러시아가 도널드 트럼프 당선을 위해 사이버 공격을 통해 2016년 미국 대선에 개입했다는 것을 포함해 2015년 우크라이나의 전기시스템을 붕괴시킨 익명의 사이버 공격들, 그리고 수천대의 이란 원자력 발전소 원심분리기를 파괴한 ‘스턱스넷’ 바이러스 등 사이버 공간 갈등에 대한 우려는 급속도로 번지고 있다. 지난달 뮌헨 보안 컨퍼런스에서 네덜란드 외무부 장관 버트 코펜더는 유엔 글로벌 전문가 그룹(GGE)를 지원할 새로운 비정부 간담회인 ‘사이버공간 안정을 위한 글로벌위원회(Global Commission of Cyberspace)’를 신설했다고 발표했다.

2010년과 2013년, 그리고 2015년 GGE의 보고서는 사이버보안을 위한 협상의제를 설정하고 가장 최근에는 유엔 총회에서 승인한 규범을 확인하는 데에 는 데에 도움이 됐다. 그러나 초기의 성공에서 불구하고 GGE는 한계를 가지고 있었다. 참가국들은 권한을 가진 국가 협상자가 아니라 유엔 사무총장의 기술적인 조언자에 불과하다. 비록 참가국의 숫자가 15개국에서 25개국으로 늘긴 했지만 대부분의 국가는 목소리를 내지 못했다.

그러나 GGE 뒤에는 더 큰 의문점이 있다. 그것은 규범이 실제로 국가의 행동을 제한할 수 있냐는 것이다.

대부분의 전문가들은 글로벌 사이버공간 조약이 현재 정치적으로 불가능하다는 데에 동의한다. 그러나 공식 조약을 넘어서 국가에 대한 규범적 제약은 행동규범과 전통적인 국가관행, 그리고 집단간의 적절한 행동에 대한 공통된 기대를 포함한다. 한정된 범위 내에서 이러한 제약은 세계적으로 다자간, 양자간으로 다양할 수 있다. 그렇다면 역사는 규범적 정치 도구에 대해 무엇을 말해줄 수 있을까.

히로시마 이후 10년간 전술 핵무기는 ‘정상적인’ 무기로 간주됐다. 그리고 미군은 핵 포병과 원자력 지뢰 및 핵 대공무기를 부대에 편입시켰다. 1954년과 1955년 미국 합동참모본부의 의장은 드와이트 아이젠하워 대통령에게 베트남의 디엔 비엔 푸와 타이완 근해의 섬들에 핵무기를 사용을 요구할 것이라고 밝혔다.

시간이 지나고 핵무기를 사용해서는 안된다는 비공성적인 규범이 생겨났다. 노별 평화상 수상자인 토마스 셀링은 핵무기 비사용 원칙은 만드는 것이 지난 70년간 무기통제의 가장 중요한 측면 중 하나였으며 의사 결정권자들에 대한 억제효과가 있었다고 주장했다. 그러나 북한과 같은 새로운 핵 보유 국가들에게는 금기사항을 위반하는 비용이 이익보다 중요하다는 것을 확신할 수 없다.

마찬가지로 제1차 세계대전 이후에는 전쟁에게 유독가스를 사용하는 것에 대한 금기가 있었고 1925년 제네바 의정서는 화학무기와 생물무기의 사용을 금지했다. 1970년대에 체결된 두 개의 조약은 화학무기에 대한 생산과 비축을 금지하고 그들의 사용뿐만 아니라 비축에 대한 비용도 만들었다.

생물무기 협약의 검증조항은 약하고(유엔 안전보장 이사회에 보고) 1970년대에 소련이 생물 무기를 계속 개발하고 비축하는 것을 막지 못했다. 마찬가지로 화학무기 협약도 사담 후세인과 바샤르 알 아사드가 화학무기를 자신의 시민에게 사용하는 것을 중단시키지 못했다.

그럼에도 불구하고 두 조약은 다른 사람들이 어떻게 그러한 행동을 감지하는지를 결정한다. 이러한 인식은 2003년 미국의 이라크 침공 정당화와 2014년 시리아의 무기를 국제적으로 해체시키는 데에 기여했다. 생물전 조약을 체결한 173개의 국가 중 그러한 무기개발을 희망하는 국가는 그것을 비밀리에 진행해야한다. 그리고 그들의 연구에 대한 증거가 알려지면 국제적인 비난을 받게 된다.

규범적인 금기사항은 또한 사이버 영역에도 관련이 있다. 비록 무기와 비무기의 차이가 그들의 의도에 달려다고 해도 그것을 금지하는 것은 매우 어렵다. 이러한 의미에서 사이버 분쟁 방지 노력은 냉전시대에 개발된 핵무기 통제와 같을 수 없으며 협상과 상세한 검증절차가 필요하다.

사이버전쟁 규범적 통제에 대한 보다 생산적인 접근은 아마도 무기에 대한 것이 아닌 표적에 대한 금기를 수립하는 것일 수도 있다. 미국은 민간인에 대한 고의적인 공격을 금지하는 무력 충돌법(LOAC)이 사이버공간에서도 적용된다고 밝혔다. 미국은 또 ‘최초 사용’을 금지하는 것보다 민간시설에 대한 사이버 무기 공격을 금지하자고 제안했다.

GGE는 이러한 규범적 접근법을 채택했다. 금기사항은 범죄 과학 수사원조와 컴퓨터 보안 사고 대응팀(CSIRTs) 업무의 불간섭과 같은 상호신뢰 구축조치로 보강됐다.

2015년 7월의 GGE 보고서는 민간인에 대한 공격을 억제하는 데 중점을 뒀다. 2015년 9월의 버락 오바마 미국 대통령과 시진핑 중국 국가주석의 회담에서 양 정상은 GGE 제안을 연구할 전문위원회를 설립하기로 합의했다. 그 후 GGE 보고서는 G20 지도자들에 의해 승인됐고 유엔 총회에도 제출됐다.

우크라이나 전력 시스템에 대한 공격은 GGE 보고서 제출 직후인 2015년 12월에 발생했으며 2016년 러시아는 미국의 선거과정을 민간인 보호 사회시설로 간주하지 않았다. 사이버 무기에 대한 규범적인 컨트롤의 발전은 여전히 느리다. 그리고 지금도 불완전한 과정으로 남아있다. <출처: Project Syndicate>

원문보기