지난 10월 15일 국민 대다수가 사용하는 메신저 카카오의 데이터 센터의 화재로 본인 인증, 은행결제, 택시 호출 등 카카오를 기반으로 하는 각종 서비스의 작동이 10시간 넘게 멈추면서 초연결 국가로 상징되는 한국 사회가 ‘초 먹통 사회’로 전락했다. 정부까지 코로나 백신 접종 안내 등을 카카오에 의존하고 있음에 비추어 볼 때 이는 단순한 기업 차원의 문제가 아니라 국가안보와 직결된 사안이다. 특히, 데이터 통신 인프라 훼손과 네트워크망 교란으로 국가 시스템이 타격을 받은 것은 사이버전(cyber warfare)에 비견되면서 사이버 안보의 중요성에 대한 재인식이 요구되고 있다.
사이버전은 사이버 공간에서 국가나 비국가 행위자들이 컴퓨터 바이러스나 디도스 공격 등을 통해 목표 대상 국가의 컴퓨터 네트워크나 정보 네트워크에 위해를 가해 해당 국가를 약화 내지 분열, 또는 파괴하는 것을 의미한다. 또한, 디도스 공격, 랜섬웨어, 허위조작정보 유포 등으로 양태가 진화하면서 사이버 안보의 개념과 대상도 변화하고 있다. 2021년 한국원자력연구소에 대한 해킹, 솔라윈즈 사태에서 보듯이, 사이버전은 금융망, 대중교통수단, 에너지 시설 등 상대국의 핵심 인프라를 교란하거나 파괴하는 데 중점을 두고 있다
사이버 안보는 사이버 공간의 안보다. 사이버 공간에 대해 국제적으로 합의된 정의는 없지만 일반적으로 컴퓨터와 인터넷의 네트워크로 형성된 가상공간으로서 익명성과 초국경성 특징을 지니고 있다. 요컨대, 물리적 제약과 관계없이 네트워크상에서 정보의 변경, 저장, 교류가 일어나는 가상 환경이다. 그러나, 가상이라는 추상적 의미를 지닌 사이버 공간은 현실 공간과 별도로 존재하는 것이 아니다. 단말기 등 사이버 인프라와 현실 세계가 유기적으로 연결되면서 사이버 공간과 현실 공간의 경계선이 허물어지고 있다. 이런 맥락에서, 사이버 안보의 필수적 인프라인 정보통신시설에 대한 물리적 공격은 사이버 공간에 대한 직접적 침해를 의미한다. 즉, 컴퓨터 네트워크 간의 데이터 패킷을 전송하는 네트워크 장치인 라우터뿐만 아니라 이의 작동을 가능하게 하는 전력시설 등도 사이버 안보의 대상이 된다. 따라서 사이버 안보는 국가 차원의 사이버 공간에 대한 직접적 또는 간접적 위협과 공격으로부터 국가 사이버 공간의 안전을 위한 정보통신망보호, 정보보호 등을 포함한 포괄적 조치를 의미한다.
21세기 들어 정보통신 기술의 급격한 발전과 더불어 사이버 공간에서 해킹 등 다양한 사이버 위협과 공격이 증대하면서 국제사회는 사이버 안보를 국가안보의 중요한 요소로 인식하고 이에 대한 대응 방안을 논의해 왔다. 특히, 사이버 위협과 공격을 국내법과 규제로 대응하는 것은 매우 어렵고 제한적이기 때문에 이를 규율할 수 있는 국제규범의 필요성이 제기되어 왔다. 사이버 안보의 국제규범 논의에서 핵심 이슈는 사이버 공간에서의 국가주권 인정여부와 사이버 공격을 규율하는 법체계의 필요성 유무이며, 이를 두고 미국과 서구 중심 진영과 중국과 러시아 중심 진영이 대립하고 있다. 미국과 서구는 사이버 공간에서의 위협이나 공격 등 국가 간 갈등을 전쟁법 등 기존 법을 적용할 것을 주장하고 사이버 공간에서 자유로운 의사 표현과 활동을 보장하는 인터넷자유(Freedom on the Net)를 강조하는 반면, 중국과 러시아는 사이버 공간의 특성을 근거로 별도의 새로운 법체계 제정과 사이버 공간의 국가주권 인정을 주장하고 있다(2018년 65개 조사 대상국 중 인터넷자유 지수 순위별 상위 10개국은 서구와 미국, 일본이 차지한 반면, 러시아 53위, 중국 65위를 기록함. 한국 22위).
사이버안보에 관한 국제규범은 다양한 차원에서 논의되어 왔다. 유럽평의회(Council of Europe)의 ‘부다페스트 사이버범죄협약’, NATO의 ‘탈린 매뉴얼’, 다양한 이해관계자가 참여하는 사이버스페이스 총회(2013년 3차 서울 개최), 서구 입장에 대응을 위한 상하이협력기구(SCO)의 ‘국제정보안보협약’, UN의 ‘국제안보관점에서 정보통신기술 발전에 관한 정부 전문가그룹(UN GGE)’이 대표적 사례다. 이중 UN GGE가 사이버안보 국제논의의 구심적 역할을 하고 있다.
1998년 유엔총회에서 러시아 주도로 의제로 채택된 GGE(2004년 구성)는 사이버 안보관련 국가간 사이버위협, 국제법 및 규범 제정, 신뢰 구축과 역량 강화 등을 논의하는 유엔 차원의 실질적 사이버 안보 협의체다. 그러나, 사이버 위협, 국제법 적용 등 분야에서 진영간 지속적 대립, 전세계 인구중 인터넷 사용자의 급증 (당시 2%에서 현재 60%를 상회), 대표성 문제(20개국 정도 참여) 등으로 GGE의 실효성에 의문이 제기되어 왔다. 이에 따라, 2018년 미국과 러시아의 주도로 채택된 유엔 총회 결의안에서 유엔 회원국 전체가 참여하는 정보안보 개방형 작업반(OEWG)이 신설되었다. 결과적으로, 유엔 차원에서 2개의 협의체가 병행하여 사이버 안보를 논의하고 있다.
그러나, OEWG에서도 진영간 뚜렷한 대립양상을 보이고 있다. 즉, 서구와 미국은 새로운 규범 논의보다는 기존 GGE서 합의된 사항에 기초하여 공동의 이해증진과 효율적 이행 방안 논의에 초점을 둔 반면, 중국과 러시아는 새로운 프레임의 국제법 개발을 주장하고 있다. 다른 한편으로, 미국과 서구는 중국과 러시아를 견제하기 위해 별도의 협의체 ‘사이버공간에서 책임 있는 국가행동계획(PoA)’을 통해 대응하고 있다.
한국은 2020년 UN 전자정부평가에서 전자정부 발전지수 2위, 온라인 참여 지수 공동 1위, 초고속통신망(5G), 스마트폰 보급률 등 정보통신 분야에서 세계 최고의 수준을 보여주고 있다. 이를 바탕으로 전반적으로 정보화가 확산되면서 개인, 기업, 정부의 활동 기반이 사이버 공간으로 확대되었다. 그러나 이러한 정보화 확산과 사이버 공간의 확대는 역설적으로 외부의 공격에 쉽게 노출될 수 있음을 의미한다. 한국에 대한 이메일, 클라우드, 사물인터넷 등을 통한 사이버 공격이 급속도로 증가하면서 피해 규모도 매년 늘어나는 사실이 이를 방증한다. 특히, 분단이라는 특수한 안보 상황에서 사이버 공격 능력이 매우 높은 수준으로 평가받는 북한과 최고 수준의 중국의 위협에 노출되면서 한국의 사이버 안보는 취약한 환경에 놓여 있다.
정보통신기술의 발달로 초연결, 초고속 사회로 진입하고 양 진영 간 대립을 고려할 때, 사이버 안보 전략은 원칙론적 규범보다는 현실주의적 접근이 요구된다. 그런 맥락에서 러시아의 우크라이나 침공에서 나타난 사이버전의 총체적 실상을 주의 깊게 살펴볼 필요가 있다.
러시아는 지난 2월 24일 우크라이나 침공에 앞서 몇 달 전부터 우크라이나의 외교부, 에너지부, 재무부 등 정부 부처의 70여개에 달하는 홈페이지를 해킹하고 마비시켰다. 또한, 우크라이나 정부 웹사이트를 멀웨어(malware)로 공격하고, 국방부, 문화정보부의 웹사이트와 프리밧은행(Privatbank) 등 금융업계의 전산 시스템에 디도스 공격했다. 아울러, 침공 직전 우크라이나 정부 시스템을 교란시키고 데이터를 삭제할 목적으로 대규모 와이퍼 공격을 단행했다. 특히, 미국 위성회사 비아셋(Viaset)에 대한 멀웨어 공격했다. 이로 인해 우크라이나와 동유럽 국가들이 정전을 겪었고, 비아셋의 수만개 터미널이 훼손되었다. 비아셋 공격은 우크라이나가 비아셋 통신 서비스를 통해 자국군을 지휘 통제하고 있었기 때문이다. 나아가, 러시아는 침공 직후 드니프로시 정부기관을 사이버 공격과 동시에 정부 건물을 폭파하는 등 사이버 공격과 군사공격을 동시에 단행했다.
러시아의 사이버 공격에 대해, 우크라이나는 미국과 서구에 지원을 요청하고 미국과 서구는 정부 차원뿐만 아니라 민간 차원에서도 화답했다. 미국은 지난 6월 제14차 사이콘(CyCon: International Conference on Cyber Conflict)에서 밝혔듯이 우크라이나를 도와 사이버 공격과 사이버 방어 및 정보작전을 수행했다. 러시아의 공격으로 인터넷 인프라가 훼손되면서 일론 머스크는 스타링크(Starlink) 위성 인터넷 서비스 제공하고, 마이크로소프트사는 우크라이나의 미디어와 커뮤니케이션 기관의 웹사이트를 복구시키고 반격 조치를 위해 지원했다. 구글은 우크라이나 현지 도로 상황을 실시간 알려주는 구글맵 기능을 차단하여 러시아의 사이버 공간을 이용한 정보활동을 방해했다. 우크라이나를 지원하는 해커들은 러시아에 민감한 정보를 유출시키고 러시아 네트워크와 시스템에 와이퍼 공격했다. 초국가적 핵티비즘(hacktivism)을 표방하는 어나니머스(anonymous)는 러시아에 사이버전을 선포하고 사이버 공격과 함께 러시아의 CCTV를 러시아 대중에게 반전 메시지를 송출하는 등 사이버 심리전을 감행했다.
위와 같은 러시아-우크라이나 간 사이버 실전은 우리나라의 사이버 안보전략 모색에 몇가지 중요한 시사점을 주고 있다.
첫째, 사이버 안보 거버넌스 체제 확립이다. 러-우 사이버전에서 보듯이 정부 부처 간 공조는 물론이고 민간 기업 등 다양한 이해당사자(multistakeholder)를 포함하는 네트워크 결성이 필요하다. 아울러, 법제도 정비뿐만 아니라 필요 부서를 신설할 필요가 있다. 현재 추진 중인 외교부 내 사이버 관련국 신설은 절실하다. 미국은 러-우 사이버전의 심각성을 인식하고 지난 4월 국무부에 ‘사이버공간디지털정책국(CDP)’을 출범시켰다.
둘째, 유사한 가치체계 국가들과 공조 강화다. 사이버 안보는 경제안보 등과 달리 가치체계가 다른 국가와 연대할 경우 심각한 국가 위기를 초래할 수 있다. 따라서 사이버 국제규범 논의에서 미국과 서구 진영에서 접근하되, 우리의 입장이 최대한 반영되도록 전략을 구상할 필요가 있다. 지난 5월 한국과 미국은 인공지능 등 신기술 협력을 위한 한-미 사이버 정책협의회 가동과 디지털 권위주의에 대항하여 개방적이고 안전한 인터넷 공간 조성에 합의한 것은 같은 맥락이다.
셋째, 사이버 안보 역량확충이다. 러-우 사이버전에서 민간 IT기업들이 상당한 전과를 이루었고, 사이버 기술은 주로 기업의 창의성에서 나온다. 따라서 정부와 민간 기업 간 원활하고 빈번한 정보교류, 기업의 기술혁신을 위한 법과 제도 마련, 창업을 위한 재정적 지원 등은 필수적이다. 미국이 거대 IT 기업의 독점에 대해 제재하면서도 금융지원 등 기업활동을 지원하는 이유다.
넷째, 공공외교에 대한 올바른 이해와 역지사지적 접근이다. 공공외교의 근간은 쌍방 의사소통, 신뢰 그리고 지속성이다. 어나니머스 등 민간 차원의 러시아 공격은 갑자기 충동적으로 이루어진 것이 아니다. 9.11 테러는 미국의 자신감을 앞세운 오만한 일방적 홍보의 결과였다. 흔히 우리는 공공외교의 주요 방편으로 한류를 예로 든다. 그러나 한류가 신뢰받고 지속하려면, 한류의 침범을 우려하는 방글라데시 지식인들과 소통하고, 한류 수익금의 일부를 국제사회에 환원을 거론한 인도네시아 자카르타포스트 논평에 귀를 기울여야 한다.
사이버 공격은 비대칭적(asymmetric)이다. 공격은 적은 자원과 제한된 기술로 가능하지만 이를 방어하기 위해서는 엄청난 자원과 고도의 기술을 요하고 그 여파는 막중하다. 4차 산업혁명과 더불어 초연결 사회로 변모하면서 사이버 안보는 다른 모든 안보에 우선한다. 사이버 공간을 국가운영의 최우선 핵심기반으로 인식하고 사이버 공간에 대한 공격을 국가안보 차원에서 대응해야 한다.
*필자의 개인의견이며, 본 지 편집방향과 일치하지 않을 수 있습니다.
* 조원호 대사는 OECD파견(무역위, 경쟁위), 주OECD대표부 참사관(개발원조위, 환경위), 주뉴욕총영사관 경제담당 영사, 주가봉 대사, KOICA 이사, 한국외국어대학교 국제지역대학원 석좌교수 등을 역임했다.
