오바마 전 대통령의 정책지시각서 뒤집어...수비적으로 당하지 않겠다는 표현
중간 선거 앞둔 미국이 전 세계에 ‘개입하지 말라’고 경고한 것과 같아

[보안뉴스 문가용 기자] 오바마 전 대통령이 시행하기 시작한 것 중에 정책지시각서 20(PPD-20)이라는 것이 있다. 사이버 공격 무기를 배치하고 사용할 때 정부 기관들끼리 소통을 반드시 해야 한다는 내용을 담고 있다. 그런데 지난 주 수요일 트럼프 대통령이 이를 뒤집었다고 월스트리트저널이 보도했다. 백악관이 앞으로 보안을 위해 공격적인 수단도 발휘하겠다는 뜻이 된다.


백악관은 이러한 결정에 대해 공식적으로 발표하지 않았다. 미국 국가안전보장회의(NSC)의 대변인이 사이버 보안 매체인 인사이드 사이버시큐리티(Inside Cybersecurity)를 통해 “(트럼프) 행정부는 이 사안과 관련해 공식적인 발표를 하지 않을 예정”이라고 언급했다.

이에 대해 보안 업체 원스팬(OneSpan)의 CMO 존 건(John Gunn)은 보안 매체 인포시큐리티(Infosecurity)를 통해 “외국의 적대 세력으로부터 국가의 자산을 보호하기 위한 행동을 취할 때는 수개월에 걸친 계획과 검토가 필요하다”고 말했다. 특히나 공격적인 작전을 펼쳐야 할 때는 더 면밀한 조사와 확인을 해야 한다고 그는 강조했다. “즉 남용 방지를 위한 장치만 마련된다면, 오히려 백악관의 이러한 움직임은 국가적 보안에 더 도움이 될 수 있다는 겁니다.”

외국으로부터의 사이버 공격을 막기 위해 공격적인 수단을 허용하는 나라는 미국만이 아니다. 보안 업체 타이코틱(Thycotic)의 수석 보안 과학자인 조셉 카슨(Joseph Carson)은 예전부터 ‘국가 기관은 공격적인 방어를 해야 한다’고 주장해온 전문가다. 그 의견에 많은 사람들이 동조하는 것도 사실이다. 그러나 공격적인 방어라고 해서 보안 강화라는 좋은 면만
가지고 있는 건 아니다.

카슨에 의하면 공격적인 사이버 방어의 가장 큰 문제는 “범인을 가리키는 절대 움직일 수 없는 증거가 존재하지 않는다는 것”이다. 즉 공격적인 방어를 한답시고 엉뚱한 나라나 단체를 공격해 또 다른 피해자를 낳을 수 있다는 것이고, 이는 또 다른 공격적 방어를 발동시킴으로써 심각한 외교 문제가 발생할 수 있다.

물론 이 문제를 해결하기 위해 여러 가지 기술들이 시장에 등장하고 있다. 인공지능 등의 신기술에 이런 부분에 대한 기대를 거는 사람들도 있다. 하지만 카슨은 “공격자들의 위장 기술도 마찬가지로 발전하고 있다는 걸 잊어서는 안 된다”고 주장한다. “정부가 일반 사이버 범죄 단체를 용병처럼 고용한다면 어떨까요? 그 공격은 용병이 한 것으로 보일까요, 정부가 한 것으로 보일까요? 증거 확보가 가능할까요?”

결국 가장 확실한 증거를 확보하려면 범인이 해킹을 직접 저지르고 있는 현장을 덮쳐야 한다. 그러려면 오래된 방식의 ‘인간 스파이 파견’이 필수일 수밖에 없다. 합리적으로 ‘공격적 방어’를 하려면 사람의 현장 개입이 반드시 있어야 한다고 카슨은 주장한다. “그러므로 공격적 방어는 국가 기관만 할 수 있는 것이어야 합니다. 민간 차원에서 자유롭게 해서는 안 되도록 해야 하죠.”

PPD-20을 트럼프 대통령이 뒤집었다는 건 전 세계적인 메시지가 되기도 한다. 중간 선거를 앞둔 미국이 수비적으로만 공격을 기다리고 있지 않겠다는 경고를 온 세계에 날린 것이나 다름없기 때문이다. “다가오는 미국 선거에 개입하려면 단단히 각오하는 것이 좋을 거라는 뜻입니다.” 카슨은 정부가 글로브를 벗어 던졌다고 표현했다.

3줄 요약
1. 트럼프 대통령, ‘사이버 공격 행위 하기 전 기관들 사이에 소통부터 하라’는 정책 없앰.
2. 즉, 앞으로 미국도 국가 보안을 위해 공격적인 스탠스를 취하겠다는 소리.
3. 중간 선거 앞둔 미국의 날카로운 상태 반영하는 움직임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>