미국 국방부가 국가 기간시설에 대한 사이버 공격행위를 ‘전쟁행위’(act of war)로 간주해 미사일 발사 등 무력 대응을 검토한다는 방침을 정한 것으로 전해졌다. 큰 위협이 되고 있는 사이버 공격에 강력히 대응한다는 의도이지만 실제 전쟁행위로 간주하기는 무리라는 지적도 있다.
지난달 31일(현지시간) 월스트리트저널(WSJ)은 미 국방부의 사이버 공격 대응전략을 담은 보고서의 일부 내용을 인용, 이 같이 보도했다. 미 국방부가 이러한 전략을 공식 마련한 것은 처음으로 6월 중 구체적 내용이 일반에 공개될 예정이라고 WSJ은 덧붙였다.
미군 관계자는 이에 대해 “만약 누군가 (사이버 공격으로) 우리의 전력망을 차단한다면 우리는 그들의 공단에 미사일을 발사할 수도 있다”고 설명했다.
WSJ은 “펜타곤(미 국방부)의 이번 조처는 미국의 원자력발전소와 지하철, 파이프라인, 송전선 등에 대한 해커들의 공격이 심각한 위협이 되고 있는 변화한 시대 상황을 반영한 것”이라며 “잠재적인 사이버 테러범들에게 경고를 가하는 효과도 있다”고 분석했다.
앞서 국방부는 사이버공격 대비 및 정보전 수행을 위해 지난해 국가안보국(NSA) 국장이 이끄는 이른바 ‘사이버사령부’를 신설해 현재 운영하고 있다.
미국에서는 최근 ‘스턱스넷’ 등을 통해 펜타곤 시스템에 사이버 공격을 가하는 사례가 이어지고 있다. 스턱스넷은 발전소나 공항, 철도 등 국가 기간시설을 파괴할 목적으로 제작된 시스템 교란 악성코드로 이란 핵시설 프로그램을 마비시킨 바 있다. 지난주에는 미 최대 군수업체인 록히드마킨의 정보 시스템도 해킹을 당한 것으로 밝혀지면서 사이버 공격에 대한 경각심이 한층 커지고 있다.
그러나 국방부의 이 같은 방침은 사이버 공격의 진원지를 명확히 밝히기 어렵고 또 어떠한 공격을 ‘전쟁행위’로 보느냐에 대한 의견일치도 쉽지 않다는 점에서 내부에서도 논란이 되고 있다고 WSJ은 전했다.
국제사회에서는 지금까지 사이버공격을 전쟁행위로 규정하는 사례가 거의 없었다. 일례로 지난 2008년 러시아와 그루지와의 전쟁 때 러시아 정부는 그루지아의 정부기관 및 금융기관에 대한 사이버 공격을 감행했다는 의혹을 받았다. 북대서양조약기구(NATO)는 이에 대해 사이버공격의 경우 공격의 주체와 피해를 판단해내기 난해하다며 이 사건에‘무력충돌’(armed conflict) 규정을 적용하기 매우 어렵다고 밝혔다.
이 때문에 국방부에서는 사이버 공격의 전쟁행위 적용 여부를 판단할 때 사이버 공격에 따른 피해가 일반 무력공격에 따른 피해와 동일하냐는 ‘등가성’(equivalence) 개념을 적용하는 방안이 힘을 얻는 것으로 전해졌다. 사이버 공격으로도 재래식 공격 때와 같은 인명 사망, 건물 파괴 등의 피해가 발생하면 무력대응의 대상으로 검토할 수 있다는 것이다.
