새로운 프레임워크 입수한 외신 단독 보도...“사이버 공격 = 물리 공격”
효력도 없고 현실적이지 않다 vs. 공동 대응과 협조 활성화된다

[보안뉴스 문가용 기자] 사이버 공간에서의 국가 간 질서가 새롭게 정리될 가능성이 보도됐다. 유럽연합의 새로운 정책에 “위협적인 사이버 행위를 전쟁 행위로 간주하겠다”는 내용이 들어가 있다는 소식 때문이다. 이는 즉 위협적인 사이버 행위에 대해 물리적인 무기로 대응할 수 있다는 뜻이 된다.


이러한 충격적인 장치가 마련된 건 ‘악성 사이버 행위에 대한 유럽연합의 외교적 합동 대응 프레임워크(Framework on a Joint EU Diplomatic Response to Malicious Cyber Activities)’에서다. 사이버 공격을 일삼는다고 알려진 국가들을 겨냥한 문건으로, 여기에는 러시아와 북한 등이 속해 있다. 이는 영국의 일간지 텔레그래프가 단독으로 입수해 보도했다.

이 프레임워크에 의하면 유럽연합에 속한 국가들은 사이버 공격에 대하여 자위권을 발동시킬 수 있으며 유럽연합조약 42조에 의거하여 다른 유럽연합 소속 국가들로부터 도움을 받을 수 있다. 즉 한 국가의 사이버 공격에 대하여 유럽연합이 전체적으로 움직이겠다는 뜻으로, 외교적 압박, 공개적인 비판, 제재 등의 방법을 동원할 수 있다. 하지만 유럽연합이 먼저 전쟁을 일으키는 건 금지된다.

텔레그래프는 유럽연합 관계자의 말을 인용해 “유럽연합 소속 국가들을 누군가 공격한다고 했을 때 좀 더 위험부담을 느끼게끔 한 것”이라고 이번 프레임워크의 의의를 설명했다. 즉 사이버 공격에 대해 유럽연합은 굉장히 진지하게 받아들이고 있다는 것.

보안 업체 애즈텍(AsTech)의 사이버 전략가인 네이든 웬즐러(Nathan Wenzler)는 SC매거진과의 인터뷰를 통해 “기술을 동원한 공격을 전통적인 물리적 공격과 같은 수준으로 놓고 본다는 건 중대한 사안”이라고 말했다. 그러면서 “어느 정도 겁주기 효과야 있겠지만, 원천적으로 보안 공격을 막을 수 있을 것 같지는 않다”고 평가했다.

웬즐러는 “세계 주류 공동체에 속한 국가라면 이러한 조치가 중대한 사안일 수 있겠지만, 국제 사회에서 외딴 섬 같이 살아가는 북한과 같은 나라라면 유럽연합이 제재를 가하든 말든 무슨 상관일까?”라며 설명을 이어갔다. 게다가 그러한 나라들이 주로 사이버 공격을 저질러 온 것이라는 걸 생각해보면, 이번 프레임워크의 실효성이 대단히 클 것으로 보이지는 않는다.

유럽연합 내에서도 회의론이 있다. 사이버상에서의 공격 행위자를 특정 지을 수 없다는 것이 가장 큰 문제로 제기되고 있는 것. 유럽이사회 국제관계 웹사이트에는 “사이버 공간에서의 국가적 행위를 규정하고, 그에 대한 규칙을 세울 수 있다는 환상을 버려야 한다”는 내용의 글이 실리기도 했다. 실제로 엉뚱한 인물이나 단체가 공격자로 지목된 사례도 존재한다.

하지만 ‘유럽연합의 공동 대응’이 전쟁 도발 행위 시로만 국한되지 않고 평시의 첩보 공유, 사법절차의 공조 등으로 확대된다면 사이버 보안 업계에 새바람을 불러일으킬 수 있다는 기대감도 있다. 보안 업체 코모도(Comodo)의 수석 연구원인 케네스 기어스(Kenneth Geers)가 그런 부류다. “28개의 자주 민주 국가들이 힘을 합해 수사를 진행하고 범죄를 억제하기 시작하면, 뭔가가 크게 달라질 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>