이 개시되었다는 사례도 없다. 따라서 두 가지의 예측이 가능하다. 하나는 ICC의 규정이 개정될 때, 즉 침략죄의 정의에 대한 개념이 정립될 때에 가상공간을 통한 사이버공격도 침략죄의 범주에 포함되었다고 예단하는 가정이다. 다른 하나는 ICC의 규정의 개정시에 침략죄의 범주에 포함되지 않는다는 가정이다. ICC규정 개정시에 침략죄의 범주에 포함되면 그 사이버공격 자체는 일정한 조건하에 무력행사이고 또 침략행위이므로 특별한 문제가 제기되지 않는다. 문제는 침략행위의 유형에 포함되지 않는다면 컴퓨터바이러스라는 비살상무기로 행한 무력행사를 침략행위로 볼 수 있는지 여부이다.
평시에 다른 국가의 컴퓨터네트워크에 대한 공격이 다섯 가지 전제조건하에 무력행사로 본다면 피해국이 취할 수 있는 대응조치는 네 가지로 예상할 수 있다. 첫째, 자위권의 행사요건으로 인정되고 있는 침해행위의 현재성, 필요성 및 비례성의 원칙 중에서 비례성의 원칙을 근거로 한 복구행위이다. 즉 가해국에 대하여 똑같이 컴퓨터바이러스로 공격행위를 하는 것이다. 둘째, 비례성의 원칙을 무시하고 자위권의 행사라는 이름으로 직접 정규?비정규군을 동원하여 무력공격을 감행하는 것이다. 셋째, 아무런 대응조치를 취하지 아니한다. 다만, 직접적으로 정규?비정규군을 동원한 공격행위가 아니라 사이버공간을 통하여 컴퓨터네트워크에 대한 공격이므로 가해국이 피해국에게 불법행위를 자행하였다고 간주한다. 넷째, 비례성의 원칙을 근거로 컴퓨터바이러스로 컴퓨터네트워크에 대한 공격도 행하고, 또 침해행위의 현재성이 없음에도 불구하고 자위권의 행사라는 이름으로 정규?비정규군을 동원하여 무력공격도 수행하는 것이다.
앞으로 개정될 ICC의 규정에 사이버공격행위가 침략행위에 포함된다면 문제는 간단하지만, 포함되지 아니한다면 그 공격행위를 어떻게 보느냐 하는 것은 각 국가간에 입장이 다를 수밖에 없다. 피해국의 대응조치라는 관점에서 살펴보면, 첫 번째 대응조치는 UN총회의 결의에서 인정한 침략행위로 간주하기보다는 사이버공간에서 벌어지는 전투행위로 보는 것이다. 두 번째는 침략행위로 간주하는 것이다. 세 번째는 국제법상 금지된 무력행사로 간주하여 침략행위로 본다. 다만, 군대가 동원된 무력행사가 아니므로 발생된 손해는 가해국이 부담하여야 할 국가책임으로 간주한다. 네 번째는 침략행위로 간주하고 비례성의 원칙 및 침해행위의 현재성에 관계없이 자위권을 행사하는 것이다. 따라서 피해국이 취할 대응조치는 컴퓨터바이러스라는 비살상무기로 행한 그 사이버공격이 무력행사로 간주되는 경우에 침략행위로 볼 수 있는 가능성은 3대 1이다. 물론 자위권의 행사요건에 해당하는 비례성의 원칙이 명확하게 준수된다는 입장에서 보면 위의 두 개의 대응조치는 과잉조치에 해당하므로 불법적 대응조치이고, 다른 두 개는 합법적인 대응조치로 볼 수 있으므로 침략행위인지 여부는 또한 반반이다.
비살상무기로 간주되는 악성 컴퓨터프로그램으로 행한 사이버공격이 일정한 전제조건하에 무력행사로 간주되고, 그 무력행사가 침략행위인지 여부는 세 가지로 살펴볼 수 있다. 하나는 그 공격에 대한 피해국의 대응조치라는 관점에서 보면 비살상무기로 침략행위가 가능하다. 다른 하나는 대응조치와 관련하여 볼 때 비살상무기로 침략행위가 가능한지 여부에 대한 판단이 매우 애매하다. 또 다른 하나는 비살상무기로 침략이 가능한지 여부를 떠나서 일단 그 공격행위는 불법행위로 간주하고, 그 피해국은 그 피해를 보전 받기 위해서 평화적인 방법을 동원하여 대응조치를 취하는 것이다. 따라서 다음과 같은 豫斷이 가능하다. 첫째, 그 사이버공격행위 자체는 가해국이 국가책임을 부담해야 할 의무가 있는 국제분쟁이 발생한 것으로 보는 것이다. 즉 사이버공격은 무력행사로 간주하지만 물리적 폭발력이 동반된 무력공격이 아니므로 침략행위로 보기보다는 평화적인 방법으로 치유될 수 있는 국제분쟁이 발생한 것으로 보는 것이다. 둘째, 그 사이버공격이 다섯 가지의 전제조건하에 무력행사로 간주된다고 하더라도 실제로 비살상무기로 다른 국가를 침략한 예가 없으므로 침략으로 보지 아니한다는 것이다. 세째, 그 사이버공격이 물리적 폭발력이 동반된 무기를 동원한 군대가 무력을 행사한 것과 같이 보고 그 무력행사를 침략으로 간주하는 것이다. 세 번째의 경우에, 사이버공격행위가 다섯 가지의 조건하에 무력행사이고, 그 무력행사가 곧 침략행위에 해당한다는 도식으로 연결되면 현실의 공간에서 벌어지는 무력충돌의 개시라는 너무도 위험한 결과를 초래할 수 있다는 문제점이 있다.

4. 악성 컴퓨터프로그램으로 개시한 공격을 폭발성이 있는 무기로 대응할 수 있는지 여부

평시에 사이버공격이 다섯 가지의 전제조건하에서 무력행사로 본다면 그 피해국은 일정한 조건하에 그 대응조치로서 자위권을 행사할 수 있다. 문제는 사이버공간을 통한 대응조치가 아니고, 무형적 형태로 존재하는 악성 컴퓨터프로그램이 아닌 폭발성이 있는 무기(재래식 무기)로 자위권을 행사할 수 있는지 여부이다.
자위권은 국제관습법과 UN헌장을 비롯한 여러 국제조약에서 인정되고 있는 국가의 고유한 권리로서 다른 국가로부터 무력공격을 받을 때 무력으로 대응조치를 할 수 있는 권리를 의미한다. 이러한 자위권의 행사조건은 Caroline호 사건에서 언급하고 있는 ① 자위의 필요성이 급박하고, ② 그 공격이 압도적이며, ③ 다른 선택의 여지가 없는 경우 및 ④ 숙고할 여유가 없는 경우이다. Nicaragua case에서 ① 방위조치의 필요성, ② 그 방위행위는 필요한 한도를 넘지 않아야 한다. 이외에 UN헌장과 관련하여, 자위권의 행사에 관련된 조치는 즉시 안보리에 통보되고 그 자위권은 안보리가 국제평화와 안전의 유지에 필요한 조치를 취할 때까지만 인정된다. 따라서 자위권의 행사조건은, ① 침해행위의 급박성과 현재성이 존재해야 하고, ② 그 대응조치는 필요한 범위를 넘지 아니하여야 하며, ③ 자위조치를 취한 이후에 즉시 안보리에 통보하고 안보리가 필요한 조치를 취할 때까지만 인정된다.
컴퓨터네트워크에 대한 공격이 다섯 가지의 전제조건하에 무력행사로 간주된다면 자위권의 행사 조건은 그 침해행위가 급박성과 현재성이 있어야 한다는 필요성의 원칙과 그 대응조치가 필요로 하는 한도를 넘지 않아야 한다는 비례성의 원칙이다. 먼저 침해의 급박성?현재성은 대응조치라는 관점에서 볼 때 세 가지로 나누어서 살펴볼 수 있다. 하나는 사이버공격이 무력행사로 간주된 이후에도 공격이 개시된다면 필요성의 원칙을 근거로 가해국을 향하여 사이버공간을 통하여 반격을 할 수 있다. 다른 하나는 사이버공격이 무력행사로 간주된 이후에 재래식 무기를 동원하여 대응조치를 할 수 있다. 또 다른 하나는 무력공격으로 간주된 이후에 사이버공격이 없는 경우에 그에 대한 대응조치는 불법행위에 대한 사후적 복구행위로 볼 수 있으나 필요성이 없으므로 자위권의 행사는 아니다.
그렇다면 비례성의 원칙에 따른 대응조치의 관점에서 악성 컴퓨터프로그램으로 개시한 공격이 무력공격으로 인정된 경우에 재래식 무기로 공격할 수 있는가? 그렇다고 볼 수도 있고 그렇지 않다고 볼 수도 있다. 그렇다고 보는 이유는 다른 수단으로 방위가 불가능한 경우에 필요성의 원칙을 근거로 자위권 행사가 가능하다. 즉 사이버공격을 제지?억제할 수 있는 다른 공격방법이 없는 경우에 재래식 무기를 사용하여 자위권을 행사할 수 있다. 그렇지 않다고 보는 이유는 방위행위는 필요한 한도를 넘지 않아야 한다는 원칙을 쉽게 위반하여 방위행위를 할 가능성이 높다. 물론 그 사이버공격을 효과적으로 제지할 수 있는 방법은 재래식 무기를 사용하여 공격의 진원지를 폭격하거나 지대지 미사일을 발사하는 것이지만 비례성의 원칙을 위반되기 쉽고, 또한 그에 대한 대응으로 사이버상의 무력충돌이 실제적인 무력충돌로 전환될 여지가 많다.

5. 평가

다른 국가의 컴퓨터네트워크에 대한 공격이 다섯 가지의 전제조건하에 무력의 행사로 간주된다고 하더라도 그 무력행사가 곧 침략행위로 볼 수 없고, 또 그에 대한 대응조치로 자위권을 행사하기에는 어려움이 있다. 그 이유는 다음과 같이 요약할 수 있다.
첫째, 그 사이버공격이 다섯 가지의 전제조건하에서 무력행사로 간주할 수 있다고 하여도 실제로 그 다섯 가지의 전제조건을 충족하여 무력행사로 간주할 만한 사건이 인터넷을 통하여 가상공간이 창출된 이후로 발생하지 아니하였다. 둘째, 침략의 정의에 관한 UN총회의 결의에서 7가지의 군사행동이 침략행위에 해당하고 최초의 무력행사는 침략행위의 자명한 증거를 구성한다”고 하였어도 그 무력행사는 사이버공격이므로 그 7가지의 유형에 포함되지 아니한다. 셋째, 무력행사로 간주되는 경우에 그 무력행사는 가상공간을 통하여 행해진 것이므로 전통적인 측면에서 볼 때 기동력을 지니면서 물리적인 힘으로 표출되는 군사적인 힘이 아니다. 넷째, 그 사이버공격이 무력행사인지 여부에 대한 판단은 그 공격행위가 진행되고 있다는 현재성의 측면이 아니라 결과적인 측면에서 결정해야 하기 때문에 무력행사인지 여부에 대한 결정을 함에 있어서 항상 국가간에 견해가 다를 수 있다. 다섯째, 그 사이버공격으로 인하여 발생한 것은 경제적 손실로 한정되고 있으므로 충분히 국가간에 협의하여 평화적으로 해결할 수 있다. 여섯째, 비상살무기로 분류되는 컴퓨터바이러스로 다른 국가의 컴퓨터네트워크를 공격하였고, 그 공격이 무력행사라고 간주하더라도 그것을 곧 침략행위로 보고 실제적인 전쟁이 개시된다는 것은 컴퓨터바이러스로 발생된 손해를 너무 지나치게 확대 해석한 것으로 볼 수 있다. 일곱째, 악성 컴퓨터프로그램으로 개시한 공격에 대한 대응조치로 재래식 무기를 사용하여 자위권을 행사한다는 것도 비례성의 원칙을 위반하고, 반대로 재래식 무기로 공격받은 국가는 다시 재래식 무기로 반격을 하게 되면 사이버공간에서 벌어지고 있는 사이버전쟁이 실제 전쟁으로 확대 발전할 수 있다.
그러므로 그 사이버공격이 다섯 가지의 전제조건하에 무력행사로 간주한다고 하더라도 그것이 곧 침략행위가 아니라 국제법상의 불법행위가 자행된 것으로 보는 것이 타당하다.


Ⅴ. 결론 : 문제의 해결 방향 및 제언


현행 국제법의 패러다임은 주권과 영토의 개념이 전제가 된 국가를 기초로 한 구조로 되어 있다. 이것은 현행 국제법이 모든 국가가 점유하고 있는 영토에 대한 불가침성을 인정하고 그 국가의 영토적 범위를 경계로 존재하고 있는 주권을 존중한다는 의미이다. 그러나 과학기술은 가시적으로 인식할 수 없는 가상공간을 통하여 타국의 영토에 대한 불가침의 원칙이 더 이상 준용할 수 없는 상황을 만들어 냈다. 즉 사이버공간을 통하여 행해진 공격이 무력행사로 간주할 수 있는 상황이 나타날 수 있게 되었고, 실제로 ‘I Love You 바이러스’와 2003년 ‘1?25 인터넷 대란’이 일정한 조건만 갖추어져 있다면 무력행사로 볼 수도 있다. 이러한 경우에 주권과 영토를 기초로 한 국제법은 사이버공간을 통해서 현실로 발생할 수 있는 여러 문제들을 현행 국제법으로 규율할 수 없다. 따라서 앞으로 지배적으로 다가올 미래의 국제사회에서 수용할 수 있는 새로운 국제법의 패러다임의 형성이 필요하다.
가상공간의 규율과 관련된 새로운 패러다임은 다음과 같은 사항이 포함될 수 있다고 예시할 수 있다. ① 사이버공간을 통한 공격이 무력행사에 포함될 수 있는지에 여부, ② 무력행사에 포함될 수 있다면 어떠한 조건이 성취되어야 할 것인지? ③ 그 공격이 일정한 조건하에서 무력행사로 본다면 그것이 곧 침략행위가 아니라 불법행위인지? ④ 불법행위로 본다면 가해국 대 피해국의 관계에서 해결할 것인지 아니면 가해국 대 국제공동체의 관계에서 해결할 것인지, ⑤ 그 불법행위에 대한 국가책임과 그 불법행위에 관련된 개인의 형사책임에 관련된 문제, ⑥ 그 사이버공격에 대한 대응조치와 관련된 문제, ⑦ 평시에 가상공간에서 벌어질 수 있는 사이버전쟁에서 준용할 규범을 어떻게 정립할 것인지? 예를 들면, 사이버전쟁의 정의, 평시에 행해진 사이버전쟁에 대한 개시와 그의 효과에 관련된 문제 및 기타 등이다.
현재까지 평시에 사이버공간에서 발생된 범죄는 그 행위자가 일반 사인이었고, 국가가 조직적으로 개입하여 발생된 사례는 발견되지 아니한 것 같다. 그러나 만약에 국가의 행위로 귀속할 수 있는 사이버공격이 행해졌고, 그 결과가 ‘1?25 인터넷 대란’과 같은 결과를 야기하였다면 다섯 가지의 조건하에서 무력행사로 간주하더라도 그것이 곧 침략행위가 아니라 국제법상 불법행위로 간주하여 국가책임을 부과하는 것이 타당하다. 또한 대규모의 피해를 초래하는 악성 컴퓨터프로그램이 가공할 만한 방법으로 여러 국가로 확산되는 경우에 가해국 대 피해국이라는 관계가 가해국 대 국제공동체라는 관계로 파악하여 국제범죄행위로 보고 그 가해국에 대한 국가책임과 더불어 그 범죄행위에 관련된 개인의 형사책임의 추궁에 대하여 국제공동체가 공동으로 대응하는 것이 요청된다.
평시에 가상공간에서 벌어질 수 있는 사이버전쟁은 앞으로 컴퓨터공학기술이 어떻게 발전될지 모른다는 변수가 있다. 그러나 현재까지 악성 컴퓨터프로그램으로 개시된 공격의 결과는 인명살상이 아니라 경제적인 손실만이 나타났다. 따라서 평시에 그 사이버공격으로 대규모의 경제적 손실이 발생하였다면 그 문제는 평화적인 방법으로 해결할 수 있다. 그 이유는 ① 각국은 분쟁의 평화적 해결 의무를 부담하고 있다는 점, ② 평시에 다른 국가의 컴퓨터네트워크에 대한 공격이 행해졌다는 점, ③ 무력행사로 보기 위한 다섯 가지의 조건의 성취와 관련하여 누가 그 공격행위를 하였고, 그 행위자의 행위가 어느 국가의 행위로 귀속할 수 있는지에 대한 입증에 관한 문제의 해결이 용이하지 않다는 점 등이 있기 때문이다. 그러므로 본 연구와 관련하여 다음과 같은 사항을 강조하고자 한다.
첫째, 다른 국가의 컴퓨터네트워크에 대한 공격이 일정한 조건하에서 무력행사에 포함될 수 있으나 그 무력행사는 침략행위가 아니라 국제불법행위로 보아야 한다. 또한 사이버공간을 통하여 발생할 수 있는 불법행위의 규율에 관한 국제규범에 대한 연구 및 검토가 요청된다. 그렇지 아니하면 2003년 ‘1?25 인터넷 대란’과 같은 사건을 해결할 수 없기 때문이다. 둘째, 사이버공격이 무력행사로 간주할 수 있는 일정한 전제조건을 성취하여 무력행사로 간주한 경우에도 이에 대한 대응조치는 실제적인 무력행사가 아니라 평화적으로 해결할 수 있어야 한다. 그 이유는 ① 자위권행사의 조건에 해당하는 비례성의 원칙을 위반한다는 점, ② 대응조치로서 감행된 사이버공격에 대한 피해가 이전 보다 더 대규모로 발생할 수 있고, 잘 갖추어진 보안시스템으로 인하여 아무런 손해가 발생하지 아니할 수도 있다는 점, ③ 현재까지는 그 피해가 경제적 손실로 한정되고 있다는 점, ④ 분쟁의 평화적 해결에 관련된 체제가 잘 갖추어져 있다는 점 등이 있기 때문이다. 셋째, 우리 나라는 인터넷 관련 인프라 구축은 세계 최고의 수준이지만 그의 보안 수준은 2003년 ‘1?25 인터넷 대란’을 계기로 매우 낮은 것으로 드러났다. 이것은 보안시스템이 잘 갖추어져 있으면 ‘1?25 인터넷 대란’ 뿐만 아니라 정보전도 충분히 예방할 수 있다는 의미로 해석된다고 생각한다. 따라서 보안시스템의 설치 및 그의 업그레이드, 정부 및 관련업체 등이 포괄하는 정보통신기반보호 종합상황실을 구축하여 해킹?바이러스에 대한 조기 예?경보 시스템을 강화해야 한다. 넷째, “정보전은 영원한 전쟁이다”, “평화는 정보화시대에 실제로 존재하지 않는다”는 말이 있다. 이것은 국가적인 측면에서 사이버전사의 보호육성 및 정보전에 대한 대비를 강조한 말이 아닌가 한다. 따라서 해커 10만명 양병설의 주장과 같이 국가 정책적인 측면에서 정보전에 철저히 대비하여야 한다.



국문초록 : 정보전

사이버상에서 발생할 수 있는 범죄는 행위자가 누구이냐에 따라서 사인인 경우와 국가인 경우로 나눌 수 있고, 국가에 의한 사이버범죄는 정보전으로서 국가의 활동과 관련된다. 사인에 의한 사이버범죄는 행위지와 결과발생지가 각각 다름으로 인하여 형사관할권의 문제, 죄형법정주의의 문제 및 형사사법공조의 문제가 있다. 반면에 정보전은 악성 컴퓨터프로그램으로 행한 다른 국가의 컴퓨터네트워크에 대한 공격이 UN헌장 제2조 4항에서 금지하고 있는 무력행사에 포함되는지 여부이다.
전시에 행해지는 정보전은 전쟁의 수단과 방법의 일 부분으로 볼 수 있으므로 평시에 전개되는 정보전으로 한정하면, 첫째, UN헌장 제2조 4항에서 금지하고 있는 무력행사의 의미가 기동력이 있는 물리적인 힘으로 표출되는 다양한 형태의 군사활동으로 볼 수 있다. 둘째, 다른 국가의 컴퓨터네트워크에 대한 공격도 4가지의 근거 및 5가지의 전제조건하에 무력의 행사로 볼 수 있다. 셋째, 침략의 정의에 관한 UN총회의 결의에 따르면 최초의 무력의 행사는 침략 개시의 증거로 보고 있으므로 다른 국가의 컴퓨터네트워크에 대한 공격이 무력행사를 의미할 때 그것이 침략행위를 의미하는지 의문이 제기된다. 넷째, 컴퓨터바이러스는 비살상무기로 분류되고, 비살상무기로 침략행위가 개시된 사례가 없으므로 컴퓨터네트워크에 대한 공격 그 자체는 침략행위로 보기 어렵다. 다섯째, 다른 국가의 컴퓨터네트워크에 대한 공격이 5가지의 조건하에 무력의 행사로 본다고 하더라도 비례성의 원칙에 견지에서 보면 재래식무기로 자위조치도 할 수 없다. 여섯째, 현재까지 사이버공격으로 발생한 문제는 인명살상이 아니라 물질적 손실로 한정되고 또 모든 국가가 국제분쟁의 평화적 해결의무를 부담하고 있으므로 평화적인 방법으로 해결할 수 있다. 일곱째, 구체적으로 사이버공격과 관련된 범죄행위는 국제불법행위로서 국가책임과 개인에 대한 형사책임의 이론으로 처리가 가능하다.
현행 국제법의 패러다임은 주권과 영토의 개념이 전제가 된 국가를 기초로 한 구조로 되어 있다. 이러한 패러다임은 가상의 공간에서 또는 가상의 공간을 통하여 발생할 수 있는 국가의 범죄에 관련된 문제는 현행 국제법으로 규율할 수 없다. 따라서 인터넷을 통하여 형성된 사이버공간에 대한 새로운 패러다임의 형성이 필요하다.

Key word : 정보전, 정보작전, 국가의 범죄, 사이버범죄, 무력행사, 침략, 비살상무기, 컴퓨터바이러스, 해킹, 국제범죄, 보통범죄



Information Warfare from the Standpoint of International Law

Kyu-Seok Moon

Cyber criminals can be grouped into state-actors and non-state actors. There are three main issues involved for non-state actors who attack a computer system or network on foreign soil because the place to be committed a crime and the place to be occurred the result of the crime are different states respectively. These are ① which country has criminal jurisdiction?, ② the issue of nulla poena sine lege, and ③ the issue of mutual assistance in criminal matters. Cybercrime committed by a state-actor can be referred to information warfare(IW). The main issue in information warfare from the standpoint of international law is whether computer network attack(CNA) of any state by a state-actor can be considered as "the use of force" prohibited in Article 2(4) of U.N. Charter.
During wartime, IW is a part of means and method of armed conflict. However, it is questionable whether it can be considered as a means of armed conflict during peace time. In this paper, I discuss this issue with the following seven points. First, the term of use of force prohibited in Article 2(4) of U.N. Charter is armed force described as various forms of kinetic or physical force related to military activity of a state. Second, CNA can be included the meaning of use of force under the four grounds and five pre-conditions. Third, the use of force is, in itself, aggression in accordance with Article 2 of Definition of Aggression(XXIX) under the Resolution of U.N. General Assembly, which prescribes, "the first use of force by a state in contravention of the Charter shall constitute prima facie evidence of an act of aggression…. However, the arising question is whether CNA is considered the act of aggression if CNA meets the five pre-conditions to be considered as "the use of force". Fourth, CNA can not be act of aggression because of two facts. One is that malicious computer-program such as ''''''''I Love You virus'''''''' and hacking programs which deny, destroy, corrupt, or exploit the enemy''''''''s information and its functions can be categorized non-lethal weapon. The other is that there is not even a case to have invaded with non-lethal weapon. Fifth, it is not legitimate to invoke the right of self-defence using conventional weapons against CNA in the light of the principle of proportion even though CNA is contained the meaning of use of force under five pre-conditions. Sixth, the problem raised by the attack through cyberspace can be solved by peaceful means because damage occurred is only limited by economic loss, not casualties, and all countries should be imposed the obligation of pacific settlement of disputes under Chapter VI of U.N. Charter as well. Finally, the act of crime related to CNA can be composed of state responsibility as an international wrongful act, and the actor of the crime who hold a position as an official capacity such as a Head of State or Government can be punished with the theory of individual criminal responsibility.
Current paradigms of international law focus on a state-based structure that is preoccupied with the notions of sovereignty and territory. The problems raised through cyberspace or in the cyberspace can not be applied to current international law. So, tomorrow''''''''s world will require new paradigms which accommodate the imminent transnational society through Internet.

Key Word : use of force, international crime, information warfare, non-lethal weapon, computer virus, hacking, self-defence, crime of state, cybercrime, aggression, information operation.