이번 논문은 Legal Aspects of Misattribution Caused by Cyber Deception을 선정하였는데, 선정한 이유는 전략적 이점을 얻기 위해 해당 공격 국가의 국제적인 상황을 고려하여 사이버 속임수 전략을 어떻게 사용하는지가 궁금하였고, 속인 국가와 속은 국가, 속은 국가로부터 피해받은 국가가 국제법에 의해 어떠한 책임이 적용되는지 확인이 필요하여 선정하였다. 또한, 우리나라의 경우 북한과 중국, 일본과의 외교적인 관계가 복잡한 상황에서 사이버 속임수 전략을 당하기에 충분한 여건을 될 수 있기에 해당 논문을 확인해 볼 필요성이 있다고 생각하여 선정하였다.
전반적인 내용은 사이버 속임수를 통한 국가의 이익과 사이버 속임수의 법적 영향에 대해 다루고 있다. 사이버 속임수를 통한 국가 이익에 대해 각 국가들은 국익을 위해 외교, 협상, 전략적 협정 등을 통해 전략적으로 사이버 속임수를 사용한다. 여기서 말하는 사이버 속임수란 사이버상에서 속임수를 사용하여 목표 대상이 잘못된 현실을 참으로 착각하게 하고, 그로 인해 속인 사람이 이익을 얻도록 하는 상호작용하는 것을 뜻한다. 여기서 제시한 가상시나리오는 속이는 국가는 다른 국가에 해를 끼치는 사이버 공격 수행하고, 속은 국가는 해당 공격으로 피해가 발생, 제3 국가에 보복 조치를 할 것이다. 속은 국가는 속이는 국가가 만들어 놓은 가짜 흔적을 발견하여 제3 국가도 피해발생에 따라 속은 국가에 보복 조치할 것이다. 결국 속이는 국가는 경제적, 법적 비용 없이 효율적으로 공격하는 것이다.
사례로는 2018년 동계 올림픽 사이버 공격 사건 관련 대회 관계자들과 관람객들이 이용하는 인터넷 및 서버가 대규모 DDoS 공격을 받았는데, 최초 해당 공격자는 중국과 북한의 사이버 스파이 및 악성코드 작업을 수행하는 주체로 인지하였으나, 이후 러시아 국가보안기관인 GRU가 해당 작전을 수행하였다. 작전에 목적은 2014년 소치 동계 올림픽에서 러시아 선수들의 도핑 사건으로 국제적인 제재를 가한 것에 대해 보복성 공격으로 추정된다.
사이버 속임수의 법적 영향으로는 국제법 제37조와 제21조 해당된다. 국제법 제37조는 국가가 다른 국가에 대해 국제적으로 책임을 지는 경우 규정(다른 국가에 손해를 입힌 경우 국제적 책임)이며, 국제법 제21조는 다른 국가로부터 직접적 또는 간접적으로 무장 공격을 받았을 때 자기 방어권 행사 규정이다. 다만, 국제법 제37의 경우 국가에 손해를 입힌 정도를 따지고, 증명해야 하며, 국제법 제21조의 경우 사이버 속임수가 무장 공격이라고 명시되지 않아 해당되기 어렵다. 결국 국제법의 공백 발생(사이버 속임수에 대한 규제가 포함되어 있지 않음)하는 것이다.
사이버 속임수를 당해 국가를 보호하기 위한 유일한 보복 조치 수단이라는 것을 입증할 수 있는 경우 책임을 면할 수 있지만, 통상적으로 입증은 어렵다.
결론으로는 사이버 공간에서의 속임수는 국제 안보에 대한 위협이자 복잡한 도전이며, 국제법에서 사이버 속임수에 대한 규정이 미비하고 있더라도 증명하기 어렵다. 속은 국가의 잘못된 판단으로 보복조치할 경우 그 책임이 경감되지 않고 책임을 피할 수 없다. (정당한 조치라고 입증하기 어려움) 결국 각 국가 간 합의를 통해 조치해야 하지만, 국가 간 관계가 좋지 않을 경우 합의하기는 어렵다.
전체적으로 살펴보았을 때 시사점으로는 사이버 속임수는 국제법상 공백이 있고, 저비용-고효율이라는 장점을 갖고 있어 여러 국가들이 이러한 점을 이용하여 전략적으로 사용 중이다. 결국 법적인 해결은 시간과 비용이 많이 소비되고, 각 국가 간의 합의를 통해 조치를 해야 하기 때문에 주변 국가와의 관계를 중립적으로 유지할 필요성이 있다고 판단된다. 해당 국가와의 관계가 좋지 않다면 어떠한 협의조차 하기 힘들 것이며, 더 까다로운 조건에서 합의를 해야 될 상황이 발생할 수도 있다. 또한, 동맹국과의 관계를 더욱 돈독하게 유지 필요하다. 국제법상 조치가 되지 않는다면 강대국과의 동맹관계를 이용하여 가해국가에 대한 제재조치를 통해 반강제적인 합의를 도출할 수 있다. 다음은 사이버 속임수를 예방하기 위한 기술적 대책 강화 필요하다. 국가적인 큰 피해를 예방하기 위해 보안 업계와의 협력 등을 통하여 기술적 대책 강화 필요할 것이다.
* 출처: Legal Aspects of Misattribution Caused by Cyber Deception
'사이버안보' 카테고리의 다른 글
디지털 시대의 생존 기술: 왜 모두가 사이버 보안 전문가가 되어야 하는가? (0) | 2024.08.22 |
---|---|
사이버 보안의 미래: AI와 머신러닝의 역할 (0) | 2024.08.22 |
사이버 전쟁의 그림자: 국가가 당신을 해킹한다? (0) | 2024.08.22 |
공격적인 사이버 작전 이후 대중의 생각 변화 이해 (2편) (0) | 2024.08.22 |
사이버 공격에서 제3국가의 역할은 무엇인가? (1편) (0) | 2024.08.21 |