한국지정학연구원 선임연구위원 / 베리타스법학원전임
우리의 삶은 제도로 시작해서 제도로 끝난다고 해도 과언이 아니다. ‘병원’에서 태어나 ‘국가’에 출생신고를 하고 인생을 시작한다. 사망하면 사망했다고 ‘국가’에 다시 알려야 한다. 사는 과정에서도 ‘가족’이란 제도와 ‘학교’와 ‘직장’이란 제도속에서 산다. 그래서 사람들은 자신들의 삶과 관련된 제도를 잘 디자인하고 운영규칙을 체계화한다. 제도와 함께 진화하는 것이다.
제도는 국가로만 국한되지 않는다. 국가 간의 관계에도 제도들은 발전해왔다. 19세기 유럽에서는 협조체제(concert system)가 있었다. 20세기에는 국제연맹과 국제연합이라는 제도가 있었다. 또한 경제 제도인 브레튼우즈체제를 구성하기도 했다. 21세기의 미국의 단극은 패권체제로 제도화되고 있다.
냉전종식 이후 지정학이 엄청난 관심을 받고 있다. 그러다 보니 바다와 육지와 공중을 넘어 우주에 대한 관심도 늘어나고 있다. 그런데 이런 현실의 공간이 아닌 공간에서도 지정학적인 우려와 관심이 증대하고 있다. 바로 사이버 분야다.
미국이 인트라넷을 사용하다 이 공간을 민간까지 확대해준 것이 인터넷이다. 이제는 인터넷 없이 살 수 없을 정도로 인터넷 공간은 현실지배적이 되었다. 사이버공간이 중요해질수록 사이버 공간은 안보차원에서도 중요해질 수밖에 없다. 사이버공간을 공격했을 때 우리의 생활이 운영이 안 될 정도라면 이 공간을 지키는 것은 국경을 지키는 것과 필적할 만하다.
2010년 이란의 원자력 시설이 공격받았다. 이때 Stuxnet이라는 바이러스가 사용되었다. 이것은 미국과 이스라엘이 만든 것으로 전해진다. 이 사건이 중요한 것은 국가가 위협이 되는 국가를 상대로 사이버 공격을 했기 때문이다. 즉 국가가 주도하여 ‘사이버 전(cyber warfare)’을 치른 것이다.
인명피해가 크지 않은 전쟁임에도 이 사안에 많은 이들이 관심을 가지게 된 것은 크게 두 가지 이유다. 첫째, 미국이 국가간 사이버 전쟁의 물꼬를 텄기 때문이다. 이후 다른 국가들은 죄책감 없이 미국의 선례를 따를 것이다. 일반적으로 국가들은 다른 국가의 군사전략이나 무기체계를 빠르게 흡수하여 발전시켜간다. 그래서? 사이버 안보 분야는 안보경쟁을 하게 될 것이다.
둘째, 사이버전쟁이 방어보다는 공격에 유리하기 때문에 국가들은 공격위주의 전략을 택할 것이기 때문이다. 사이버공간에서의 공격은 누가 가했는지를 찾기 어렵다. ‘귀인(attribution: 어떤 사건의 원인)’을 찾는 것이 어렵다. 게다가 어렵게 IP주소를 찾아서 상대방을 찾는다고 해도 상대방에게 위협을 가해서 억지(deterence)를 달성하는 것은 불가능에 가깝다. 억지가 가능하려면 ‘2차 공격력(second-strike: 상대에게 공격을 받고 반격할 수 있는 군사력)’이 상대방에게 엄청난 비용을 가져올 것이라는 확신을 심어주어야 한다. 그러나 사이버공간에서 2차 공격을 해서 시스템을 파괴할 수는 있지만 핵무기와 같은 파괴력으로 생존 자체를 위협할 수 없다. 그리고 국가들은 상대방이 어떤 방식으로 공격해올지 알 수 없기 때문에 사전에 방어(defence)하기도 어렵다. 이런 상황은 사이버 분야의 안보를 다루는 이들에게 억지, 방어 대신에 공격에 정책 우선성을 부여할 것이다.
게다가 공격전략은 장점도 있다. 우선 공격자 자신이 주도할 수 있다. 또한 비용이 적게 든다. 실제 소규모의 해커들만으로 상대방을 공격할 수 있다. 이런 공격에 대해 방어자는 대대적으로 많은 인원을 동원해야 방어를 할 뿐 아니라 피해를 복구할 수 있다. 이런 상황은 국가들이 공격무기와 선제공격전략이 유리하다고 믿게 만들어 안보경쟁을 더욱 격화시킬 것이다.
이런 우려들은 사이버공간에 대한 교전이 일어나도 이를 관리할 수 있는 제도를 만들도록 압박하고 있다. 실제 2007년 에스토니아는 사이버 공격을 받아 2주간 인터넷 사용이 안 된 적이 있다. 이렇다 보니 사이버교전에도 수칙을 만들자고 하는 움직임이 있다. 북대서양조약기구(NATO)의 협동사이버방위센터(CCDCOE)의 탈린 매뉴얼(Tallinn Manual on the International Law Applicable to Cyber Warfare)이 대표적이다. 사이버 교전에서도 국가들을 규율할 수 있는 규칙을 제정하자는 것이다. 예를 들면 사이버공격을 받은 국가는 보복을 할 수 있지만 인명피해가 있는 경우에 한정해서 보복이 허용되는 것이다. 이것은 오프라인 상의 전시법을 온라인 상에도 도입하자는 것이다. 물론 이규정이 국제법상의 구속력을 가지는 것은 아니다. 하지만 교전이 벌어질 것이 명확하다면 규칙을 가지고 싸우자고 말했다는 점에서는 의미가 있다.
향후 이 분야는 제도화가 더 진행될 것이다. 국가들은 자신들이 가진 자원과 기술 수준에 맞추어서 제도화 방식을 달리할 것이다. 예를 들면 미국은 다중이해당사자주의(multistakeholderism)입장에서 비국가행위자까지를 포함하여 제도를 만들고자 한다. 반면에 사이버 분야에서 최근 두각을 나타내고 있는 중국은 정부간주의(intergovernmentalism)를 통해서 이 분야는 정부가 주도해야 한다고 주장하고 있다.
한국도 매일 수백만 건의 사이버 공격을 받고 있다. 인터넷환경이 발전하고 사용자가 많기 때문에 한국에게도 사이버 공간과 이 공간의 안보는 대단히 중요하다. 그런 점에서 한국도 이 분야의 제도화에 특히 관심을 가져야 한다. 모든 것이 그렇듯이 인터넷도 음과 양이 있는 것이다.
신희섭 정치학 박사
한국지정학연구원 선임연구위원 / 베리타스법학원전임
<* 외부 필자의 원고는 본지의 편집방향과 일치하지 않을 수도 있습니다.>
