국제안보 19. 사이버안보 - 사이버 공간의 특성과 억제·방어 논리의 새로운 패러다임

사이버안보는 21세기 국제안보의 가장 역동적이고 복잡한 영역 중 하나로 부상했다. 디지털 기술의 급속한 발전과 사회 전반의 디지털 의존성 심화는 새로운 형태의 위협과 취약성을 창출했다. 사이버 공간은 물리적 경계가 없고, 익명성이 보장되며, 공격 비용이 상대적으로 낮다는 고유한 특성을 갖고 있어 전통적인 안보 개념과 전략에 근본적 도전을 제기한다. 국가 차원의 사이버 공격부터 개인 해커의 사이버 범죄까지, 사이버 위협의 스펙트럼은 광범위하며 그 영향은 국경을 초월해 확산된다.

사이버 공간의 독특한 특성과 안보적 함의

사이버 공간은 물리적 영역과는 근본적으로 다른 특성을 갖는다. 첫째, 지리적 경계의 모호성이다. 사이버 공격은 지구 반대편에서도 즉시 실행할 수 있으며, 공격의 출발점과 경유지, 목표가 여러 국가에 분산될 수 있다. 이는 관할권과 책임 소재를 둘러싼 복잡한 법적, 정치적 문제를 야기한다.

둘째, 비대칭성의 극대화다. 상대적으로 적은 자원으로도 강대국의 핵심 인프라를 마비시킬 수 있어, 약소국이나 비국가 행위자도 강력한 사이버 능력을 보유할 수 있다. 북한의 소니 해킹, 이란의 미국 금융기관 공격 등이 이를 보여주는 사례다.

셋째, 익명성과 불확실성이다. 사이버 공격의 주체를 정확히 식별하기 어려우며, 공격이 국가 행위인지 개인 범죄인지 구분하기 힘든 경우가 많다. 이는 억제 전략의 핵심 요소인 보복 대상의 명확성을 훼손한다.

넷째, 공격과 방어의 비대칭성이다. 공격자는 하나의 취약점만 찾으면 되지만, 방어자는 모든 취약점을 보호해야 한다. 또한 공격 기술의 발전 속도가 방어 기술보다 빠른 경우가 많아 방어자가 불리한 위치에 있다.

다섯째, 상호의존성과 연쇄효과다. 사이버 공간의 네트워크 구조로 인해 하나의 시스템에 대한 공격이 연결된 다른 시스템들에 파급효과를 미칠 수 있다. 2017년 워너크라이 랜섬웨어 공격이 전 세계로 확산된 것이 대표적 예다.

사이버 위협의 유형과 진화

사이버 위협은 그 목적과 수단에 따라 다양하게 분류할 수 있다. 가장 기본적인 구분은 사이버 범죄, 사이버 테러, 사이버 전쟁이다.

사이버 범죄는 금전적 이득을 목적으로 하는 불법 행위로, 개인정보 탈취, 금융 사기, 랜섬웨어 공격 등이 포함된다. 사이버 범죄의 규모는 급속히 증가하고 있으며, 범죄 조직의 전문화와 국제화가 진행되고 있다. 랜섬웨어 서비스(RaaS) 같은 새로운 비즈니스 모델의 등장으로 기술적 전문성이 없는 범죄자들도 정교한 사이버 공격을 수행할 수 있게 되었다.

사이버 테러는 정치적, 이념적 목적으로 사이버 수단을 사용하여 공포를 조성하거나 사회적 혼란을 야기하는 행위다. 아직까지 대규모 인명 피해를 낳은 사이버 테러 사례는 드물지만, 핵심 인프라에 대한 공격 위험은 지속적으로 증가하고 있다. 특히 원자력 발전소, 전력망, 교통 시스템 등에 대한 사이버 공격은 물리적 파괴와 인명 피해를 직접 야기할 수 있다.

사이버 전쟁은 국가나 국가 지원 행위자가 적대국의 군사적, 정치적, 경제적 목표를 달성하기 위해 사이버 수단을 사용하는 것이다. 2007년 에스토니아에 대한 사이버 공격, 2010년 이란 핵시설을 겨냥한 스턱스넷, 2015년 우크라이나 전력망 공격 등이 국가 수준의 사이버 작전으로 평가된다.

최근에는 이러한 구분이 모호해지는 회색지대 활동이 증가하고 있다. 국가가 사이버 범죄 조직을 활용하거나, 해커 집단이 정치적 동기로 활동하거나, 사이버 용병이 등장하는 등 행위자와 동기가 복합적으로 얽혀있다. 러시아의 APT 그룹들, 중국의 사이버 스파이 활동, 북한의 해커 조직 등이 이러한 양상을 보여준다.

사이버 억제의 딜레마와 한계

전통적 군사 영역에서 억제는 보복의 위협을 통해 상대방의 공격을 포기하게 만드는 전략이다. 하지만 사이버 영역에서는 억제의 전제 조건들이 성립하기 어렵다.

첫째, 귀속(attribution) 문제가 억제의 가장 큰 걸림돌이다. 사이버 공격의 실제 주체를 정확히 식별하기 어려워 누구를 상대로 보복할 것인지 불분명하다. 공격자들은 의도적으로 허위 플래그 작전을 수행하거나 제3국의 시스템을 경유하여 추적을 어렵게 만든다. 기술적 증거만으로는 법적, 정치적으로 충분한 확신을 얻기 어려운 경우가 많다.

둘째, 비례성의 원칙 적용이 복잡하다. 사이버 공격의 피해 규모와 의도를 정확히 평가하기 어렵고, 적절한 수준의 보복을 결정하기 힘들다. 사이버 영역에서의 공격에 대해 물리적 보복을 가할 수 있는지, 아니면 사이버 영역 내에서만 대응해야 하는지에 대한 합의도 없다.

셋째, 억제의 신뢰성 확보가 어렵다. 보복 능력의 존재를 과시하기 어렵고, 보복 의지를 명확히 전달하기도 힘들다. 사이버 무기의 공개는 그 효과를 무력화시킬 수 있어 억제 효과와 작전 보안 간의 딜레마가 존재한다.

넷째, 억제 대상의 다양성이다. 국가 행위자뿐만 아니라 비국가 행위자, 개인 해커, 범죄 조직 등 다양한 주체가 사이버 위협을 제기한다. 각각에 대한 억제 방식이 달라야 하며, 일부는 전통적 억제 논리가 통하지 않을 수 있다.

이러한 한계에도 불구하고 사이버 억제는 완전히 불가능한 것은 아니다. 거부적 억제(deterrence by denial)를 통해 공격 성공 가능성을 낮추고, 다층적 억제를 통해 다양한 차원에서 비용을 부과할 수 있다. 또한 규범과 제재를 통한 억제, 동맹국과의 집단 억제 등 새로운 접근법들이 모색되고 있다.

사이버 방어의 전략과 한계

사이버 방어는 예방, 탐지, 대응, 복구의 4단계로 구성된다. 예방 단계에서는 시스템의 취약점을 사전에 식별하고 보완하며, 보안 정책과 절차를 수립한다. 하지만 제로데이 취약점이나 공급망 공격 같은 새로운 위협에 대한 예방은 한계가 있다.

탐지 단계에서는 침입 탐지 시스템, 행위 분석, 위협 인텔리전스 등을 활용해 공격을 조기에 발견한다. 하지만 고도화된 지속적 위협(APT) 공격은 장기간 은밀하게 활동하여 탐지를 어렵게 만든다. 또한 정상적인 네트워크 활동과 악의적 활동을 구분하는 것도 기술적 도전이다.

대응 단계에서는 공격을 차단하고 피해를 최소화하며, 필요시 적극적 방어나 반격을 수행한다. 하지만 대응 과정에서 정상적인 시스템 기능이 제약될 수 있고, 과도한 대응은 부수적 피해를 야기할 수 있다.

복구 단계에서는 손상된 시스템을 복구하고 정상 운영을 재개한다. 하지만 복잡한 시스템에서는 완전한 복구가 어려울 수 있고, 복구 과정에서 추가적인 취약점이 노출될 위험도 있다.

사이버 방어의 근본적 한계는 완벽한 보안이 불가능하다는 점이다. 시스템의 복잡성, 인간의 실수, 기술적 한계 등으로 인해 항상 취약점이 존재한다. 따라서 현실적인 사이버 방어는 위험을 완전히 제거하는 것이 아니라 허용 가능한 수준으로 관리하는 것이다.

국가별 사이버 전략과 역량

주요국들은 사이버 공간을 새로운 전장으로 인식하고 사이버 전략과 역량을 급속히 발전시키고 있다. 미국은 사이버 영역에서 전통적으로 기술적 우위를 점하고 있지만, 동시에 사이버 공격에 가장 많이 노출된 국가이기도 하다. 미국은 사이버사령부를 설립하고 적극적 방어 전략을 채택하여 사이버 위협에 선제적으로 대응하고 있다.

중국은 국가 주도의 사이버 역량 구축에 집중하고 있다. 인민해방군 전략지원부대를 중심으로 사이버 작전 능력을 강화하고 있으며, 정보 수집과 기술 탈취를 위한 사이버 스파이 활동을 광범위하게 수행하고 있다. 중국의 사이버 전략은 방어보다는 공격에 중점을 두고 있다는 평가를 받는다.

러시아는 정보전과 사이버 작전을 통합한 하이브리드 전쟁 개념을 발전시켰다. 러시아의 사이버 작전은 기술적 공격과 정보 조작을 결합하여 상대국의 정치적 안정성을 훼손하는 것을 목표로 한다. 2016년 미국 대선 개입, 2017년 낫페트야 공격 등이 러시아 사이버 작전의 특징을 보여준다.

북한은 제한된 자원에도 불구하고 효과적인 사이버 역량을 구축했다. 라자루스 그룹 등을 통해 금융 기관을 표적으로 한 사이버 공격을 수행하여 외화 획득 수단으로 활용하고 있다. 2014년 소니 픽처스 해킹, 2017년 워너크라이 공격 등에 연루된 것으로 평가된다.

민간 부문의 역할과 공공-민간 협력

사이버 보안에서 민간 부문의 역할은 결정적이다. 핵심 인프라의 대부분이 민간 소유이고, 사이버 보안 기술의 혁신도 주로 민간에서 이뤄지기 때문이다. 하지만 민간 기업의 사이버 보안 투자는 사회적 최적 수준에 미치지 못하는 경우가 많다. 개별 기업의 피해와 사회 전체의 피해 간에 괴리가 있고, 사이버 보안의 긍정적 외부효과를 내부화하기 어렵기 때문이다.

정부와 민간 간의 정보 공유는 사이버 보안 강화의 핵심이다. 정부는 위협 정보와 취약점 정보를 민간에 제공하고, 민간은 사고 정보와 기술적 인사이트를 정부에 제공하는 상호 교환이 필요하다. 하지만 민간 기업들은 평판 훼손과 법적 책임을 우려하여 사이버 공격 정보를 공개하기를 꺼린다.

공공-민간 파트너십의 성공적 모델로는 미국의 사이버보안정보공유법, 영국의 사이버보안정보공유파트너십, 네덜란드의 국가사이버보안센터 등이 있다. 이들은 신뢰 구축, 법적 보호, 인센티브 제공 등을 통해 효과적인 협력 체계를 구축했다.

사이버 규범과 국제법의 적용

사이버 공간에 대한 국제법의 적용은 복잡하고 논란이 많은 영역이다. 기존 국제법이 사이버 공간에 적용되는지, 새로운 법적 프레임워크가 필요한지에 대한 논쟁이 계속되고 있다.

유엔 정부전문가그룹(GGE)은 기존 국제법이 사이버 공간에도 적용된다고 결론지었지만, 구체적인 적용 방식에 대해서는 합의에 이르지 못했다. 무력 사용 금지, 주권 존중, 비개입 원칙 등이 사이버 공간에서 어떻게 해석되어야 하는지가 쟁점이다.

사이버 작전의 무력 공격 해당성은 특히 논란이 되는 부분이다. 물리적 파괴나 인명 피해를 야기하지 않는 사이버 공격도 무력 공격에 해당할 수 있는지, 금융 시스템 마비나 정보 탈취가 무력 공격인지에 대한 명확한 기준이 없다. 탈린 매뉴얼 같은 학술적 노력이 있지만 법적 구속력은 없다.

사이버 영역에서의 자위권 행사도 복잡한 문제다. 사이버 공격에 대해 물리적 보복이 가능한지, 선제적 자위권이 인정되는지, 집단 자위권이 어떻게 적용되는지 등이 불분명하다. NATO의 제5조가 사이버 공격에도 적용될 수 있다고 선언했지만, 구체적인 발동 기준은 명시하지 않았다.

사이버 범죄와 법 집행의 도전

사이버 범죄는 국경을 초월하는 특성으로 인해 전통적인 법 집행에 큰 도전을 제기한다. 범죄자, 피해자, 증거, 서버가 모두 다른 국가에 있을 수 있어 관할권과 증거 수집이 복잡해진다.

사이버 범죄 협약(부다페스트 협약)은 사이버 범죄에 대한 국제 협력의 기초를 제공하지만, 가입국이 제한적이고 서로 다른 법제도와 절차로 인해 실질적 협력에는 한계가 있다. 특히 러시아, 중국 등 주요국이 가입하지 않아 글로벌 협력에 공백이 존재한다.

증거 수집과 보전도 기술적 도전이다. 디지털 증거의 휘발성, 암호화, 익명화 기술 등으로 인해 전통적인 수사 기법이 통하지 않는 경우가 많다. 클라우드 컴퓨팅의 확산으로 데이터가 여러 국가에 분산 저장되어 있어 증거 수집이 더욱 복잡해졌다.

사이버 보험과 위험 관리

사이버 위험의 증가와 함께 사이버 보험 시장이 급성장하고 있다. 사이버 보험은 사이버 공격으로 인한 직접적 손실과 간접적 비용을 보상하여 기업의 사이버 위험 관리를 지원한다. 하지만 사이버 위험의 특성상 보험 설계와 운영에 여러 도전이 있다.

첫째, 사이버 위험의 정량화가 어렵다. 과거 데이터가 부족하고 위협 환경이 빠르게 변화하여 정확한 위험 평가가 힘들다. 둘째, 상관관계가 높다. 하나의 사이버 공격이 여러 기업에 동시에 피해를 줄 수 있어 포트폴리오 효과가 제한적이다. 셋째, 도덕적 해이 문제가 있다. 보험이 있으면 사이버 보안 투자를 소홀히 할 유인이 생긴다.

사이버 보험의 발전은 사이버 보안 강화에 긍정적 영향을 미칠 수 있다. 보험회사의 위험 평가와 보안 요구사항이 기업의 보안 수준 향상을 유도하고, 사고 대응과 복구 지원을 통해 피해를 최소화할 수 있다. 하지만 보험만으로는 사이버 위험을 완전히 해결할 수 없으며, 다른 정책 수단과의 조합이 필요하다.

인공지능과 사이버 보안의 미래

인공지능의 발전은 사이버 보안에 기회와 위협을 동시에 제공한다. 방어 측면에서는 AI를 활용한 위협 탐지, 행위 분석, 자동 대응 시스템이 사이버 보안을 크게 향상시킬 수 있다. 머신러닝 알고리즘은 대량의 데이터에서 패턴을 찾아 새로운 위협을 식별하고, 정상 행위와 비정상 행위를 구분할 수 있다.

하지만 공격 측면에서도 AI가 활용될 수 있다. AI 기반 공격은 더욱 정교하고 은밀하며 적응적일 수 있다. 딥페이크를 이용한 사회공학 공격, AI 기반 취약점 발견, 자동화된 공격 최적화 등이 가능하다. 또한 적대적 머신러닝을 통해 AI 방어 시스템을 우회하거나 무력화할 수도 있다.

AI와 사이버 보안의 군비경쟁은 향후 사이버 공간의 모습을 결정할 중요한 요인이 될 것이다. AI 기술의 발전 속도, 접근성, 그리고 규제 방향이 사이버 보안의 미래를 좌우할 것이다.

결론

사이버안보는 21세기 국제안보의 가장 복잡하고 역동적인 영역 중 하나다. 사이버 공간의 고유한 특성은 전통적인 안보 개념과 전략에 근본적 도전을 제기하며, 새로운 사고와 접근법을 요구한다. 귀속 문제, 비대칭성, 익명성 등으로 인해 기존의 억제와 방어 논리가 그대로 적용되기 어려우며, 새로운 형태의 억제와 방어 전략이 필요하다.

사이버 위협의 다양성과 복잡성은 단일한 해결책이 존재하지 않음을 의미한다. 국가별로 서로 다른 사이버 전략과 역량을 발전시키고 있으며, 민간 부문과의 협력이 필수적이다. 사이버 규범과 국제법의 발전도 여전히 진행 중이며, 국가 간 합의 도출이 쉽지 않다.

인공지능과 같은 신기술의 등장은 사이버 보안에 새로운 차원을 추가하고 있다. 이는 더 큰 기회와 위협을 동시에 제공하며, 지속적인 기술 혁신과 정책 대응이 필요함을 보여준다. 사이버안보는 기술적 문제를 넘어 경제적, 사회적, 정치적 차원을 포괄하는 종합적 과제로, 다층적이고 다차원적인 접근이 요구된다. 무엇보다 국제 협력과 다자간 거버넌스의 강화가 사이버 공간의 안정성과 보안을 확보하는 핵심이 될 것이다.