사이버전의 명확한 개념과 임계치에 대한 사회적 동의가 전제돼야

[보안뉴스=고려대 사이버국방연구센터] 지난해말 전 세계 언론들은 여러 기사를 통해 美 국방부장관 리언 패네타의 사이버진주만 공격과 사이버 9·11 테러 위험에 대한 자극적인 경고를 인용한 바 있으며, 최근 벌어지고 있는 미국과 이란간의 사이버공방을 최초의 사이버전으로 소개하는 등 사이버전 위협에 대해 생생하게 다루고 있다.

또한, 최근 국내외 보안기업들과 언론들에서 발표한 2013년 보안이슈 보고서들과 전망 기사들을 살펴보면, 실제로 여러 기업과 매체에서 2013년에 사이버전 위협이 본격화될 것으로 전망하고 있음을 알 수 있다.

우선 국내 보안기업들의 전망들을 살펴보면, 안랩은 ‘2013년 예상 7대 보안위협 트렌드’에서 올해 사이버전이 실제 피해로 이어질 가능성이 높다고 전망하고 있다. 사이버공격이 지금처럼 홈페이지 변조, 디도스 공격, 기밀정보 유출 등에 그치는 것이 아니라 앞으로는 목표대상 시스템을 논리적·물리적으로 파괴할 수 있다는 것이다.

이글루시큐리티 또한 ‘2013년 보안위협 트렌드’에서 개별 해커나 사이버테러 단체가 아닌 국가주체에 의한 대규모 집단 공격이 본격화되고 안보적 차원의 국가간 사이버전 양상이 확대될 것으로 전망하고 있다. 포티넷 코리아는 국가기반시설에서 국가안보를 위한 플랫폼으로 사용되던 M2M 네트워크에 대한 공격이 본격화될 것이라고 전망하고 있다.

글로벌 보안기업들도 앞 다투어 사이버전 위협을 2013년의 주요이슈로 전망하고 있다. 시만텍은 ‘2013 Top 5 Security Trends’에서 국가간 사이버 분쟁을 2013년의 주요 보안 트렌드로 꼽고 있으며, 카스퍼스키랩은 ‘Security Forecast 2013’에서 국가에 의한 사이버 첩보와 사이버전쟁, 사이버작전이 본격화될 것으로 예상하고 있다.

또한, 에프-시큐어랩은 플레임, 가우스 등과 같은 국가에 의한 스파이 도구 이용이 증가할 것이며, 사이버 공간에서의 군비확산 경쟁이 본격화될 것으로 전망하고 있다. 워치가드는 ‘2013 Security Prediction’에서 사이버전에 의한 인명피해의 가능성에 대해 경고하고 있으며, 사이버 반격 또한 본격화될 것이라고 전망하고 있다. 비트9는 파괴적인 사이버무기의 등장을 2013년에 예상되는 주요이슈로 꼽고 있다. 로그리듬과 임페르바는 국가가 지원하는 사이버공격이 2013년에 본격화될 것이라고 전망하고 있다.

여러 해외 언론들도 사이버전 위협을 2013년의 주요 이슈로 꼽고 있다. 미국의 시사주간지 뉴스위크는 신년호에서 2013년을 바꿀 신기술 22개 항목을 선정하면서 그 중 하나로 사이버전을 꼽으면서, 미국의 인프라에 대한 외국발 사이버공격이 이루어져 정전사태가 발생하고 주식시장이 마비되는 등 심각한 피해가 발생한 후, 미국이 이에 반격하는 세계 제1차 사이버전쟁 시나리오를 제시하고 있다.

지디넷 또한 ‘14 Global Cybersecurity Challenges for 2013’에서 국가들 간의 사이버전쟁 가능성을 언급하고 있다. 이처럼 이미 많은 보안기업들과 언론들이 사이버전 위협에 대해 실제적인 위협으로 심각하게 받아들이고 있음을 알 수 있다.

물론 모든 기업들과 언론들이 2013년 전망에 사이버전이나 국가 간의 사이버공격 위협을 포함시키고 있는 것도 아니다. 사이버전이 아예 포함되지 않은 보안전망도 다수 존재하며, 국내 모 보안매체의 2012년 보안키워드 설문조사에서는 사이버전이 상대적으로 낮은 득표를 얻는 등 전문가들이나 언론이 사이버전의 위협을 바라보는 시각과 실제 국민들이 피부로 느끼는 사이버전 위협 간에는 다소 차이가 있는 것이 사실이다.

또한, 사이버전 위협이 과장되어 있으며, 논의할 필요성이 낮다고 주장하는 전문가들과 기업들도 존재한다. 이코노미스트지의 최근 기사 ‘Cyber Warfare Hype and Fear’, 버라이존의 ‘Cyber War Fears are Overblown’, 브루스 슈나이어가 ‘Schneier on Security’에 발표한 일련의 글들은 국가와 국가 간의 사이버전이 지금껏 일어난 적이 없으며 일어날 가능성도 낮다고 주장하고 있다.

이들의 주장은 언론에 의해 불필요한 사이버전 위험만 높아지고 있으며, 이러한 위험이 정부의 간섭과 통제, 프라이버시나 인권침해와 같은 또 다른 위험을 가져올 수 있다는 것이다. 특히, 버라이존은 경험적인 증거들을 들며 전면적인 사이버전쟁은 일어나지 않을 것이라고 전망하고 있고, G-Data의 전문가들은 현재의 위협은 전쟁이 아닌 일종의 특수한 유형의 첩보행위일 뿐이므로 사이버전이라는 용어 사용 자체가 잘못된 것이라고 말하고 있다.

바로 이 주제를 두고 미국에서 2010년 6월에 열린 한 토론 프로그램에서 전자프라이버시정보센터의 마크 로텐버그와 보안전문가인 브루스 슈나이어는 사이버전 위협이 과장되어 있다고 주장한 반면, 전직 NSA 수장인 마이크 매코넬과 하버드대 로스쿨 교수인 조나단 지트레인은 사이버전 위협이 실재하는 위협이라고 주장했다.

양 진영간 논쟁이 본격적으로 벌어지기 전에 “사이버전 위협은 과장됐다”라는 주장에 대한 청중들의 투표에서는 찬성 24%, 반대 54%, 미결정 22%라는 결과가 나온 반면, 토론이 끝난 이후에는 찬성 23%, 반대 71%, 미결정 6%라는 청중단 투표결과가 나왔다고 알려졌다. 즉, 대다수의 부동층이 논쟁을 지켜본 이후 사이버전의 위협이 실제 위협이라고 자신의 의견을 정한 것이다.

여기에서 필자가 말하려는 핵심은 그래서 사이버전 위협이 실제 존재하는지, 아니면 단순히 언론의 허구적 창조물에 불과한 것인지를 판단하고자 하는 것이 아니다. 중요한 것은 우리가 사이버공간에서 실제 경험하고 있는 위협이 사이버전 위협이라고 부를 수 있는지, 사이버전 위협이 현실인지 근거 없는 과장인지 여부를 결정하는 것은 결국 우리가 사이버전을 어떻게 정의하고 있는가에 좌우된다는 점이다.

모두 사이버공간에서의 위협이 심각하다는 점에서는 동의하면서도, 그것을 사이버전이라고 부를 수 있는지에 대해 불일치가 발생하는 이유는 군, 언론, 학계, 시민사회에서 각각 사용하는 사이버전에 대한 개념과 사이버전쟁이라고 부를 수 있는 상태의 임계치가 서로 다르기 때문이다. 이 때문에 불필요한 혼란과 과장 논란이 지속적으로 재생산되고 있다.

1995년 타임지 헤드라인에 사이버전이라는 단어가 처음 등장한 이후 10여년이 훌쩍 지난 지금에도 여전히 에스토니아 사이버공격, 러시아-그루지야 사이버전, 스턱스넷, 최근의 미국과 이란의 사이버공방 등 사이버공간에서 굵직한 사건이 발생할 때마다 매번 각 사건들이 ‘최초’의 사이버전으로 소개되는 것 또한 바로 이러한 명확하지 않은 개념 때문에 기인한 바 크다.

최초의 사이버전이라는 자극적인 문구와 사이버 진주만, 사이버 9·11과 같은 은유들만으로는 현재의 위협을 정확하게 설명할 수 없으며, 불필요한 오해만을 낳고 오히려 사이버위협 대응에 실질적인 도움이 되지 못하는 경우도 존재한다. 실질적인 사이버전 위협과 수사학으로서의 사이버전 위협은 구분될 필요가 있다.

사이버전에 대한 모호한 이해에 따른 부작용을 막기 위해 이제는 사회적으로 합의될 수 있는 사이버전에 대한 명확한 정의와 임계치가 마련되어야 할 때다. 다양한 사이버위협에 대해 적절하고 효과적인 대응을 하기 위해서는 사이버전의 정의와 성격을 제대로 파악하는 것이 중요하며, 현존하는 위협을 무엇이라 불러야 하고, 특정 위협에 어떻게 효과적으로 대응해야 할지에 대한 원칙을 마련하는 것이 필요하다.

구체적으로는 독자적인 사이버전은 가능한지, 물리적 전쟁과 항상 동반되어야 하는 것인지, 실제 핵미사일 공방 없이도 냉전이라고 불렀던 것처럼 사이버무기 공방은 일어나지 않고 무기경쟁만 지속되고 있는 지금을 사이버냉전이라고 부를 수 있는지, 전통적인 물리전의 이상적인 형태를 기반으로 해서 사이버전을 정의하는 것은 적절한지, 사이버공간에서의 전쟁에 대한 임계치가 물리적 공간에서와 달리 새롭게 설정할 필요는 없는지 등에 대해 고민하고 논의해야 한다. 지금은 단순한 언론의 수사학이나 이데올로기적인 언론플레이가 아닌 학계와 관련 전문가들의 과학적인 논의와 학문적인 연구들이 나와야 할 시점이다.

이미 전 세계적인 차원에서 진행 중인 사이버무기 경쟁과 사이버전력 강화 흐름을 통해 사이버전쟁 위협이 어쩔 수 없이 현실화되어 가고 있는 상황이라 늦은 감이 없지 않지만, 지금에라도 사회구성원 다수의 협력에 기반한 실질적인 사이버 국방 강화를 달성하기 위해서는 사이버전에 대한 명확한 개념과 임계치에 대한 사회적 동의가 전제 되어야 한다는 것을 명심하고, 이에 대한 연구와 사회적 논의를 만들어나가야 할 것으로 본다.