국가 사이버 안보전략 수립의 의미와 과제

김봉한 국가안보전략연구원

국가사이버안보전략 수립의 의의 

오늘날 사이버공간의 진화는 초연결성과 초지능성을 특징으로 하는 4차 산업 사회를 견인하는 동시에 국가이익과 안보에 대한 위협요인을 현저히 증대시키고 있다. 인간과 사물간 연계성이 높아지고, 사이버공간 자체의 자가 운용성이 강화 되는 초연결사회(hyper-connected society)로 진화하면서 사이버공간이 국가안보와 직결되는 요소로 부상하였기 때문이다. 이에 따라 사이버공격으로부터 정보통신 기반과 정보자산을 보호하는 것이 한 국가의 핵심 과제로 부상하게 되었다. 사이버 공간을 안전하게 보호함으로써 사회경제적 이익과 국가안보를 확보하는 것이 새로운 안보영역으로 자리매김한 것을 의미한다. 전 세계 70여 개국이 이와 같은 목적을 효과적으로 달성하기 위해 자국의 사이버환경에 맞는 ‘국가사이버안보 전략’을 수립하여 시행하고 있다.

우리나라는 지금까지 사이버공격이 발생할 때마다 사안별로 임시처방식 대응을 해 오다가, 최근에 국가안보실 주축으로 ‘국가사이버안보전략’을 마련하게 되었다. 세계 최상의 정보 인프라를 구축하고, 북한이라는 상수적인 사이버위협과 중국· 러시아·일본 등 최고의 사이버공격 역량을 구비한 국가들과 인접한 지정학적 환경으로 볼 때 시기적으로 늦은 감이 없지 않다. 그럼에도 이번에 정부가 사이버안보 전략을 마련하고 “조직적 사이버 위협에 대한 신속한 대응과 국가 주요기능의 안정적 운영 등”의 목적을 위해 주도적으로 나섬으로써 종합적인 국가대응 체계 기반을 마련하였다는 점에서 큰 의미가 있다고 본다.

국가 핵심기반시설의 상당부분이 민간 부문에 의해 운영되고 있고, 민·관·군으로 보안영역이 구분되어 관리되는 현실에서 사이버안전에 대한 일관되고 지속적인 정책을 추진하는 것이 쉽지 않다. 국가 사이버안보전략이 수립됨으로써 대내적으로 국민들에게 안전한 사이버공간을 제공하는 것이 가능해지고 대외적으로는 다양한 사이버공격으로부터 비롯되는 핵심 기반시설을 방어하는 것뿐 아니라 예방·방어 정책을 적극적으로 추진할 수 있는 계기를 마련하였다. 이는 사이버범죄 또는 공격행위에 대한 강력한 제어기제로 작동할 것이며, 일관된 정책추진의 기틀로 기능하게 될 것이다. 이러한 관점에서 금번 국가사이버안보전략 수립이 가지는 의의는 다음과 같이 정리할 수 있다.

첫째, 사이버침해에 대한 억지력과 대응력을 크게 신장할 것으로 전망된다. 사이버 공격 주체가 개인에서 국가 단위로 진화하고 첨단 공격기술에 대한 접근성이 높아지는 현실에서 우리 정부가 사이버위협으로 부터 국가핵심 인프라 안전성을 제고하고 사이버공격 대응역량을 고도화하겠다는 의지를 보였다는 사실이 중요하다.

둘째, 사이버안보 협력과 정보공유 체계 기틀을 마련하였다. 이와 함께 국가 안보실을 중심으로 정부를 비롯한 민·관·군 등 모든 이해 당사자가 관여하는 거버넌스를 구축함으로써 향후 관련 법제 개선과 관련한 정책개발도 추동력을 얻게 되었다.

셋째, 4차 산업시대의 원천기술 확보가 가능해 졌다. 신뢰와 협력에 기반한 거버넌스와 함께 기술·인력·산업의 경쟁력 확보를 위한 혁신 생태계 조성으로 4차 산업시기의 국가경쟁력을 확보할 수 있게 되었다.

넷째, 안전한 사이버공간 구축으로 대국민 신뢰도 향상이 기대된다. 사이버 안보에 대한 대국민 인식 제고와 기본권 존중 및 정책 수립 시 민간부문의 참여를 유도함으로써 정부의 투명한 정책 추진에 대한 신뢰도가 높아지고, 건전한 사이버공간 형성을 진작할 수 있을 것이다.

다섯째, 국제적 파트너십을 통한 협력 증진 계기가 될 것이다. 해외 국가 또는 국제기구와 양자 또는 다자간 협력체계 구축과 민간까지 아우르는 국방·정보·수사 교류의 증대는 사이버안보와 관련한 국제 거버넌스 형성과 규범 마련에 주도적으로 참여할 수 있게 되었다.

그러나 무엇보다 중요한 것은 그동안 유관 기관과 업계, 전문가들의 지속적인 제기에도 불구하고 진척되지 않고 있었던 것을 현 정부가 이끌어 냄으로써 향후 국가 사이버안보활동의 원칙과 목적을 분명히 하고 법제와 정책의 개발 근간을 마련하였다는 데 의미가 있다고 하겠다.

주요 국가 사이버안보전략 사례 

미국의 국가사이버안보전략은 놀랍게도 극히 최근인 2018년 9월에야 비로소 수립되었다. 미국은 그동안 50여개의 개별 법규와 부문별 사이버보안전략 및 대통령 행정명령과 같은 제도를 통해 사이버안보 체계를 형성하고 규범해 왔다. 사이버공간에 대한 접근과 이용에 국가의 개입이나 어떠한 형태의 제약도 없어야 한다는 입장에서 이해관계자들의 책임성 있는 행동규범(norms of responsible behavior) 준수에 방점을 두고 있다. 그럼에도 대외적으로 국가안보와 경제적 이익을 침해하는 행위에 대해서는 단호한 입장을 견지하고 있다. 사이버공간을 ‘제5의 영토’라는 지정학적 개념으로 규정하고(Cyberspace Policy Review, 2009.5), 사이버공격 진원지에 대한 선제공격 개념을 도입(DoD Streategy for Operating in Cyberspace, 2011.7)하고 있다. 국외 사이버위협에 대한 효율적 대응을 목적으로 국가정보국(DNI) 산하에 ‘사이버위협정보센터’ (CTIIC)를 설치하여 범정부 차원의 대응활동을 지원하도록 하고 있다. 트럼프 행정부는 2018년 9월 ‘국가사이버안보전략‘을 발표하고, 중국이 중심역할을 하는 국가 중심의 인터넷 거버넌스에 반대하는 다중이해당사자(Multi-stakeholder) 모델을 내세우며, 국가가 후원하는 악의적 사이버활동을 척결하기 위한 책임 있는 국가 행동체계 및 실질적 신뢰구축조치(CBMs)를 강조하고 있다.

영국은 2009년 6월 국가사이버안보전략을 발표한 이래 정기적 업데이트로 보완 하면서 사이버공격에 대한 효과적인 대처와 안전한 사이버공간 구현에 노력하고 있다. 정부는 산업계 및 학계 등과 밀접하게 협력하며, 핵심 기반시설을 방어하는 차원을 넘어 선제공격과 보복공격까지 고려하고 있다. 사이버 국가전략은 방어 (defense), 억제(deter) 및 개발(develop) 등 세 분야에 중점을 두고 공격에 대한 대응능력 배양뿐 아니라 공격과 선제적 대응역량 제고를 위한 교육·훈련 및 기술개발에 노력하고 있다.

독일은 2011년 2월 발표한 국가사이버안보전략서(Cyber Security Strategy for Germany)에서 ‘사이버안보는 민간을 중심으로 하여야 하지만 군사적 조치로 보완될 수 있다’고 밝혀, 물리적 군사력의 사용을 배제하지 않고 있다. 미국과 유사한 독일의 이러한 태도는 사이버안보를 예방적(preventive) 안보전략의 일부로 인식하고 있음을 보여 준다. 독일이 전반적으로 개인의 프라이버시 보호를 중시 하면서도 주요기반시설에 대한 사이버방위를 중시하는 것은 사이버위협의 배후로 러시아를 상정하고 있기 때문인 것으로 짐작된다.

일본은 2014년 11월 ‘사이버보안 기본법’을 제정하여 사이버안보 전략에 대한 포괄적인 추진 기반을 마련하였고, 2015년 9월에 ‘사이버안보전략 2015’를 수립 하였다. “자유롭고, 안심할 수 있으며, 안전한 사이버공간 보장”을 목표로 △ 사회 경제적 활성화와 지속가능한 발전 증진, △ 안심하고 안전한 삶을 영위할 수 있는 사회 구축, △ 국민 공동체와 국가안보의 평화와 안정성 보장을 제시하고 있다. 일본은 2015년 컨트롤타워로 사이버보안전략본부를 설치한 것을 계기로 사이버 안보 문제를 그간의 대응적·수세적 입장에서 탈피, 선제적ㆍ주도적으로 바라보는 경향으로 바뀌고 있다.

중국은 2016년 12월 사이버전략서인 국가사이버공간안전전략(国家网络空间 安全战略)을 발표하였다. 이 전략서는 사이버주권의 중요성을 강조하면서 국가 안전 유지, 정보기반시설 보호, 사이버 범죄와 테러 예방, 사이버 방어력 향상, 사이버 국제협력 강화와 같은 사이버안보 이념과 정책을 담고 있다. 주목할 것은 해킹으로 인한 국가분열이나 반란 선동 기도, 국가기밀 누설과 같은 중대 불법 행위에 대해서는 군사적 수단도 불사하겠다고 천명하고 있으며(国家互联网信息 办公室, 2016) 2015년 국방백서(中国的 军事战略白皮书)는 사이버 공격에 대한 보복공격까지도 포함하는 ‘적극적 방어’ 전략을 포함하고 있다는 것이다(国务院 新闻办公室, 2013; 2015).

지금까지 살펴 본 바와 같이 한 나라의 사이버안보전략은 해당 국가가 처한 지정학적 환경이나 대외 사이버위협의 존재여부에 따라 다소의 차이를 보이고 있으나, 궁극적으로는 외부위협으로부터 자국의 국가 핵심정보자산을 보호하여 안전하고 신뢰 가능한 인터넷 환경을 구축하는데 있다는 것을 알 수 있다. 인터넷 발상지로서 미국은 정보의 흐름과 자유로운 의사표현을 강조하며 ‘불간섭주의’를 표방하고 있으면서도 국익과 안보를 위협하는 행위에 대해서는 ‘국제법에 근거한 책임 있는 국가행동’을 촉구하고, 필요시 물리적·군사적 보복도 불사하고 있다. 영국과 독일 역시 이슬람 테러세력이나 러시아의 사이버상 불법교란·정치개입과 같은 위협을 배경으로 예방·선제공격과 보복공격의 의지를 드러내고 있다. 대외로부터 뚜렷한 사이버 침탈요인이 없는 일본은 ‘안전한 사이버공간’ 보존을 목표로 하고 있으나, 최근 공세적이고 적극적인 개입정책으로 변화되는 경향이 나타난다. 중국의 사이버안보전략은 대내적으로 사회통제와 외국 기업에 대한 규제 수단으로, 대외적으로는 국가주권과 이익을 수호하기 위한 주권영역이라는 국가중심적인 시각에서 접근한다. 현재의 국제 사이버 거버넌스가 미국의 패권주의를 강화하는 수단으로 보고 별도의 국제기구를 중심으로 한 중립적 거버넌스 체계구축을 주장한다.

국가사이버안보전략의 주요 내용과 과제

이번에 수립된 우리의 국가사이버안보전략은 사이버안보를 확보하기 위한 비전과 목표를 설정함으로써 이해관계자들에게 전략적 과제를 제시하는데 방점을 두고 있다. 정부는 △ 국민의 기본권과 사이버안보의 조화, △ 법치주의에 기반한 안보활동, △ 국민의 참여와 협력의 수행체계를 사이버안보 3대원칙으로 설정 하였다. 이와 함께 6대 전략과제로 ① 국가 핵심 인프라 안정성 제고, ② 사이버 공격 대응역량 고도화, ③ 신뢰와 협력기반 거버넌스 정립, ④ 사이버보안 산업 성장기반 구축, ⑤ 사이버보안 문화 정착, ⑥ 사이버안보 국제협력 선도를 제시 하고 있다.

금번 우리 정부의 전략은 중국의 국가중심적 모델보다 미국 위주의 다중이해 당사자 관점을 지향하고 있는 것으로 판단된다. 다만, 구체적인 내용을 담을 수 없는 전략서라는 한계로 인해 다소 아쉬운 점이 발견된다. 첫째, 북한을 비롯한 국제 사이버열강과 이웃하고 있는 지정학적 핵심 위협요인을 충분히 반영하기 보다는 다양한 위협과 정책을 두루 망라하고 있다는 점이다. 둘째, 중대한 사이버안보 위협 발생 시 ‘국제규범에 따른 모든 대응수단을 검토’하겠다는 포괄적ㆍ 능동적 대응방안을 제시하고 있다. 문제는 아직까지 사이버공격 행위를 규율하는 명백한 국제 규범이 마련되지 않고 있다는 점이다. 구체적 실천성 보다는 선언적 의지를 강조한 것으로 보인다. 첫 술에 배부를 수 없듯이 차후 구체적인 시행 계획이나 시행방안을 마련하면서 보완해 나가야 할 것으로 본다.

국가사이버안보전략은 사이버공간에서 국가 이익과 국민들의 안정된 생활을 위협하는 사이버침해 행위에 대응하는 국가 의지를 대외적으로 선포하고 있다. 이로써 향후 일관성과 연속성 있는 국가정책의 추진, 사이버공간 개인 프라이버시 보호, 사회 전반의 사이버안보인식 제고 및 전문가 양성, 사이버위협에 대응한 국제사회와의 협력 증진 등의 효과가 수반될 것이다. 국가가 사이버안보 업무를 주도함으로써 각종 사이버공격에 대한 억제와 차단 효과도 나타날 것으로 기대 된다.

이를 위해 사이버안보전략 이행을 위한 구체적인 시행계획과 방안 수립이 뒤따라야 하며, ‘사이버안보법’ 등 기반법 제정도 추진되어야 한다. 또한, 정책 수립 전반과 정보 공유체계에 기업과 일반국민 등 민간부문을 참여하도록 하는 정책적 고려가 있어야 하겠다.@