사이버 공간에서의 전쟁
러시아 연방 및 기타 국가의 대중 매체는 정부 및 상업 웹 사이트에 대한 사이버 공격에 대해 정기적으로 보고합니다. 동시에 "사이버 공격"과 "사이버 전쟁"이라는 표현을 사용할 때 다른 사람들은 분명히 다른 의미를 부여합니다. 이 경우 "사이버전"이라 함은 정보의 흐름을 통하여 컴퓨터 또는 컴퓨터 네트워크를 통하거나 그에 대항하여 수행되는 작전으로서 이러한 사이버 작전을 수행하는 경우의 수단 및 방법을 말한다. 국제인도법(IHL)의 의미 내에서 무력 충돌의 틀 내에서. 사이버 공격이라고 불리는 많은 작전은 실제로 산업 스파이와 같은 불법 정보 수집이며 무력 충돌의 맥락 밖에서 발생합니다. 따라서 그들은 국제인도법의 적용을 받지 않습니다. 러시아 연방은 "사이버 전쟁"의 개념을 사용하고 공식 문서에서 정보 전쟁의 더 넓은 개념의 일부로 정의합니다.
보호받을 권리 없음
ICRC(International Committee of the Red Cross)가 사이버전과 같은 현상에 관심을 갖는 것이 이상하게 보일 수 있습니다. 실제로 ICRC는 무인 항공기 및 무인 항공기와 같은 무력 분쟁에서 새로운 기술의 개발, 사용 또는 사용 가능성을 지속적으로 모니터링하고 있습니다. 로봇. 그것의 사용이 실제적이거나 잠재적인 인도주의적 함의를 평가하고 그러한 사용이 국제인도법에 의해 어떻게 통제되는지 분석하고자 합니다. 이미 존재하는 법적 규칙을 새로운 기술에 적용하는 것과 관련하여 이러한 기술의 특성과 인도주의적 용어로 사용 시 예상되는 결과를 고려할 때 이러한 규칙이 충분히 명확한지 여부에 대한 의문이 제기될 수 있습니다. 이러한 관점에서 통신 분야의 신기술도 예외는 아닙니다.
ICRC는 특히 사이버 네트워크의 취약성으로 인한 사이버 전쟁 현상과 사이버 공격이 가져올 수 있는 인도주의적 결과에 대해 우려하고 있습니다. 국가의 컴퓨터나 네트워크가 공격을 받으면 민간인이 식수, 의료 서비스, 전기와 같은 기본적인 필수품을 박탈당할 위험이 있습니다. GPS 시스템이 실패하면 예를 들어 사람들의 생존이 때때로 의존하는 구조 헬리콥터 비행에 실패하는 경우 인명 손실로 이어질 수도 있습니다. 사이버 공간의 군사적 잠재력은 여전히 잘 알려져 있지만 운송 시스템, 전기 네트워크, 심지어 댐이나 원자력 발전소에 대한 그러한 공격이 기술적으로 가능한 것으로 보입니다. 이러한 공격은 수십만 명의 웰빙, 건강 및 생명에 광범위한 결과를 초래할 수 있습니다. 따라서 무력충돌 시 민간인과 민간물자가 피해를 입지 않도록 항상 조치를 취해야 한다는 점을 상기시키는 것이 ICRC의 의무입니다. 실제로 사이버전은 새로운 유형의 전쟁과 마찬가지로 국제인도법에 속합니다. оружия 또는 전투 방법. 사이버 공간에는 법적 공백이 없습니다. 다른 여러 국가와 마찬가지로 러시아 연방은 여러 문서, 특히 2020년까지의 기간 동안 국제 정보 보안 분야에서 러시아 연방 국가 정책의 기본 사항에서 사이버전에 대한 국제인도법의 적용 가능성을 인정했습니다. 2013년 XNUMX월 푸틴 대통령이 서명했다.
또한 2013년에는 사이버 전쟁에 적용되는 국제법에 대한 탈린 가이드가 출판되었습니다. 이 가이드는 NATO Joint Cyber Defense Center of Excellence의 제안으로 작성되었지만 NATO Doctrine의 일부는 아니지만 전문가 그룹이 개인 자격으로 작성한 구속력이없는 문서입니다. ICRC는 이 전문가 그룹의 작업을 지원했으며 일반적으로 사이버 무력충돌법에 관한 지침 부분에 명시된 규칙의 문구에 동의합니다. 그러나 ICRC의 견해에 따라 기존 국제인도법 규정이 지침서에 명시된 규정보다 더 강력하거나 더 보호적인 경우에는 예외가 있을 수 있습니다. 탈린 가이드가 전 세계가 아니라 지역적이지만 ICRC는 이 주제에 대한 논의가 이루어진 것을 환영하며 물론 이 가이드가 이러한 어려운 문제에 대한 국가 간의 추가 논의에 유용하기를 희망합니다. 러시아에서는 탈린 지도부가 사이버 전쟁을 합법화하는 것처럼 보였기 때문에 부정적인 의견을 표명했습니다. 물론 이것이 ICRC가 이 문서를 편집한 그룹의 작업에 옵저버로 참여한 이유는 아닙니다. ICRC는 참여를 통해 리더십이 국제인도법이 무력충돌 피해자에게 제공하는 보호 정도를 반영하도록 노력했습니다.
몇 년 전 러시아 연방은 "국제 정보 보안 보장 분야의 행동 규칙"과 같은 문제에 대한 협약 초안을 UN에 제출했습니다. 이 문서들은 IHL보다 그 범위가 훨씬 더 넓지만, ICRC는 러시아 연방이 수년 동안 이 문제에 관심을 기울여 왔다는 점을 만족스럽게 지적합니다. 사이버전을 규제할 수 있는 법의 주요 분야로서 국제인도법의 중요성을 재확인할 필요가 있지만 ICRC는 민간인을 적절하게 보호할 수 있는 법을 추가로 개발해야 할 가능성을 배제하지 않습니다. 이 문제의 결정은 국가의 일입니다.
불확실성 아래 익명의 적
ICRC에 따르면 사이버전이 국제인도법 적용에 제기하는 가장 시급한 문제는 무엇입니까?
첫째, 익명성. 대부분의 경우 사이버 공격에 대한 책임이 있는 사람을 결정하는 것은 불가능하지는 않지만 어렵습니다. 국제인도법의 관점에서 무력충돌에 대한 국가 및 기타 당사자의 책임 설정은 정의를 보장하는 데 필요한 조건이므로 익명성은 큰 문제를 야기합니다. 주어진 사이버 작전을 누가 수행했는지 확인할 수 없다면 국제인도법이 적용되는지 여부를 판단하는 것은 극히 어렵습니다. 분명히 해결책은 법적 영역뿐만 아니라 기술 영역에서도 찾아야 합니다.
둘째, 사이버 작전이 국제인도법을 적용할 수 있는 무력 사용 수준을 나타낸다고 생각할 수 있습니까? 사이버 작전이 전통적인 운동 무기와 결합되어 사용될 때 상황이 무력 충돌로 특징지어질 수 있다는 것은 의심의 여지가 없습니다. 그러나 첫 번째이자 가능한 유일한 적대 행위가 사이버 작전인 경우 1949년 제네바 협약 및 추가 의정서의 의미 내에서 무력 충돌로 자격이 부여될 수 있습니까? 2010년 스턱스넷(Stuxnet)이나 2013년 2013월과 XNUMX월 서울의 은행이나 방송국에 대한 사이버 공격에 대해 아무도 책임을 주장하지 않았지만. 이러한 작업이 국가에 의해 수행되었다는 것을 입증할 수 있다면 의심할 여지 없이 그러한 질문이 제기될 것입니다. 스턱스넷 웜을 이용한 공격은 이란 원심분리기에 물리적 피해를 입힌 반면 XNUMX년 서울 공격은 물리적 피해를 입히지 않았다. ICRC의 견해로는 이 문제에 대한 향후 국가 관행에 따라 운동 무기를 사용하는 조치가 없는 경우에만 국제인도법이 특정 사이버 작전에 적용되는지 여부를 결정할 수 있을 것입니다.
셋째, 국제인도법이 적용되는 상황에서 “사이버 공격”의 정의에 대한 질문이 제기되는데, 이는 특히 공격의 구별, 비례성 및 예방 조치의 원칙과 관련하여 적대 행위를 규율하는 규칙에 매우 중요한 개념입니다. . 탈린 지도부는 국제인도법에 해당하는 사이버 공격을 "공격적이든 방어적이든 관계없이 사람에게 부상이나 사망을 초래하거나 물체를 손상 또는 파괴할 것으로 합리적으로 예상할 수 있는 사이버 작전"으로 정의합니다. 그러나 문제의 핵심은 세부 사항, 즉 사이버 세계에서 피해로 간주되는 것이 무엇인지에 있습니다. 긴박한 논의 끝에 대부분의 전문가들은 개체에 의한 기능 손실도 손상이 될 수 있다는 데 동의했습니다.
ICRC는 객체가 사용할 수 없게 되면 그 결과가 어떻게 달성되었는지는 중요하지 않다고 생각합니다. 사이버 공격의 개념을 보다 제한적으로 해석하면 그러한 작전에 적용되는 국제인도법의 규정이 점점 더 적어질 수 있기 때문에 이 문제는 실질적인 의미에서 매우 중요합니다. 따라서 예를 들어 민간 네트워크의 기능 상실을 초래하는 사이버 작전은 민간인과 민간 물체에 대한 직접적인 공격에 대한 국제인도법의 금지 대상이 아닙니다. 이런 의미에서 2013년 XNUMX월 서울의 사이버 공격은 여러 민간 네트워크가 한동안 부분적으로 또는 완전히 비활성화되었기 때문에 국제인도법이 그들에게 적용 가능하다고 가정하면(확립되지 않음) 좋은 예시가 될 수 있습니다. 피해가 발생한 것으로 보입니다.
넷째, 민간인과 사물의 보호를 목적으로 하는 국제인도법의 적용에 있어 사이버 공간의 통일화와 같은 현상이 야기하는 문제에 대해 이야기하고 있다. 사이버 공간은 하나뿐이며 동일한 네트워크, 경로 및 케이블이 민간 및 군사 사용자 모두에게 사용됩니다. 사이버 공간의 통일성은 사이버 공격에서 군용 컴퓨터 네트워크와 민간 컴퓨터 네트워크를 구별하는 것을 불가능하게 만들 수 있습니다. 그러한 공격이 수행되면 무차별 공격 금지를 위반합니다. 통제할 수 없이 자가 복제하여 민간 사이버 네트워크를 손상시키는 악성 프로그램의 사용도 금지됩니다. 또한, 충돌 당사자는 즉각적이고 구체적인 군사적 이점과 관련하여 과도한 민간인 및 민간 네트워크 또는 물체에 대한 부수적 피해를 유발하는 공격의 가능성을 평가하고 그러한 경우 자제하도록 모든 노력을 기울여야 합니다. 공격으로부터. 그러나 사이버 공격의 간접적인 결과를 포함하여 그러한 부수적 피해가 사이버 공간에서 적절하게 평가될 수 있습니까?
비인간적인 행동
이것은 주제에 대한 간략한 개요입니다. 사이버 분쟁의 지리학, 중립법 및 주권 개념의 적용, 사이버 무기의 정의, 컴퓨터 데이터가 적대 행위를 규율하는 규칙에 따라야 하는지 여부와 같은 다른 많은 심각한 문제가 있습니다. . 이러한 문제는 무력 분쟁에서 사이버 공격을 결정하고 수행할 때 민간인과 네트워크에 피해를 주지 않도록 극도의 주의를 기울여야 함을 나타냅니다. 이러한 문제는 또한 국가가 다른 새로운 무기나 전쟁 방법과 마찬가지로 국제인도법에 따른 합법성을 평가하기 위해 공격적이든 방어적 목적이든 사이버전을 위한 재료를 개발하거나 획득하는 것의 중요성을 강조합니다. 의심할 여지없이 이것이 무력 충돌 중에 사이버 능력이 사용되는 경우 영향을 받을 수 있는 군대와 기타 정부 부서가 국제법에 따라 이들 국가의 의무를 준수할 수 있도록 하는 유일한 방법입니다. 점점 더 많은 국가에서 사이버 전쟁(방어 및 공격 모두)을 수행하기 위한 기술적 기반을 개발하고 있다는 사실은 이 주제의 관련성을 높일 뿐입니다.
정보