〔헤럴드경제=한석희ㆍ신대원 기자〕지난달 20일 주요 방송사와 금융시스템에 대한 사이버테러 소행이 북한 정찰당국의 소행으로 추정되면서 이에 대한 정부의 대응에 관심이 쏠리고 있다. 특히 북한의 미사일 위협이 가시화되고 있고, 우리 군과 정부가 그동안 “도발 원점과 도발 지원세력, 지휘세력까지 도발해온 수준의 10배 이상으로 응징할 것”이라고 공언해왔다는 점에서 정치권 일각에선 “직접적인 응징”을 주장하는 목소리도 나오고 있다.

새누리당 한 관계자는 11일 “보복한다해놓고 안하면 어떻게 하냐”며 “사이버테러도 교전이므로 교전규칙에 따라 지원지는 물론이고 지휘부까지 때려야 한다”고 주문하기도 했다. 이번 3ㆍ20 테러의 주범인 북한 정찰당국에 대한 보복 응징이 필요하다는 것이다.

문제는 사이버테러의 경우 직접적인 응징이 쉽지 않다는 데 있다. “10배 이상의 응징” 공언에도 불구하고 정부가 쉽사리 대응 방안을 꺼내지 못하는 것도 국제법에 규정하고 있는 사이버테러의 경우 비례성과 필요성 원칙에 따른 적절한 수위의 대응조치가 쉽지 않다는 것이다.

정부 한 관계자는 이와관련 “국제법에 따라 적의 도발에 대해선 비례성과 필요성이라는 두가지 원칙에 입각해 무력 대응이 가능하다”면서도 “사이버테러의 경우 북한의 소행이라는 추정만 할 수 있을 뿐 아니라, 비례성과 필요성 두 원칙에 따라 물리적 대응을 하기에도 애매한 측면이 많다. 사이버테러의 진원지도 북한이 아니고 제3국이기 때문에 이에 대한 맞대응 역시 쉽지 않다”고 말했다.

사실 사이버테러에 대한 국제적으로 구속력 있는 ‘룰’도 없다. 다만 이론상으로는 사이버 전쟁에서 적용되는 국제법을 담은 지침서 ‘탈린 매뉴얼 9조의 “국제적으로 잘못된 행위로 피해를 입은 국가는 비례성 원칙에 따라 공격의 책임있는 국가를 상대로 대응조치(countermeasures)를 취할 수 있다”는 조항이 적용될 뿐이다. 여기서도 국제법에서 적용하고 있는 교전원칙 ‘비례성’(proportionality)과 ‘필요성’(necessity)라는 두 원칙에 입각해야 한다.

가령 A국과 B국 사이에 강이 흐르는데, A국이 강의 유량과 흐름을 자신들에게 유리하게 돌려놓으려고 B국의 발전시설에 사이버 공격을 가하는 경우 B국은 비례성 원칙에 따라 A국 관개수로 통제시스템에 대해 사이버 공격을 가할 수 있다. 또 북한 정찰총국이 남한 사회의 혼란과 시스템 교란을 목적으로 방송과 금융시스템에 사이버 공격을 가했다면 이는 본질적 이익의 하나인 ’안보이익‘을 침해받은 것으로 간주할 수 있다. 북한의 사이버공격에 대한 맞대응으로 일정한 수준의 ‘해킹’도 가능하다는 것이다.

그러나 이는 이론상일 뿐이다. 탈린 매뉴얼은 국제법적 효력을 갖는 정책이 아닐 뿐 아니라, 실제로 사이버 공격을 가하는 것은 정치ㆍ외교적으로 고도의 전략적 판단을 요하는 사안이다. 가해국이 제3국을 경유해 공격하고, 또 공격의 흔적을 지우고 자신들의 소행이 아니라고 부인할 경우 이를 국제적으로 ‘입증’는 것 역시 쉽지 않다.

hanimomo@heraldcorp.com