[보안뉴스=고려대 사이버국방연구센터] 버락 오바마 미국 대통령이 12일(현지시간) 2기 임기 첫 국정연설(State of the Union address)에서 사이버 공격에 대비한 국가안보를 강화하는 내용을 발표했으며, 같은 날 오전 주요 사회기반시설을 겨냥한 사이버 위협에 대처하기 위한 행정명령을 발동했다.

오바마 대통령은 미국이 빠르게 증가하는 사이버공격의 위협으로부터 노출되어 있으며 해커들이 美 국민들의 신원을 도용하고 개인 이메일에 침투하고 있다고 말했다. 또한, 해외 여러 국가와 기업들이 미국기업의 기밀정보를 빼내갈 뿐만 아니라 전력망과 금융기관, 항공 교통 관제시스템을 방해하는 능력까지 갖췄으며 경제와 안보문제가 직면한 실질적인 위협에 대해 그동안 왜 아무것도 하지 않았는지에 대해 자문해보지 않을 수 없다고 말했다.

오바마 대통령은 이러한 이유로 당일 오전 미국 국민의 사생활은 물론 국가안보를 보호하기 위한 보안표준 개발과 정보공유 및 사이버방어 강화를 위한 행정명령을 지시했다고 밝혔으며, 미 의회는 네트워크 보호를 위해 오바마 행정부가 제안한 법안을 통과시켜만 한다고 강조했다.

이번 행정명령은 미국의 사회기반시설을 운영하는 기업들이 사이버보안기준 프로그램을 마련하도록 하기 위한 것이다. 주된 특징으로는 기업의 자발적인 참여를 이끌어내기 위해 사이버 위협정보를 실시간으로 공유할 수 있도록 사이버보안 서비스 프로그램을 확장하는 것으로 그 동안 방위산업에만 제한되어 있던 기본정보공유를 다른 분야에 적극적으로 개방한다는 방침이다.

또한, 기업이 사이버 공격을 탐지하고 격퇴하기 위해 네트워크 방어를 강화할 수 있도록 보안표준을 작성함에 있어 정부기관인 NIST(the National Institute of Standards and Technology)가 참여한다는 것이다. NIST는 기존의 국제보안표준은 물론 사례 및 효과가 입증된 절차를 기본구조로 프레임워크를 개발하며 기업의 각 이해당사자와 공동으로 작업을 수행할 것이라고 발표했다.

이번 행정명령을 수행하기 위해 오바마 행정부는 위협의 기밀성을 주제별로 분류하고 미국 기업에 사이버공격정보를 제공하는 정보공유 프로그램을 만들 것을 각 정부기관에 요구했으며, 강력한 사생활보호는 물론 시민의 자유를 기반으로 한 공정정보이용규칙(Fair Information Practice)을 준수할 것을 지시했다.

또한, 사이버보안 프레임워크개발을 NIST에 요청했으며, 국토안보부가 기업들의 사이버보안 프레임워크의 채택증진을 위해 자발적인 프로그램을 수립하고 규제기관들이 현재 사이버보안규제의 효과성에 대해 평가할 것을 지시했다.

이번 오바마 대통령의 국정연설과 함께 발동한 행정명령은 뉴욕타임즈(NYT), 월스트리트저널(WSJ), 워싱턴포스트(WP), 블룸버그 통신 등 미 주요 언론사들을 비롯해 연방준비제도 웹사이트는 물론 미국의 대표 은행들에 대한 중국 해커들의 연이은 사이버공격이 폭로된 것과 맞물렸다는 점에서 의미가 깊다.

또한, 국가핵심기반시설의 실질적인 피해를 야기할 수 있는 사이버공격, 민감정보에 대한 데이터보안 문제, 지속적인 정보유출문제에 대하여 미국 행정부의 우려가 커지는 가운데 행정명령이 발동했다는 점, 마지막으로 지난해 오바마 행정부가 제안한 사이버보안법(Cybersecurity Act of 2012)이 공화당의 반대로 무산되면서 사이버정책방향을 재검토 중인 가운데 발표되었다는 점에서 주목할 수 있다.

이러한 와중에 마크 로저스 공화당 하원의원과 더치 루퍼스버그 민주당 하원의원이 지난해 공동발의 했으나 오바마 대통령의 거부권으로 무산됐던 사이버 정보공유 법안(CISPA)을 재추진하면서 미국에서는 사이버안보 강화를 위한 정보공유 움직임이 본격화되고 있으며 논의가 활성화되고 있다.

오바마 행정부의 행정명령과 관련하여 미국 국내에서는 행정명령의 실효성과 관련하여 의견이 분분하다. 사이버위협의 심각성에 대해서는 전적으로 동의하지만 사이버안보 문제에 대해 다른 입장을 제시하고 있는 미 의회 역시 행정명령의 추진성과 지속성에 의문을 던져주고 있다. 대부분의 공화당 의원들의 경우 국가 보안 및 정보공유를 강조하지만 정부가 설정한 보안표준을 강요하여 민간 기업에 부담에 주기를 원치 않는다.

민주당의 경우 의원들 대부분이 기업의 규제 과잉에 대한 문제에 대해서는 크게 염려하지 않으나 개인의 정보를 가지고 있는 인터넷 기업의 보유데이터를 정부가 조사할 수 있게 하는 조치에 대해서는 심각한 우려를 하고 있다.

언론 역시 이번 행정명령에 대해 다른 입장을 보여주고 있다. LA타임즈는 익명의 미국 선임정부 고위관계자에 말을 빌려 사이버 공격은 미국이 직면한 중대한 위협에 맞서 민관파트너십을 기반으로 한 새로운 접근법을 필요로 하며 그 시작을 알리는 좋은 시발점을 될 것으로 평가했다.

미국 정치전문 매체인 폴리티코는 이번 행정명령이 극적인 효과를 기대할 수는 없으나 사이버보안과 관련한 행정부의 경계강화는 충분히 가치가 있다고 평가했다. 미국 시민자유연합(ACLU)은 모든 민간기업에 정보공유를 요구한 CISPA 법안에 반대 입장을 표명한 것과는 대조적으로 이번 행정명령이 미국 시민의 자유에 부정적인 영향을 주지 않는다고 밝혔다.

블룸버그 통신은 미 국토안보부 전 개인정보보호책임자의 말을 빌려 오바마 행정부가 사회기반구조를 맡고 있는 기업들이 사이버위협 정보를 정부 혹은 다른 기업과 공유하는 것에 대해 합법적으로 면책특권을 줄 수 없다는 점, 기업들이 보안표준을 준수하다 하더라도 면책특권을 제공할 수 없다는 점에서 기업들의 자발적인 참여를 이끌어내기 어렵고 도입효과를 기대하기 어렵다고 전망했다. 몇몇 기업들은 데이터정보를 교환하는 것에 대해 신뢰하지 않는 것은 물론 보안표준을 따르는 것 역시 원치 않는다고 밝혔다.

이번 국정연설과 행정명령을 통해 오바마 대통령이 사이버안보 위협과 관련된 정보공유 문제에 대해 의지를 보여주었다는 점과 그동안 지지부진했던 정보공유문제의 논쟁에 물꼬를 텄다는 점에서 중요한 첫 번째 발걸음을 내딛었다는 점은 의심의 여지가 없다. 그러나 위에서 지적했던 많은 문제점들이 해결되지 않은 상태에서 발동한 이번 행동명령이 실질적으로 얼마나 실효성이 있을지에 대해선 좀 더 지켜보아야 할 것이며, 실질적인 법제화 추진단계에 이르기까지 많은 논란이 있을 것으로 예상된다.

[글_고려대학교 사이버국방연구센터]