출처 : 중앙일보

https://www.joongang.co.kr/article/25049564#home

지난달 14일 러시아로 추정되는 사이버 공격이 우크라이나 정부 사이트들을 비롯해 90여 개 웹사이트를 대상으로 일어났다. 공격의 내용은 주요 사이트들의 홈페이지 변조, '와이퍼 멀웨어'라 불리는 악성 프로그램을 정부 컴퓨터 시스템 등에 심어 운영을 제대로 할 수 없도록 하는 것이었다. 15일 우크라이나 국방부와 군의 웹사이트와 두 개의 국영 은행 온라인 서비스가 또다시 사이버 공격을 받았다고 우크라이나 정부는 발표했다. 

지난달 17일 나토(NATO·북대서양조약기구)의 통신정보청(NCI Agency)은 우크라이나 정부와 2015년 시작한 양자간 정보통신 기술 분야의 협력을 더욱 강화하는 내용의 합의각서(MOA)를 갱신했다. 이를 통해 나토는 우크라이나의 정보 기술과 통신 서비스의 현대화, C4(Command, Control, Communications and Computers) 역량 개발을 지원하기로 했다.

미국도 지난달 19일 대통령 국가안보메모(NSM-8)를 공개했다. 이는 지난해 5월 연방정부의 사이버안보 태세를 강화하는 대통령 행정명령 14208의 후속 조치 성격이다. 이 메모는 행정명령의 틀 안에서 특별히 국방부와 정보기관들을 아우르는 국가안보시스템 사이버안보를 강화하는 내용을 담고 있다.

2007년 에스토니아 국가 기능을 마비시키다시피 한 러시아 해커 집단의 사이버 공격은 전 세계를 충격에 빠뜨렸다. 또 사이버 전쟁이 곧 현실화할지도 모른다는 우려를 퍼뜨렸다. 2008년 조지아와 남오세티아간 분쟁이 일어날 때도 러시아 해커 집단은 조지아에 대한 사이버 공격을 했다. 결국 러시아와 조지아간 전쟁으로 번졌다. 

이 두 번의 사이버 충돌에서 러시아 정부는 공식적으로 자신들의 연관성을 부인했다. 애국주의와 민족주의에 바탕을 둔 ‘핵티비스트’들의 일탈 행동일 뿐이라고 했다.

러시아 정부가 직접 개입했거나, 지시ㆍ감독했다는 증거는 없다. 그러나 최소 러시아 정부가 핵티비스트들을 부추겨 이용했다는 데 국제적으로 이론이 없는 듯하다. 이처럼 러시아는 실제 사이버 공격을 무력 충돌이나 국제정치적 갈등 상황에서 눈에 띄게 이용한 첫 국가로서 주목을 받았다.

이러한 경험을 바탕으로 나토와 에스토니아 정부는 이후 에스토니아 수도 탈린에 사이버 이슈를 다루는 나토 협동사이버방위센터(CCDCOE)를 설립했다. 세계 각국은 소위 ‘사이버 전쟁’에 대비하기 시작했다.

러시아가 크림 반도를 병합하고 우크라이나 동부 돈바스 지역에서 군사 작전을 벌인 2014년부터 우크라이나는 반복적으로 사이버 공격을 받아왔다. 공식 집계에 따르면 지난해 10개월 간 28만 8000건의 사이버 공격이 있었다. 2020년에는 39만 7000건의 사이버 공격이 발생했다.

이러한 사이버 공격은 주로 주요 기반시설을 대상으로 일어났다. 2015년 겨울 러시아 해커로 의심되는 집단이 국가 전력망을 손상해 25만명 우크라이나인들이 전력과 난방을 쓸 수 없게 만들었다. 2016년 역시 사이버 공격은 지속됐고, 2017년 역시 러시아 해커로 보이는 집단이 랜섬웨어를 은행, 신문사, 주요 기업에 유포해 혼란을 일으켰다.

우크라이나와의 접경지대에 러시아가 10만명 이상의 군대를 집결시켜 전쟁 위협을 고조하는 상황 속에서 이미 구체적인 사이버 군사 작전은 시작됐다. 우크라이나의 네트워크·군사 컴퓨터 시스템의 방어적 기능이 상실됐거나 상실 중인지도 모를 일이다. 사이버 작전의 특성상 그 피해 양태와 규모에 대한 분석이 투명하게 대중에 공개되는 일이 거의 드물다. 시스템과 네트워크에 침투한 악성 프로그램을 발견하는데 역시 상당한 시간이 걸리거나 활성화 전에는 영원히 모를 수도 있다.

사이버 공격을 감행하는 해커 이미지. 로이터=연합

현재 언론과 각국 정부의 발표만으로 우크라이나 사이버 공격의 양상과 피해를 짐작해서는 안 되는 이유다. 즉, 일련의 사이버 공격에서 러시아는 정보 수집, 우크라이나 군사시설 무력화 작업 또는 우크라이나 국민에 대한 심리 작전 등을 수행하고 있다. 실제 우크라이나를 무력 침공할 것인지, 그 때문에 나토와 러시아간 확전으로 발전할 것인지와 전혀 별개로 러시아는 이미 군사적 이득을 취하고 있을 수 있다.

사이버 공격을 무력 충돌의 준비 혹은 전초전 정도로 이해하는 건 위험하다. 사이버 작전은 물리적 공간과 달리 전시와 평시를 명확하게 구분하기 힘들다. 실제 무력 충돌 중은 물론, 충돌 전후로 혹은 단독으로도 행해진다. 사실상 전시와 평시의 구분 없이 사이버 공격에 대한 대비 태세는 갖추어져야 한다.

이미 미국은 2018년 국방부 사이버 전략, 대통령 국가안보메모 등을 통해 ‘지속적 관여’(persistent engagement)라는 작전 개념을 발전시켰다. 평시에도 군이 사이버 작전을 수행할 수 있는 근거를 마련하고 사이버 공간에서 선제적 방어 태세를 구축하고 있다.

실제 전쟁으로 나가든 아니면 복잡한 국제정치적 갈등 상황 속에서 수 싸움을 통해 자국의 이익을 챙기는 수준에서 봉합하든, 우크라이나에서 사이버 공격(혹은 사이버 작전)은 이미 주요 전략으로 수행 중이다.

이러한 양상은 얼마든지 다른 지역의 국제적 갈등 상황에서도 가능하다. 우크라이나처럼 지정학적으로 중요한 위치의 한반도 역시 그 예외가 될 수 없음은 자명하다. 2004년 국가·공공기관에 대한 북한의 대규모 사이버 공격을 경험한 이래 2009년 디도스 사태, 지난해 원자력 연구원·방위산업체 등에 대한 해킹 사건에 이르기까지 한국은 지속해서 사이버 공격을 받아 왔다.

일상적으로 벌어지는 사이버 작전이 실질적으로 어떠한 군사·안보적 함의를 갖는지 정확하게 평가하기는 힘들다. 또한 물리적 공간에서 안보 위협이나 충돌 위험이 명시적으로 증가하지 않아도 사이버 공격은 일어날 수 있다. 따라서 이 같은 사이버 공격의 양상을 정확히 이해한 뒤 대비 태세를 갖춰야 한다.

사이버 공간에서 국가안보 방어 태세를 구축하려면 3가지 단계적 고려가 필요하다.

첫째, 예방적 측면에서 적의 사이버 공격에 대비해 주요 기반시설, 국가·공공기관, 군의 네트워크·시스템 등에 대한 사이버 보안 준비를 촘촘하게 마련해야 한다.

둘째, 대응 측면에서 실제 사이버 공격을 탐지한 경우 신속하게 공격을 차단하고 공격자를 추적해 피해를 최소화해야 한다.

셋째, 이미 사이버 공격으로 피해가 발생한 경우 재빨리 기능을 복구하고 피해 상황을 파악한 뒤 후속 대책을 수립하는 복원력을 강화해야 한다.

다음 대통령을 뽑는 선거 운동 기간에 들어간 현재의 한국에서 대선 후보들의 사이버안보 관련 공약은 상대적으로 크게 주목받지 못하고 있다. 디지털 경제를 활성화해 경제적 성장과 번영을 추구하는 것도 중요하지만, 그에 못지않은 비중으로 국가 안보적 차원에서 사이버 안보를 바라볼 필요가 있다.

사이버 안보 대비를 강화하는 것이 결국은 디지털 경제를 보호하는 길이다. 디지털 경제와 사이버 안보는 따로 떼 생각할 수 없다.

이를 위해 차기 정부는 국가 사이버 안보 전략을 더욱 정치하게 갱신해 이행하고, 지난 10여 년 간 진도가 나가지 않고 있는 포괄적 사이버 안보법을 제정하며, 기존 관련 법규를 정비해야 한다. 합리적이고 효율적인 사이버 안보 거버넌스를 확립하는 게 급선무다.

국제 사회의 사이버 안보 증진 경쟁에서 더 뒤처져 국익을 해치는 일이 없도록 이제는 대통령과 정부, 민간이 모두 협력해야 할 때다.