한국과 미국은 한미동맹의 차원에서라도 그리고 한미동맹의 핵심가운데 하나라 할 수 있는 북한의 사이버 공격을 차단하는 방법을 공동으로 개발, ‘한미 공동 사이버 억지전략’을 수립해야 한다.

전 세계적으로 사이버 공간의 위협이 증가하고 있는 가운데, 윤석열 대통령의 한국은 미국과의 사이버 협력을 심화시킬 가능성을 높여야 한다고 미국의 안보전문 매체인 ‘더 내셔널 인터레스트’가 2일(현지시간) 보도했다.

북한에 대해 유화적인 태도를 보였다는 전임 대통령과는 달리 윤 대통령은 사이버 공간을 포함한 북한의 공격에 대해 강경한 입장을 취할 것임을 분명히 했다. 윤석열 정부는 사이버 보안을 가장 시급한 위협 가운데 하나로 파악하고, 이를 핵심 국정과제로 지정했다.

윤 대통령은 이를 위해 취임(2022.5.10.) 1주일 만에 발표한 성명에서 “사이버ㅏ는 단어가 10번이나 등장한 것처럼, 사이버 안보에 대한 미국과의 협력을 강화하겠다”고 다짐했었다. 윤 대통령은 성명에서 “한국과 미국은 국가지원 사이버 공격을 포함하되, 이에 국한되지 않는 다양한 북한으로부터의 사이버 위협에 맞서기 위해 협력을 확대하기로 했다”고 말했다.

이어 성명은 “사이버 정책의 특정 중점 영역인 사이버 억제(cyber deterrence), 사이버 범죄(cybercrime), 중요한 인프라 보호 및 관련 자금세탁(money laundering) 퇴치 등에 대한 골자가 포함됐다.

최근 한미 양국은 “북한의 사이버 위협에 대해 논의하고, 동맹 차원에서 그러한 위협에 대응하기 위한 정책 옵션을 개발하기 위해 워싱턴에서 첫 사이버 실무그룹(cyber working-level group)을 개최했다.

* 효과적인 한미 공동 사이버 공격 억제책 진전 아직 없어

이러한 최근의 발전에도 불구하고, 한국과 미국은 북한의 사이버 위협을 효과적으로 억제하는 데 있어 가시적인 진전을 이루지 못하고 있다. 사이버 억지력(Cyber determination)은 신뢰할 수 있는 반작용 위협이 존재하여 악의적인 사이버 활동을 방지하는 행위이다.

성공적인 억제를 위해서는 몇 가지 조건이 충족되어야 한다.

(1) 사이버 공격자의 동기 부여 낮은 수준

(2) 사이버 공격자가 누구인지에 대한 명확성과 공격 국가를 저지하는 대항조치

(3) 높은 수준의 공격자에 대한 방어자의 위협 방어 수행 능력과 의지 여부

그러나 현재의 한미 사이버 전략은 이러한 요소를 전혀 해결하지 못하고 있으며, 북한은 사이버 작전이 ‘저비용 고수익 기업(a low-cost and high-return enterprise)’이라는 인식을 강화함으로써 사이버 작전을 계속하고 있다.

사이버 공격 수행에 대한 북한 정권의 비용 편익 분석에 영향을 준 핵심 요인은 북한의 흔들리는 경제, 미국과 한국의 신뢰할 수 있는 보복 조치 부재 등이다. 따라서 현재 미국과 한국의 사이버 전략은 방어적 사이버 능력의 향상과 함께 처벌의 요소를 포함하도록 연계될 필요가 있다고 ‘내셔널 인터레스트’는 주문하고 있다.

* 사이버 운영: 저비용, 고수익

북한은 사이버 작전을 동원해 체제에 반하는 ▷ 비판자 처벌, ▷ 정보 수집, ▷ 수익 창출 등 다양한 전략적 목표를 달성하는 것으로 알려졌다.

최근 들어 북한의 만성적인 식량 부족과 유엔 주도의 제재 등 대내외적 요인으로 경제가 계속 위축되면서, 사이버 공격은 주로 체제와 핵 프로그램을 유지, 소득 창출(generating income)에 점점 더 초점을 맞추고 있다.

코로나19의 발생과 그에 따른 국경 폐쇄는 북한의 경제 상황을 악화시켰다. 2021년에는 북한의 경제가 4.5%의 기록적인 속도로 위축됐다. 이러한 경제적 조건은 북한 정권 금융 이익을 위해 사이버 작전을 계속하도록 동기를 부여했다.

북한은 2021년 한 해에만 4억 달러 가까운 암호화폐(cryptocurrency)를 빼돌린 것으로 추정돼, 1년 전보다 40% 증가한 것으로 나타났다.

구멍 숭숭 경제(cratering economy)를 고려할 때, 북한은 암호화폐 도둑(cryptocurrency thefts), 은행 강도(bank heists), 랜섬웨어 및 갈취(extortion), 암호화폐 거래소(cryptocurrency exchanges) 공격 등 사이버 작전을 지속할 가능성이 높다.

북한이 사이버 공격을 감행할 동기도 극히 높은 편인데, 이는 북한이 과거에 적절한 처벌 없이 도망칠 수 있었기 때문에 위험성이 낮다고 믿기 때문이다. 한국과 미국은 북한의 행동에 대한 책임을 묻는 대신 종종 동맹 차원의 일관된 대응 없이 소극적인 조치로 대응해 왔다.

예를 들어, 적어도 2009년 이후 한국과 미국 정부기관, 언론, 금융 인프라, 방위산업체들에 대한 일련의 사이버 공격들 중에서, 한미 동맹은 즉각적인 여파로 북한을 비난하는 공동 성명을 발표하지도 않았고, 가능할 수도 있는 보복 행동으로 공동 대응하지도 않았다. 북한 정권이 미래의 공격을 추구하는 것을 단념시킬 수도 있는 그러한 대응조치가 없었다.

대신 한미동맹은 “북한에서 나오는 사이버 위협에 대응하기 위해 계속 협의할 것”이라는 모호한 문구를 담은 공동성명을 발표해 별다른 효과를 거두지 못했다.

한미동맹은 북한의 사이버 공격에 대한 대응에서 협조가 부족했다, 왜냐면 주로 양국의 사이버 억지력에 대한 접근 방식이 다르기 때문이다. 예를 들어, 한국의 주요 사이버 전략은 방어적인 사이버 능력 향상에 초점을 맞춘 순전히 방어적인 전략이었다.

윤석열 정부가 발표한 “110개 핵심 국정과제(110 key national tasks)”에 따르면, 윤 정부는 '연구개발을 통한 해킹 탐지·파행·추적 시스템 고도화'를 통해 '사이버 억제력 강화'를 추진한다는 것이다. 마찬가지로, 문재인 행정부 하에서 발표된 2019 국가 사이버 보안 전략에서도 “확장 억제 전략은 네트워크의 취약성을 수집, 관리 및 제거할 수 있는 예방 능력을 개발하는 것”을 목표로 한다고 명시하고 있다.

한국은 이러한 두 정부 하에서 이러한 억제전략에 따라 조기경보 및 탐지능력 강화, 정부 내 정기적인 모의 사이버 위기훈련 의무화, 국가 안보에 중요한 시설과 기업의 인터넷 망과의 분리 등에 많은 투자를 해왔다.

반면 미국은 보다 적극적이고 '지속적인 관여'가 필요한 전략적 개념을 도입해 다른 궤적을 밟았다. 새로운 “디펜드 포워드(Defend Forward)” 사이버 전략은 “악의적인 사이버 공간 활동으로부터 가능한 한 멀리 방어하고, 핵심적인 정부 및 군사 기능을 방해하려는 적의 시도에 대항함으로써 악의적인 사이버 활동을 근원적으로 방해하거나 차단"하는 것을 목표로 한다.

이 전략이 미국이 처벌을 포함한 사이버 공간에서 억지력을 달성하려고 한다는 것을 의미하는지 여부는 여전히 아직은 불분명하다. 과거 사례를 보면, 미국이 공격자로 의심받으면서도 관여를 인정하지 않는 북한에 대한 일련의 사이버 공격에서 알 수 있듯이 처벌에 의한 억지력을 추구하지 않을 수도 있음을 알 수 있다.

미국이 북한의 미래 위협을 ‘억제’하기 위한 목적으로 이러한 공격의 배후에 있었든 아니든 간에, 미국은 사이버 위협에 대한 어느 정도의 억지력을 달성하고자 한다는 것을 분명히 하고 있다.

예를 들어, 2020 사이버 공간 솔라리움위원회(Solarium Commission) 최종 보고서는 강화된 국방 능력과 미국 파트너와 동맹국의 집단행동과 함께 더 명확한 신호 전략을 결합한 “계층형 사이버 억제력(cyber layered deterrence)” 개념을 도입했다.

“게층형 사이버 억제력 전략”은 사이버 공간을 사용하기 위한 적의 옵션을 제한하는 세 가지 보호 계층을 구상하고 있다.

(1) 첫 번째 계층 전략 : 미국의 경쟁 우위, 즉 동맹국과 파트너의 지속적인 네트워크를 기반으로 적의 행동을 형성하는 정책이다. 파트너와 협력하여 미국은 사이버 공간에서 책임 있는 행동을 장려하고, 비군사적 도구를 사용하여 악의적인 행위자를 격리하는 것이다.

(2) 두 번째 계층 전략 : 사이버 생태계를 재편하고, 사이버 공간을 통해 미국의 이익을 공격하는 것을 더 어렵게 만들어 국가 및 비(非)국가 행위자에 대한 이익을 거부한다. 이러한 억제 태세를 지원하는 정책에는 사이버 공간을 보호하기 위한 공공 및 민간 부문 협력에 대한 인센티브를 생성하는 범국가적 접근이 필요하다. 방어력과 회복력을 우선시된다.

(3) 세 번째 계층전략 : 미국은 전방 방어(defend forward) 능력을 확보함으로써 사이버 공간에서 적에게 비용을 부과할 수 있는 능력을 보유하는 일이다.

이런 개념의 도입에도 불구하고, 한미 양국이 북한의 사이버 작전에 대해 한미동맹이 어떻게 공동 대응할 것인지를 규정한 전략적 틀이 아직 마련되지 않았다.

* 부정(방어적 사이버 능력)의 한계

한국은 주로 부정을 통한 억제, 즉 방어적 사이버 능력 향상에 초점을 맞춰왔다. 2019년과 2022년 사이에, 한국 정부는 사이버 방어에 약 10억 달러(약 1조 4,410억 원)를 지출했다. 이러한 방어 전략의 이유는 사이버 공격자들이 성공할 확률이 낮다고 믿는다면 공격을 할 가능성이 줄어들 것이기 때문이다.

그럼에도 불구하고 방어적 접근만을 추구하는 것은 북한의 사이버 작전을 막는 데 한계가 있었다. 국가 지원을 받는 북한 해커들의 계속되는 성공적인 사이버 공격은 이러한 한계를 분명히 보여준다. 이는 방어 전략만으로는 공격자의 행동과 동기를 해결하는 데 거의 도움이 되지 않기 때문이다.

현재 구조로는 북한이 에너지 기업 해킹을 시도하다 적발돼도 보복성 대응 없다. 즉 남한 정부의 공식적인 북한의 소행이라는 문서만 남길 뿐이다. 북한은 임무가 성공할 때까지 사이버 작전을 중단할 동기가 거의 없다. 왜냐하면 그들의 행동에 대한 보복에 직면하지 않기 때문이다.

북한은 또 인터넷 연결성이 높고, 디지털 의존적인 경제를 가진 방어자들에 대한 사이버 작전에서 얻을 것이 많기 때문에 사이버 작전에 대한 강력한 인센티브를 가지고 있다.

인터넷 보급 수준이 높은 선진 민주 국가는 지속적으로 진화하는 공격적인 사이버 위협에 대응할 수 있는 모든 취약 부문에 대한 사이버 방어 시스템을 개발, 유지 및 강화하는 것이 매우 어렵다. 게다가, 종종 사이버 공격의 표적이 되는 정부 및 공기업은 이러한 공격에 대응하는 데 필요한 속도와 민첩성이 부족한 경향이 있다.

특히 은행, 미디어, 병원, 방위사업자를 포함한 한국의 많은 기관들이 민간 영역에 속해 있고, 따라서 정부의 통제 밖에 있기 때문에 감독 및 원활한 탐지가 특히 어렵다. 반면, 북한 인구의 1% 미만이 인터넷에 접속할 수 있다는 것은 국방에 투자할 필요가 훨씬 적고 대부분의 자원을 공격력 개발에 할당할 수 있다는 것을 의미한다.

이러한 인센티브 구조를 고려할 때, 단순한 방어적 전략만으로는 사이버 작전을 수행하는 데 따른 북한의 인식 비용과 이익에 영향을 미칠 가능성이 낮다. 이 전략을 보완하기 위해, 한국정부는 북한의 공격이 엄격하고 일관된 대응에 직면할 것이라는 것을 확실히 북한에 알릴 수 있는 장치가 필요하다.

윤석열 정부는 과거 사이버 전략의 한계를 깨닫고, 한국의 사이버 역량을 강화하는 데 보다 적극적인 조치를 취하고 있는 것으로 보인다. 최근, 한국의 사이버 전문가들이 처음으로 악의적 사이버 행위자들의 활동에 대한 현실적인 훈련을 제공하는 미국의 사이버사령부 연례 훈련인 ‘사이버 플래그 22(Cyber Flag 22)’에 참가했다.

윤 정부는 또 강대국 간 치열한 사이버 전쟁 속에서 한국의 기술과 사이버 안보를 지킬 수 있는 ‘10만 사이버 전사(100,000 cyber warriors)’ 육성 계획을 밝혔다. 이 계획의 세부 사항 발표는 문재인 대통령의 사이버 전력 개발 접근 방식에서 벗어나고 있음을 시사한다.

문재인 전 대통령도 최소한 서류상으로는 “사이버 군을 확대하겠다”고 밝혔지만, 국내 정치적 이유로 자체 사이버군을 키우는 것을 경계하며 그 목표를 달성하기 위해 이렇다 할 조치를 취하지 않았다. 문재인 정부는 사이버사령부가 박근혜 당시 대통령 후보에게 유리한 댓글을 달며 대선에 개입했다고 비난했다.

문 대통령은 심지어 북한의 온라인 오보 캠페인에 맞서기 위해 지휘부가 실시한 “사이버 심리전(cyber psychological warfare)”을 폐기했다. 윤 대통령은 전임자와 달리 사이버사령부에 대한 개인적인 원한도, 사이버부대의 정치화에도 관심이 없다. 그러나 앞으로 공약처럼, 핵심 국정과제처럼 실제로 이행해 나갈 것인가는 지켜볼 대목이다.

만일 윤 대통령의 공약이 제대로 이행이 된다면, 사이버사령부는 북한의 사이버 위협에 대처하는 데 더 큰 역할을 할 것으로 보이며, 이에 따라 사이버사령부에 더 많은 재정 및 인적 자원이 투입되어야 할 것이다. 그러나 공개된 정보를 감안할 때 진화하는 북한의 사이버 작전을 저지하기 위해 한국이 기꺼이 수행할 작전의 범위는 여전히 불분명하다는 게 내셔널 인터레스트의 지적이다.

분명히 부족한 것은 한미 사이버 억지전략의 정합성이며, 이는 집단행동을 통해 북한 정권의 동기를 효과적으로 해소하기 위해 필요하다. 한미 두 나라가 현재 가지고 있는 단편적인 억제 체계(하나는 단순한 방어 전략에 초점을 맞추고 다른 하나는 집단행동에 대한 명확한 신호 메커니즘이 결여되어 있음)는 사이버 작전을 개시하는 북한의 인지된 비용을 변화시키는데 매우 부족하다.

북한의 사이버 공격에 단호히 대응하겠다는 한미동맹의 결의를 제대로 전달하지 못하는 막연한 외교성명(diplomatic statements)을 발표하기보다는 북한의 사이버 공격에 대응하겠다는 강력한 의지를 전달, 북한의 사이버 공격 작전이 애초에 이뤄지지 못하도록 해야 한다

* 사이버 공동억지전략

한미 공동 사이버 억제 프레임워크(a joint cyber deterrence framework)를 개발하려면, 두 동맹국 간에 몇 가지 핵심 요소가 합의되어야 한다.

첫째, 동맹은 어떤 유형의 사이버 작전을 저지하고 어떤 수준의 활동을 저지하려고 하는가?

이 질문에 대한 답은 적절한 대응 옵션을 개발하고 ‘레드 라인(red line)’을 상대방에게 확실하게 전달하는 데 매우 중요하다. 기존의 억제와 마찬가지로, 낮은 임계 사이버 공격을 정의하고 비례 대응 조치를 고안하는 것은 특히 어려울 수 있다.

동맹은 우선 가장 위험한 유형의 사이버 공격을 막으려고 시도할 수 있다. 이러한 공격에는 한미 군사 자산, 발전 및 분배 시설, 원자력 발전소를 포함하지만 이에 국한되지 않는 중요한 기반 시설에 대한 교란이 포함된다. 두 나라는 당연히 무엇이 ‘중요한 인프라’를 구성하는지에 대해 합의해야 한다.

기본합의로 동맹국들은 상호방위조약이나 확장된 억지력 틀을 개정해, 사이버 위협을 명시적으로 ‘무장 공격(armed attacks)’으로 포함시키는 방안을 검토해야 하는데, 이는 동맹국이 사이버 위협에 대항하기 위해 공동으로 행동할 준비가 되어 있음을 공식적으로 인정하는 것이다.

둘째, 그 ‘레드 라인’을 넘으면, 비례적인 반응은 어떨까? 동맹은 사이버 대응을 할 것인가, 아니면 비(非)사이버 보복 수단을 사용할 것인가?

북한에 대한 보복성 대응의 경우, 북한의 극도로 제한된 인터넷 접속이 북한에 대한 공격적 사이버 작전의 효과를 제한할 수 있다고 주장할 수 있다. 그러나 과거의 사례들은 북한 서버에 대한 공격이 최소한 김정은에게 상당한 폐를 끼칠 수 있다는 것을 보여준 적이 있다. 예를 들어, 한 미국 해커가 북한의 전체 인터넷 연결을 끊은 적도 있다.

공격적 사이버공격의 억제효과를 더 평가해야 하지만, 동맹의 공격능력은 여전히 양국이 보복할 수 있는 능력을 끌어올려, 북한이 한국과 미국의 방어 및 공격 능역에 대한 신뢰도를 높여 사이버 억지력을 위한 유용한 도구로 작용할 수 있게 할 수 있다.

사이버 대응 외에도, 한미동맹은 교차 도메인 옵션으로 대응하는 것을 고려해야 한다.

이 경우, 사이버 공격이 특정 비(非)사이버 대응에 도달하기 위해 어떤 문턱에 도달해야 하는지 명확히 설정하고, 대응 조치 후 상승작용 위험을 관리하는 것이 과제일 것이다. 이러한 전략적 틀을 통해 한미동맹은 위협을 이행하려는 의도를 보여주는 외교적 성명을 공동으로 발표할 수 있을 것이다. 나아가 현재의 방어 전략만으로는 사이버 작전을 수행하려는 북한 정권의 동기가 바뀌지 않는다는 점을 분명하게 인식해야 한다. 따라서 한미동맹은 기존의 사이버 방어에 초점을 맞춘 처벌이 수반되는 사이버 공동 억지 전략(a joint cyber deterrence strategy)을 펼쳐야 한다.

한국과 미국은 전략적인 사이버 방어 틀을 마련하는 것 외에도 연습, 훈련, 워크숍, 정보 공유 등을 통해 사이버 공격을 방어할 수 있는 기술적 역량을 강화하는 노력을 지속해야 한다. 한국과 미국의 각각의 주권국가로서의 정체성 등의 어려움이 있어, 사이버 억제가 불가능할 수도 있다는 주장도 있을 수 있다.

한편, 한국이 했던 것처럼 방어 전략에만 초점을 맞추면, 북한의 사이버 공격을 막는 데는 효과가 없는 반면, 미국의 사이버 전략은 사이버 작전에 대응하여 동맹국 및 파트너들과 어떻게 집단적으로 행동할 것인지에 대한 명확하고 신뢰할 수 있는 신호 메커니즘이 결여되어 있다.

이러한 격차를 해소하기 위해 한미동맹은 저지하려는 활동과 그에 비례한 대응을 명확하게 명시한 적절한 처벌 조치를 포함한 공동 사이버 저지 전략을 개발해야 한다. 양국은 다른 글로벌 및 지역 파트너들과 협력하여 사이버 복원력을 지속적으로 강화해야 한다.