미국, 영국, 일본, 독일, 이스라엘 등 사이버 보안 강대국의 사이버안보전략
우리나라 최상위 국가사이버안보전략의 핵심방향은?

[보안뉴스 김영명 기자] 윤석열 정부는 국가안보 전략을 담은 ‘국가안보전략 : 자유, 평화, 번영의 글로벌 중추국가’라는 제목의 국가안보전략서를 발표했다. 현 정부의 최상위 국가안보 지침서다. 이번 신 안보전략에는 ‘사이버안보’라는 단어가 들어갔다.


사이버안보가 국가안보의 중요 요소로 떠오르면서 관심이 집중되고 있는 가운데 올해 발표한 ‘국가사이버안보전략’에는 사이버안보 분야에서의 국가역량 강화를 위한 비전 및 방침을 포함하고 있다. 이 전략은 안보 환경의 변화를 반영해 4~5년 주기로 개정해 나갈 방침이다.

국가정보원(이하 국정원)은 2020년 개정된 국가정보원법에 따라 사이버안보를 주된 직무로 명시하고 있으며, 사이버안보 국가기관으로서 관련 업무를 수행하고 있다. 이와 관련 국정원은 미국, 영국, 일본, 독일, 이스라엘 등 사이버안보 선진국의 사례를 들어가며, 우리나라의 국가사이버안보전략이 나아가야 할 길에 대해 설명했다.

먼저, 미국은 2003년 9·11 테러를 계기로 국가사이버안보전략을 처음 발표했으며, 2018년 트럼프 정부 때, 그리고 올해 3월 바이든 정부가 세 번째 사이버안보전략을 발표했다. 미국의 국가사이버안보전략은 솔라윈즈(SolarWinds) 공급망 공격, 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 등을 계기로 사이버안보 중요성이 더욱 강조되면서 한층 강화됐다. 미국이 바라보는 사이버 위협의 4대 국가는 중국, 러시아, 이란, 북한 순이다. 미국의 국가사이버안보전략은 방어적, 회복적, 가치일관적인 디지털 생태계 조성에 목적을 두고 있다.

미국 국가사이버안보전략의 목표는 크게 △핵심 인프라 방어 △위협행위자의 분열 및 해체 △보안·회복력을 견인하는 시장의 힘 형성 △회복력 있는 미래를 위한 투자 △공동의 목표 달성을 위한 국제 파트너십 구축 등 크게 5가지다.

영국은 2021년 3월 안보·국방·외교정책 등에 관한 IR(Integrate Review)를 발표했다. 영국은 총 4개 전략 중 제1전략인 ‘과학기술을 통해 전략적 우위 유지’를 통해 사이버 분야 경쟁우위 확보를 추진하고 있다. 또한, 국가간 체제경쟁이 이뤄지는 주요 공간 중 하나로 사이버공간을 명시하고 있다. 영국은 2021년 IR을 기반으로 국가사이버전략(National Cyber Strategy)을 발표했다. 이는 5개 전략 목표를 기반으로 2025년까지의 주요 이행활동 및 목표를 제시하고, 26억 파운드(한화 약 4조 3,373억원) 이상의 투자계획을 발표했다.

영국은 사이버안보전략은 사이버공간을 통해 국가의 이익을 보호하고 이를 증진시키기 위한 사이버파워(Cyber Power)를 핵심가치로 제시했다. 오는 2030년에는 영국이 사이버강국을 주도하겠다는 목표를 세웠다. 이와 함께 주요 위협국가로는 러시아와 중국, 그리고 북한과 이란의 일부로 지정했다.

영국의 사이버안보 분야 주요기관을 살펴보면, 국가사이버안보센터(NCSC)는 정보공유, 시스템 취약성 해결 등을 목표로 하고 있으며, 국가사이버부대(NCF)는 테러 및 범죄자 대응, 적 시스템 교란 등 공세적 사이버활동을 수행하고 있다.

영국의 사이버전략 목표는 크게 사이버생태계 강화, 사이버 복원력, 기술우위, 글로벌 리더십, 위협대응(적 탐지·교란·억지) 등 5가지로 요약할 수 있다. 영국 사이버전략의 시사점은 국익 달성을 위한 핵심가치로 사이버파워를 강조하고, 사이버파워를 형성하기 위해 범사회적으로 접근하며, 국가 주도 사이버부대가 적법절차에 따라 위협에 대응하고 있다는 것이다.

일본의 국가사이버안보전략 이념과 원칙을 보면, 사이버공간을 풍요와 가치실현의 장, 경제사회 발전, 자유민주주의 문화발전의 기반으로 하고, 정보의 자유로운 유통, 법의 지배, 개방성, 자율성, 다양한 주체의 연대 등을 원칙으로 하고 있다. 또한, 사이버위협 국가는 중국, 러시아, 북한 등 세 나라를 지목하고 있다.

일본의 주요 국가사이버안보 시책은 디지털 개혁과 사이버 보안의 조화, 국제사회의 평화·안정과 일본의 안보기여 등이며, 사이버보안전략본부와 사이버보안센터가 중심이 되고 있다.

독일은 2011년, 2016년, 2021년 등 3차례에 걸쳐 사이버안보전략을 발표했다. 사이버공격의 새로운 경향은 랜섬웨어, 개인 데이터 수집, 국가지원 APT 그룹의 공격, 하이브리드 위협 등 4가지로 분석하고 있다. 독일 사이버안보전략의 주요 목표는 △디지털환경의 안전 및 자율성 유지 △정부와 민간산업계의 협력 △강력하고 지속가능한 사이버보안 아키텍처 구축 △유럽 및 국제 사이버보안 정책에서의 적극적인 역할 등이다.

이스라엘의 국가사이버안보전략을 살펴보면 2021년 7월 국가사이버보안국이 ‘국제 사이버전략-글로벌 복원력을 위한 국제개입’을 발표했다. 이 전략에는 국가 사이버 방어 개념을 시장복원력, 작전대응, 국방으로 구성된 3개의 대주제와 함께 이를 뒷받침하는 사이버생태계로 설명했다.

이스라엘의 국가사이버안보전략은 ICT/보안 협력, 사이버 보안 역량 강화, 첨단 사이버 보안 기술개발 강화와 함께 기존 국제법의 사이버공간 적용 가능 등의 국제전략을 강조하는데 중점을 두고 있다.

우리나라 정부의 사이버안보전략은 최초의 국가사이버안보전략이자, 각 부처를 통합해 100대 세부 기본계획을 수립했다는데 의미가 있다. 다만, 각 부처가 수행 중인 정보보호 업무를 반영해야 하고, 미래 국가 비전 등 국가체계 전반에 대한 확고한 가치관 정립이 필요하다는 지적이다.

국가사이버안보전략과 관련해 국정원 담당자는 “우리나라의 국가사이버안보전략을 개정한다면, 위협 주체와 함께 국가 사이버안보 업무를 수행하는 주요 기관을 명시할 필요가 있다. 또한, 국제협력 측면에서는 초국경 사이버위협에 대한 국제협력의 중요성이 증가함에 따라 유사입장국과의 협력, 다자주의 외교, 국가간 협의체 등이 요구된다”고 말했다. 이어 “사이버위협 예방 및 복원력 강화 조치의 실효성을 분석하고, 정부 지원을 통한 사이버 보안인력 양성을 기반으로 분야별 맞춤형 인력 확보가 필요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>