지난 2015년 9월 버락 오바마 미국 대통령은 백악관 로즈 가든에서 시진핑 중국 국가주석 옆에 서서, 사이버 관련 경제 스파이(economic espionage) 억제를 위한 역사적 협정을 발표했다. 그러나 이 협정의 범위는 미미했으며, 중국과 미국은 국내 산업을 활성화하기 위해 사이버 사용이 가능한 지적 재산권(intellectual property) 훔치기를 중단하기로 약속했다.

이는 미국이 오랫동안 민간기업의 이익을 위해 미국 정보기관이 경제 스파이 활동을 하는 것을 금지해왔기 때문에 미국이 쉽게 할 수 있는 약속이었다. 그러나 군과 정보기관들이 중국 기업들을 유리하게 만들기 위해 10년 이상 사이버상의 대규모 미국 지적 재산권 및 국가 기밀 도용에 관여해온 중국에게는 획기적인 약속이었다.

그 합의는 어떤 식으로 만들어졌는지를 물어 볼 필요도 없이 모두 획기적이었다. 백악관 로즈 가든 행사에 앞서 오바마 대통령은 사이버 공격으로 미국 기업을 공격하거나 상업적 이익을 위해 훔친 지적 재산을 착취하는 중국 기업과 시민을 제재하겠다고 위협했다.

미국 대통령이 중국 경제 스파이 활동에 대응하여 처음으로 발표한 이러한 위협은 중국의 사이버 활동뿐만 아니라 광범위한 경제적, 전략적 목표를 다루기 위해 조정됐다. 오바마 대통령은 시진핑 주석 방문 일주일 전, 재계 지도자들에게 “우리는 이번 일이 단순히 우리가 약간 화가 났을 뿐 아니라 해결되지 않을 경우, 양국 관계에 큰 부담을 줄 수 있는 여러 조치들을 준비하고 있다”면서 “우리는 중국의 관심을 끌기 위해 대응 조치를 취할 준비가 되어 있다.”고 밝혔다.

처음에는 그 협정은 제한적인 성공이었다. 중국 정부 관련 단체의 침입은 2016년 10여년 만에 최저 수준으로 떨어졌다. 그 후 2년 동안 미국 기업들은 중국군 및 정보 관련 해커들의 끊임없는 공격으로부터 잠시 휴식을 취할 수 있었다. 그러나 데탕트는 오래가지 못했다.

도널드 트럼프 미국 대통령은 2018년 중국에 대한 미국의 경제적 지렛대를 깎아내리고, 중국의 협정 준수 유인을 줄이는 무역전쟁을 시작했다. 같은 해 말 국가안전보장국(NSA)은 중국이 협정을 위반했다고 비난했고, 미 법무부는 중국 해커들을 사이버 가능 경제스파이 혐의로 기소하는 절차를 진행했다. 트럼프 행정부가 중국 기업에 대해 광범위한 제재를 가하겠다고 으름장을 놓았지만 결국 일부 기업만 제재에 나선 것이다.

결국 실패했지만, 오바마와 시진핑 주석의 2015년 합의는 사이버 위협에 대처하기 위한 유망한 모델을 제공하기는 했다. 최근까지 미국은 사이버 공간과 관련된 이슈들을 주로 방어적이고 제한된 억제책의 조합으로 해결해야 할 기술적 문제들의 좁은 집합으로 접근하는 경향이 있었다.

이러한 방어적 노력에는 기술의 현대화 자금 지원, 중요한 인프라에 관련된 산업 규제, 정부와 산업 간의 협업 및 정보 공유 개선 등이 포함되었다. 제지는 일반적으로 법 집행에 의한 징벌적 행동이나 개별 가해자나 그 산하 군 및 정보기관에 대한 제재가 수반된다.

예를 들어 지난 2014년 북한 해커들이 소니픽처스에 침입한 이후, 미국은 북한 인사들을 개별적으로 제재하고 북한 정보요원 3명을 기소했다. 러시아가 2016년 미국 대선에 개입한 것도 비슷한 반응을 일으켰다. 미국은 러시아 정보기관에 제재를 가하고, 러시아 군 장교를 기소하고, 외교적 엄호를 받으며 활동하는 러시아 정보장교들을 추방하고, 미국에 위치한 몇몇 러시아 시설을 폐쇄했다.

미국은 또한 공세를 취하고 보복 사이버 공격을 감행하겠다고 위협함으로써 적들을 저지하려고 했다. 그러나 이러한 모든 조치에도 불구하고, 북한도 러시아도, 그리고 미국의 다른 적국들도 미국을 겨냥하는 것을 멈추지 않고 있다.

사이버 공격에 대한 취약성은 방어력 강화나 사이버 집중적 억지력이 고칠 수 있는 기술적 문제가 아니기 때문이다.

사이버 공격은 질병이 아닌 증상이다. 근본적인 조건은 지정학적 해결책, 특히 모든 당사자들이 함께 살 수 있는 합의를 추구하기 위한 적대국과의 높은 수준의 협상을 요구하는 광범위한 지정학적 문제이다.

사이버 위협의 범위가 증가하고, 공격의 빈도와 심각성이 증가함에 따라, 워싱턴은 상당량의 사이버 현실주의(cyber-realism)가 필요하다. 미국은 사이버 위협을 오바마가 2015년에 했던 것처럼 미국의 적대국들을 유인하거나 그들의 행동을 바꾸도록 위협하기 위해 미국의 모든 지렛대 도구들의 지원을 받는 강경한 외교를 요구하는 지정학적, 국가 안보 우선 과제로 취급해야 한다.

구체적인 당근과 채찍은 그것의 독특한 지정학적 야망을 고려하여, 각각의 상대에게 맞춰질 필요가 있을 것이다. 즉 맞춤형 당근과 채찍이 필요하다는 것이다.

그러나 이 채찍은 사이버 공격을 자행하는 적대적인 군사 및 정보기관뿐만 아니라 그 기관들이 응답하는 정권들을 겨냥한 보다 적극적인 억지력을 포함해야 할 것이다. 사이버 공간은 결국 그 자체의 고립된 영역이 아니라, 더 넓은 지정학적 전쟁터의 확장이기 때문이다.

* 방어 그리고 억제

지난 30년 대부분 미국의 사이버안보정책(cyber security policy)과 사이버전략(cyber strategy)은 세계 안보질서를 구조화하는 지정학적 갈등과 경쟁과는 무관하게 사이버 공격을 마치 창공에서 나온 것처럼 취급해 왔다.

그 결과 미국의 사이버 전략의 상당 부분은 ‘사이버 공격의 원인’을 다루기보다는 사이버 공간에서 행위자들의 방어 및 협소한 억제를 통한 사이버 공격의 효과를 관리하는 데 초점을 맞추고 있다.

방어 조치는 사전 예방적 또는 사후 대응적 방법으로 네트워크를 침입으로부터 보호하거나 침입이 불가피하게 발생할 때 손상을 제한하려고 할 수 있다. 러시아가 최근 사이버 공간에서 발생한 다른 주요 사건들 중 하나인 솔라윈즈(SolarWinds)사가 만든 네트워크 감시 소프트웨어를 통해 미국 정부 네트워크를 해킹한 사실이 명백해졌기 때문에, 이러한 방어 수단들 어느 것도 증가하는 사이버 위협에 역부족이다.

공격자는 사이버 공간에 내재된 이점을 가지고 있다. 각각의 해킹 시도 비용이 낮고 처벌이 효과적으로 존재하지 않을 때, 심지어 하드 타킷(hardened targets)에 침투하려는 해커들은 몇 달, 때로는 몇 년을 방법을 찾으면서 여유 있는 시간을 보낼 수 있다. ‘하드 타킷’이란 대륙간탄도미사일(ICBM)기지나 군사기지 및 시설물 등 견고한 대응방어체제를 갖추고 있는 전략 공격 목표물을 말한다. 이와 대조적으로 소프트 타깃(soft targets)은 공격하기 쉬운 목표물이며, 주로 민간인, 학교, 병원, 기념관, 박물관, 공연장, 식당, 경기장 등 인파가 많이 몰리는 곳을 공격하는 것을 말한다.

이러한 비대칭적인 이점은 공격자들이 결국 성공할 수 있게 하는데, 왜냐하면 그들은 단지 한 번만 운이 좋으면 되는 반면, 방어자들은 각각의 해킹 시도를 발견하고 방어해야 하는 지난한 일이기 때문이다.

미국 정부가 자신의 방어를 충분히 강화할 수 있다고 해도, 학교, 병원, 경찰서, 소기업, 그리고 비영리 단체와 같은 작은 단체들을 향한 수많은 사이버 공격을 전부 또는 심지어 대부분 막을 수 없을 것이다. 사이버 보안 전략은 그만큼 복잡할 수밖에 없다.

이 조직들은 아무리 미국 정부의 방어가 효과적이더라도 적대국들로부터 정교한 사이버 공격을 막을 가능성은 거의 없을 것이다. 억지력은 전통적으로 행해져 왔듯이 사이버 공격을 예방하는 데 있어서도 비효과적이었다.

지난 4년 동안 미국 정부는 중국, 이란, 북한, 그리고 러시아의 4대 적국의 정부 관리들과 계약자들(도급업자들)을 제재하고 기소했다. 그러나 이러한 국가들은 그러한 조치의 비용을 상대적으로 경미하게 여기고, 끊임없는 속도로 사이버 공격을 계속 수행하거나 묵인한다. 공업국가 챔피언에 대한 제재처럼, 이들 국가의 경제성장의 토대를 직접적으로 위협하는 보다 적극적인 제재가 더 큰 효과를 거둘 것으로 보인다.

그러나 미국은 이러한 공격에 대해 광범위한 지정학적 맥락에서 접근하지 않기 때문에, 적절한 맞춤형 대응을 하지 못하고 있다.

그러면서도 미국은 때때로 사이버 공세에 돌입하곤 한다. 하나의 예로 지난 2018년 미국 중간 선거를 앞두고 미국 정보기관들이 러시아의 악명 높은 인터넷 트롤 공장(Internet troll factory)인 인터넷조사국(IRA, Internet Research Agency)에 대한 교란을 시도했다. 트롤공장이란 직원들에게 돈을 주고 어떤 것에 대한 호의적인 댓글이나 게시물을 올리도록 하는 회사를 뜻한다.

이 같은 공격수단은 전술적 차원에서 성공하는 경우가 종종 있어, 적의 공격을 잠시 방해하거나 둔화시킬 수 있다.

* 사이버공간의 지정학

범죄단체든 정부든 미국 기업에 대한 사이버 공격의 대부분은 4개국에서 비롯된다. 중국, 이란, 북한 및 러시아이다. 이들 국가는 미국에 가장 큰 재래식 군사적 위협을 가하고 있다. 이런 국가들로부터의 사이버 위협에 효과적으로 대응하기 위해, 워싱턴은 그들의 더 넓은 지정학적 목표를 고려해야 한다.

중국은 전통적인 군사 영역뿐만 아니라, 사이버 공간에서도 미국의 가장 무서운 적수이다. 미국을 뛰어넘어 세계 최고의 경제 강국, 군사강국이 되겠다는 야심을 숨기지 않았고, 사이버 공간에서의 활동은 이 목표를 위한 논리가 따라 붙고 있다.

중국 사이버 공격의 대부분은 전통적이고 경제적인 스파이 행위이다. 예를 들어, 지난 2010년과 2015년 사이, 국가가 후원하는 중국 해커들은 조직적으로 미국과 유럽의 항공 우주 회사들을 목표로 삼았고, 중국은 그 후 국가 소유의 항공 우주 제조업체들로부터 귀중한 정보를 훔쳐 갔다.

이 해킹 캠페인은 엄청난 성공을 거두었다. 2018년에 중국의 해킹 사실이 밝혀졌을 때, 중국 제조업체들은 이미 훔쳐간 지적재산 일부를 기반으로 상업용 제트기를 만들기도 했다. 중국의 사이버 첩보 활동은 특히 중국이 자국의 경제 및 국가 안보 목표에 중요하다고 여기는 분야에서 더욱 더 공격적이었다.

예를 들어 지난 2021년 7월 국가안전보위부, FBI, 사이버보안국 등은 베이징 연계 해커들이 국방, 반도체 기업, 의료기관, 대학 등 전략적으로 중요한 분야의 미국 기업과 기관을 계속 겨냥하고 있다고 경고하는 공동 보고서를 발표했다. 그러나 다른 미국의 적국에 비해 중국은 사이버 범죄를 거의 저지르지 않았고, 파괴적인 사이버 공격도 거의 하지 않았다.

이러한 활동들이 국제무대에서 중국의 위상을 떨어뜨릴 수 있기 때문에, 겉으로는 중국의 더 넓은 전략적 의제와 딱 들어맞는다.

러시아는 사이버 활동이 지정학적 목표들을 가지고 있다. 베이징과 마찬가지로 모스크바도 호전적인 민족 자긍심에 의해 동기가 부여된다. 그러나 중국과 달리 러시아는 미국과 경쟁할 경제적 능력이 없다.

북한은 국제적으로 점점 더 고립되고 있으며, 이른바 가까운 해외에서 영향력을 유지하기 위해 애쓰고 있다. 그럼에도 불구하고, 북한은 강대국으로서의 지위를 유지하기 위해 노력하고 있는데, 이는 미국과 동맹국들의 명성을 깎아내리고 국제적 야망을 좌절시키면서, 지도자들이 국내에서의 입지를 강화함으로써 달성할 수 있다고 믿는 목표이다.

옛 소련의 전신처럼 러시아 정부는 전통적인 스파이 활동과 경제 스파이 활동을 수행한다. 오늘날의 크렘린은 이러한 목적을 위해 사이버 툴(cybertools)과 전통적인 수단을 모두 사용한다. 그러나 러시아의 사이버 활동들은 서방세계에 정치적, 경제적 혼란을 야기하고, 민주 정부에 대한 서구인들의 믿음을 약화시키며, 러시아의 이웃 국가들에 대한 서방 국가들의 영향력을 약화시키는 데 초점을 맞추고 있다.

2016년 미국 대선에 대한 모스크바의 간섭, 전 세계로 확산되기 전 우크라이나 내 네트워크를 무너뜨린 2017년 악성코드 공격, 2018년 국제올림픽위원회(IOC) 해킹 등이 이 같은 광범위한 의제에 작용했다.

러시아 랜섬웨어(ransomware) 공격도 마찬가지인데, 범죄조직에 의해 자행되었음에도 불구하고 크렘린 전략에서 중요한 부분을 차지하고 있다.

최근 몇 년 동안 수천 개의 미국 조직을 표적으로 삼고, 10억 달러가 넘는 몸값을 빼돌린 사이버 범죄자들은 때때로 러시아 보안군의 보호를 받아왔으며, 그럼에도 불구하고 크렘린의 단속 거부는 그들의 활동에 대한 암묵적인 지지와 다름없다.

비록 사이버 범죄가 러시아의 핵심 국익을 발전시키지는 않지만, 미국 경제를 붕괴시키고 미국 기업 지도자들 사이에 두려움을 심어주는 전략적 목적을 가지고 있다.

사이버 범죄자들은 또 국제 협상에서 가치 있는 협상 카드이다. 러시아는 전략적으로 더 중요하고 국가가 지원하는 사이버 활동을 다루지 않고도, 중요한 양보를 대가로 랜섬웨어 갱단에 대한 조치를 제공할 수 있다.

미국의 다른 두 주요 적대국인 이란과 북한도 중국과 러시아보다는 더 가난하지만, 그들의 국내외 목표를 진전시키기 위해 사이버 툴을 사용했다. 두 나라 모두 자국 경제를 옥죄고 있는 서방의 제재를 피하기 위해 주로 그렇게 했다.

북한 정권은 사이버 범죄를 통해 축적된 수천만 달러의 자금을 조달했고, 이란은 사이버 경제 스파이를 이용해 국방기술, 석유화학 생산, 기타 전략 분야에 대한 서방의 제재를 피해왔다.

이란은 이스라엘과 사우디아라비아를 겨냥하고, 북한은 한국에 대한 공격을 개시하는 등 양국은 역내 경쟁국들을 약화시키기 위해 사이버 공격도 가했다.

* 그랜드 바겐(GRAND BARGAINS)

더 나은 방어 조치는 이러한 미국의 적대자들에 의해 수행된 주요 사이버 공격의 결과로부터 미국 정부 기관, 민간 미국 회사 및 개인 미국인들을 고립시키는 데 도움이 될 수 있다. 그러나 현재 시행되고 있는 방어나 억지력만으로는 이러한 위협을 완화할 수 없다. 워싱턴의 역량이 향상될 수도 있지만, 경쟁국들의 역량도 향상될 것이다.

중국의 악의에 찬 사이버 활동을 중단시키기 위해, 미국과 동맹국들은 중국이 협상을 하도록 설득해야 할 것이다. 무역 전쟁의 축소와 교환하여, 중국은 시장을 왜곡하는 산업 보조금 철폐, 기술의 강제 이전 중단, 지적 재산권 절도를 억제하는 데 동의할 수도 있다.

마찬가지로 미국이 러시아의 악랄한 사이버 활동을 견제하려면, 러시아의 국내 및 지역 문제에 대한 미국의 간섭에 대한 우려를 완화해야 할 것이다.

이란과 북한의 사이버 위협을 해결하기 위해서는 양국의 가장 긴급한 관심사인 각각의 핵 프로그램에 대한 협상의 진전이 필요할 것이다. 이것은 사이버 공간과 관련된 문제들의 해결 가능성에 대한 우울한 숙명론의 원인으로 보일 수 있다.

그러나 사실은 그 반대이다. 모든 복잡한 지정학적 과제와 마찬가지로 사이버 위협도 인센티브, 의욕 저하 및 타협을 적절히 조합하여 해결할 수 있다. 미국과 동맹국들의 문제는 그들이 다른 지정학적 목표의 진전보다 사이버 공간의 문제에 대한 진전을 우선시할 의향이 있는지 여부와 그 진전을 위해 그들이 기꺼이 포기할 의향이 있는지에 대한 것이다.

최근 대형 랜섬웨어 공격과 공급망(supply chains) 해킹이 잇따르고 있는 점을 고려하면 바이든 행정부는 이 질문에 시급히 답해야 한다. 그렇다면 사이버 공간에서의 수사력을 상대방의 행동을 변화시킬 수 있는 냉철한 외교력으로 뒷받침해야 한다.

이러한 국가들이 협상을 하도록 강요하기 위해 필요한 것 중 일부는 사이버 공격을 수행하는 적대적인 정권들에 대한 비용을 높이는 한편 그렇게 함으로써 얻을 수 있는 이익은 거부하는 조치를 포함한 광범위한 억지력일 될 것이다.

미국은 군과 첩보기관 외에 중국 등 사이버 가능 경제스파이로 이득을 보는 국가의 기업과 임원들을 제재하고 기소해 지식재산권, 영업비밀 도용이 큰 대가를 치르게 한다는 메시지를 전달해야 한다.

익명의 암호화폐 이전이 이제 세계적인 사이버 범죄를 부채질하고 있기 때문에, 미국도 동맹국들과 협력하여 범죄 활동에 영합하거나 그들이 촉진하는 거래에 대한 실사를 수행하지 않는 암호화폐 거래소들을 제재하고 폐쇄해야 한다.

확실히 그랜드 바겐(빅딜)이 잡히지 않는 한, 미국은 방어를 강화하고 더 탄력적으로 만들어야 할 것이다. 미국 정부는 사이버 보안에 대한 실적이 저조하므로, 예를 들어 사이버 보안 및 인프라 보안국 내의 모든 민간 사이버 보안 운영을 중앙 집중화하는 등 게임을 강화하고 주도해야 한다.

자치단체, 비영리단체, 소상공인에 대한 방위비 지원, 과실시 보안조치를 하지 않은 기업에 대한 책임 추궁 등 방어대책에 대한 공공·민간 투자도 유인해야 한다. 비록 이러한 조치들이 부분적인 해결책일 수 있지만, 미국이 보다 영속적인 외교적 해결책을 마련할 수 있을 때까지 해커들과 다른 사이버 범죄자들에 의한 피해를 제한할 수 있다.

미국은 적대국가의 군사적 위협에 직면했을 때, 자국민들과 기업들에게 자국의 민간 군대에 자금을 대거나 평화 협정을 협상하라고 지시하지 않는다.

많은 사이버 위협은 군사적 또는 경제적 위협과 의미 있게 다르지 않지만, 그럼에도 불구하고 미국은 그들에 대항하는 방어책의 상당 부분이 개별기업과 시민들의 몫으로 돌아가도록 허용하고 있다. 단기적으로, 미국은 자국의 방어를 강화하고, 기업과 시민들이 같은 일을 할 수 있도록 더 많은 것을 해야 합니다.

그러나 궁극적으로 워싱턴은 ‘사이버 공격이 지정학적 긴장의 원인’이 아니라 ‘일차적인 영향’이라는 것을 받아들여야 한다. 미국이 기저질환(underlying disease)을 치료하지 않는 한, 결코 증상이 완전히 회복되지 않을 것이다.

<이 글은 미국의 외교 전문지인 ‘포린 어페어즈’가 최근 게재한 글을 정리한 것입니다>