사이버 안보정책 및 체계

[에스토니아]

1. 역사적 배경

세계 1차 대전 이후 전쟁에서 패배한 러시아 제국의 국력이 약화 되자 에스토니아는 1918년 러시아로부터 독립했다.

1918년 러시아는 제국도 아니고 소련도 아닌 무정부 상태에서 내란 중이었고, 볼셰비키 군대는 러시아 왕당파의 백색 운동군과 대립하는 등 여러 군사 전선의 갈등으로 인해 러시아는 약화된 상태였다. 그래서 에스토니아는 소국이었지만 러시아 볼셰비키의 침략 시도를 잘 이겨냈고 1940년까지 타국과 군사동맹을 맺지 않은 상태로 자주 독립을 유지하는데 성공했으나 1922년 강대국인 소련이 새로이 등장하면서 1940년에 다시 소련에 의해 정복당했다.

이런 역사적 배경에 의해 에스토니아는 러시아의 모든 행위를 자국에 대한 외부 위협으로 받아들였고, 나토(NATO, 북대서양 조약기구)와의 관계를 통해 강대국과의 사이에서 힘의 균형을 이루고자 했다.

2. 사이버 안보정책

2007년 러시아의 사이버 공격은 에스토니아의 독자적인 사이버 안보전략 마련에 직접적인 계기를 제공하였다. 이후 에스토니아의 대응은 주로 군사적 접근을 취했는데, 그 기저에는 러시아에 대항하기 위해 나토(NATO)라는 동맹을 활용하려는 전략적 의도가 깔려있었다. 다시 말해 구소련 연방에서 탈피하여 독자적인 발전전략을 추구하는 과정에서 친서방적인 노선을 취하려는 구조적 상황이 에스토니아의 사이버 안보전략에 반영되었다. 이러한 군사동맹의 관점에서 사이버 안보에 접근한 에스토니아의 행보는 오프라인 공간의 국제법, 특히 전쟁법 규범을 사이버 공간의 공격 행위에 적용하여 사이버전의 교전수칙을 마련하려는 시도로 나타났는데, 그 대표적인 사례가 나토(NATO)의 총괄 하에 작성되어 2013년에 발표된 ‘탈린 매뉴얼’이다. 사이버 안보 분야에 있어에스토니아가 취하고 있는 태도는 전통안보의 경험에서 추출된 동맹모델을 사이버 안보 분야에 적용하려는 일종의 현실주의적 태도이다. 또한, 에스토니아의 대내외 정책 지향성은 기본적으로는 국가 주권 프레임에 기반으로 두고 국제협력을 모색하는 모습을 가지고 있다. p.24-25

3. 사이버안보위원회가 컨트롤타워의 역할을 담당하고 있다. 사이버 안보의 실무전담기관은 2011년 국방부에서 경제통신부로 이관되었는데, 현재 사이버안보위원회의 지휘 하에 경제통신부 산하의 정보 시스템 당국(Riigi Infosüsteemi Amet, RIA)이 실무전담기관을 맡고 있다.

RIA는 국가 주요 기반시설과 주요 정보시설을 보호하고 위험 분석을 진해하며 대응책을 사전 준비하는 업무를 담당한다. RIA 내에 설치된 CERT-EE는 RIA에서 관리하는 정보통합시스템과 정부 포털을 보호하며, 에스토니아의 정보통신 네트워크에서 발생한 사건을 최대한 빠른 시간 내에 해결하는 임무를 맡고 있다. 한편 2018년 5월 에스토니아 의회는 최초로 사이버안보법을 통과시켰다.

에스토니아의 사이버 안보 추진체계는 컨트롤타워가 총괄하는 가운데 그 산하에서 실무전담기관이 운용되는 메타 거버넌스형이라고 할 수 있다. p.35

가. ‘호랑이의 도약’ ICT기술 개발 프로젝트(1996)

① 에스토니아에게 구소련의 미개발 소국의 이미지로부터 탈출하고 유럽의 시스템으로 통합될 소중한 기회가 되었다.

② 에스토니아가 자국의 정체성을 만들고 NATO 네트워크 안에서 무임승차의 이미지를 피하기 위하여 틈새를 잡을 수 있게 중요한 역할을 한 것

나. ‘청동의 밤’(The Bronze Night)

① 2007년 4월 26일 에스토니아 정부 명령으로 탈린 시내에 있던 소련군 동상이 교외에 있는 묘지로 옮기게 되었다.

② 역사적으로 20세기의 에스토니아 국가는 1918년에 등장했지만 1940년 소련의 침략을 당했으므로 에스토니아 입장에서 소련군 동상 등 소련에 대한 아픈 기억들을 지우고 싶어함

③ 에스토니아의 러시아 동포 시위대가 모여서 큰 폭동

④ 정부관계기관의 웹사이트에 대한 대규모의 디도스(DDoS) 사이버 공격: 4월 27일 공격 시작-5월 18일까지

3. 사이버 안보전략 특징

가. 국방전략의 필수적인 요소이고 국가의 주요 기반시설이 의존하는 영역임

상비 군사력이 크지 않기에 방위군에만 의존할 수밖에 없다.

즉 시민사회의 도움을 많이 필요로 한다.

→ 에스토니아 수호 리그 사이버 부대 등은 국방부에 의해 운영되지만 정부기관이 아닌 봉사단이 사이버 군사방위력을 키우는데 참여한다.

나. 국방에 참여할 수 있을 만큼 에스토니아의 시민사회가 강함

다. 러시아의 사이버 공격 활동 등 강대국의 행위로부터 자국을 보호하기 위해에스토니아가 나토(NATO)의 플랫폼에서 사이버 집단방위시스템의 설립을 먼저 주장함

4. 사이버 안보 추진체계

2008년에 국방부의 주도 아래 에스토니아 최초의 국가 사이버 안보전략은 등장하였고 2011년까지 전국적 사이버 안보 정책은 종합적으로 국방부의 조정을 받고 있었다. 하지만 에스토니아의 CERT-EE를 담당하고 있는 경제통신부 등의 특이한 정부기관의 구조를 고려하여 2011년 국가 사이버 안보에 대한 종합 책임이 국방부에서 경제통신부에 옮겨졌다.

가. 사이버 안보의회(Cyber Security Council of the Security Committee of the Government) : 경제통신부의 활동, 국가 사이버 안보전략의 이행 및 사이버 안보 영역에서 정부기관 간의 협력을 감독하며 그것에 관련한 연간 진도 보고서를 담당하는 기관, 정부의 안보의회 안에 있다.

나. 정보 시스템 당국(RIA) : 에스토니아 경제통신부 안에서 사이버 안보의 추진체계 컨트롤타워의 역할을 하며 국가 주요 기반시설과 주요 정보시설을 보안하고 그에 대한 위험 분석을 진행하고 대비 방법을 미리 준비하는 업무를 실시한다. 위험이 발생 시 정보 시스템 당국은 개인을 중심으로 조사를 실행하고, 신분증 등의 서류를 요청하며 조사를 받는 중인 개인이 이용하고 있는 부지를 검사하는 등의 활동을 에스토니아 정보공개법 및 법집행법에 따라 개인정보 감독기구와 함께 실행한다.

다. CERT-EE : 정보 시스템 당국의 중앙에서 관리하는 정보 통합 시스템 X-Road 및 정부의 포털 ‘eesti.ee’를 보안하도록 하고 에스토니아 ICT와 사이버 네트워크에서 발생한 사건을 최대한 빠른 시간 안에 해결하도록 하는 기관이다.

라. CIIP : 2008-2013년도의 사이버 안보 국가전략에 따라 2010년 에스토니아 정보 시스템의 당국(RIA)시스템에서 정보 중 기반시설의 보안을 담당

마. 전국위기관리의회(National Crisis Management Committee) : 긴급사태가 발생하지 않도록 국가 주요 기반시설을 보안하고 위기 가능성을 분석하고 위기 발생 시 총리의 정책을 도입하는 기관

바. 전국 공안 서비스(Estonian Internal Security Service) : 사이버 스파이, 사이버 테러, 극단주의 , 사보타주 등의 사이버 공간 안에서 에스토니아 국가나 그의 국민에게 피해를 야기할 수 있는 범죄를 조기 발견하고 사건이 이미 발생한 시점엔 그것을 조사하는 데 핵심적인 역할을 한다.

[에스토니아의 사이버 안보 추진체계]

[에스토니아 사이버 사령부]

주성훈. (2021). 독일을 위한 사이버 안보전략 2021. 서울:독일입법관.

김상배. (2017). 국가 사이버 안보전략의 국제비교. 서울: 서울대학교 국제문제연구소 워킹페이퍼 No .7