사이버 강압의 국제정치

Abstract

이 연구는 특정 이슈를 두고 갈등을 겪는 국가 관계에서 발생한 사이버 공격 사례를 ‘사이버 강압’의 관점에서 접근한다. 기존의 ‘사이버 억지’ 중심의 연구는 방어자의 입장에서 ‘어떻게 상대의 공격을 저지할 것인가?’라는 데에 중점을 두며, 사이버 공격 발발을 사이버 억지의 실패로 이해한다. 이와는 달리 이 연구에서는 사이버 공격의 발발을 공격자의 입장에 대입하여 ‘사이버 공격이 왜 발생하였는가?’라는 관점으로부터 출발한다. 이에 이 연구는 특정 이슈를 둘러싸고 갈등 관계에 놓인 국가들의 맥락 속에서 발생한 사이버 공격이 강압적 목적에서 감행되었다는 데에 초점을 둔다. 이 연구는 2007년 에스토니아와 2008년 조지아에 대한 사이버 공격, 2010년 이란 핵시설에 대한 스턱스넷 공격, 2009년과 2011년, 2013년의 한국에 대한 일련의 사이버 공격, 2014년 소니픽쳐스사에 대한 사이버 공격을 분석 대상으로 한다. 이는 특정 이슈를 두고 국가들 간 갈등과 긴장이 심화되던 상황에서 사이버 공격이 발생한 대표적 사례로서, 저강도로 빈번하게 가해지는 단순한 범죄나 첩보의 수준에서 벗어난, 드물지만 국가 전반에 그 파급력이 미칠 수 있는 사이버 강압의 사례이다. 강압은 ‘위협을 사용하여 상대의 의지에 영향을 미침으로써 특정 행동을 유도 혹은 저지하기 위한 전략’이다. 이 연구는 기존의 강압에 관한 연구에서 충분히 다루어지지 않았던 사이버 공격에 주목함으로써 새로운 특징을 가진 강압 수단을 소개하고, 이를 활용하는 데에서 나타나는 메커니즘을 바탕으로 사이버 공격 사례를 분석한다. 이에 구체적으로 다음과 같은 질문을 제시함으로써 강압 전략에서 사이버 공격을 활용하는 의미와 효과를 탐구한다. 사이버 공격이 갖는 전략적 이점은 무엇인가? 즉 사이버 강압의 이점은 무엇이며, 사이버 강압에 영향을 줄 수 있는 고려 요소는 무엇이 있는가? 사이버 공격을 활용함으로써 나타나는 강압의 메커니즘은 무엇이며, 어떠한 메커니즘이 강압 전략에서 유효하게 작동하는가? 사이버 공격은 책임소재를 밝히기 어렵다는 점과 비용 효율적이라는 점, 그리고 강압의 실패 시 강압자가 처할 수 있는 체면손상의 위험이나 확전의 가능성을 경감할 수 있으며, 강압국의 사이버 역량에 대한 평판 효과를 높일 수 있다는 점에서 강압 수단으로서 장점이 있다. 한편 상대방의 취약하고 민감한 부분인 ‘압박점(pressure points)’과, 갈등이 확대되더라도 상대를 패퇴시키거나 저지할 수 있는 역량인 ‘확전우세(escalation dominance)’는 강압의 주요 고려 요소이다. 사이버 강압의 압박점은 상대방의 네트워크와 시스템 등으로 볼 수 있다. 한국과 같이 정보통신기반시설이 잘 갖춰져 있고 네트워크 연결이 긴밀할수록 사이버 공격에 대한 압박점이 그만큼 많이, 그리고 명확하게 노출되어 있다. 이 연구의 사례에서 강압국 ㅡ 피강압국을 구분하자면 러시아 ㅡ 에스토니아 및 조지아, 미국 및 이스라엘 ㅡ 이란, 북한 ㅡ 한국 및 미국이다. 러시아, 미국 및 이스라엘은 사이버 영역과 물리적 영역에서 피강압국에 대하여 확전우세를 갖는다. 에스토니아와 조지아의 경우 사이버 공격의 피해를 적극적으로 알리고 직접적으로 러시아를 비난한 것과 달리, 이란은 스턱스넷 공격으로 인한 피해에 대하여 상대적으로 의연한 태도를 보였다. 이는 에스토니아와 조지아가 미국을 비롯한 나토의 지원을 기대할 수 있었던 것과 다르게, 상대적으로 국제적 고립에 처해있던 이란은 확전우세를 보유한 미국과 이스라엘에 대한 전면적인 대응을 피하고자 했기 때문으로 볼 수 있다. 북한은 물리적 영역에서 한국과 미국에 대하여 확전우세는 없으나, 사이버 공수능력의 차원에서는 강대국들에 견줄만한 역량을 보유하고 있는 것으로 평가할 수 있다. 다만 소니픽쳐스 사례에서 미국이 북한에 대하여 경제 제재와 같은 대응을 취한 것과 같이, 사이버와 물리적 영역 모두에 걸쳐 확전우세를 갖추지 못한 행위자가 사이버 강압을 행할 경우 역풍의 가능성을 고려할 필요가 있다. 강압 전략은 크게 처벌(punishment)과 거부(denial)의 메커니즘으로 구분할 수 있다. 그렇다면 사이버 강압에서는 어떠한 메커니즘이 유효하게 작동할 수 있는가? 이 연구에서는 처벌 메커니즘을 바이만과 왁스만이 제시한 메커니즘 - 권력 지지 기반의 약화, 사회 동요와 대중 불만 유발, 국가 기능의 전반적 약화, 지도자 안위 위협 - 으로 세분하여 사이버 강압으로 나타날 수 있는 다양한 메커니즘을 살펴보았다. 한편, 국가 간 갈등 이슈가 해결되었는지를 중심으로 사이버 강압의 유효성을 고려하였을 때 해당 사례들에서 사이버 강압이 명확히 성공했다고 평가할 만한 결과는 나타나지 않았다. 다만 조지아, 이란, 소니픽쳐스 사례의 경우, 비록 완전한 성공이라고 볼 수는 없지만 강압자에게 유리한 방향의 결과가 일부 도출되었다. 그렇다면 다른 사례와 달리 이 세 가지 사례에서 나타난 특징은 무엇인가? 분석 결과, 해당 사례의 경우 모두 사이버 공격을 통하여 상대의 성공을 거부하는 메커니즘을 작동시켰다. 에스토니아와 한국에 대한 사이버 강압은 권력 지지 기반의 약화나 사회 동요와 불만 야기, 국가 기능의 전반적인 약화 등의 메커니즘 등을 유발하였으나 거부의 메커니즘은 작동하지 않았다. 반면에 조지아, 이란, 미국 소니픽쳐스에 대한 사이버 강압의 경우, 피강압국의 행위가 성공하지 못하도록 만들거나 혹은 성공하지 못할 것이라고 믿게 만드는 거부의 메커니즘이 작동하였다. 즉 여러 처벌적 메커니즘을 작동시키는 것보다 직접적으로 상대의 성공 가능성을 거부하는 메커니즘이 사이버 강압의 목적 달성에 기여할 수 있다. 다만 일반적으로 강압 전략은 단기간에 그 효과를 기대하기보다는 장기적으로 그 진행을 지켜볼 필요가 있다는 점을 고려해야 한다. 단기간에 나타나지 않을 수도 있는 처벌 메커니즘의 ‘누적적 효과’는 물론, 사이버 역량을 보유한 행위자에 대한 ‘평판 효과’의 장기적 발현에도 지속적으로 관심을 기울일 필요가 있다. 또한 사이버 공격이 정치적·전략적 목적에서 활용되고 있다는 점을 고려할 때, 사이버 강압에 대하여 정치적인 조치를 취할 수 있는 여건 마련과, 비례적 수준의 대응의 관행 축적을 위한 노력이 병행되어야 한다. ;This study approaches to the cyber attacks related to specific issues in international relations based on ‘cyber coercion.’Previous studies on ‘cyber deterrence’mainly focus on ‘how to deter or prevent the cyber attacks’ on the side of defenders; and understand the cyber attacks as the failure of the deterrence. However, this study applies to the side of attackers, and then starts from ‘why does the cyber attack start?’Therefore, the study focuses on the cyber attacks carried out on the purpose of the coercive ends in the international relations. The cases of this study are: Estonia(2007),Georgia(2008), Iran(2010), South Korea(2009, 2011, and 2013), and the U.S. Sony Pictures(2014). All of these cases are cyber attacks occurred in the middle of the escalated conflicts and tensions. These are the cyber coercion cases not only which are beyond low-level, frequently occurring simple cyber crime or espionage, but also which could affect all over the country. Coercion is ‘the strategy which affects the will of the other side to induce or deter specific action by using threats.’The study focuses on the cyber attack which has not been discussed in the existing studies on coercion; introduces new type of coercive tools; and analyzes the cyber attacks based on the coercion mechanisms. Hence, the study explores the meaning of cyber coercion and its effects by suggesting questions: what is the strategic advantages of cyber attacks? Which factors could be considered in conducting cyber coercion? What are the mechanisms of cyber coercion when using cyber attacks, and which mechanism is valid in coercive strategies? The cyber attacks have advantages in attribution, cost effectiveness, the alleviation of the possibilities on loss of face and escalation of conflict, the enhance of the ‘reputation effects’ on cyber capabilities of the coercer. Meanwhile, the important factors of coercion are ‘pressure points,’ the vulnerable and sensitive areas of the coercee, and ‘escalation dominance,’ the capability to defeat or retreat the other if the conflicts deteriorate. The networks and systems are considered as the pressure points of cyber coercion. The more well-constructed network connection and information communication infrastructure (e.g. South Korea), the more explicit and evident pressure points to cyber attacks. The coercers and coercees in five cases are listed as following: Russia - Estonia, Georgia; the U.S. and Israel - Iran; North Korea - South Korea and the U.S. Russia, the U.S. and Israel have the escalation dominance over the coercee in both cyber and physical areas. Estonia and Georgia were victims of cyber attacks, blamed Russia on the cyber attacks and announced the damages aggressively. Unlike this, Iran seemed to take a relatively undaunted stance to the damages from the Stuxnet attack. Estonia and Georgia expected the support from NATO including the U.S. However, Iran, which was in international isolation, tried to avoid the whole confrontation from the U.S. and Israel. North Korea had no escalation dominance against South Korea and the U.S. in physical area, but it has significant capabilities on cyber offence-defense ability. However, as shown in Sony Pictures case, the U.S imposed the economic sanction to North Korea. If the coercer has not escalation dominance in cyber and physical areas, it should consider the possibility of backlash. The mechanisms of coercion strategy are classified into punishment and denial. If so, what type of mechanism is valid on cyber coercion? Followed by Byman and Waxman, this study subdivides the punishment mechanism into power base erosion, unrest, weakening, decapitation. Meanwhile, considering the validity of cyber coercion in terms of dissolving international conflict issues, there are no definite result to estimate if the coercions were successful. However, it is hard to say there was complete success, but partial achievements of coercers were found in Georgia, Iran, and Sony Pictures cases. If so, what is the common feature in three cases unlike others? All three cases activated the denial mechanism which repudiates the success of the others via the cyber attacks. The cyber coercion toward Estonia and South Korea did not cause denial mechanism but power-base erosion, unrest, weakening. On the other side, the cases of Georgia, Iran, and Sony Pictures caused the denial mechanism which makes the deed of coercees not succeed or makes them believe they cannot succeed. That is, there are more chances to achieve the cyber coercion aim through mechanism of denial rather than several punishment mechanisms. Nevertheless, coercion strategy should be observed not as a short-term, but as a long-term strategy in general. It is necessary to consider not only ‘accumulative effects’ of punishment mechanisms, also ‘reputation effects’of coercers’ cyber capabilities in long-term. Additionally, considering cyber attacks as the tools of political and strategic ends, it needs to establish conditions of taking political actions against cyber coercions and make efforts on accumulation of practices with proportional reactions.