경제제재는 사이버 공격을 억제할 수 있는가?-상징성의 한계를 넘는 전략적 접근

박재석(연세대학교 글로벌인재대학)

사이버 공격, 어떻게 대응할 것인가?

국가 주도의 사이버 공격이 빈발하는 오늘날, 각국은 이러한 행위에 어떻게 대응하고 억제할 것인가라는 도전에 직면해 있다. 전통적인 무력 대응에 비해 경제제재는 비교적 저비용이면서도 강력한 외교적 압박 수단으로 활용되고 있다. 사이버 공격 분야에서도 경제제재는 물리적 충돌 없이 가해국에 책임을 묻는 대체 수단으로 주목받고 있다. 하지만 사이버 공간의 구조적 특성과 제재수단의 한계로 인해, 이러한 대응이 실질적인 억제나 처벌로 이어질 수 있을지는 불확실하다.

경제제재의 상징성과 구조적 한계

경제제재는 정부가 무역, 금융, 외교 관계를 제한하거나 철회함으로써 피제재국의 정책 변화를 유도하는 대표적인 강압적 외교수단이다. 전쟁과 같은 물리적 충돌이나 인명 피해 없이도 압박 효과를 기대할 수 있다는 점에서, 사이버 공격 대응 수단으로서의 활용 가능성이 제기되어 왔다. 미국과 유럽연합(EU)은 국가 배후 사이버 공격에 관여한 개인이나 단체를 제재 리스트에 올려 자산 동결과 금융 거래 제한 등의 조치를 반복적으로 취해왔다. 대표적으로 미국은 2015년부터 북한 정찰총국 및 그 산하 해킹조직에 대해 본격적인 제재를 시행했으며, 2014년의 소니 해킹과 2017년의 워너크라이 랜섬웨어 공격에 대응하여 박진혁과 조선엑스포광역회사 등을 제재 대상으로 지목한 바 있다.
주목할 점은, 과거보다 사이버 공격의 배후를 식별하는 기술적 역량이 강화되었고, 이로 인해 공격 주체를 특정하는 데 걸리는 시간도 상대적으로 단축되었다는 것이다. 그러나 공격 주체를 밝힐 수 있게 되었다는 점이 곧 제재의 실효성으로 이어지는 것은 아니다. 미국이 주요 제재 수단으로 활용한 자산 동결과 입국 금지는 사이버 공격 가해국에게 실질적 타격을 주기 어려운 한계를 드러낸다. 해킹조직이나 소속 인물들이 미국 내에 실질적 자산을 보유하고 있지 않거나, 미국을 방문할 일이 거의 없다는 점에서 이러한 제재는 실제 행동 변화로 이어지기 어렵다. 결과적으로 이러한 조치는 실질적 행동 변화를 유도하기보다 정치적 상징성에 머무르는 경우가 많다. 나아가 사이버 공격은 익명성과 은밀성을 기반으로 한 비대칭적 수단이라는 점에서 대응이 어렵다. 공격자는 낮은 비용으로도 피해를 유발할 수 있으며, 발각 위험이 낮다는 인식을 바탕으로 공격 전략을 지속할 유인을 가진다. 이러한 구조적 제약 속에서 경제제재는 사이버 공격을 억제하거나 처벌하는 수단으로써 본질적인 한계를 내포하고 있다.

사이버 공격 억제를 위한 데이터 기반 정비와 전략적 대응

사이버 공격에 효과적으로 대응하기 위해서는 단순히 상징적인 제재 조치를 반복하는 것을 넘어서, 정보 기반의 정비와 전략적 억제 수단의 병행적 적용이 요구된다. 특히 경제제재의 실효성이 제한적인 상황에서, 대응 체계의 기초부터 전략적 선택지까지 재구성하는 접근이 필요하다.
우선적으로 요구되는 것은 사이버 공격에 대한 데이터 기반의 체계화이다. 사이버 공격의 배후를 보다 정확하게 특정하기 위해서는 기술적 역량의 고도화와 함께 과거 공격 사례에 대한 정밀한 분류 및 축적 작업이 병행되어야 한다. 특히 국가가 배후에 있는 사이버 공격은 일반적인 사이버 범죄와는 구분되는 정치, 안보적 성격을 지닌다. 따라서 공격의 유형, 사용된 수단, 주체의 성격, 공격 목적 등을 기준으로 한 전문적 데이터 구축은 필수적이며, 이는 향후 국제사회와의 공동 대응 체계 수립, 위협 분석, 정책 설계의 기초 자료로 활용될 수 있다.
또한, 경제제재 데이터에서 사이버 안보를 독립된 사안으로 취급하는 작업도 필요하다. 현재 TIES, EUSANCT, GIGA Sanctions, Global Sanctions Database 등 주요 제재 데이터는 사이버 공격 관련 사례를 대부분 기타(others)로 분류하거나 아예 별도 항목으로 다루고 있지 않다. 그러나 사이버 공격은 오늘날 무기 확산이나 군사 도발과 동등한 국제 안보 위협으로 간주되고 있다. 사이버 공격에 대한 대응으로 경제제재 사용 빈도수가 증가하고 있는 만큼, 향후에는 사이버 안보를 전통 안보 이슈와 대등한 주요 제재 사안으로 취급하고 관련 데이터를 축적하는 노력이 필요하다.
한편, 데이터 기반 정비를 토대로 실질적인 전략 대응 수단의 고도화가 뒤따라야 한다. 대표적인 전략 중 하나는 사이버 억제력 강화이며, 이는 응징적 억제(deterrence by punishment)와 거부적 억제(deterrence by denial)의 병행을 중심으로 구성되어야 한다. 응징적 억제는 사이버 공격 발생 시, 가해자에 대해 사이버 반격이나 추가 제재를 가함으로써 명확한 비용을 부과하고 향후 공격을 단념시키는 방식이다. 반면, 거부적 억제는 방어 능력과 회복 탄력성을 강화해 공격의 성공 가능성을 최소화하고 피해를 제한함으로써, 공격 자체를 무의미하게 만드는 접근이다. 이를 실현하기 위해서는 국가 차원의 사이버 방어 체계 정비, 핵심 인프라 보호 강화, 민간 부문과의 협력 제도화가 필수적이며, 명확한 레드라인 설정과 공개적 경고 체계를 통해 억제의 신뢰성을 확보할 필요가 있다.
마지막으로, 사이버 공격 대응은 이슈 연계 전략을 통해 보다 전략적인 외교 수단으로 활용될 수 있다. 사이버 안보 이슈를 무역, 외교, 군비 통제 등의 주요 현안과 연계하여 협상의 지렛대로 삼는 방식은, 행동 변화를 유도하고 정책적 목표 달성에 실질적으로 기여할 수 있다. 대표적으로 2015년 미·중 정상회담을 앞두고 미국이 중국 국적 해커들을 기소하고 제재를 단행하자, 중국은 고위급 협상단을 파견해 양국 간 사이버 범죄 대응 협의를 이끌어낸 사례가 있다. 이는 사이버 안보가 다른 외교 이슈와 상호 연계 가능한 전략적 변수임을 보여준다. 하지만 이러한 연계 전략은 협상 결렬이나 갈등 격화 등의 부작용을 수반할 가능성도 있으므로, 사안별로 우선순위를 명확히 하고 전략적 조율을 통해 신중히 운용해야 한다.

마치며

경제제재는 사이버 공격 대응 수단으로 활용되고 있으나, 익명성과 비대칭성이 강한 사이버 공간에서는 실효성에 한계가 있다. 특히 해킹 주체에 대한 실질적 타격이 어려워 정치적 상징성에 그치는 경우가 많다. 따라서 단일 제재 수단에 의존하기보다, 정교한 정보 기반 구축과 함께 응징·방어를 아우르는 억제 전략, 외교·경제 현안과의 연계, 민관 협력 기반의 방어 체계 등을 종합적으로 추진할 필요가 있다.

디지털사회(Digital Society)는 연세대학교 디지털사회과학센터(Center for Digital Social Science)에서 발행하는 이슈브리프입니다. 디지털사회의 내용은 저자 개인의 견해이며, 디지털사회과학센터의 공식입장이 아님을 밝힙니다.