3월 한 달 동안 많은 일들이 있었다. 특히 IT 정책과 관련된 소식들이 제법 있었다. 그 중 전 세계적인 여파가 있을 것으로 보이는 이야기와 새로운 정책들을 뽑아 보았다. IT 기술과 IT 정책의 발전 속도가 다르기 때문에, 그 사이에서 벌어지는 이야기들이 꽤나 흥미롭다.

[보안뉴스 문정후 기자] IT 업계는 기술적 변화로 항상 부글부글 끓는 분야다. 그렇기 때문에 관련 정책 부서와 정부 기관들 역시 숨가쁘게 쫓아오고 있다. 지난 3월 한 달 동안 해외에서 있었던 IT 정책 관련 소식들을 모아서 정리했다. 


1. 러시아-우크라이나 전쟁 : 사이버 공간에서
가장 큰 화제이면서 가장 파괴적이고, 가장 깊은 영향력을 가진 소식은 러시아와 우크라이나 사이에 터진 전쟁이다. 이 전쟁은 하이브리드전 혹은 하이테크 전쟁이라고 불릴 정도로 첨단 무기들이 동원되고 있어 IT와 보안 분야 내 사건이라고 해도 무방하다. 실제로 이 전쟁 때문에 기술 분야와 외교 분야에 새로운 정책들이 준비되기 시작했다.

이번 전쟁을 하이브리드전이라 부르는 이유 중 가장 중요한 건 ‘해킹’이다. 해킹은 오래된 러시아의 주특기다. 지난 2월 말 미국의 위성 통신 회사인 비아샛(Viasat)은 유럽 고객들과 연결된 가정용 모뎀 서비스 다수가 중단 현상을 겪었다며, 그 고객들 대부분 우크라이나인들이었다고 밝혔다. 비아샛은 이 공격이 다면적이면서 고의성이 다분한 공격이었다고 하며 러시아가 배후에 있다고 주장했다. 

비슷한 시기에 뉴욕타임즈는 데이터 삭제형 익스플로잇 도구인 폭스블레이드(Foxblade)가 우크라이나에 있는 MS 서버들에서 발견됐다는 내용의 기사를 보도했다. 이 공격의 직접적인 표적은 MS가 아니었다. 폭스블레이드가 노린 건 우크라이나 정부와 금융 기관들에  꼭 필요한 데이터를 완전히 삭제하는 것이었다. MS는 그저 러시아의 우크라이나 공격의 애꿎은 피해자였다. 다만 폭스블레이드가 실제 피해를 입히기 전에 MS는 공격을 막을 수 있었다고 한다. 백악관은 MS가 방어에 사용한 코드를 우크라이나 정부와 공유할 것을 요청하기도 했었다.

마이크로소프트의 회장인 브래드 스미스(Brad Smith)는 “MS는 국가도 아니고 정부도 아닌데 왜 우리를 공격했는지 모르겠다”고 자사 블로그를 통해 울분을 토했다. 틀린 말은 아니지만 맞는 말도 아니다. 왜냐하면 MS에서 나오는 모든 제품이나 소프트웨어가 사실상 국적에 관계없이 세상 모든 곳에서 사용되고 있다는 걸 모르는 사람이 없고, 그래서 전쟁이 있든 없든 항상 해커들의 1순위 표적이기 때문이다. 하이브리드전이 계속 이어지는 한 MS는 항상 공격과 방어의 도구로서, 혹은 협조자로서, 혹은 부차적인 피해자로서 어떻게든 참가할 수밖에 없는 존재다. 

이번 전쟁의 또 다른 특징은 ‘크라우드소싱’으로 진행된다는 점이기도 하다. 자발적으로 러시아/우크라이나 편을 드는 사이버 세력들이 활동하고 있는가 하면, 일반 웹 사용자들이나 용병들까지도 여기에 참여하려 하고 있기 때문이다. 우크라이나의 디지털변혁처(Ministry of Digital Transformation)는 “3월이면 IT 군대가 개설될 것”이라며 여기에 지원한 사람들을 위한 텔레그램 채널까지도 만들었다. 그리고 30만 명이 여기에 응했다. 하지만 이것이 유효한 전략이 될지는 아직 아무도 모른다. 러시아의 첩보 요원이 우크라이나 IT 군대의 자원자로 가장해 텔레그램 채널에 가입한다고 해도 아무도 이를 막을 수 없다. 

우크라이나의 이러한 움직임이 실제 전쟁을 좌지우지할 정도로 전략적인 것은 아닐 수 있지만 꽤나 큰 의미를 가지고는 있다. 전 세계에 ‘우리의 해킹 공격에 협조해 달라’고 요청한 전쟁 수행 국가는 한 번도 없었기 때문이다. 그것도 민간인들을 대상으로 해서 말이다. 때문에 여기에 응하는 것에 대한 법률과 규정의 토대가 아직 마련되어 있지 않으며, 따라서 우크라이나를 해킹 기술로 돕고 싶더라도 그것이 법에 저촉될 수 있다는 것은 항상 염두에 두어야 한다. 

미국만이 아니라 다른 여러 나라들에서도 국방 및 안보, 군사적 움직임에 대한 정책은, 전쟁에 동원되는 기술력보다 항상 늦다. 기술과 관련된 정책들도 느리기는 마찬가지다. 하지만 분명히 현실을 쫓아오기는 한다. 많은 기업들이 전쟁으로서 만들어진 새로운 정책에 따라 러시아라는 시장을 포기하기 시작했다. 이렇게 되면 러시아는 사이버 공간에서나 기술적 측면에서나 고립된 나라가 되어 갈 수밖에 없게 된다. 인터넷에 연결되어 있기야 하겠지만 사실은 찾을 수가 없는 그런 존재 말이다. 그러한 현실을 정책과 규정으로 반영하려면 꽤나 골치가 아플 것으로 예상된다. 입법자들은 러시아가 인터넷에서 거의 분리되다시피 한 상황에서의 규정과 보안을 새롭게 고민해야 하는 상황이다.

2. 미국, 사이버 위협과 에너지 위기를 직면하다
미국의 바이든 행정부는 사이버 보안이라는 것에 있어 항상 민감하다. 콜로니얼 파이프라인 사태나 솔라윈즈 사태 등 하나하나가 ‘역대급’인 사건을 지난 해에만 여러 번 겪었기 때문이다. 이 때문에 러시아와 우크라이나 사이에서 전쟁이 발발하자 긴장하기 시작했다. 그러면서 모든 미국 기업들에 러시아발 공격이 있을 가능성이 높다고 알리기 시작했다. 3월 21일 백악관의 앤 뉴버거(Anne Neuberger)는 “사이버 공격자들이 각종 악행을 저지를 수 있다”며 “디지털 도어락을 반드시 잠가야 한다”고 강조했다. 다만 이 때 특별한 위협이나 취약점을 구체적으로 밝히지는 않았었다.

러시아와 우크라이나 전쟁으로 인해 많은 국가들이 러시아산 석유와 가스 등의 의존도를 재검토하기 시작했다. 러시아에서 연료를 사는 건, 우크라이나에서 저지르는 러시아의 만행을 후원하는 것이나 다름이 없다는 여론도 형성되고 있다. 바이든 행정부는 이런 부분에 있어 꽤나 공격적인 스탠스를 취하고 있다. 3월 8일 바이든 대통령은 러시아산 연료 대부분을 수입 금지 목록에 포함한다는 행정명령에 서명했다. 양당 모두 여기에 강하게 동의한 것으로 알려져 있다. 러시아 에너지 산업에 대한 투자 역시 이 때 같이 금지됐다.

그러자 미국에서의 연료비가 폭등하기 시작했다. 백악관은 긴급 상황에 사용하기 위해 비축해 둔 석유 9천만 배럴을 사용하라고 명령을 내렸다. 그리고 국제에너지기구(IEA) 회원국들과의 협상을 통해 6천만 배럴을 추가로 확보했다. 일시적으로라도 공급을 보충하면서 러시아의 고립을 이어가겠다는 것이다.

바이든 대통령은 그 행정명령을 통해 화석 연료들에 대한 의존도를 낮춰야 한다는 말을 추가하기도 했는데, 이 말은 매우 모호하다. 구체적인 내용이 하나도 없기 때문이다. 러시아에서 수입하는 각종 에너지 원료들을 어떤 ‘그린 에너지’로 대체할 수 있을 것인지 언급도 없고, 토론도 이뤄지지 않고 있다. 그래서 ‘입법자들이 나머지는 알아서 해’라고 읽히기도 한다. 러시아산 에너지를 완전히 끊어내려는 의지가 일시적인 것일 수 있다.

독일도 비슷한 입장이다. 독일도 러시아를 비판하고, 러시아산 에너지 수입에 대해 재검토 하겠다는 입장을 발표한 바 있다. 또한 러시아에서부터 독일을 거쳐 유럽으로 퍼지는 송유관인 노드스트림 2(Nord Stream 2)에 대한 허가를 하지 않겠다면서 강경한 입장을 취하는 것처럼 보였다. 하지만 노드스트림 2 이전 버전이라고 할 수 있는 에너지 수송 시설인 노드스트림 1은 아직도 100% 가동되는 중이다. 

3. 대서양 횡단 데이터 프라이버시
3월 25일 백악관과 유럽연합위원회는 새로운 데이터 프라이버시 관련 프레임워크를 만들어 발표했다. 미국과 유럽연합 기업들이 상업적 목적을 위해 거래를 진행할 때 데이터의 프라이버시를 보호하게 해 주는 새로운 전략이 마련됐다고 볼 수 있다. 그러므로 조만간 미국과 유럽 국가 여러 곳에서 새로운 프라이버시 규정들이 생겨날 것으로 예상된다. GDPR 때문에 머리 아프게 연구하고 고민했던 그 때의 기억들을 되살려야 할 것이 거의 확실해 보인다는 것이다. 이 프레임워크는 상당히 유럽 기업에 유리하게 만들어지긴 했지만 그렇다고 유럽의 기업들이 콧노래를 부를 상황은 아니다. 유럽 시민들의 데이터를 보다 빡빡하고 엄격하게 다루어야 함은 마찬가지일 것이기 때문이다.

이 새 데이터 프라이버시 프레임워크는 외교적인 가치를 가지고 있는 협약이기도 하면서 상업적이기도 하다. 백악관은 유럽과 미국이 같은 민주주의적 가치관을 공유하고 있기 때문에 이와 같은 협약을 맺는다고 강조했다. 비민주주의 국가(러시아라든지)들과의 경쟁 체제에서 유럽연합과 미국이 우위에 서기 위한 제도라고 추측케 하는 부분이다. 또한 이러한 처사는 독점 금지법에 지대한 영향을 미칠 것이라고 여러 전문가들은 말하고 있다. 독점 금지법에 변화가 있을 경우 정책과 입법 분야가 한동안 혼잡할 것으로 보인다.

4. 자체 생산 칩들이 결국 늘어나게 될 것
기술 분야의 가장 큰 화제 중 하나는 반도체 칩이다. 현재 시장에서는 반도체 칩의 품귀 현상으로 적잖은 혼란이 발생하는 중이다. 우리에게는 지금 보유한 것보다 훨씬 많은 양의 칩이 필요하다. 현재 칩들의 90%는 대만에서 생산하고 있다. 좋지 않다. 이렇게 한 나라에 대한 의존도를 높일 경우, 나중에 러시아-우크라이나에 준하는 상황이 발생했을 때 전 세계가 지금과 비교도 할 수 없는 혼란 속에 접어들 것이기 때문이다. 그래서 이미 여러 나라에서 자체 칩 생산을 궤도에 올리기 위해 여러 가지 투자를 감행하고 있기도 하다. 하지만 칩 생산이라는 것이 하루 이틀의 투자로 금방 수준이 올라가는 분야는 아니다. 그러므로 앞으로도 얼마 간은 대만 칩셋에 대한 의존도가 그대로 유지될 것으로 보인다.

미국 의회에서도 칩에 대한 이야기가 나왔을 정도다. 마리아 캔트웰(Maria Cantwell) 의원은 국내 칩 생산 능력을 갖추는 것이 식량 안보를 확보하는 것에 준할 정도로 중요하다고 주장하기도 했다. 2021년 통과한 미국혁신경쟁법(USICA)이 아직까지 제대로 된 효과를 발휘하지 못한다는 점을 지적한 캔트웰은 “2031년까지 미국은 200조 개에 달하는 칩을 매년 생산할 수 있어야 한다”며 “그러한 목표를 두고 R&D에 더 투자해야 한다”고 국회에서 발표했다.

국회에서 칩셋에 대한 이야기가 나온 것은 사실 자동차 산업 때문이다. 자동차 산업은 코로나 사태로 인해 이미 칩셋 대란으로 크게 흔들리고 있다. 전기 차나 스마트카에는 대단히 많은 칩셋이 들어가기 때문이다. 개리 피터스(Gary Peters) 의원은 캔트웰을 지지하며 “모호한 개념으로서 칩과 관련된 규정을 마련하는 것을 넘어서야 한다”고 정책 입안자들에게 강력하게 촉구했다. “우리가 매일처럼 타고 다니는 자동차의 미래와 직접 관련된 문제입니다. 반드시 칩셋을 미국 내에서 생산할 수 있어야 합니다.”

이러한 움직임에 힘을 얻어서인지 인텔은 330억 유로를 들여 새로운 반도체 공장과 R&D 시설들을 유럽 곳곳에 새롭게 설립하는 중이다. 인텔이 이런 시설들을 설립하려는 국가는 아일랜드, 이탈리아, 폴란드, 스페인이다. 이런 대규모 투자를 계속해서 기다려 왔던 유럽연합으로서는 매우 기쁜 소식이 아닐 수 없다. 인텔은 이런 움직임을 통해 3천 개 이상의 새로운 일자리를 창출할 수 있을 것이라고 밝혔다. 이로써 유럽에서도 자체 칩 생산을 시작할 수 있게 될 것이라고 유럽 대륙은 기대하고 있다.

5. 누가 크립토를 길들일 것인가?
인도와 영국의 정부는 지난 수년 동안 암호화폐 시장을 어떻게 다루고 규제해야 할지를 놓고 고심해 왔다. 그러면서 실상은 암호화폐에 그리 친화적이지 않은 제도들을 수립해 왔다. 미국도 여기에 참전했다. 3월 9일 바이든 대통령은 “디지털 자산의 책임감 있는 개발 확립”이라는 행정 명령에 서명했다. 금융 규제 기관들에 암호화폐 및 디지털 장부 도구들의 빠른 성장을 예의주시 하면서 속도를 맞추라는 내용을 담고 있는 명령이다. 암호화폐 옹호론자들은 이 명령에 대해 그리 달가워하지 않고 있다. 정부 차원에서 통합 암호화폐 코인을 만들어 운영할 것이 예상되고 있기 때문이다.

하지만 이 명령으로 암호화폐 생태계를 겨냥한 대 규제가 시작됐다고 보기는 힘들다. 오히려 일종의 경고와 비슷하다고 분석가들은 보고 있다. 정부가 메스를 들고 생태계를 수술하겠다고 나선 건 아니라는 것이다. 블록체인협회(Blockchain Association)는 “바이든이 ‘나도 암호화폐가 중요하다는 걸 알고 있다’고 선포한 것”이라고 이번 행정 명령을 해석하고 있다. 하지만 그가 어느 쪽(촉진 혹은 규제)으로 방향을 틀지는 아직 알 수 없다. 다만 암호화폐가 계속해서 범죄 집단과 연루되어 있다는 이미지를 벗지 못하면 정부 기관으로서는 규제로 방향을 틀 수밖에 없다.

글 : 카를로 마시모(Carlo Massimo), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>