지난 4월 22일 미국 국방성은 <미국 국방성 사이버 전략>이라는 새로운 전략 문서를 발표했다. 이는 지난 2011년 7월에 발표한 <DoD Strategy for Operating in Cyberspace> 이후로 미국 국방성의 공식적인 두 번째 사이버 전략 문서이다. 사이버 전쟁의 특징과 주요 사례
오바마 대통령은 지난 2012년 미국 국방성으로 하여금 중대한 결과를 초래할 수 있는 사이버 공격에 대해 국가를 방어할 계획을 수립하고 조직을 건설하라고 명령을 내렸다. 이에 따라 미국 국방성은 2012년부터 실제 사이버 임무부대를 만들기 시작했다. 사이버 전략은 미국 국방부의 사이버 임무를 수행하기 위해 사이버 임무부대와 사이버 역량을 갖추는 것에 초점을 맞추고 있다. 이 문서에서는 이러한 사이버 전략의 등장 배경의 하나로 북한의 소니 영화사 공격사례를 명확히 언급하고 있다. 또한 기존에 중국과의 사이버 공격으로 인한 외교적 문제에 기인해 미국의 전력망, 통신시스템, 그리고 금융 네트워크 등이 정교한 사이버 공격에 대응하는지 시뮬레이션을 실시했다. 그 결과 적의 은닉, 익명성, 그리고 불예측성으로 인해 방어·추적·억제에 실패할 수밖에 없는 상황이라는 것을 명확히 인지하게 됐고 이로 인해 새로운 전략 문서가 탄생하게 됐다.
사이버 전쟁은 이러한 가시적인 원인에 기인해 구체적인 전략과 방향을 가지고 발전해오고 있다. 사이버 전쟁을 한 마디로 정의하기 어렵지만 그 특징을 살펴봄으로써 본질에 접근해 보고자 한다.
첫 번째 특징은 비대칭 전력이라는 것이다. 물리적인 충돌 없이 승리할 수 있는 최신 비대칭 전쟁의 한 영역으로서 적은 비용으로 최대의 효과를 줄 수 있다. 또한 공격자의 익명성이 보장되고 공격자가 노출돼도 보복이 어려워 공격자에게만 유리한 전쟁이다. 보통 공격 소프트웨어를 구입해 공격하는데 평균 2백 달러에서 4백 달러면 구입이 가능하다. 하지만 방어를 위해 지불되는 투자와 비용은 천문학적 규모이다. 두 번째 특징은 비 국가행위자가 수행할 위험성이 높다는 것이다. 국제법은 국가 사이의 무력 사용만을 규제하는 반면 사이버 전쟁은 비 국가행위자에 의해 수행이 가능하며 사이버 공격은 누구나 소프트웨어 개발 능력만 있으면 제작, 구매, 대여해 수행이 가능한 것이다. 세 번째는 피해양상이 전통 무기와는 확연히 다르다는 것이다. 사이버 전쟁의 무기는 대부분 물리적 피해와는 관련이 없어 전통적인 무기 개념에 포함이 어렵다. 따라서 사이버 전쟁 역시 UN헌장 제2조 4항에서 금지하는 무력 사용이라고 보기가 어렵다. 네 번째는 피해대상의 구분이 어렵다는 것이다. 사이버 전쟁은 목표를 지정해 공격하는 것이 어려우며 공격대상이 되는 컴퓨터의 민·군 구분도 쉽지 않다. 공격을 원치 않은 대상이라도 같은 취약점이 존재한다면 영향을 미칠 수 있어 윤리성 논란이 존재하기도 한다. 다섯 번째는 공격자 식별 및 사실관계 확인에 어려움이 따른다는 것이다. 사이버 공격은 좀비 PC의 이용, 타국 서버 경유 등을 통해 이뤄져 공격자 식별 및 확인이 어렵다. 전반적으로 방어자에게 과도한 부담을 지우는 비대칭성 공격이며 공격자 역추적 및 식별의 어려움으로 정당한 보복과 처벌을 통한 전쟁 억제를 힘들게 하는 문제가 있다. 마지막으로는 공격자에게도 피해 전파 가능성이 있다는 것이다. 전 세계 모든 국가가 인터넷으로 연결됨에 따라 사이버 공격이 공격자에게도 전파될 가능성이 존재한다. 미국은 이라크 공격 시 이라크 금융시스템을 공격하려 했으나 자국에도 여파가 미침에 따라 공격을 포기한 사례도 있었다.
이러한 사이버 전쟁의 주요 사례를 살펴보면 가장 강력한 공격은 이란 나탄즈 우라늄 농축시설에 대한 ‘스턱스넷’이라는 신종 악성코드 공격일 것이다. 공격자는 이란 내부의 PC를 대상으로 약 3만 대를 감염시켰으며 원자력시설 내의 원심분리기를 오작동으로 조작해 정지시킨 사건이다. 여러 언론이 이 배경에는 이스라엘과 미국이 있다고 보도했고 그 목적은 이란의 우라늄 농축시설과 역량을 파괴해 핵무기 개발을 저지하는 데 있는 것으로 추정됐다. 사실 대규모 사이버 전쟁은 이미 지난 2007년 4월에서 5월까지 에스토니아에서 발생했다. 에스토니아가 소비에트전 기념 동상 철거계획으로 인해 러시아와 마찰을 겪자 에스토니아 의회, 은행, 정부부처, 언론사 및 방송국을 대상으로 DDOS 공격이 가해졌다. 이후 2008년 남오세티아(그루지아) 전쟁에 러시아가 참전하면서 물리적 전쟁과 함께 사이버 공격이 병행됐으며 이 때 대통령 홈페이지, 외교부, 국립은행 등이 DDOS 공격을 받았다.
앞으로 사이버 전쟁의 형태는 다양한 국가 사이에서 비공개적 형태로 빠르게 증가할 것이다. 이러한 충돌의 증가로 인해 안보 측면에서 심각한 이슈가 되고 있으며 이는 국제안보 측면에서 기존의 제네바 협약과 헤이그 협약을 사이버 공간에서 어떻게 해석하고 적용할 것인가에 대한 논의로 이어졌다. 미국과 러시아는 지난 2011년 뮌헨에서 열린 국제안보컨퍼런스에서 사이버 공간 및 사이버 전쟁에 대한 체계적인 분석을 통해 공동으로 열 가지 관찰 의견을 제시하고 이를 바탕으로 다섯 가지 공통 제안을 하기에 이른다. 그리고 기존의 전쟁법을 사이버 공간으로 확장하기 위해 연구를 진행했다. 그 결과 양국의 핵심 기반시설을 분류하고 사이버 공간에서의 전쟁법 적용을 위한 사이버 전쟁의 체계를 네 가지로 구분했으며 이중 반드시 보호돼야 할 인도주의적 핵심 기반시설의 보호 여부에 대한 표시를 해 나아갈 것을 언급했다.
이어서 NATO는 협동사이버방위센터(이하 CCDCOE)를 통해 <National Cyber Security Manual>을 발간하고 사이버 전쟁에 대한 국제적인 인식의 공유와 협업의 측면에서 용어를 정의함에 따라 문화와 환경의 차이에 따른 국가별 인식의 차이를 극복하기 위한 구체적인 공동작업을 진행했다. 이후 CCDCOE는 ‘탈린 매뉴얼’을 발간했다. 탈린 매뉴얼은 사이버 전쟁에서 적용되는 국제법을 담은 지침서를 말한다. 이 매뉴얼은 구속력은 없고 지침서의 형식을 취하고 있으나 최근 미국 오바마 정부의 사이버 전쟁 대응원칙의 논리를 제공해 주고 있다는 것은 부인할 수 없을 것이다.
최근 미국은 일본과 함께 사이버 전쟁과 우주 전쟁에 대해 긴밀한 협력을 하기로 협약했다. 이는 우리에게 큰 반향을 일으킨 바 있다. 사이버 전쟁과 관련한 동북아에서의 협력구조는 기존의 국제안보 관점에서의 협력구조와는 미묘하게 다른 국가별 입장이 있다. 이러한 이유로 한국을 둘러싼 국가 간의 가시적이며 포괄적인 협력은 더딜 수밖에 없다. 오히려 양자 간 이해에 따른 협력을 증진하면서 필요에 따라 다자간 협의 테이블을 마련하는 것이 현실적일 것이다.
국가 차원에서 사이버 전쟁 준비해야
사이버 공간은 영공, 영토, 영해와 더불어 이미 우리의 국가이익을 실현하는 중요한 터전이며 우리의 사이버 공간에서 창출되는 국부는 전 세계 그 어느 나라에 견주어도 부족함이 없고 국내 산업 중 가장 역동적인 영역이기도 하다. 자원이 부족해 인적 역량으로 전 세계의 국가들과 경쟁해야만 하는 우리는 사이버 공간을 지키고 이를 확대해야 한다. 또한 지금은 이 기반에서 지속가능한 국익의 증진을 위해 사이버 공간에 대한 안보요소인 사이버 전쟁에 대해 가시적이나 조용한 국가적 준비가 필요한 시기일 것이다.
