ADVERTISEMENT

청와대 안보실 10년만에 펴낸 보고서, 미국에 10년·일본보다 5년 늦어

중앙일보

입력

지난해 11월 서울 중구 웨스틴 조선호텔에서 열린 '2018 국방 사이버 안보 콘퍼런스'에서 군인들이 이재우 동국대학교 석좌교수가 기조연설을 경청하고 있다. [사진 연합뉴스]

지난해 11월 서울 중구 웨스틴 조선호텔에서 열린 '2018 국방 사이버 안보 콘퍼런스'에서 군인들이 이재우 동국대학교 석좌교수가 기조연설을 경청하고 있다. [사진 연합뉴스]

대한민국 사이버안보정책의 최상위 지침서인 ‘국가사이버안보전략’이 공표됐다. 국제연합(UN)이 지난 2009년 “제3차 세계대전이 일어난다면 그것은 사이버전이 될 것이고, 그 어떤 국가도 성역으로 남을 수 없다”며 각국에 사이버위협의 중대성을 인식하고 국가 차원의 대응책 마련을 촉구한 지 10년 만이다.

'제3차 세계대전은 사이버 전쟁' 위기감 #북한 위협 있는데…공격 주체 언급 안해 #국가 총력전 필요한데 법적 근거도 없어

청와대 국가안보실은 지난해 말 발표한 ‘국가안보전략’에서 “사이버위협이 국민 생활안전과 국가안보를 심각하게 위협하는 수준에 이르렀다”며, 사이버안보에 대한 중ㆍ장기 정책 방향을 제시하는 ‘국가사이버안보전략’ 수립을 예고했고 지난 3일 전문(全文)을 공개했다. 사이버안보전략이 미국에 10년, 일본과 비교해도 5년이 늦었지만, 공표 자체가 다행스럽게 여겨지는 건 무슨 연유일까.

본 전략의 ‘수립배경’은 정부가 사이버위협을 어떻게 인식하고 있는지 보여주는데, △사이버공간 취약성 △사이버위협 심각성 △국가 간 역량경쟁 △사이버범죄 피해 심화, 네 가지로 나눠 지금의 상황을 비교적 명확히 진단하고 있다.

지난해 12월 19일 정의용 국가안보실장이 국가위기관리센터에서 국가사이버안보 정책조정회의를 주재하고 있다. 이날 회의에는 국가안보실, 기획재정부 교육부, 과학기술정보통신부, 국정원, 외교부, 국방부, 행정안전부, 산업통상자원부, 국토교통부, 금융위원회, 국무조정실, 대검찰청, 경찰청 차관(급)이 참석했다. [사진 청와대 제공]

지난해 12월 19일 정의용 국가안보실장이 국가위기관리센터에서 국가사이버안보 정책조정회의를 주재하고 있다. 이날 회의에는 국가안보실, 기획재정부 교육부, 과학기술정보통신부, 국정원, 외교부, 국방부, 행정안전부, 산업통상자원부, 국토교통부, 금융위원회, 국무조정실, 대검찰청, 경찰청 차관(급)이 참석했다. [사진 청와대 제공]

전문에 따르면 실제 사이버 공격에 국가가 직접 개입하거나 비국가 행위자를 지원하는 형태가 두드러지게 나타나고 있고, 국가 간 정치ㆍ경제ㆍ군사적 분쟁이 사이버상 충돌로 이어지면서 사이버군비경쟁을 불러오고 있다. 이에 “각국은 사이버역량을 국가안보에 큰 영향을 미치는 비대칭 전력으로 인식하여 전문인력 육성, 국가조직 확대 그리고 역량확충에 대규모 예산을 투입하고 있다”고 적시했다.

이 같은 판단에도 불구하고 전략이행을 위한 기본원칙이 국가안보와 정보보호가 뒤섞여 혼란스럽다. 국가의 최상위 개념인 안보가 개인의 사생활 보호나 산업육성으로 희석된 면이 없지 않다. 미국은 2018년 9월 발표한 사이버안보전략에서 사이버위협을 더는 좌시하지 않겠다고 선언했다. 기존의 방어 전략에서 벗어나 악의적 사이버 행위를 억지하는 공격 전략으로 바꿨다. 힘을 통해 평화를 보존하고 영향력을 확대한다는 미국의 기본원칙은 균형과 투명을 내세운 우리와 사뭇 다르다.

대한민국을 위협하는 주체가 빠졌다. 이래서는 손자병법에서 얘기하는 지피지기(知彼知己)가 되질 않는다. 새로운 세계질서의 주도권 다툼으로 한반도를 둘러싼 무서운 이웃들을 잠재적 위협으로 봤다면 그렇게 명시해야 한다. 사이버공간에서 공격자를 특정하기 어려운 속성을 살피더라도 ‘북한’만큼은 우리가 경계해야 할 대상임을 분명히 해야 한다. 적어도 북한이라고 직시할 수 있을 정도의 암시도 좋다.

2016년 김정은 국무위원장이 참석한 가운데 조선인민군 전략군 화성포병부대 탄도미사일(로켓) 발사 훈련이 진행됐다. 이날 김 위원장 앞에 놓인 '전략군 화력 타격계획'에는 예상 타격지점인 울산 동해상과 부산 인근 바다가 표시돼 있다. [사진제공=노동신문]

2016년 김정은 국무위원장이 참석한 가운데 조선인민군 전략군 화성포병부대 탄도미사일(로켓) 발사 훈련이 진행됐다. 이날 김 위원장 앞에 놓인 '전략군 화력 타격계획'에는 예상 타격지점인 울산 동해상과 부산 인근 바다가 표시돼 있다. [사진제공=노동신문]

북한은 사이버역량을 핵ㆍ미사일과 함께 대표적인 비대칭 전력으로 간주하고 오랜 기간 해킹조직을 집중하여 육성해 대남 위협에 활용하고 있다. 2017년 초반 중국의 사드(THAAD, 고고도 미사일 방어체계) 보복에 따른 간헐적 사이버 공격이 있었지만 지속해서 우리를 위협하는 주된 주체가 ‘북한’이라는 것은 주지의 사실이다.

북한은 우리가 사이버 방어체계를 갖추기 훨씬 전부터 사이버공간을 자유자재로 교란해왔다. 우리가 경각심을 갖게 된 것은 한반도 사이버전의 서막이라 할 수 있는 7·7 디도스 사건(2009년)이다. 이를 계기로 국정원이 주도한 인터넷망과 업무망 분리사업이 국책과제로 수행됐다. 8600억 원에 가까운 직간접 피해가 발생한 3·20 사이버테러(2013년)는 또 한 번의 경종을 울렸고 한층 강화된 보안체계가 도입됐다.

북한의 최근 암호화폐 해킹 사례

북한의 최근 암호화폐 해킹 사례

하지만 2016년 국방망 해킹으로 엄청난 군사기밀이 빠져나갔다. 방산기업은 말할 것도 없다. 그동안 북한은 틈만 나면 창을 휘둘렀고 우리의 방어체계는 늘 찢어진 방패가 되고 말았다. 정보통신 인프라를 잘 갖췄다는 것은 역설적으로 공격대상과 시스템 취약점이 많고 사이버공격도 순식간에 이뤄질 수 있음을 의미한다.

2014년 12월부터 몇 달간 온갖 협박으로 얼룩진 한수원 해킹사건을 겪고 2015년 4월 ‘국가사이버안보태세 종합대책’을 발표하면서 만들어진 사이버안보비서관 직책이 몇 년 만에 슬그머니 사라졌다. 국가안보실은 사이버안보전략을 처음 내놓으면서도 질의응답 없이 일상의 보도자료로 내보내 사이버안보 컨트롤타워 기능을 강화하겠다는 말이 무색할 지경이다.

지난달 유엔 대북제재위원회가 북한의 사이버 공격 정황을 담은 보고서를 냈다. 대북제재위는 유엔 제재를 지속해서 위반하던 북한이 급기야 글로벌 사이버 강도로 돌변해 세계 금융시장을 교란하고 있다며 “북한에 대한 추가제재 시 사이버 공격 실태를 고려해야 한다”고 경고했다. 미국도 사이버 공격은 물론 제재 국가를 지원하는 제3의 개인ㆍ기업ㆍ국가를 제재한다는 방침을 세우고 입법화에 들어갔다.

이에 반해 우리는 북한의 사이버위협을 애써 외면해온 면이 없지 않다. 판문점 선언으로 시작된 남북 화해 분위기를 이어가고픈 까닭이다. 하지만 남의 일인 양 팔짱만 끼고 있다가는 추가제재를 준비하는 국제사회의 눈총을 받을 수 있어, 부랴부랴 발표한 게 아닌지 의구심이 든다. 오래전 만들어놓은 사이버안보전략을 ‘국가안보전략’과 함께 공표했어도 됐다.

문재인 대통령과 북한 김정은 국무위원장이 지난해 4월 27일 판문점에서 군사분계선을 사이에 두고 악수하는 모습. [연합뉴스]

문재인 대통령과 북한 김정은 국무위원장이 지난해 4월 27일 판문점에서 군사분계선을 사이에 두고 악수하는 모습. [연합뉴스]

2018년 4월 판문점 선언에서 남과 북은 한반도에서 첨예한 군사적 긴장 상태를 완화하고 전쟁 위험을 실질적으로 해소한다는데 합의했다. 그래서 지상과 해상, 공중을 비롯한 모든 공간에서 군사적 긴장과 충돌의 근원이 되는 일체의 적대행위를 전면 중지하기로 했지만, 북한의 대남 사이버 공격은 더욱 은밀하고 집요하게 이뤄지고 있다.

남북정상회담과 북미정상회담이 진행되는 중에도 북한은 대남 첩보수집은 물론 서방의 주요기반시설에 대한 사이버 공격을 시도했고 상대적으로 추적이 어려운 암호화폐거래소를 집중적으로 공략했다. 공격대상은 국가ㆍ비국가를 가리지 않는다. 2014년 11월 발생한 소니 해킹사건은 국가가 타국의 민간기업을 공격한 대표적 사례다. 문제는 북한 해커의 대다수가 군 소속이어서 국가 행위자가 타국의 기업과 정부를 공격한 셈이 된다는 것이다.

그래픽=신재민 기자 shin.jaemin@joongang.co.kr

그래픽=신재민 기자 shin.jaemin@joongang.co.kr

국가안보실은 사이버안보전략을 차질 없이 추진하기 위해 전략과제별로 범부처 차원의 기본계획과 시행계획을 수립ㆍ시행할 예정이다. 전략을 세우면 이를 수행할 법적 근거가 있어야 한다. 수많은 국가가 그렇듯 기본전략을 수립하고 법제화하지만 우리는 아직도 대통령 훈령인 「국가사이버안전관리규정」이 기본법 역할을 하고 있다.

「국가사이버안보법」(가칭) 제정과 함께 「통신기밀보호법」 등 관련 법규를 현실화하는 작업이 뒤따라야 한다. 국방부의 경우 「통합방위법」에 사이버공간과 사이버공격의 개념 정의를 포함하고, 지상ㆍ해상ㆍ공중으로 되어 있는 통합방위작전 관할구역에 사이버공간을 추가해 군이 사이버 작전을 수행할 근거를 마련해야 한다.

이번에 공개된 ‘국가사이버안보전략’은 갈 길이 먼 사이버위협 대응역량을 갖춰나가기 위한 첫 단추에 불과하다. 컨트롤타워에서 전략과제를 지시하고 진행 과정을 챙기는 수준으로는 갈수록 빨라지는 위협의 속도를 따라갈 수 없다. 공격자는 같은 방식을 반복하지 않는다. 이전에 했던 방식으로 기술적ㆍ심리적 빈틈을 찾아 공격하리라 추측한다면 그것은 재앙의 길로 접어드는 것이다.

인간(人間)ㆍ시간(時間)ㆍ공간(空間)의 모든 간(間)이 이어지면서 어느 한 곳이 뚫리면 사회 전체가 심대한 타격을 입을 수 있다. 보다 강력한 디지털 리더십을 발휘해 국민ㆍ기업ㆍ정부 모두의 동참을 이끌어내야 한다. 사이버안보전략 서문(序文)에 "조직화한 사이버공격은 국가안보에 심각한 도전“이라고 밝혔듯이 이제라도 국가 차원의 총력전을 펼쳐나가야 한다.

손영동 한양대학교 교수

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT