사이버 전략, 정책 및 실무

사이버 전략, 정책 및 실무

컴퓨터 네트워크 시대에 정부는 사이버 공간의 진화에 발맞춰 강력한 방어 계획을 유지해야 한다

포럼 스태프

소소위 스마트 기기들이 데이터를 수집하고 교환하는 사물 인터넷 그리고 각종 첨단 기술이 빠르게 발전하고 확산되면서, 정책 결정자와 디지털 보안 전문가들은 변화하는 환경에 불가피하게 적응할 수 밖에 없다. 즉 잠재적인 적을 억제하고 중요 인프라를 보호하며 새로운 위협이 발생할 때 전술을 조정할 수 있도록 유연한 사이버 전략을 구사해야 한다.

2016년 10월 사이버 영역에 관한 동남아시아 국가연합 (ASEAN) 장관급 콘퍼런스에서 싱가포르의 사이버 보안을담당하는 야콥 이브라힘 통신 및 정보부 장관은 “사이버 공간을 지키기 위해서는 사이버 환경 전반에 대한 상황 인식을 강화해야 한다”며 “취약한 부분과 의심스런 사이버 활동이 발생할 수 있는 곳을 알면 예방 및 개선 노력을 효과적으로 집중시킬 수 있는 만큼, 이는 종합 사이버 보안을 향상시키는 핵심”이라고 말했다.

브루나이, 버마, 캄보디아, 인도네시아, 라오스, 말레이시아, 필리핀, 싱가포르, 태국, 베트남의 10개 회원국으로 이루어진 ASEAN은 2017년 4월 ASEAN 사이버 역량 프로그램 (ACCP) 을 출범하고 종합적 전략을 마련하기 위해 힘쓰고 있다. ACCP의 주 목적에는 사이버 규범에 대한 인식 고취 및 지역 내 심도 깊은 논의 강화, 효율성 진단 메트릭 개발을 통한 역량 구축 및 사고 대응 분야의 지역 협력 강화, 전략 수립 및 사이버 입법 분야의 지역 역량 구축, 사물 인터넷 사이버 보안 표준 개발을 위한 글로벌 노력에 기여하는 일 등이 포함된다.

베이징 인터넷 카페에서 한 남성이 컴퓨터를 사용 중이다. [AFP/GETTY IMAGES]

이브라힘 장관은 “오늘날 국가들은 사이버 공간에서 이루어지는 범죄, 공격, 간첩 활동, 기타 악성 활동 등 전면적인 사이버 위협에 직면해있다”며 “ASEAN도 예외는 아니다. 동남아시아 정부들은 지역 내 다른 조직보다 사이버 공격을 당할 가능성이 높으며 첨단 기술로 무장한 끈질긴 위협이야말로 여전히 가장 큰 위협”이라고 말했다.

사이버 공격은 금융기관 공격, 데이터 절도, 명예 훼손, 중요 정보 인프라 장애까지 다양하며 이 모든 것이 경제와 사회에 피해를 줄 수 있다.

이러한 위험에 따라 ASEAN은 ACCP를 설립했다. ACCP의 목표는 경제 발전과 생활 수준 향상을 가능케 하는 안전하고 강력한 사이버 공간을 구축하는 데 있다.

어떤 기준으로 평가하더라도 이는 간단한 과제가 아니다. 예를 들어 맬웨어는 평범한 비즈니스로 위장한 채 접근한다. 사이버 위협을 가하는 집단들은 경쟁과 혁신을 통해 진화하고 있으며 여기서 성공하는 조직들은 더욱 성장 및 확산하고 있다.

국제적 프로그램

마이크로소프트 아시아 디지털 범죄 유닛의 케샤브 다카드 이사에 따르면 사이버 범죄로 인해 전 세계적으로 매년 약 미화 3조 달러의 비용이 발생하고 있다. 다카드 이사에따르면 한 설문조사에서 인터뷰 대상 기업 중 71%가 2015년 중 사이버 공격으로 피해를 입었다고 답했다. 사용자의 규모가 엄청나기 때문에 피해자 발생 가능성은 계속 커질 전망이다.

마이크로소프트 사이버 2025 모델에 따르면 인도 태평양 지역의 경우 2025년까지 인터넷 사용자가 약 47억 명에 도달하고 이 중 거의 절반은 2012년부터 2025년 사이 추가되는 신규 사용자가 될 것으로 보인다.

다카드 이사는 “사이버 보안은 단편적으로진행해서는 안 되며 조직마다 전방위적 보안 프레임워크를 갖춰야 한다”며 “신원, 데이터, 앱, 기기, 인프라를 보호하기 위한 사이버 보안 실무를 정기적으로 진단 및 검토하고 이와 연계하여 종합적인 보호, 감지, 대응 태세를 수립하면서 그에 상응하는 투자와 자원을 확보해야 한다”고 말했다.

현재 사이버 작전을 직접 다루는 조약은 거의 없으며 있다 하더라도 그 범위는 제한적이다.

이처럼 사이버 전문 국제법이 부족하다고 해서 사이버 작전이 규칙도 규정도 무시하며 진행된다는 의미는 아니다. 사이버 공간이 진화하면서 사이버 전문가들은 종종 회동하여 조약을 개정하고 새로운 지침을 제안하고 있으며 정부 및 전문가들이 협력하고 상거래 규모를 확대할 수 있는 포럼을 계속 마련하고 있다.

ASEAN 사이버 프로그램 문서는 “안전하고 강력한 사이버 공간이 있어야 경제가 발전하고 생활 수준이 개선될 수 있다”며 “국가는 강력한 신뢰 구축 조치로 뒷받침되는명확하고 실질적인 자발적 행동규범을 준수함으로써 사이버 공간의 안보와 복원력에 기여할수 있다”고 밝히고 있다.

한편 사이버 공간의 공공 및 민간 주체들도 종종 함께 모여 지원 강화 및 신뢰 구축을 위해 노력하고 있다. 2017년 3월 워싱턴 DC의 전략 및 국제학 연구소 (CSIS) 에서도 그러한 모임이 열렸다. CSIS가 처음 개최하여 하루 동안 진행한 사이버 보안 정상회담에서 전문가와 정부 관계자들은 진화하는 국제 보안 환경을 진단하고 날로 증가하는 사이버 공간상 적대적행위에 대한 대응 방안을 제시했다.

베이징 인터넷 카페에서 한 남성이 컴퓨터를 사용 중이다.
AFP/GETTY IMAGES
도쿄 보안회사의 전자 게시판에 한 남성의 모습이 비치고 있다. 정부는 사이버 공격이 금융 시스템에 장애를 유발할 수 있다고 우려하고 있다. [AP 통신]

도널드 트럼프 미국 대통령의 국토 안보 및 테러 대응 보좌관인 토마스 보서트는 지난 10년 동안 미국이 습득한 사이버 관련 노하우를 상세히 소개하고 새로운 미국 정책에 대한 통찰력을 제공했다. 보서트 보좌관은 사이버 공간에서 활동할 때에는 기업이나 개인은 물론 국가도 규범을 인식해야 한다고 강조했다.

보서트 보좌관은 “규범이 중요하다. 사회 및 사회경제 조직에 중요한 혁신, 자유 무역, 공정 거래 등을 가능하게 하는 공개적이고 상호운영적인 열린 플랫폼에서 사람들이 어떻게 행동해야 하는지 국가의 요구 사항을 명시한 것”이라며 “먼저 다른 나라에게 우리가 기대하는 행동 방식을 솔직히 요구하고 우리도 동일하게 행동할 것을 약속해야 한다.

다른 나라들이 이러한 규범을 수락한 후 지키지 못한다면 우리는 준수를 요구하고 조치를 취할 책임이 있는 것”이라고 말했다.

미국 국방부 사이버 억제력 과학위원회 태스크포스의 2017년 2월 보고서에 따르면, 미국 주요 인프라에 대한 사이버 위협은인프라 내 취약성을 줄이기 위한 노력의 수준을 뛰어넘고 있다.

크레이그 필즈 국방과학위원회 (DSB) 위원장은 보고서에서“적어도 앞으로 10년간 미국은 가장 위협적인 적들이 가하는사이버 위협에 대응하기 위해 억제력 구축에 집중해야 한다”며 사이버 억제력을 위해 “더욱 주도적이고 체계적인 접근법”이 필요하다고 인정했다.

DSB 보고서는 무엇보다도 모든 사이버 공격을 억제할 수는 없음을 지적했다.

DSB 보고서는 “중요한 예로, 가혹한 처벌을 내세운다고 해서 미국과 동맹국에 해를 끼치기 위해 혈안이 되어 있는 테러 집단까지 억제할 수는 없다”며 “또 다른 예로, 미국이 다른 나라와 전면전을 펼칠 경우 미군에 대한 강력한 사이버 공격을 억제함에 있어 민간 부문에 부수적인 피해를 거의 입히지 않는 방식으로 억제할 수는 없을 것”이라고 밝혔다.

사이버전 경찰부대가 베트남 건국일을 맞아
행진하고 있다. 동남아시아 국가연합 회원국인 베트남은 사이버 보안을 위해 다른 회원국들과 협력하고 있다. 로이터

DSB 보고서는 사이버 억제력을, 적이 사이버 공격이나 고비용 사이버 침입을 하지 못하도록 거부 혹은 비용 부담을 통해 억제하는 것이라고 정의했다. 경우에 따라 미국은 억제 실무를 확대하여 동맹과 파트너까지 지키고 있다.

DSB 보고서는 “사이버 공간이 아직까지는 상대적으로 새로운 영역이기 때문에 사이버 억제 역시 상대적으로 새로운 노력이다. 현재까지 대부분의 영역에 대해 미국은 공격 발생 시 이에 대응하여 단계별로 사이버 억제 태세를 구축하고 있다”며 “미국이 북한의 소니 해킹, 중국의 IP 절도, 러시아의 미국 선거 개입에 대해 외교적 조치와 경제 제재로 대응했지만 그러한 대응이 미래의 사이버 공격과 고비용 사이버 침입을 효과적으로 억제할 수 있을지는 매우 불투명하다”고 지적했다.

방어적 실무

다카드 이사는 강력한 정보기술 (IT) 및 “인터넷 보안 유지” 프로세스가 강력한 사이버 안보 태세의 기반이라고 말한다. 그는 조직이 “가상 침해” 태세를 구축함으로써 능동적인 방어 전략과 투자를 실행하고 취약점을 찾아내 반동 상황을 예방해야 한다고 조언했다.

ASEAN 지도자들은 사이버 영역이 확대됨에 따라 디지털분쟁을 피하기 위해서는 대화가 필요하다는 데 동의했다.

2016년 10월 ASEAN 사이버 콘퍼런스 중 이브라힘 장관은 “ASEAN이 사이버 규범에 대해 논의해야 할 시기가 왔다. 국제연합 정부전문가그룹과 같은 플랫폼에 의해 지난 10년 사이 사이버 규범에 대한 글로벌 논의가 촉진됐다”며 “이 같은 글로벌 대화에 관심을 가지는 동시에, 우리는 우리의 규범 및 조치가 ASEAN 고유의 맥락과 문화에 적합하도록 해야 한다. 우리는 이러한 ASEAN의 관점을 바탕으로 글로벌 대화에 함께 기여할 수 있다”고 말했다.

정부 간 내부 대화에 있어서도 사이버 공격과 맬웨어 감염을 예방하고 이에 효과적으로 대응하는 강력한 사이버 보안 체크리스트를 실행해야 한다. 다카드 이사는 다음과 같은 권장 사항을 제시했다.

  • 내부 관리를 철저히 하라. 문제는 사이버 범죄자의 공격 여부가 아니라 공격 시점이다. 낡거나 보안이 제공되지 않거나 정품이 아닌 IT 자산을 사용할 경우 사이버 공격 가능성이 크게 증가한다. 예컨대 해적판 또는 위조 소프트웨어는 맬웨어에 감염된 채 유포되는 것으로 알려져 있다. 엄격한 IT(소프트웨어 및 하드웨어) 자산 구매 절차, 사용, 유지, 정기 업그레이드가 그 어느 때보다 중요하다.
  • 내부에서 시작하라. IT 사용자의 사이버 보안 의식 부족, 직원들의 부주의, 조직 내 접근 권한 관리나 비밀번호 보호 부실 등은 시스템의 취약성을 높인다. 일터에서 개인용 기기의 사용이 증가함에 따라 사이버 범죄자가 손쉽게 공략하여 피해를 줄 수 있는 보안 미비 연결 장치 (사물 인터넷) 를 비롯하여 감염 위험도 높아지고 있다.
  • 모든 시스템을 실시간 모니터하라. 시스템을 위협으로부터 보호하는 최신 기술에 투자하여 일반 및 첨단 사이버 위협을 실시간으로 모니터, 감지, 제거하고 자체 전문성을 개발하여 위협을 분석하라. 일부 연구에 따르면 사이버 위협이 침투한 후 발견될 때까지 걸리는 시간은 세계 평균이 140~200일인 반면 인도 태평양 지역은 무려 510일에 이른다.
  • 신뢰할 수 있는 IT 공급망을 유지하고 정기적으로 검토하라. 정품이고 현행이며 업데이트된 소프트웨어만 사용하라. 소프트웨어, 하드웨어, 사물 인터넷을 구비하는 데 있어 신뢰할 수 있는 공급망을 유지하라. 자체 기기를 투입해서 기업/정부 네트워크에 대한 고객 및 업체 접근 권한을 비롯해 소프트웨어 및 하드웨어 배포를 위한 사이버 보안 투자와 성능을 정기적으로 검토하고 진단하라.

사이버 보안에 대한 대화가 확대됨에 따라 이에 대한 관심과 노력도 활발해지고 있다. 예를 들어 미국 의회에서는 2017년 5월 인도 태평양 지역이 동맹국들과 사이버 협력을 강화하는 데 도움을 주기 위한 법안이 상정됐다. 이 법안이 통과되면 인도 태평양 지역의 보안 프로그램에 미화 21억 달러가 투입될 예정이다.

더 힐은 법안을 발의한 맥 손베리 미국 하원 군사위원회 의장의 성명서를 인용하여 “아시아 태평양 지역에 긴장이 고조되고 있음은 새삼 강조할 필요가 없다”며 “미국이 아시아 태평양 지역의 안정과 미래를 위해 현재는 물론 앞으로도 헌신하고 있다는 것을 동맹국과 우방에게 확인시켜야 한다. 이를 위한 최선의 방법은 주둔 병력을 늘리고 준비 태세를 강화하는 것이다. 이를 위해서는 다양한 방어 역량에 투자해야 하며 이것이 바로 이 법안의 목적”이라고 전했다.


호주, 아시아 동맹국들과 사이버 범죄 대응협력 강화

AP 통신

사사이버 범죄 위협이 높아지고지역 내 상거래 안보 강화의 필요성이 나날이 증가하고 있는가운데, 호주가 사이버 범죄 대응을 위해 아시아 이웃 국가들과 협력을 강화하고 있다.

2017년 6월 방콕에서 체결된 협약에 따라 호주는 이제 사이버 범죄 및 안보 문제에 있어 태국, 싱가포르, 중국과 협력하고 있다. 토비아스 피킨 호주 사이버 업무 대사는 인도 태평양 지역 내 사이버 범죄망이 나날이 확대됨에 따라 협력이 필수적이라고 말했다.

피킨 대사는 “범죄자와 적들은 정부보다 훨씬 빨리 적응하고 모든 정보를 흡수할 수 있다”며 “이에 대해 논의하고 모범 사례를 공유하며 발전하지 않으면 곧 크게 뒤쳐질 것”이라고 말했다.

피킨 대사는 태국 경찰 고위급 지휘관 그리고 호주 국가 안보 및 외교부 관계자들과 사이버 디지털 범죄 과학 수사를 지원하기 위한 대화를 가졌다.

2017년 6월 말콤 턴불 호주 총리(뒷줄 왼쪽)와 리셴룽 싱가포르 총리(뒷줄 오른쪽)가 지켜보는 가운데 토비아스 피킨 호주 사이버 업무 대사(앞줄 왼쪽)와 데이빗 코 싱가포르 사이버 보안국장이 양해 각서에 서명했다. AP 통신

호주는 암페타민형 마약을 밀반입한 호주 오토바이 갱단 등 국제 범죄자들이 가하는 위협에 대응하기 위해, 태국 경찰과 마약 단속 위원회실을 통해 태국과 이미 협력하고 있다. 태국은 또한 보일러룸 주식 사기로 알려진 증권 사기 조직의 근거지로서 영국인, 미국인 등 외국인들이 허위 온라인 투자로 호주와 뉴질랜드 투자자들을 노리고 있다.

피킨 대사는 협력의 초점이 “태국 경찰의 디지털 과학 수사 역량을 강화”하여 법원에 신뢰할 수 있는 증거를 제시하는 데 있다고 말했다. 그는 “법원에서 증거 능력이 인정되는 방식으로 증거를 확보하는 능력, 법적 책임이 있는 개인 또는 단체를 파악하고 조사하는 능력을 강화해야 한다”고 말했다.

관계자들은 태국 경찰에 대한 지원이 “다양한 기기에서 전자적 증거를 확보하고 데이터를 처리 및 추출하는 디지털 과학 수사의 초석”이었다고 말했다. 이들은 범죄 조직들의 통신용 디지털 매체 사용과 정보 저장을 중심으로 한 국제 범죄 수사가 늘고 있다고 말했다. 호주는 싱가포르와 중요 정보 인프라 보호를 위한 정보 공유, 합동 훈련 등을 골자로 하는 사이버 보안 조약을 체결한 데 이어 이번에 태국과 조약을 체결했다.

호주는 지적재산권 해킹 문제에 대해 중국을 압박한 끝에 2017년 4월 중국과도 사이버 보안 협력을 강화하는 조약을 체결했다.

피킨 대사는 “중국과 조약을 체결한 것은 중국이 공동 논의에 중요한 요소라는 것을 인정한 것”이라며 “중국은 거대한 경제 파트너다. 공통 부분도 있고 다른 부분도 있다. 이번 조약은 지적재산권을 해킹하지 않겠다고 합의한 것이다. 이 점이 중요하다”고 말했다.