EU, 포괄적인 사이버 보안 전략 수립 및 추진

[보안뉴스 김태형] 세계 각국에서 사이버공간에서의 주도권 확보를 위해 각축을 벌이고 있는 가운데 각 나라별로 사이버 안보에 대한 구체적 목표와 추진방향을 담은 ‘국가 사이버 안보 전략’을 수립하고 있다.

이와 같은 국가 사이버 안보 전략의 수립과 홍보는 향후 사이버 공간에 대한 주도권 경쟁 및 이권에서 우위를 점할 수 있다.

이에 유럽연합은 지난 2013년 2월 사이버 공격 예방과 대응에 관한 포괄적인 미래 비전을 제시하는 ‘사이버안보 전략: 개방되고 안전한 사이버 공간’이란 제목의 공동선언(Join Communication)을 발표했다.

EU는 과거에도 사이버 안보에 관한 규범과 지침들을 발표해 왔다. EU는 주로 정보통신망 및 정보보호 관점에서 사이버 위협에 대한 대응체제를 갖추어 왔으며 2001년 ‘Communication on Network and Information Security: Proposal for a European Policy Approach’를 시점으로 그동안 다수의 법제와 프로그램 등을 제시했다.

이와 관련 국가보안전략연구소 김일기 선임연구원은 “과거의 법제들이 경제와 사법 영역에 한정되어 있다면, 이번 전략은 경제, 사법, 안보, 방위 부문 등을 포괄하고 있다”면서 “EU의 사이버 안보 전략의 범위가 확장된 것은 자연재해와 테러, 산업스파이 및 불량 국가가 후원하는 사이버 공격과 같은 새로운 위협이 대두되면서 사이버 공격이 국가 안보와 경제에 미치는 피해가 갈수록 높아지고 있다는 인식이 반영된 결과”라고 설명했다.

이어 그는 “현재 EU 차원의 사이버 안보 전략은 유럽집행위원회 및 사이버안보전략위원회를 중심으로 네트워크 및 정보보호 지침이 강화되고 있으며 유럽 역내 CERT의 네트워크 추진을 통해 사이버 위협에 대한 대응능력 향상을 도모하고 있다”고 덧붙엿다.

김일기 선임연구원에 따르면, EU의 사이버 안보 전략은 크게 네트워크 및 정보보안(Network and Information security), 법 집행(law enforcement), 국방(Defence) 등의 영역으로 구분해 볼 수 있다.

그리고 이러한 영역에서 EU와 회원국 차원에서의 역할들을 제시하고 있다. 즉 EU는 사이버 안보를 위의 세 가지 요소가 복합적으로 작용함으로써 달성될 수 있으며 담당 기관들의 유기적 연결이 요구된다는 인식을 하고 있다.

EU는 사이버 안보 전략을 선언적인 수준에 그치지 않고 입법을 통해 실제적이고 구체적으로 추진하기 위해 노력하고 있다.

EU의 사이버 안보 전략의 주요 내용은 크게 3가지로 볼 수 있다.

△사이버 공격에 대한 효과적인 대응전략을 모색하고 있다. 사이버 환경과 정보시스템의 복원력 확보, 사이버범죄 감소, 유럽연합의 국제 사이버보안 정책과 사이버 방어태세 강화를 주요 내용으로 하고 있다.

△오프라인의 영역과 동일한 가치를 사이버 공간에 적용하고 있다. EU는 기본권, 민주주의 법치를 역내의 사이버 공간 뿐만 아니라 국제적으로도 증진시킬 수 있도록 노력할 것이라고 밝히고 있다. 사이버 안보 쟁점 중 하나는 안보와 개인의 권리 사이의 균형을 도모하는 문제다. EU는 이를 역내뿐만 아니라 글로벌 차원에서도 추진하겠다는 것으로 볼 수 있다.

△네트워크 및 정보보호(NIS: Network and Information Security) 지침안을 포함하고 있다. 모든 회원국을 대상으로 NIS 전략 도입과 국가 NIS 담당기관 지정을 의무화하고 있다. 이는 과거 회원국의 자발적 협조에 의존하던 방식과 달리 EU 차원에서 회원국의 사이버 보안체계를 관리하고, 통일된 방식으로 수렴하겠다는 것으로 볼 수 있다.

또 회원국과 사이버보안전략 위원회의 협력 매커니즘 구축, 주요 인프라에 대한 위협과 사고에 대한 조기경보, 정보공유 등을 규정하고 있다.

나아가 금융서비스, 운송, 에너지, 보건의료 부문 등 주요 인프라 서비스 운영자들을 대상으로 하는 위험관리 절차 준수와 주요 서비스에 대한 보안사고 보고를 규정하고 있다.

김 연구원은 “이러한 점들은 EU 차원에서 사이버안보가 이전보다 중앙집권화된 체계를 가지게 됨을 의미하는 동시에 사이버안보 관련 규제가 강화되는 결과를 야기시킬 수 있다”고 말했다.

그는 “EU의 사이버 안보 전략은 크게 EU 차원과 개별 회원국으로 구분해 볼 수 있다. EU의 개별회원국들은 사이버 공격을 당한 경험을 바탕으로 2008년 에스토니아가 사이버안보에 관한 국가전략을 수립했으며 현재까지 영국, 네덜란드, 독일 등 다수의 회원국들이 국가전략을 수립했다. 따라서 EU차원과 개별 회원국들의 사이버 개념과 사이버안보전략의 차이점들을 어떻게 조율할 것인가의 문제가 고려되어야 한다”고 설명했다.

또한 “한국과 EU와의 사이버 안보 협력 추진도 고려해야 할 사항이다. 한국과 EU는 전략적 동반자 관계에서 안보 협력의 주요 분야로 사이버 안보 협력이 부각되고 있다. 이미 2014년 5월에 제1차 한-EU 사이버정책(Cyber Policy) 협의회가 브뤼셀에서 개최된 바 있다”면서 “이 회담에서 양국은 사이버 위협을 포함한 최근 국제 사이버 환경, 국내 사이버 정책 및 전략, 사이버 공간에 적용될 국제규범, 인터넷 거버넌스의 미래, 개도국 사이버 역량강화 등에 대한 의견 교환을 통해 향후 협력 확대 방안을 모색했다”고 덧붙였다.

이에 한국과 EU의 경우 정보화 의존도, 산업에서 차지하는 정보통신기술의 중요성, 그리고 정보통신의 글로벌화 수준 등을 고려할 때 사이버 안보 협력이 증진될 경우 상당한 상호간의 이익을 기대할 수 있다는 것이 그의 주장이다.

이처럼 향후 한국과 EU는 사이버 안보 관련 정보 교류 및 기술 협력 등을 통해 상호 역량 제고를 기대할 수 있을 것으로 보인다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>