사이버 안보정책 및 체계 - 대한민국

배경

대한민국의 정보화 발달과 사이버공간의 확대는 역설적으로 사이버공격의 주요 대상 국가로 우리나라를 위치시키고 있다. 세계 최고수준의 정보통신 인프라는 그만큼 대한민국의 사이버공간이 외부의 공격에 쉽게 노출될 수 있음을 의미한다. 한국을 대상으로 하는 사이버 공격은 개인과 기업을 넘어 공공기관과 국가기관으로까지 확대되고 있으며, 그 피해 규모와 파급효과는 점차 증가하고 있다.

특히 우리나라는 분단이라는 특수한 안보 상황으로 인해 사이버 무기를 비대칭 전력으로 활용하는 북한으로부터의 위협에 노출되어있다. 사이버무기는 국가 간 경계가 불명확하고 공격 발원지 추적이 매우 어렵다는 점에서 전형적인 비대칭 전력 수단이고 북한의 사이버공격 능력은 매우 높은 수준으로 평가받고 있다.

또한, 사이버위협의 주요 근원으로 식별되고 있는 중국은 세계 최대의 해커 병력을 보유하고 있어 최근 국제사회의 우려를 증가시키고 있다. 아직 가시화되지는 않았으나, 대한민국의 사이버공간은 중국의 사이버 공격 가능성에 상당히 노출되어 있다.

우리나라에 대한 사이버 공격의 증가에도 불구하고 사이버 공격에 대한 방어는 상당한 어려움을 겪고 있다. 사이버 공격은 공격징후를 사전에 파악하기 어렵고 민‧관‧군 등 모두를 공격대상으로 삼기 때문에 모든 공격에 대한 방어가 불가능하다. 그리고 최근의 급속한 정보통신기술의 발전을 보안기술이 따라가지 못하기 때문에 기존방어체계의 한계를 뛰어넘는 사이버 공격에 대한 방어는 더욱 어렵다고 볼 수 있다. 세계 최고 수준의 정보통신기술 및 인프라와 함께 사이버 공격의 주요 대상인 오늘날 한국의 사이버공간 환경은 우리에게 국가안보의 새로운 도전영역으로 등장하고 있다.

최근 국가 간 정치‧경제‧군사적 분쟁은 사이버 공격으로 이어지고 있으며, 러시아의 우크라이나 침공에서 보듯이 물리적 공격 전후에 사이버 공격을 진행하는 사례가 발생하고 있다. 또한, 국가‧테러단체 등의 개입으로 사이버 공격으로 인한 피해 규모와 심각성이 확대되어 국가안보에 대한 위협으로 대두되고 있다. 따라서 사이버공간에 대한 안보역량을 국가안보의 중요전력으로 인식하고 있으며, 사이버공격 역시 국가안보 차원에서 대응하고 있다.

2. 사이버 안보전략 및 정책

대한민국의 사이버 안보 전략은 그동안 주요 사이버 도발이 발생할 때마다 대책 마련 차원에서 이루어져 왔다. ｢국가사이버위기 종합대책(2009)｣, ｢국가사이버안보 마스터플랜(2011)｣, ｢국가사이버안보 종합대책(2013)｣등을 거쳐 2019년 4월｢국가사이버안보전략｣의 수립으로 나타났다. ｢국가사이버안보전략｣수립 이전의 시기에 수립된 사이버안보 전략들이 과제 중심의 액션플랜 성격을 띠고 있었다면, ｢국가사이버안보전략｣은 포괄적‧종합적 사이버안보 전략이다. 이는 국가안보실에서 수립‧발표한 국가안보 전략의 부문 전략이며 사이버안보 정책의 최상위 지침 성격을 지니고 있다.

｢국가사이버안보전략｣은 수립배경, 비전 및 목표, 전략과제, 이행 방안 등 4개의 장으로 구성되어 있는데 ｢국가사이버안보전략｣의 비전은 “자유롭고 안전한 사이버공간을 구현하여 국가안보와 경제 발전을 뒷받침하고 국제 평화에 기여”하는 것이며, 이를 달성하기 위해 ‘3대 목표’와 ‘3대 원칙’을 제시하고 있다. ‘3대 목표’는 국가 주요기능의 안정적 수행, 사이버공격에 빈틈없는 대응, 튼튼한 사이버안보 기반 구축이며, ‘3대 원칙’은 국민 기본권과 사이버안보의 조화, 법치주의 기반 안보활동 전개, 참여와 협력의 수행체계 구축이다. 그리고 한국의 사이버안보 비전과 목표를 달성하기 위한 전략 과제로는 국가 핵심 인프라 안전성 제고, 사이버공격 대응역량 고도화, 신뢰와 협력 기반 거버넌스 정립, 사이버보안 산업 성장기반 구축, 사이버보안 문화 정착, 사이버안보 국제협력 선도 등 ‘6대 과제’를 제시하고 있다.

정부는 ｢국가사이버안보전략｣의 구체적인 추진을 위해 2019년 9월 ｢국가 사이버안보 기본계획｣을 수립‧발표하였다. 정부는 ｢국가사이버안보전략｣과 ｢국가 사이버안보 기본계획｣의 성실한 시행을 위해 부처별로 ｢국가 사이버안보 시행계획｣을 수립‧추진할 것을 밝히고 있으며, 이는 각 부처에 국가 사이버안보에 대한 책임성을 부여하는 한편, 법제도, 정책 등 추진과제의 실천력을 제고하기 위한 조치로 볼 수 있다.

현재 한국의 국가 사이버안보 전략체계는 ｢국가사이버안보전략｣-｢국가 사이버안보 기본계획｣-｢국가 사이버안보 시행계획｣으로 이루어져 있다. ｢국가 사이버안보 기본계획｣은 ‘6대 전략과제’를 뒷받침하기 위한 18개 중점과제와 100개의 세부과제를 제시하고 있으며, 2022년까지 단계적으로 추진될 예정이다.

3. 사이버 안보 추진체계

우리나라는 2005년 1월 대통령 훈령으로 ｢국가사이버안전관리규정｣을 제정하면서 국가안보 차원에서 사이버위협에 대한 대응을 추 진하기 시작하였다. 현재 한국의 국가사이버안보 추진체계는 청와대 국가안보실을 컨트롤타워로 국가정보원, 과학기술정보통신부, 국방부가 각각 공공분야, 민간분야, 국방분야를 담당하는 민‧관‧군 종합 대응체계로 구축되어 있다.

국가안보실은 사이버안보 컨트롤타워로서 사이버안보비서관을 두고 있으며, 체계적인 사이버안보 수행체계 정립‧발전, 사이버공간의 안전한 보호 및 사이버전 수행능력 확보 등 국가 사이버안보 수행 체계 강화를 통하여 선진국 수준의 사이버안보 대응역량 강화를 추진하고 있다.

또한, ｢국가사이버안보전략｣을 수립‧시행하고 있으며 민‧관‧군의 사이버안보 협력체계 활성화를 위한 법‧ 제도의 지속적 개선, 사이버위협 예방 및 대응능력 강화, 국제협력 활성화 등을 추진하고 있다.

국가정보원은 국가‧공공기관에 대한 사이버공격을 예방 대응하는 업무를 수행하고 있다. 국가정보원은 2004년 2월 출범한 ‘국가사이버 안전센터(National Cyber Security Center: NCSC)’를 중심으로 중앙 행정기관과 공공기관의 사이버위협 정보를 체계적이고 효율적으로 배포‧공유하기 위하여 2015년 ‘국가사이버위협 정보공유시스템’을 구축하여 운영하는 등 사이버위협 정보의 허브 역할을 수행하고 있다. 국가기관과 공공기관에 사이버공격이 발생하면 각급 기관은 국가정보원 국가사이버안전센터에 최초 상황보고를 하고 있다.

국방부는 사이버공간에서 사이버 작전 시행을 위해 ‘사이버작전사령부’를 두고 있다. 사이버작전사령부는 2010년 1월 ‘사이버사령부’로 출범하였으며 창설 당시에는 국방정보본부 예하에 있었으나 ｢국방개혁 307계획｣에 따라 2011년 9월 국방부장관 직할부대가 되었다. 현재는 합동참모본부의 직할부대로 사이버방호관련 콘트롤 타워 역할을 하고 있다.

‘사이버작전사령부’는 국방 분야의 사이버안보를 담당하고 있으며, 사이버작전의 계획 및 시행, 사이버작전과 관련된 사이버보안 활동, 사이버작전에 필요한 체계 개발 및 구축, 사이버작전에 필요한 전문 인력의 육성 및 교육훈련, 사이버작전 유관기관 사이의 정보 공유 및 협조체계 구축, 사이버작전과 관련된 위협 정보의 수집‧분석 및 활용, 그밖에 사이버작전과 관련된 사항 등의 임무를 수행하고 있다.

과학기술정보통신부는 민간분야 침해사고 예방‧대응체계의 구축‧운영, 민간분야 주요 정보통신기반시설의 지정 권고 및 취약점 분석‧평가, 전자인증, 정보보호산업 및 정보보호 인력 관련 주요 정책 수립‧추진 등 민간분야 정보보호에 관한 업무를 수행하고 있다. 과학기술정보통신부는 국내 인터넷 이상모니터링과 홈페이지 악성 코드 감염 등 민간부문에 대한 사이버공격에 예방‧대응하기 위해 노력하고 있다.

4. 사이버 안보정책의 방향

가. 한반도 주변의 사이버 안보정세를 정확히 인지하고 대응해야 한다.

실재하는 위협을 인지하지 않는 것만으로도 국가안보는 취약해질 수 있다.

한반도 주변에서 전개되고 있는 사이버 군사력 경쟁, 그리고 북한의 사이버 역량 강화와 글로벌 이슈화의 추세 등 한국의 사이버 안보 전략과 정책수립에 있어서 가장 선제되어야 하는 것이 환경에 대한 정확한 진단이며 분석이라고 할 수 있다. 미중 양국을 중심으로 사이버 관련 군사전략과 군사조직, 기술이 지속적으로 늘어나고 있는 추세이다. 이러한 사이버 군사력 강화의 추세는 단순히 미중만의 문제가 아니다. 독일도 2009년에 사이버 전쟁 부대를 신설하였고, 네덜란드도 2011년에 새로운 사이버 안보전략을 발표하였다.

영국과 프랑스, 호주와 에스토니아 등도 각각 2009년과 2011년에 사이버 전쟁 담당 부대를 신설하였고, 이스라엘은 8200부대를 보유하고 있다.

사이버 군비경쟁의 환경에 대한 정확한 이해를 바탕으로 사이버 공간에 대한 한국의 외교안보전략을 수립해야 한다.

나. 사이버 안보 역량 강화의 문제이다. 사이버 군사력은 핵이나 미사일과 같은 무기와 달라 누가 얼마나 많은 역량을 보유하고 있는지, 어떠한 기술이 있고 어떠한 기술이 없는지를 객관적으로 파악하고 평가하기 어려운 특징을 가진다. 누가, 그리고 얼마만큼 강력한 기술을 개발하고 있는지 탐지하고 추적하는 것도 어렵다. 핵무기와 달리 사이버 무기는 결국 사용되지 않고 있을 뿐 이미 어디선가 누군가에 의해 상상하기 어려운 파괴력을 지닌 사이버 무기가 생산되고 있을 수도 있기 때문에 개별국가들이 가진 사이버 공간의 위협인식과 함께 역량강화의 필요성이 급속도로 확대되고 있는 이유이다.

이러한 현실 속에서 사이버 역량을 갖추고 사이버 군사력을 간추는 것은 국가안보의 현실적 필요와 향후 규범질서의 창출을 위한 중견국의 역할을 위해 더욱 필요하다. 국제규범과 집단안보의 창출에 있어 한국의 기여는 사이버 안보에 대한 지식과 기술, 효율적 거버넌스를 가지고 있을 때 더욱 실현가능할 것이다.

다. 사이버 안보 규범의 문제에 관심을 기울여야 한다. 사이버 안보의 문제는 사이버 공격력 등 기술의 발달이 이를 억제하기 위한 규범과 제도의 발전보다 빠르다는 것이다. 대응할 수 있는 인식의 수준과 제도, 체계가 부족한 상황에서 기술이 군사적으로 실제 사용되었을 때 세계가 직면할 수 있는 혼돈과 위험을 고려하면 사이버 전쟁의 위험성에 대한 공통의 이해와 노력을 도출하기 위한 노력이 시급하다. 더욱이 최근 인공지능(AI) 무기개발 등의 뉴스가 자주 등장한다. 기존의 사이버 공간의 군사화와 함께 4차 산업혁명의 군사화가 동시에 진행될 경우, 전통적 사이버 공간의 공격력과 4차 산업혁명의 기술력이 결합할 경우 사이버 전쟁의 양상을 전혀 다르게 진화시킬 수 있다. 사이버 전쟁의 파괴력은 현재의 상상을 초월할 수도 있다. 결국 사이버 공간의 교전규칙, 기술 발전에 대한 윤리 규범 등 시급한 규범과 제도의 필요성과 이를 구체적으로 만들어가는 데 있어 중견국으로서의 한국의 역할을 고민해야 한다. 특히 북한으로부터의 직접적 위협과 미중 사이버 군사력 경쟁은 물론 주변 강대국들이 전개하고 있는 사이버 군비 경쟁의 간접적 위협을 동시에 가지고 있는 한국으로서는 인류 공동의 미래를 위해 적극적으로 사이버 전쟁과 관련된 국제규범과 제도의 구축에 역할을 해야 한다.

라. 사이버 위협의 증대와 사이버 군비경쟁이 강화되는 현실 속에서 사이버 분야의 집단안보체제 구축은 무엇보다 중요한 과제이다. 사이버 공간의 특성상 공격을 방어하기 어렵고, 억지하기 어려울 뿐만 아니라 공격의 주체를 규명하고 보복하는 것에 상당한 한계가 존재한다. 2007년 에스토니아와 2008년 조지아에서 각기 다른 형태로 러시아와의 분쟁 중에 일어났던 사이버 공격에 대해 러시아정부가 공격의 배추에 있다고 증명하기 어려웠던 것과 같이 사이버 공격은 특정 국가를 지정하여 책임을 묻거나 대응하기 어려운 특성을 가지고 있고, 이것이 세계질서의 잠재적 불안 요인이다. 국가와 비국가 행위자들의 사이버 역량이 급속도로 향상되고 사이버 공격의 특성상 누가 공격을 했는지에 대한 규명과 책임을 묻는 것이 매우 어렵다는 점에서 정보와 기술을 공유하고 함께 대응하는 공동안보, 집단안보의 필요성은 더 높아진다고 하겠다.

사이버 공격의 주체를 규명하기도 어려운 상황에서 전통적 군사력으로 사이버 공격에 대응하는 것 또한 정당성을 확보하기 어렵다. 이것이 사이버 공간에서의 집단안보체제가 시급히 요구되는 이유이다. 다자의 합의와 협력에 의한 규범과 체제를 구축하여 사이버 공격의 기술과 양상, 주체와 행위들을 지속적으로 감시하고 공동대응하는 것이다. 그것이 사이버 전쟁이 오프라인 전쟁으로 확전하는 것을 관리하고 사이버 공간의 위협과 분쟁을 완화하고 사이버 공간의 안전을 지키기 위한 핵심과제이다.

마. 한국의 사이버 안보 전략 수립과 실천을 위한 정부체계에 대한 검토의 필요성이다. 사이버 안보정세의 변화에 대한 인식을 근거로 한국은 두 가지 길을 선택할 수 있다. 하나는 한국도 사이버 군비 경쟁에 참여하여 사이버 군사력을 증강해야 한다는 것이고 또 다른 하나는 사이버 전쟁이 가지고 올 수 있는 파괴력을 공유하고 이에 대한 집단안보와 규범의 창출을 위해 역할해야 한다는 것이다.

비용은 들지만 한국이 즉각적 독자적으로 추진할 수 있는 것은 전자일 것이다. 규범과 제도의 창출과 이후 사이버 안보 분야의 중강국으로서의 역할을 수행하기 위해 기술역량을 발전시켜 간다는 것이 더 바람직하다고 생각한다. 이를 위한 전략과 과제, 기술력 등을 체계적으로 구축, 관리하고 이행해갈 국가 차원의 중심체계를 검토할 필요가 있다.

※ 출처

김상배. (2017). 국가 사이버 안보전략의 국제비교. 서울: 서울대학교 국제문제연구소 워킹페이퍼 No.7

김상배. (2017). 사이버 안보의 국가전략. 서울: 사회평론아카데미. pp.313-317

김상배. (2019). 사이버 안보의 국가전략2.0. 서울: 사회평론아카데미. pp.51-57

김상배. (2019). 사이버 안보의 국가전략3.0. 서울: 사회평론아카데미. pp.20-67

국가사이버안보전략. (2019). 국가안보실. pp.18-20

오일석. (2021). 바이든 정부의 사이버안보 정책 전망(No.119). 서울: 국가안보전략연구원 INSS전략보고.

성기영. (2021). 전략리뷰 2021-7호. 바이든 행정부 대북정책에 대한 미중러 3국 전략가들의 시각과 시사점. 서울: 국가안보전략연구원 INSS전략보고.

권택광. (2022). 2022 상반기 정세 포커스. 서울: 국가안보전략연구원 INSS전략보고. pp.15-17

오일석. (2022). 2022 상반기 정세 포커스. 서울: 국가안보전략연구원 INSS전략보고. pp.94-96

채재병 외 3인. (2019). 주변국의 사이버 환경과 한반도 평화체제 구축. KINU연구총서 19-29. pp.