"민주주의 對 권위주의 대립 심화… SCCF, '인도태평양' 질서 위한 첫걸음""북중러, 평시에 여론 교란해 갈등 키워… 北 사이버역량, 韓과 비슷한 수준""평택 미군기지에 인도태평양 지역 정보융합센터 설치… 한국 위상 높여야""韓, 국가별 선례 적극적으로 남겨 향후 사이버안보 국제규범 개발 참여해야"
  • ▲ 윤석열 대통령과 조 바이든 미국 대통령이 지난 4월 26일(현지시간) 워싱턴DC 백악관에서 열린 소인수 정상회담에서 악수하고 있다. ⓒ뉴시스
    ▲ 윤석열 대통령과 조 바이든 미국 대통령이 지난 4월 26일(현지시간) 워싱턴DC 백악관에서 열린 소인수 정상회담에서 악수하고 있다. ⓒ뉴시스
    "한미 양국은 이 프레임워크(한미 전략적 사이버안보 협력 프레임워크)를 활용해 ▲사이버 적대세력 억지에 관한 협력을 확대하고 ▲핵심 기반시설의 사이버 안보를 증진하며 ▲사이버 범죄에 대처하고 ▲가상화폐 및 블록체인 애플리케이션을 보호하기로 한다. 양 정상은 북한의 불법적인 대량살상무기 및 탄도미사일 프로그램의 자금을 조달하는 북한의 불법 사이버 활동에 대해 우려를 표명했으며, 북한의 사이버 위협에 대응하고 사이버 외화수익을 차단하기 위해 정보공유를 확대하고 국제사회의 인식을 제고하기로 했다" (2023년 4월26일 '한미동맹 70주년 기념 한미 정상 공동성명')

    테러·사이버 안보 등 신(新)안보 전문가들은 윤석열 대통령과 조 바이든 미국 대통령이 채택한 이 공동성명이 "한미동맹을 사이버 공간으로 확장한 첫 선언"이라며 "이러한 선언이 실질적 성과를 거두기 위한 첫걸음은 사이버 협력"이라고 강조했다. 

    이 정상회담을 계기로 발표된 '전략적 사이버 안보 협력 프레임워크'(SCCF, Strategic Cybersecurity Cooperation Framework)는 "1953년 '한미상호방위조약'(MDT)을 사이버 공간으로 확장해 한미 간 사이버 협력 수준을 동맹급으로 격상한, 선언적 수준보다 좀 더 구체적인 협의안"이라고 한목소리로 평가했다.

    전문가들은 10일 국가정보원 산하 한국사이버안보학회가 '주변 4망(網)과 사이버 안보전략①: 사이버 안보분야 한미 정상회담의 성과와 과제'를 주제로 연 '제1차 KACS 국가전략포럼'에서 SCCF가 인도-태평양 지역에서 갖는 의미, 한미 사이버 협력의 전략적 요구사항, SCCF의 규범적 쟁점(자위권과 무력공격, 국가책임과 귀속, 상당주의 원칙) 등에 관한 의견을 교환했다. 

    "민주주의 對 권위주의 대립 심화… SCCF, '인도-태평양' 질서를 위한 첫걸음"

    정성철 명지대 정치외교학과 교수는 "한미 정상은 공동성명에서 연계한 사이버 범죄와 북한의 핵·미사일 문제는 다른 인도-태평양 주요 이슈들에서도 찾을 수 있는 것들"이므로 "한미 양자는 사이버 안보를 통한 인도-태평양 질서 수립에 돌입"했으며 "글로벌 동맹을 선언한 한미가 사이버 안보를 증진하고 사이버 규범을 확립하는 노력을 함께하는 것은 인도-태평양 질서를 위한 첫걸음"이라고 평가했다.

    정 교수는 "우크라이나전쟁에서 드러나듯 지상전과 사이버전은 상호 연계돼 있다. 사이버를 통한 정보심리전이 진행되는 가운데 물리적 공간에서 재래식 전력을 활용한 전투가 일어난다. 서방의 군용 위성과 상용 위성 지원은 우크라이나 정보통신망의 마비를 막았을 뿐 아니라, 러시아 군사작전에 대한 정보를 제공하는 가운데 러시아 군사작전에 대한 정보를 제공하고 정보심리전의 열세를 막았다"며 "한미 양국은 사이버를 하나의 독립공간으로 바라보는 전통적 시각에서 벗어나야 한다"고 강조했다.

    이어 "사이버가 불안한 상황에서 인도-태평양의 안정을 도모하는 것은 힘들다. 사이버 영역에서 중국·러시아·북한·이란의 위협에 취약하다면 규칙기반 질서의 미래는 어두울 수밖에 없다"며 "복합지정학의 관점에서 인도-태평양의 미래를 위한 한미동맹의 시작은 사이버 협력에서 시작해야 한다"고 말했다.

    특히 정 교수는 2020~21년 양국 간 발생한 사이버 충돌은 총 425건인데, 민주주의-민주주의 분쟁 29회( 6.82%)와 권위주의-권위주의 분쟁 25회(5.88%)에 비해 민주주의 권위주의 분쟁은 222회(52.24%), 민주주의-혼합체제 분쟁은 97회(22.82%)에 이른다. 전체 사이버 분쟁 중 상이한 정치체제 간 발생한 비율이 79.06%(336건)에 이른다"며 "인도-태평양에서 갈등 중인 미국과 중국, 혹은 그 동맹과 우방들이 사이버 분쟁의 주요 당사국"이라고 분석했다.

    그러면서 "이미 군사·경제·기술·문화·정보에서 사이버와 분리된 영역은 존재하지 않는다. 평시와 전시 구분 없이 각 영역은 사이버를 통해서 작동한다"며 "사이버 질서가 무너질 경우 인도-태평양의 규칙기반 질서의 유지도 어려워진다는 사실을 기억해야 한다"며 "민주주의 대(對) 권위주의 대립의 최전선이 '동남아'(대만, 남중국해)인 동시에 '사이버'라는 인식을 공유하는 한미 간 협력"을 기대했다.
  • ▲ 하버드대 케네디스쿨 벨퍼센터가 산출한 2022년 기준 '사이버 국가역량'(NCPI). ⓒ송태은 국립외교원 교수
    ▲ 하버드대 케네디스쿨 벨퍼센터가 산출한 2022년 기준 '사이버 국가역량'(NCPI). ⓒ송태은 국립외교원 교수
    "북·중·러, 평시에 여론 교란해 사회 갈등 증폭 北 사이버 역량, 韓과 비슷한 수준"

    송태은 국립외교원(외교부 산하) 안보통일연구부 교수는 "(북·중·러와 같은) 권위주의 국가가 평시 사이버 공간에서 AI 알고리즘의 내러티브 기술과 대규모 정보 확산 기술을 사용해 여론을 교란하고 사회 갈등을 증폭시키며 선거와 같은 민주주의 과정과 정부의 정치적 정당성 목적을 추구한다"며 "사이버 모의 군사훈련에 반드시 허위조작정보의 유포 상황을 가정한 시뮬레이션을 포함하고, 전시에는 사이버 심리전 전개, 뇌과학 및 AI 발전으로 향후 뇌를 직접 공격하는 인지전(cognitive warfare)으로 발전할 것"이라고 내다봤다.

    송 교수는 하버드대 케네디스쿨 벨퍼센터가 산출한 2022년 기준 '사이버 국가역량'(NCPI)에서 한국은 250점(세계 7위), 북한은 234점(세계 14위)이라는 사실을 언급하며 "'공격'의 차원에서 우리의 역량을 소극적으로 사용하고 있는 것으로 나타났다. 사이버 방어력과 공격력의 측면에서는 북한과 비슷한 수준인데, 북한은 사이버 공격력을 사용하려는 '의도'와 '가상자산 탈취 역량'이 압도적으로 커서 종합지수에서 상대적인 역량차가 크다고 보기 어렵다"고 꼬집었다.

    이어 송 교수는 "미국은 2023년 3월2일 발표한 '국가사이버안보전략'(NCS)에서 북한·중국·러시아·이란을 4대 사이버 적성국으로 규정하고 이들 국가 배후의 해커 조직을 미 국방부와 FBI가 중심이 돼 파괴·해체하겠다고 선언하며 동맹국들과 공조해 이들 국가의 컴퓨터망에 대한 선제공격도 감행할 것을 언급했다"며 "한미 사이버 작전 공조를 통해 공격력을 획기적으로 증대해 유사시와 전시에 대비해야 한다"고 말했다.

    "평택 미군기지에 인도-태평양 지역 거점 정보융합센터 설치해 韓 위상 높여야"

    송 교수는 "미국의 2022년 국방수권법안(NDAA)은 한국의 평택미군기지에 인도-태평양지역 거점 정보융합센터를 설치할 것을 권고했다"며 "동 센터의 설치는 북한의 사이버 위협정보를 포함해 인-태지역의 다양한 위협정보의 융합에 있어 한국의 역할과 위상을 높일 것"이라고 강조했다.

    이어 송 교수는 "한국은 언어·문화적 차원에서 북한의 사이버 첩보활동, 사회공학적 기법 등 다양한 기만전략을 포함한 다양한 사이버 활동을 추적하고 위협을 식별해내는 데 있어서 세계 어느 국가보다 우리가 가장 잘 파악할 수 있다"며 "북한의 사이버 위협을 포함한 다양한 사이버 위협 관련 정보 공유, 조기경보 발신 및 공동대응을 위한 온라인 플랫폼을 구축하는 작업이나 북한 사이버 위협 대응을 위한 '상황실'(Situation Room)이나 '전략커뮤니케이션센터'(strategic communication center)를 한국에 설치하는 방안도 고려할 수 있다"고 제언했다.

    송 교수는 그러면서 "최근 인도-태평양지역에서 '쿼드(Quad: 미국·일본·호주·인도의 안보연합체)', 유럽연합(EU), 북대서양조약기구(NATO) 등이 한국 및 아세안(ASEAN) 국가들과 정보공유, 합동군사훈련 등 다양한 안보협력을 추구하고 있다"며 "북한의 사이버 위협 대응을 포함해 우리의 사이버 안보협력 의제를 쿼드·오커스(AUKUS, 미국·영국·호주 안보 동맹) 등 소다자 협의체와 연결할 다양한 의제를 발굴할 필요가 있다"고 말했다.
  • ▲ 조 바이든(오른쪽) 미국 대통령과 시진핑 중국 국가 주석. ⓒAP/뉴시스
    ▲ 조 바이든(오른쪽) 미국 대통령과 시진핑 중국 국가 주석. ⓒAP/뉴시스
    "한미, 위협인식 달라 美는 중국에, 韓은 북한에 집중"

    손한별 국방대 군사전략학과 교수는 한미 사이버 협력의 전략적 요구사항으로 '위협인식 공유' '역할기대의 합일성' '신뢰성 구축' 등 세 가지를 꼽았다.

    손 교수는 "북한의 군사, 사이버 위협에 대해서는 이견이 없는 것처럼 보이지만, 한미 간의 위협인식은 동일할 수 없다"며 "한국은 구조적 위협보다는 비구조적 위협으로서 북한, 보다 확장하더라도 중국·러시아의 직접위협에 집중한다. 미국 역시 북한의 사이버 위협의 심각성에 주목하고는 있지만, 구조적 위협으로서의 중국에 대응해야 하는 미국에 있어 북한은 부차적"이라고 지적했다.

    아울러 2018년 11월 KT 아현지사 지하통신구 화재, 2022년 10월 카카오 데이터센터 화재 등을 언급하며 "네트워크로 연결된 동맹국 간의 협력은 상호 취약성을 높일 우려가 있다는 점에서 상대적으로 미국의 한국에 대한 신뢰성(주요 기반시설에 대한 사이버 정보보호 및 물리적 보안)을 하락시키는 상황"을 우려하며 "범국가적 컨트롤타워, 민관군 관련 기업의 협업체계, 기관별 역할 및 활동규정 등과 함께 '안전성이 보장된'(secured) 사이버 능력을 구축하는 것이 신뢰성 구축의 과제"라고 강조했다.

    손 교수는 "미국은 사이버 영역에서 보다 확대된 역할을 수행할 것을 요구할 것인데, 중국의 화웨이와 ZTE 제품 사용을 전면 금지할 것을 동맹국들에 요구했으나 일부 기업이 요구를 수용했고 정부가 직접 관여하지 않았다"면서 "한국의 '가치 기반 외교'는 중국을 직접적으로 적대화하는 개념이지만 실제 정책으로 반영하기도, 미국의 기대를 충족하기도 어렵다"고 꼬집었다.

    이와 관련해 박용한 한국국방연구원(KIDA) 선임연구원도 "최근 한국정부는 공공기관에서 화웨이 제품을 비롯한 국제사회 제재 대상 품목 사용에 대한 조사를 진행했다. 중국 통신장비 사용에 대한 한국과 미국의 견해는 다소 차이가 있다"며 "2019년 도널드 트럼프 미 행정부는 화웨이를 '수출금지 블랙리스트'에 올렸다. 2020년 한국에 관련 장비 사용 중단도 요청했다. 그러나 한국정부는 '5G와 관련해 보안문제가 있는지 계속 확인하고 있다'면서도 '기업이 알아서 하는 것'이라며 직접적인 규제와 간섭은 피했다"고 언급했다.

    이어 박 선임연구원은 "따라서 한미는 정보공유를 확대하고 상호운용성을 고도화하면서 기술적 연대가 필요하며, 동시에 기술적 역량을 강화해야 한다. 동시에 기술적 종속이나 특정 기술 배제 강압에 대응할 필요도 있다. 사이버 및 통신 관련 장비 공급망에 대한 긴밀한 조율로 간극도 좁혀야 한다"고 강조했다.

    "美, 中에 대한 '상당주의 원칙'에는 소극적 '귀속' 관련 가이드라인 만들어야"

    정명현 고려대 법학연구원 연구교수는 우리 정부가 앞으로 유심히 봐야 할 사이버 안보 분야의 규범적 쟁점으로 ▲상당주의 원칙 ▲국가책임과 귀속(attribution) ▲자위권과 무력공격 등을 꼽았다.

    정 교수는 "우리나라는 중국과 같은 제3국가를 통한 사이버 활동의 피해 대상이다. 중국에 소재한 북한 행위자가 사이버 위협을 했을 때 '방어하기 위한 조치를 하지 않았다'는 이유로 우리가 중국에 책임을 물을 수 있는 게 상당주의"라며 "미국은 이 부분에 대해서 상당히 소극적이지만, 상당주의 원칙에 대해 적극적으로 나가는 게 우리가 피해국으로서 대응하는 데 좀 더 유리하다. 이런 부분에 대한 조율이나 정보공유가 필요하다"고 강조했다.

    정 교수는 "누가 이 행위를 했는가는 결국에는 국가 귀속의 문제"라며 "표면적으로는 비국가 행위자의 사이버 행위라고 하더라도 국제법상 국가의 행위로 귀속시킬 수 있는 정보가 있는 경우(기술적 수단을 통했거나 모든 인텔리전스 자원을 통해 얻은 경우에도), 피해국은 유책국가에 대해 국제법상 허용되는 모든 권리와 구제수단을 행사할 수 있다"고 설명했다.

    이어 "미국은 '공개적인 귀속'을 통해서 '누가 했다'고 적극적으로 밝히고 있다. 우리나라는 그동안 피해국으로서 국가 책임 추궁과 귀속 문제에 소극적으로 대응해왔는데, 올해 들어 귀속에 대한 입장을 밝히고 있는 것은 굉장히 바람직하다"며 "한미 간에 어느 정도의 정보공유가 가능한지, 우리가 미국과의 동맹관계에서 어느 정도로 공동귀속에 참여할 수 있는지는 정보공유와 협력 측면에서 적극적으로 활용 가능한 부분"이라고 덧붙였다.

    아울러 "국가책임법은 귀속과 관련한 구체적인 기준이나 방식들을 정해놓고 있지 않다. 이 때문에 국가가 충분히 자신의 가이드라인을 만들어 귀속할 수 있다. 미국의 경우에는 이런 가이드라인을 실제로 만들어서 운영하고 있는데, 우리는 아직 그런 부분이 없기 때문에 정보공유와 협력을 위해서는 그런 국내적인 제도의 정비가 필요하다"고 지적했다.

    그러면서 "국제법상 아무리 책임을 묻는다 하더라도 피해국가에 부담이 되는 방식으로 대응하기는 사실 어렵고 한 대 맞았다고 다시 때릴 수는 없다. 대응조치는 위법행위의 유책국가만을 대상으로 해야 하며, 필요성과 비례성 요건, 국가의 국제의무 준수 유도 등 일정 요건을 준수해야 한다"며 "현재로서는 자산 동결, 외교관 추방 등 약간 표면적인 방식으로 대응(retorsion, 보복)하고 있는데, 상응하는 방식 중에 어떤 방식이 적절할 것인지는 고민이 많이 필요하다"고 말했다.

    정 교수는 또 "특히 미국은 자위권을 조금 완화된 기준으로 생각하고 있다. 무력을 사용할 수 있는 두 가지 기준을 어떻게 보면 좀 낮추고 무력공격에까지 이르지 않는 경우에도 자위권을 행사할 수 있도록 하겠다는 입장"이라며 "우리나라는 아직 입장을 제출하지 않았는데 이 부분에 대해서는 우리도 입장을 가지고 있어야 한다"고 말했다.

    "韓, 국가별 선례 적극적으로 남기고 향후 사이버안보 국제규범 개발에 참여해야"

    김소정 국가안보전략연구원 신흥안보연구실장은 "사이버 공간의 규범 형성 노력은 지난 25년간 지속적으로 추구돼왔으나, 구체적 결과물 도출에는 아직 이르지 못했다. 2004년 이후 지속된 유엔의 사이버안보 정부전문가그룹(GGE)회의는 6차 회의를 끝으로 도출돼 있다"며 "국가 간 사이버공간에서 발생한 악의적 행위 혹은 무력공격에 적용가능한 국제법이 성문화되지 않은 상황에서, 개별국가의 사례별 판단에 따를 대응이 가능해졌다. 이에 대한 국가별 해석과 적용은 추후 사이버공간에 적용가능한 국제법 개발에 적극적으로 활용될 것으로 예상된다"고 내다봤다.

    김 실장은 "미국은 유엔 중심의 논의에는 소극적으로 대응하고 있으며, 자국이 중심이 된 양자 및 소다자 협의체를 통해 실무차원의 협력을 강화하고 있는 것으로 보인다"며 "우리나라가 기술적 자생력을 갖고, 전략적 자율성을 도모할 수 있도록 핵심분야 공동 연구개발과 규범 형성에 적극적으로 참해야 한다. 국제사회와 동북아 지역에서 우리나라의 입지, 전략적 요충지로서의 중요도를 공고히 하는 기회로 삼아야 한다"고 호소했다.
  • ▲ 국가정보원 산하 '한국사이버안보학회'가 10일 오후 '주변 4망(網)과 사이버 안보전략①: 사이버 안보분야 한미 정상회담의 성과와 과제'를 주제로 '제1차 KACS 국가전략포럼'을 열었다. ⓒ조문정 기자
    ▲ 국가정보원 산하 '한국사이버안보학회'가 10일 오후 '주변 4망(網)과 사이버 안보전략①: 사이버 안보분야 한미 정상회담의 성과와 과제'를 주제로 '제1차 KACS 국가전략포럼'을 열었다. ⓒ조문정 기자
    "한미상호방위조약에 사이버 이슈를 어떻게 포함할 것인지 고민할 부분 많아"

    이날 사회를 맡은 김상배 한국사이버안보학회장(서울대 정치외교학과 교수)는 "SCCF 문서를 보면 앞으로 이 사이버 이슈가 상호방위조약에 어떻게 포함되는지에 대한 논의를 시작한다는 문구가 들어가 있다"며 조약 제2조, 제3조와 관련해 "사이버 안보에서 무력공격에 준하는 공격이 무엇인지, 공격받으면 다시 공격한다는 것이 무엇을 공격하는 것인지 등 고민할 게 아주 많다"고 말했다.

    제2조는 "당사국 중 어느 1국의 정치적 독립 또는 안전이 외부로부터의 무력 공격에 의해 위협을 받고 있다고 어느 당사국이든지 인정할 때에는 언제든지 당사국은 서로 협의한다", 제3조는 "각 당사국은 타 당사국의 행정 지배하에 있는 영토와 각 당사국이 타 당사국의 행정 지배하에 합법적으로 들어갔다고 인정하는 금후의 영토에 있어서 타 당사국에 대한 태평양 지역에 있어서의 무력 공격을 자국의 평화와 안전을 위태롭게 하는 것이라 인정하고 공통한 위험에 대처하기 위하여 각자의 헌법상의 수속에 따라 행동할 것을 선언"하는 내용이다.