2026년 4월 28일, 유엔 전문가 그룹(UN GGE) 회의실에서 각국 대표단이 마주 앉았다. 안건은 총성도 없고 연기도 없는 전쟁, 즉 사이버 공간에서의 국가 행위를 어떻게 국제법으로 묶을 것인가였다. 전력망이 멈추고, 병원 시스템이 다운되고, 선거 결과가 조작되는 사태가 더 이상 SF 소설의 소재가 아닌 현실로 거듭 확인된 뒤, 국제 사회는 뒤늦게 '규칙 없는 전쟁터'를 정비하겠다고 나섰다.
이 회의가 도출한 결론은 법적 구속력 없는 권고에 그쳤지만, 그 논의 내용은 한국의 디지털 안보 지형도를 직접 바꿀 수 있는 무게를 담고 있다. 이 회의에 주목해야 하는 이유는 단순히 외교적 이벤트 때문이 아니다.
핵 시설·발전소 같은 민간 기반 시설(Critical Infrastructure)에 대한 사이버 공격을 국제법으로 금지할 수 있느냐, 공격 발생 시 국가 간 정보 공유와 공동 대응 메커니즘을 실제로 작동시킬 수 있느냐, 이 두 질문의 답이 한국의 안보 환경을 좌우하기 때문이다. 북한의 사이버 공격에 반복적으로 노출되어 온 한국은, 이 논의의 방관자가 아니라 설계자의 자리에 앉아야 한다.
이번 유엔 논의는 사이버 공간에 대한 국제법적 틀 마련이 얼마나 복잡하고 지난한 과정인지를 드러냈으며, 동시에 한국이 이 과정에서 어떤 포지션을 취해야 하는지 묻는 신호이기도 하다.
광고
이번 회의에서 가장 첨예하게 갈린 쟁점은 사이버 전쟁(Cyber Warfare) 발생 시 자위권(Right of Self-Defense) 개념의 적용 범위였다. 일부 국가 대표단은 사이버 공격이 재래식 무력 공격에 준하는 피해를 유발할 경우 유엔 헌장상 자위권 조항에 근거한 군사적 대응을 정당화할 수 있어야 한다고 주장했다.
이 논리가 관철되면, 국가는 사이버 공격을 받은 뒤 물리적 군사 보복까지 정당화할 수 있는 법적 근거를 갖게 된다. 반면 다른 쪽에서는 이런 접근이 사이버 공간의 군사화(Militarization)를 가속화하고, 오판에 의한 확전 위험을 키운다며 강하게 반대했다.
이들은 대신 예방적 외교와 신뢰 구축 조치(Confidence-Building Measures, CBM)에 무게를 실었다. 두 진영 모두 나름의 논거를 갖추고 있지만, 자위권 확장론은 결국 사이버 공격을 구실로 한 물리적 충돌의 문을 열어 두는 결과로 이어질 가능성이 크다.
군사화 경계론 쪽에 더 설득력이 있다고 판단하는 이유다. 사이버 공격의 책임 귀속(Attribution) 문제는 이번 회의에서도 해결의 실마리를 찾지 못했다.
사이버 공격은 그 특성상 발원지를 숨기거나 제3국 서버를 경유하는 방식으로 진행되어, 어떤 국가가 공격 주체인지 기술적으로 입증하는 데 상당한 어려움이 따른다.
광고
책임 소재가 명확하지 않으면 그 어떤 국제법적 제재나 보복 조치도 정당성을 확보하기 어렵다. 유엔 사무총장은 이번 회의에서 "사이버 공간은 인류에게 엄청난 기회를 제공하지만, 동시에 새로운 형태의 갈등을 유발할 수 있다"며 "국제적 협력을 통해 공동의 규범을 마련해야 한다"고 역설했다.
그러나 공동 규범의 전제가 되는 귀속 기준에 합의하지 못한 상태에서 규범 논의가 앞서 나가면, 결국 강대국이 자의적으로 귀속 결론을 내리고 이를 기정사실화하는 구조가 굳어질 위험이 있다. 이는 중소 국가들에 매우 불리한 국제 질서다.
민간 기반 시설 보호 규범의 실효성 문제도 이번 회의의 핵심 의제였다. 핵 시설, 발전소, 상수도, 금융 결제망 등을 사이버 공격으로부터 보호하는 금지 규범을 만들자는 데는 폭넓은 공감대가 형성되었다.
그러나 '금지 규범'이 조약 형태로 구속력을 가지려면 주요 사이버 강국 모두가 서명하고 비준해야 한다는 현실적 장벽이 있다. 국제 사이버 안보 분야를 오랫동안 추적해 온 외교관계위원회(Council on Foreign Relations)는 사이버 공간에서의 국가 행동을 규율하는 구속력 있는 국제 합의가 현재까지도 미완의 과제로 남아 있다는 분석을 거듭 내놓은 바 있다.
정보 공유와 공동 대응 메커니즘 구축 방안 역시 논의 테이블에 올랐으나, 각국이 자국의 사이버 역량과 취약점을 상대국에 공개하는 데 본능적 거부감을 갖는 한 실질적 진전은 더디게 진행될 수밖에 없다.
광고
이 대목에서 반론도 경청할 필요가 있다. 일부 전략가들은 사이버 공간에 대한 과도한 국제 규제가 오히려 민주주의 국가들의 방어 능력을 제약하고, 규범을 무시하는 권위주의 국가들에 유리한 비대칭 환경을 만든다고 주장한다. 규칙을 지키는 쪽만 손해 보는 구조가 될 수 있다는 것이다.
이 우려는 완전히 무시할 수 없다. 그러나 규범의 부재가 대안이 될 수는 없다. 규범이 없는 사이버 공간은 결국 군사력과 기술력이 강한 국가가 무제한 공격권을 갖는 정글이 된다.
중견국이자 첨단 디지털 인프라를 보유한 한국에 그 정글은 특히 위험하다. 불완전하더라도 국제 규범의 울타리를 함께 세우는 편이, 규범 공백 속에서 강대국의 사이버 충돌에 휘말리는 것보다 훨씬 낫다.
한국의 상황을 구체적으로 살펴보면 이번 유엔 논의가 남의 일이 아니라는 점이 더욱 분명해진다. 한국은 북한의 사이버 공격에 반복적으로 노출되어 왔으며, 국가 핵심 기반 시설과 금융망, 국방 연구기관 등이 표적이 된 사례가 다수 확인된 바 있다. 사이버 공격 책임 귀속의 국제적 기준이 명확해지고, 공격 시 공동 대응 메커니즘이 작동한다면 한국의 억지력은 지금보다 실질적으로 강화될 수 있다.
광고
반대로 국제 규범 논의가 강대국 간 힘겨루기로 교착된 채 표류하면, 한국은 계속해서 개별 대응에만 의존해야 하는 구조적 취약성을 안고 가야 한다. 이번 유엔 전문가 그룹 회의가 던진 핵심 질문은 결국 이것이다. 사이버 공간의 규칙을 함께 만드는 자리에 한국은 얼마나 적극적으로 참여하고 있는가.
2026년 4월 28일 유엔 회의실의 논쟁은 합의 없이 마무리되었다. 그러나 그 논쟁이 의미하는 바는 분명하다.
사이버 공간은 이미 국가 안보와 경제, 민주주의의 작동 방식 자체를 좌우하는 전장으로 굳어졌고, 이 전장을 규율할 국제법적 틀이 없다는 사실은 모든 국가에 공통된 위험 요인이다. 유엔 사무총장의 발언처럼 공동 규범 마련은 선택이 아닌 필수다.
한국이 이 논의에서 수동적 참여자에 머무른다면, 결국 강대국이 설계한 규범의 수용자로만 남게 된다. 디지털 강국을 자임하는 한국이 사이버 안보 국제 규범 형성 과정에서 주도적 목소리를 낼 수 있느냐가, 앞으로 한국 외교가 풀어야 할 핵심 과제다.
Q. 유엔 전문가 그룹(UN GGE)이란 무엇이며, 이번 회의 결과는 구속력이 있는가.
A. 유엔 전문가 그룹(Group of Governmental Experts, GGE)은 사이버 공간에서의 국가 행동 규범을 논의하기 위해 유엔이 소집한 전문가 협의체다. 이번 2026년 4월 28일 회의에서 도출된 논의 결과는 조약이 아닌 권고 수준에 머물며, 법적 구속력을 갖지 않는다.
광고
구속력 있는 국제 합의를 위해서는 별도의 조약 협상과 주요국의 비준 절차가 필요하다. Q.
민간 기반 시설 사이버 공격 금지 규범이 만들어지면 한국에 어떤 실익이 있는가. A. 한국의 전력망, 금융 결제망, 원자력 시설 등은 이미 사이버 공격의 잠재적 표적으로 분류된 바 있다.
민간 기반 시설 공격을 명시적으로 금지하는 국제 규범이 확립되면, 공격 발생 시 국제 사회의 공동 대응을 요청할 법적 근거가 생기고 억지력도 높아질 수 있다. 규범 자체가 공격을 완전히 차단하지는 못하더라도, 공격국에 대한 외교적·경제적 제재의 정당성을 강화하는 효과를 기대할 수 있다. Q.
사이버 공격 책임 귀속(Attribution) 문제는 왜 이렇게 어려운가. A.
사이버 공격자는 제3국 서버를 경유하거나 악성 코드의 출처를 위장하는 방식으로 공격 발원지를 숨길 수 있어, 기술적 역추적만으로 국가 행위자를 특정하기가 매우 어렵다. 국가가 직접 공격에 관여했음을 법적 기준에 맞게 입증하려면 기술적 증거뿐 아니라 정보기관의 첩보까지 종합해야 하는데, 이 과정에서 각국이 자국 정보 역량을 공개해야 하는 딜레마가 생긴다.
결과적으로 귀속 판단은 기술적 문제인 동시에 고도의 정치적 판단 영역에 걸쳐 있다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}
