KCI등재
비국가 행위자의 사이버오퍼레이션에 대한 국가책임법상 귀속: 북한의 사례를 중심으로 = Attribution of Cyber Operations by Non-State Actors under the Law of State Responsibility: With a Focus on the Cases of North Korea
저자
발행기관
학술지명
권호사항
발행연도
2019
작성언어
-주제어
등재정보
KCI등재
자료형태
학술저널
수록면
1-38(38쪽)
KCI 피인용횟수
0
DOI식별코드
제공처
소장기관
사이버공간에서의 국제법의 적용 가능성은 2013년 ‘정보안보에 관한 UNGGE’가 국제법 및 UN헌장의 국가에 의한 정보통신기술(ICTs)의 이용, 즉 사이버공간의 이용에 대한 적용을 권고한 이후 UN 등 국제사회에서 인정되고 있다. 사이버공간의 초연결성과 익명성 등의 특성으로 사이버공간에서 또는 사이버공간을 통하여 악의적으로 활동하는 자를 찾아서 그 자의 행위를 국가에 귀속시키는 데 많은 어려움이 발생한다. 단순히 국가의 사이버기반시설로부터 사이버오퍼레이션이 개시되었다는 것을 근거로 해당 사이버오퍼레이션을 그 국가에 귀속시킬 수 없기 때문이다. 네트워크로 연결되어 있는 사이버 기반시설은 ‘비국가 행위자’(non-State actor)가 탈취하기 쉽고, 사이버오퍼레이션에 관여하는 자들은 실제 스푸핑의 일환으로 의도적으로 특정 국가가 해당 사이버오퍼레이션의 배후에 있는 것 같은 흔적을 남겨놓는다. 특히, 사이버오퍼레이션의 속도나 파급력을 고려했을 때 악의적 사이버오퍼레이션에 신속하게 대응할 필요가 있으나, 귀속의 문제로 인해 대응에 어려움이 발생한다.
마침 2014년 발생한 소니픽처스 해킹, 2016년 발생한 방글라데시 중앙은행 해킹 및 2017년 발생한 워너크라이 랜섬웨어 공격을 비롯한 미국을 대상으로 수행된 비국가 행위자의 악의적 사이버오퍼레이션에 대한 미국 연방수사국(FBI)의 2018년 공소 제기는 사이버오퍼레이션의 국가책임에 있어서 귀속(attribution)의 문제에 관하여 시사하는 바가 크다. 국가책임에 있어서 귀속에 관하여 FBI는 이미 2014년 12월 첫째, 소니픽처스 해킹에 이용된 맬웨어의 분석, 둘째, 소니픽처스 해킹에 이용된 기반시설과 이전에 북한과 직접적으로 관련되었던 악의적 사이버오퍼레이션 사이의 상당한 중복성, 셋째, 소니픽처스 해킹에 사용된 기법이 2013년 한국의 은행 및 방송사를 상대로 북한이 수행한 사이버오퍼레이션과 상당히 유사하다는 점 등을 근거로 북한이 소니픽처스 해킹에 책임이 있다고 발표하였다. 이러한 배경에서 2018년 6월 미국 FBI가 소니픽처스 해킹을 포함한 일련의 악의적 사이버오퍼레이션의 공모자들을 대상으로 제기한 공소장은 악의적 사이버오퍼레이션의 행위자를 찾아내어 특정 국가에 귀속시키는 단계 및 근거를 확인해보는데 중요한 사례가 된다. 요컨대, 조선엑스포는 소프트웨어 등을 제공하는 기업이지만, 북한 정부의 해킹조직인 110호 연구소와 연계된 보조 조직으로 북한 정부의 지시를 받는 실체로 확인되었다. 국가의 보조자(auxiliary)로 기능하는 비국가 행위자는 해당 국가의 지시에 따라 행동하는 것으로 볼 수 있다. 국가가 사실상 지시한 비국가 행위자의 행위는 해당 국가에 귀속되므로 소니픽처스 해킹은 북한에 귀속되는 것이다. 본 논문은 사이버오퍼레이션의 국제법상 국가 귀속의 문제를 다루고, 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹 및 2017년 워너크라이 랜섬웨어 공격의 북한에 대한 사실상의 귀속 문제를 검토하며, 비국가 행위자 행위를 국가에 귀속시키는 문제에 관하여 동 사례들이 시사하는 바를 검토한다.
A possibility of applying international law to cyberspace was agreed by the 3rd UNGGE in information security in 2013, and then it was continually endorsed internationally. Due to connectedness and anonymity in cyberspace, however, it would be difficult to find those having done malicious cyber operations and attribute those or their activities to a certain State. It would be difficult to attribute such cyber operations to a certain State from a mere fact that a certain cyber operation was launched from that State. In addition, non-State actors are likely to exploit cyber infrastructure connected through networks, and those involved in cyber operations may leave certain traces intentionally implying another State or entity is to be blamed for their own cyber operations. There is a good need to deal with those malicious cyber operations, given the speed and resulting effects of cyber operations, but attribution is still a difficult matter.
The US DoJ's complaint made in 2018 against malicious cyber operations directed at the US including Sony Pictures hacking is meaningful for understanding an issue of attributing cyber operation in State responsibility. In December 2014 the FBI already declared that North Korea was responsible for Sony Pictures hacking on the basis of the following reasoning: first, the analysis of the malware used in Sony Picture hacking; second, the overlapping between the infrastructure used for Sony Picture hacking and the previous malicious cyber operations directly related to North Korea; third, the method used in Sony Pictures hacking is very similar to those cyber operations done by North Korea towards those banks and broadcasting companies in the ROK. In this respect the complaint by the FBI against malicious cyber operations including Sony Pictures hacking in 2018 must be a good resource in ascertaining both finding those who did a series of malicious cyber operations and attributing those to a certain country, here North Korea. For example, Chosun Expo is a private company doing business like supplying software, but it was found to be affiliated to Lab 101 which is a hacking element of North Korean government. The action done by non-State actors, here Park and Chosun Expo, which were instructed by a State is to be attributed to the latter State, here North Korea. The attribution of cyber operations under international law, factual attribution of malicious cyber operations targeting the US including Sony Pictures hacking to North Korea, and any implications of those cyber operations for the matter of attribution of non-State actors are discussed accordingly.
분석정보
연월일 | 이력구분 | 이력상세 | 등재구분 |
---|---|---|---|
2026 | 평가예정 | 재인증평가 신청대상 (재인증) | |
2020-01-01 | 평가 | 등재학술지 유지 (재인증) | KCI등재 |
2017-01-01 | 평가 | 등재학술지 유지 (계속평가) | KCI등재 |
2013-01-01 | 평가 | 등재학술지 유지 (등재유지) | KCI등재 |
2010-06-25 | 학술지명변경 | 외국어명 : 미등록 -> Korea Law Review | KCI등재 |
2010-01-01 | 평가 | 등재학술지 선정 (등재후보2차) | KCI등재 |
2009-01-01 | 평가 | 등재후보 1차 PASS (등재후보1차) | KCI후보 |
2008-01-01 | 평가 | 등재후보 1차 FAIL (등재후보1차) | KCI후보 |
2006-01-01 | 평가 | 등재후보학술지 선정 (신규평가) | KCI후보 |
기준연도 | WOS-KCI 통합IF(2년) | KCIF(2년) | KCIF(3년) |
---|---|---|---|
2016 | 1.42 | 1.42 | 1.11 |
KCIF(4년) | KCIF(5년) | 중심성지수(3년) | 즉시성지수 |
1.14 | 1.05 | 1.166 | 0.89 |
서지정보 내보내기(Export)
닫기소장기관 정보
닫기권호소장정보
닫기오류접수
닫기오류 접수 확인
닫기음성서비스 신청
닫기음성서비스 신청 확인
닫기이용약관
닫기학술연구정보서비스 이용약관 (2017년 1월 1일 ~ 현재 적용)
학술연구정보서비스(이하 RISS)는 정보주체의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
주요 개인정보 처리 표시(라벨링)
목 차
3년
또는 회원탈퇴시까지5년
(「전자상거래 등에서의 소비자보호에 관한3년
(「전자상거래 등에서의 소비자보호에 관한2년
이상(개인정보보호위원회 : 개인정보의 안전성 확보조치 기준)개인정보파일의 명칭 | 운영근거 / 처리목적 | 개인정보파일에 기록되는 개인정보의 항목 | 보유기간 | |
---|---|---|---|---|
학술연구정보서비스 이용자 가입정보 파일 | 한국교육학술정보원법 | 필수 | ID, 비밀번호, 성명, 생년월일, 신분(직업구분), 이메일, 소속분야, 웹진메일 수신동의 여부 | 3년 또는 탈퇴시 |
선택 | 소속기관명, 소속도서관명, 학과/부서명, 학번/직원번호, 휴대전화, 주소 |
구분 | 담당자 | 연락처 |
---|---|---|
KERIS 개인정보 보호책임자 | 정보보호본부 김태우 | - 이메일 : lsy@keris.or.kr - 전화번호 : 053-714-0439 - 팩스번호 : 053-714-0195 |
KERIS 개인정보 보호담당자 | 개인정보보호부 이상엽 | |
RISS 개인정보 보호책임자 | 대학학술본부 장금연 | - 이메일 : giltizen@keris.or.kr - 전화번호 : 053-714-0149 - 팩스번호 : 053-714-0194 |
RISS 개인정보 보호담당자 | 학술진흥부 길원진 |
자동로그아웃 안내
닫기인증오류 안내
닫기귀하께서는 휴면계정 전환 후 1년동안 회원정보 수집 및 이용에 대한
재동의를 하지 않으신 관계로 개인정보가 삭제되었습니다.
(참조 : RISS 이용약관 및 개인정보처리방침)
신규회원으로 가입하여 이용 부탁 드리며, 추가 문의는 고객센터로 연락 바랍니다.
- 기존 아이디 재사용 불가
휴면계정 안내
RISS는 [표준개인정보 보호지침]에 따라 2년을 주기로 개인정보 수집·이용에 관하여 (재)동의를 받고 있으며, (재)동의를 하지 않을 경우, 휴면계정으로 전환됩니다.
(※ 휴면계정은 원문이용 및 복사/대출 서비스를 이용할 수 없습니다.)
휴면계정으로 전환된 후 1년간 회원정보 수집·이용에 대한 재동의를 하지 않을 경우, RISS에서 자동탈퇴 및 개인정보가 삭제처리 됩니다.
고객센터 1599-3122
ARS번호+1번(회원가입 및 정보수정)