"적을 제대로 규정해야 싸움을 이긴다" 모든 사이버 공격이 범죄로 보이면, 국가는 사건이 터진 뒤에만 움직이게 된다. 그러나 그것이 전쟁이라면, 국가는 미리 대비하고 억제해야 한다.
따라서 사이버 위협의 본질을 정확히 분류하는 것은 국가 생존의 문제이자 정책철학의 출발점이다.
오늘날 사이버공간에서 발생하는 위협은 해킹이나 데이터 탈취를 넘어, 국가의 기반을 흔드는 전면적 공격의 형태로 발전하고 있다. 그러나 현실의 대응체계는 여전히 모든 위협을 "사이버 범죄"로 뭉뚱그려 다루고 있다.
이제는 사이버 위협을 '범죄'와 '전쟁'으로 명확히 분류해야 한다. 그것은 단지 개념의 구분이 아니라, 국가 대응체계의 설계 원칙을 달리해야 한다는 전략적 이유 때문이다.
첫째, 위협의 '주체'와 '목적'이 다르다.사이버 범죄는 대체로 금전적 이익을 노리는 개인·조직의 불법 행위다. 예컨대 랜섬웨어 공격, 개인정보 유출, 금융사기 등이 이에 해당한다.반면 사이버 전쟁은 국가 또는 준국가 행위자가 정치적·군사적 목적을 위해 타국의 인프라를 공격하는 행위다. 스턱스넷, 러시아의 우크라이나 전력망 공격, 북한의 가상화폐 탈취 등이 그 전형이다.
즉, 사이버 범죄는 법집행기관의 수사·처벌 대상이지만, 사이버 전쟁은 국가안보기관이 다루어야 할 전략적 위협이다. 두 영역을 동일한 법적 틀로 다루는 것은, 경찰의 수사 절차로 전쟁을 막으려는 것과 다르지 않다.
둘째, 피해의 '범위'와 '영향력'이 다르다. 사이버 범죄의 피해는 특정 기업이나 개인의 손실로 한정되는 반면, 사이버 전쟁은 국가 기반시설을 마비시키고 국민의 생명·안전에 직결된다.
예를 들어 병원의 전산망이 공격받으면 의료 서비스가 중단되고, 발전소나 철도가 공격받으면 도시 전체가 멈춘다. 이러한 공격은 범죄의 차원을 넘어 '국가 기능의 정지'라는 전쟁 수준의 피해를 유발한다. 따라서 사이버 위협의 피해 규모와 파급력을 고려할 때, '범죄'와 '전쟁'을 구분하지 않는 것은 대응 주체와 절차를 모두 왜곡시킨다.
셋째, 법적 근거와 대응 절차가 달라야 한다. 사이버 범죄는 「형법」, 「정보통신망법」, 「전자금융거래법」 등으로 규율되며, 사후 처벌과 증거 확보를 중심으로 작동한다. 반면 사이버 전쟁은 즉각적인 대응과 억제가 필요하며, 국제법적 논의의 대상이 된다.
예컨대 「유엔헌장」 제51조의 '자위권' 적용 여부, 탈린 매뉴얼(Tallinn Manual)에서 논의된 '사이버 공격의 무력공격성 판단기준' 등은 국가적 차원의 법적 대응 근거다. 또한 NATO의 사이버방위협약 4조,5조 해석으로 인하여 동맹국도 마음의 준비를 해야 한다.
즉, 사이버 전쟁에 대해서는 사이버안보법과 국가안보전략법적 체계가 필요하고, 사이버 범죄는 형사사법 절차로 관리되어야 한다. 이를 구분하지 않으면, 법적 책임과 대응 명령 체계가 혼란에 빠진다.
넷째, 컨트롤타워의 명확화와 통합전략이 필요하다. 지금 한국의 사이버 대응체계는 국정원, 경찰청, 과기정통부, 국방부가 각각 일부 기능을 수행하지만 통합지휘체계가 부재하다.
만약 사이버 위협을 명확히 두 가지로 나눈다면, 사이버 범죄 영역은 경찰청·과기정통부 중심의 수사·복구 체계로, 사이버 전쟁 영역은 국정원·국방부 중심의 국가안보 전략체계로, 이원화하되 상호연계하는 구조로 재편할 수 있다. 이는 단순한 행정 분류가 아니라, 위기 대응 속도와 법적 권한을 확보하기 위한 국가보안 거버넌스의 핵심 설계 원칙이다.
"사이버 위협은 하나지만, 그 본질은 둘이다." 단국대 융합보안학과,덕성여대 사이버보안학과,폴리텍대학교 클라우드컴퓨팅학과 등 필자가 이와 같은 강의를 하고 있으나 학과의 커리큘럼을 벽에 붙여놓고 살펴보면 사이버 보안에 있어 사이버 범죄와 사이버 전쟁을 구별하여 인식하는 교육과정은 아닌 것으로 보인다.
2010년 6월, 전 세계를 충격에 빠뜨린 '스턱스넷' 바이러스 사건은 단순한 해킹이 아니라 사이버전쟁의 서막이었다. 이 악성코드는 이란 나탄즈 핵시설의 원심분리기를 교묘하게 조작하여 물리적 파괴를 일으켰다. 스턱스넷은 단 한 줄의 코드로 산업제어시스템을 정지시킬 수 있다는 것을 보여주었고, 디지털 공격이 곧 국가 기반시설을 마비시키는 실질적 무기임을 입증했다. 이후 전력망, 수자원, 교통체계, 방위산업체 등 국가 핵심 인프라는 더 이상 해커의 단순한 표적이 아니다.
그것은 적대국이나 테러조직이 국가 기능을 마비시키기 위한 전략적 표적이다. 2022년 우크라이나 전쟁에서도 러시아는 미사일보다 먼저 사이버공격으로 통신·전력 시스템을 무력화시켰다. 이는 전통적 군사전보다 먼저 발동되는 '무혈 전쟁'의 대표 사례로 평가된다. 우리 역시 발전소, 철도, 공항, 금융시스템, 병원 등 주요 기반시설의 디지털 의존도가 급격히 높아진 상황에서, 단 하나의 악성 코드가 사회 전체의 기능을 정지시킬 수 있는 시대에 살고 있고 이 위협으로 우리는 최근 아직 모두 복구되지는 못했다.
사이버위협은 단순한 기술 문제가 아니라, 국가안보·국민안전의 근간을 흔드는 전략적 위기 요인이아닐 수 없다. 그럼에도 불구하고 이후 논의되는 사이버 대응체계는 여전히 부처 간 분절적 대응, 사건 후 수습 중심의 구조를 벗어나지 못하고 있다. 국정원, 경찰청, 국방부, 과기정통부 등 여러 기관이 관여하지만, 명확한 지휘·조정 권한이 불분명하다.
스턱스넷 이후 세계 각국은 국가 단위의 사이버전 통합지휘체계를 구축했다. 미국은 국방부 산하 사이버사령부를 독립 사령부로 승격시키고, 국가안보국과 연계해 사이버작전·정보수집을 통합했다. 일본 또한 2023년 신설된 사이버방위사령부를 통해 자위대·경찰·내각사무국의 역할을 일원화했다.
우리나라 역시 사이버안보를 '기술정책'이 아닌 '국가전략'의 관점에서 재편해야 한다. 대통령 직속의 국가사이버안보위원회(가칭)를 두고, 국정원을 중심으로 경찰청·국방부·과기정통부가 참여하는 통합 컨트롤타워를 구축해야 한다. 위기 발생 시 즉각적인 상황판단과 대응명령이 가능하도록 법적 근거를 정비하고, 민·관·군·정보기관 간 실시간 정보공유 체계를 마련할 필요가 있다.
21세기 국가안보는 '총과 탱크'가 아니라 데이터와 코드가 지배한다. 국가보안전략의 핵심은 예방 중심의 정보공유 체계로서 정부·기업·학계가 위협 정보를 실시간으로 교환할 수 있도록 법적 안전장치를 마련하고 공격과 방어 통합형 전략체계, 즉 단순 방어가 아니라, 공격을 억제할 수 있는 능동적 대응 역량 확보가 필요하다.
사이버전 대비 훈련 및 인재 양성, 즉 실전 수준의 사이버위기 모의훈련과 전문인력의 전략적 육성이 필요하다. 사이버안보는 곧 국가의 존속 문제와 결부되어 있다. 스턱스넷은 단순한 과거의 사건이 아니라, 지금 우리에게 던지는 경고다. 사이버공격은 국경을 초월하며, 일상의 전기를 끊고, 공항의 항로를 마비시키며, 병원의 인명을 위협한다.
이는 곧 국가 존속의 문제이자 주권의 문제다. 이제 우리는 "사이버보안은 기술이 아니라 안보"라는 인식 아래, 국가 전체가 하나의 몸처럼 대응하는 통합적 국가보안전략 체계를 마련해야 한다. 스턱스넷이 남긴 교훈은 단 하나, "안보의 미래는 코드 속에 있다"는 것이다. 이제 우리는 범죄와 전쟁을 구분하는 법제 위에 서야만 스턱스넷 이후의 시대에 맞는 진정한 국가보안전략을 세울 수 있다.
※ 박정인 교수(법학박사)는 대통령 국가지식재산위원회 본위원회 위원, 문체부 저작권보호심의위원회 심의위원, 문체부 여론집중도조사위원회 상임위원, 인터넷주소분과위원회, 웹콘텐츠 활성화위원회 자문위원, 강동구 공직자윤리위원회 심의위원, 경찰청 사이버범죄 강사 등 여러 국가 위원을 역임했다. 특허법, 저작권법, 산업보안법, 과학기술법 등 지식재산과 산업 보안, 방위기술 전략 등의 이슈를 다뤄왔으며 스포츠 엔터테인먼트법을 전문 연구하는 한국스포츠엔터테인먼트법학회 연구이사로 활동하고 있다.
