"우리는 경계선상의 시대를 살아가고 있다. 경계선을 넘은 세계는 더 이상 이전의 세계와 같지 않다는 것을 의미한다“고 강조했다. 올라프 숄츠 독일 총리가 2022년 2월 24일 푸틴의 러시아가 우크라이나를 침공한 직후 가진 연방의회 의원들에게 행한 연설에서 ”지금은 시대전환(Zeitenwende : 역사적 전환점)의 시점“이라고 주장했다.

이와 함께 전쟁의 양상도 기존의 재래식 무기와 함께 첨단 무기는 물론 사이버 전쟁(Cyber War)까지 합쳐진 이른바 ‘하이브리드전쟁(Hybrid War)'으로 진화하고 있다. 해킹 기술의 향상과 함께 다양한 목적의 개인적, 단체적, 국가적 사이버 공격 기술과 방어능력이 치열하게 움직이고 있다. 인공지능(AI)에 기반 한 사이버 공격 능력 역시 진일보를 거듭하고 있다.

정부기관이나 주요 인프라에 대한 적들의 사이버 공격은 국가의 안전보장이나 국민들의 생활에 대한 중대한 위협이 아닐 수 없다. 어느 기업이든 사회단체를 포함해 국가조직은 대책을 강구하지 않을 수 없다. 그러나 대책 강화의 필요성에 통신비밀 등 헌법이 보장하는 국민들의 권리가 침해되는 사태가 벌어져서는 안 된다.

한국은 물론 ​미국, 유럽, 일본, 호주 등 많은 나라들이 나날이 심각해지고 있는 해킹 등 사이버 공격(Cyber Attack)에 대한 ‘능동적 사이버 방어(ACD, Active Cyber Defense)'능력을 확보하려 하고 있다. 지금까지 사이버 공격의 주체는 북한, 중국, 러시아 등이 꼽히고 있다. 다양한 목적으로 사이버 공격은 앞으로도 더욱 기승을 부릴 것이 분명하다. 특히 ’복합전쟁‘이라는 ’하이브리드 전쟁 시대‘에는 ACD가 더욱 중요해진다.

어느 나라나 어떠한 법률을 제정할 때에는 그 필요성에 불구하고 정부의 ‘일방통행식’ 일처리가 문제된다. 국민 개개인의 권리를 무시한 채 이뤄지는 법률은 저항을 받기 쉬울 뿐만이 아니라 적용 과정에서 또 다른 수많은 사회적 갈등을 불러일으킨다. 정치적 목적을 숨긴 채 온갖 미사여구를 들이대는 방식의 일처리는 국민적 저항에 부딪칠 수밖에 없다.

* 일본의 ACD 능력 확보 방침

예를 들어 일본의 기시다 후미오 정권은 ‘ACD'를 구축하겠다며 일방적으로 일처리를 해 나아가고 있다는 비판이 일고 있다.

2022년 12월 일본 정부가 개정을 한 안보 3분서는 사이버 분야의 대응능력을 서방 주요국과 동등한 수준 이상으로 향상시키겠다며 ‘’능동적 사이버 방어‘ 실시 체제를 정비하겠다고 다짐했다. 피해를 입고 나서 대처하는 사후약방문(死後藥方文)이 아니라 미연에 방지를 하겠다는 것을 목표로 한다는 것이다. 올바른 생각이다. 2027년도를 목표로 일본 자위대의 사이버 관련 부대를 약 4000명으로 확충, 궁극적으로 관련 업무에 종사하는 요원을 포함 총 20,000명 체제로 해 나가겠다는 방침이라고 한다.

현재 전쟁은 하이브리드 전쟁이 주류를 이루어 가고 있다. 해킹으로 큰 손실을 본 나라들은 모두 ACD 능력 확보에 나서고 있다.

이미 미국이나 유럽에서는 ‘ACD'를 채택하고 있다. 한국이나 일본은 이 부문에서 많은 부족한 면을 보이고 있다. 미국과 유럽 등은 평시부터 사이버 공간을 감시하고, 시스템이나 네트워크에 대한 침입, 수상한 통신을 해석하고 있다. 그러나 개인정보나 프라이버시가 침해될 우려가 항상 따른다. 미국에서는 정부가 테러 대책을 명목으로 미국 시민들의 통신 데이터를 대량 수집한 것이 비판을 받자 지난 2015년 ’미국 자유법‘을 정해 활동에 제한을 가했다.

* 미국의 고등연구계획국(DARPA)의 ACD

미국 고등연구계획국(DARPA)의 '능동적 사이버 방어(ACD, Active Cyber Defense)‘관련 내용은 아래와 같다.

DARPA는 “미군, 정부 및 상업용 IT 네트워크는 범죄자와 국가가 후원하는 적대자 모두로부터 지속적인 사이버 공격에 직면해 있다”고 규정했다. 이러한 공격에 대한 현재 IT 보안 대응 방식은 ▶ 침입 코드 찾기 ▶ 영향을 받는 시스템 분리 ▶ 특정 공격을 방지하기 위한 보안 패치 생성 ▶ 네트워크 전체에 적용 등 네 가지 단계로 요약된다.

이 사후 대응적 참여 모델(사후약방문)도 사례별로는 효과적이지만, 공격자가 가지고 있는 주요 이점을 해결하지는 못한다. 예를 들어, 공격자는 패치를 우회하는 악성소프트웨어(malware)를 쉽게 변경하여, 대규모로 새로운 ‘악성소프트웨어’를 배포할 수 있다. 갈수록 더 정교해지고, 은밀해지고, 위험해지는 위협에 맞서기 위해서는 방어자들이 기존의 정적인 방어( static defenses)를 뛰어 넘어, IT 시스템과 전문 지식의 자연스러운 이점을 활용해야 한다.

미국 고등연구계획국(DARPA)의 ‘능동적 사이버 방어’(ACD, Active Cyber Defense) 프로그램은 사이버 방어자에게 국방부(DoD, Department of Defense)가 통제하는 사이버 공간에서 정교하게 적과 직접 교전하는 방어 작전을 수행할 수 있는 ’홈필드(home field)‘ 이점을 제공함으로써 기존의 불균형을 역전시키도록 설계됐다. 2012년 12월에 만들어진 이 프로그램은 ▶ 사이버 위협과 취약성을 발견 ▶ 정의 ▶ 분석 및 완화하기 위한 동기화된 실시간 기능 모음을 개발하고자 한 것이다.

이러한 새로운 ‘사전 예방적 기능(new proactive capabilities)’을 통해 사이버 방어자는 사이버 공격이 발생할 때, 더 쉽게 중단하고 무력화할 수 있다. DAPA는 “이러한 능력은 본질적으로 전적으로 방어적일 것”이라고 규정하고, ‘능동적 사이버 방어 프로그램’은 특히 사이버 공격 능력에 대한 연구를 배제한다고 돼 있다. 사이버 공격능력은 자칫 개인의 정보보호를 침해할 가능성이 커지며, 자국 국민들에 대한 감시활동을 통한 정치적 악용 가능성을 배제할 수 없는 동시에 사이버 전쟁에서 선제공격의 성격을 가지고 있다.

* 유럽연합(EU)의 GDPR와 호주의 데이터 보호규정

유럽연합(EU)의 일반 데이터 보호규제(GDPR, the General Data Protection Regulation)은 세계에서도 가장 엄격한 제도로 2018년 5월 25일 발효된 제도이다. 이 같은 표준을 설정함으로써 특히 경영진과 기업에 아주 민감한 정보 보호 의무를 부여했으며, 신원을 밝힐 수 있는 정보를 유출할 경우, 경영진과 기업 자체가 책임을 지도록 규정해 놓았다.

호주의 현행 사이버 보안책임은 ▷ 개인정보 보호법 ▷ 국가인프라 보호법 ▷ 기업법률로 세분화되어 있는 것이 특징이다. 그러나 현행 호주의 데이터 보호규정은 모든 사람이 그 규정을 준수하고, 통일되어 있고, 일관된 규제 프레임워크(frameworks)가 마련되어 있지 않아 종종 문제가 발생하고 있다.

따라서 호주 정부는 데이터 보호규정을 보완 등의 검토를 하고 있다.

우선 규칙을 어겼을 경우 벌금을 인상하는 안을 검토 중이다. 유럽의 GDPR의 경우 최대 벌금이 2000만 유로(약 268억 원) 또는 회사의 전 세계 모든 연간 수익의 4%를 벌금으로 부과하도록 했다. 호주의 경우 이를 참고로 기존의 최대 벌금을 기존의 벌금을 5배로 인상하기로 하는 등 대폭 처벌을 강화하기로 검토 중이다.

호주는 이어 보다 더 넓은 소비자 보호 범위를 설정하겠다는 것이다. 개인정보와 수빙의 정의를 확장해, 개인 데이터 혹은 식별되거나 식별이 가능한 사람과 관련된 데이터 또는 정보를 보호 대상에 포함하는 것으로 검토하고 있으며, 개인정보 보호를 포함한 소비자 권리 개선에 나서기로 했다.

유럽의 GDPR의 제 17조는 개인이 데이터를 삭제 혹은 수정할 권리를 부여하고 있으나, 호주에서는 개인이 자신의 개인 정보 삭제를 요청할 권리를 제공하고 있지 않고 있다.

* 일본의 ACD, 자위대는 부정접근금지법 적용 제외법 검토

- 선제공격적 성격의 ACD : 국가 간 심각한 갈등과 분쟁 유발 가능성 사전 차단 필요

일본에서는 헌법 21조가 통신의 비밀 보호를 정하고, 전기통신사업법에서는 이를 침범한 사업자에게 벌칙을 부과하고 있다. 본인의 승낙 없이 데이터에 접근하는 것을 금지하는 “부정 접근금지법”도 마련되어 있다.

일본　정부와 집권 여당 내에서는 ‘자위대를 부정접근금지법 등의 대상 외로 하도록’ 법 개정의 검토를 요구하는 소리가 있지만, 권리의 침해에 대한 국민의 우려를 불식시키는 것이 선결 과제이다.

안보 3문서에는 미연에 공격자 서버에 침투해 무해화(無害化)할 수 있도록 정부에 필요한 권한을 부여하는 것도 포함됐다. 그러나 사이버 공격은 범죄인지, 테러인지, 무력 공격인지 주체가 개인인지, 국가인지, 갑자기 판별하기 어려운 경우가 많다. 무엇이 무력공격에 해당하고 어디로부터 반격이 인정되는지도 국제적으로 정해지지 않았다. 잘못 대응하면 국가 간 심각한 갈등과 분쟁으로 이어질 수 있음을 직시해야 한다.

* 한국의 능동적 사이버 방어

결론적으로 말하자면 한국은 ACD(능동적 사이버 방어)능력이 국가적인 사이버 대응시스템 부재로 취약성을 보이고 있다. 2022년 5월 한국을 방문했던 조 바이든 미국 대통령은 사이버 안(Cyber Security)을 무려 12번이나 강조하는 등 사이버 공격에 대한 방어능력을 강조한 적이 있지만, 아직 한국은 이제야 국가적 조직으로 구축하겠다는 단계이다.

특히 북한의 핵 위협과 동시에 사이버 공격에 능동적으로 방어해야 할 한국 정부의 노력은 미흡했던 것이 사실이다. 특히 북한 지난 2016년 미국을 비롯한 국제사회의 전방위적인 대북제재로 인한 외화부족의 북한이 대대적인 해킹 공격을 해 부족한 외화벌이용으로 사이버를 본격적으로 이용하기 시작했다.

북한은 지난 2004년도엔 4건에 불과한 사이버 공격이 있었으나, 당시 2022년까지 무려 300배나 많은 사이버 공격(해킹)을 시도해 북한으로서는 상당한 액수의 외화벌이를 한 셈이다.

이 같은 현실을 직시, 능동적 사이버 방어 능력 확보가 시급하다. 국정원은 2022년 11월 국가사이버안보기본법을 입법예고했다. 주요 골자를 보면, 민간 전문가들이 참여하는 국가사이버안보위원회, 또 사고 조사와 위협 정보의 공유 등을 수행하는 통합대응 조직의 설치 등이다. 대통령실을 중심으로 국가사이버보안체계를 정립하겠다는 계획인 것이다.

여기에서 앞서 지적된 문제점은 철저히 짚고 넘어가야 한다. 개인정보보호 등 사생활 침해 등 인권 문제까지를 고려한 사이버 방어 법제화를 해야 한다. 나아가 사이버 범죄자에게 데이터를 도난당했을 경우 해당 데이터가 무용지물(無用之物)이 되도록 고객의 데이터 암호화를 의무화할 필요성이 부각되고 있다.

전문가들은 이래와 같이 제언을 하고 있다.

(1) 개인정보보호에 대한 철저한 보장이 되는 제도가 마련돼야 하고,

(2) 전문가들의 조언을 경청하고, 바람직한 것들을 제대로 행동으로 옮기지 못할 경우 이를 처벌을 할 수 있도록 해야 하며,

(3) 이러한 것들이 제대로 실행되도록 조직 내 긍정적인 행동 변화를 유도하고, 사이버 범죄에 대한 조직문화를 조성하며,

(4) 사이버 보안 직원에게 보안관련 분명한 권한과 책임을 지울 수 있도록 하고,

(5) 국가 보안에 필요한 가장 높은 수준의 입법 표준 설정과 함께 그 조직이 자체적으로 해결책을 찾아낼 수 있는 자유(自由)를 제공하며,

(6) 기업들의 해킹 피해에 대한 신고를 의무화하는 법령 재정비가 필요하고,

(7) 초국가적으로 발생하는 문제에 대응하기 위해 동맹국, 우호국, 파트너들의 다양한 기관들과 소통창구가 있는 외교와 통상부를 통한 통합적인 전략적 의사교환 채널(strategic communication channel)을 구축할 필요가 있다고 제언을 하고 있다.