지난 11월 19일 세종연구소가 사이버안보법과 관련해 심포지엄 형식의 토론을 진행했다. 이 행사는 김병기 더불어민주당 의원과 조태용 국민의힘 의원이 각각 발의한 사이버안보 관련 법안을 논의하는 자리였다.

그런데 이 행사에서 패널로 참석한 보수언론사 관계자가 북한 해킹 부대 운영을 언급하며 사이버방어가 아니라 사이버공격에 나서야 한다고 주장했다.

또 일부 패널로 참석한 전문가들은 이에 찬성하는 입장을 보였다. 행사에 참석한 다른 전문가들이나 세종연구소 관계자들은 이에 대해 반대 입장을 밝히지 않았다.

이날 논의가 사이버안보법 제정에 관한 것이었고 보수언론사 관계자는 사이버공격을 법과 정책에 반영해야 한다고 지적했다.

토론회에서 각자의 주장을 이야기하는 것은 자유다. 그럼에도 필자가 이렇게 글을 쓰는 이유는 전문가라고 행사에 참석한 사람들이 사이버보안, 사이버안보에 대해서 과연 정확히 인지하고 있는지 우려되기 때문이다.  

다른 국가가 총, 대포를 쏜다면 그에 상응해서 공격을 한 곳에 반격(대응사격)하는 것이 어느 나라나 갖고 있는 안보의 개념이다.

하지만 사이버보안, 사이버안보는 그렇게 단순하지 않다. 사이버공격은 은밀하게 진행되고 누구의 소행인지 확인하기 어려우며 설령 확인이 된다고 해도 오랜 시간이 소요된다.

사이버공격은 위성사진이나 레이더 등 관측장비로 즉시 그리고 명확히 공격 주체를 확인할 수 있는 기존 군사적 공격과는 다르다. 때문에 기존 현실 공간에서 군사적 대응을 단순히 적용하기 어렵다.

해외에서도 사이버공격에 대응해 사이버공격을 하자는 주장이 있다. 이는 크게 3가지로 나눌 수 있다.

우선 첫번 째로 해커가 공격을 시도할 때 역으로 악성코드에 감염을 시키거나 공격 시도를 역추적해 해커의 컴퓨터와 서버 등을 무력화하는 것이다. 이는 사이버공격이 아니라 정확히 사이버반격이라고 해야 한다. 공격이 들어왔을 때 역습을 하는 개념이기 때문이다.

두번 째로 사이버공격을 받은 후 그에 대한 대칭적 보복으로 사이버공격을 하는 개념이다. 세번 째는 사이버공격을 준비하는 징후가 있거나 도발 징후가 있을 때 선제 사이버공격을 하는 개념이다. 이와 함께 사이버공격으로 피해가 발생했을 때 물리적 공격으로 보복을 하자는 주장도 있다.

이런 주장은 해외에서도 논란이 분분하다. 해킹 공격의 주체를 정확히 확인하기 어렵고 또 그들이 개인인지 단체인지 국가차원의 공격인지 구분도 불명확하기 때문이다. 자칫 섣부른 보복 공격이 사이버전쟁이나 실제 전쟁으로 확대될 수 있다는 우려도 있다.

2018년 평창동계올림픽 해킹 사건을 예로 생각해보자. 2018년 평창동계올림픽 개막식 때 조직위원회 홈페이지를 겨냥한 해킹 공격이 있었다. 사건 초반 북한의 소행이 아니냐는 주장이 있었지만 향후 분석 결과 러시아 해커들의 소행으로 추정되고 있다. 러시아는 도핑 관련 문제로 2018년 평창동계올림픽에 공식적으로 참여할 수 없었다. 

만약 공격을 받고 있던 상황에서 북한의 소행으로 생각해서 한국이 북한을 대상으로 사이버공격을 했다면 어떻게 됐을까? 자신들의 정체를 감추기 위해 다른 국가 해커로 위장하는 사례가 있다. 잘못하면 엉뚱한 곳으로 보복 사이버공격을 할 수 있는 것이다. 어쩌면 A와 B의 분쟁을 노리고 C가 B로 위장해 해킹을 할 수도 있다.  

분석을 기다려서 러시아 해커들의 소행으로 확인된 후 한국이 러시아에 사이버공격을 할 수 있을까? 대칭적으로 한국이 러시아의 국제 스포츠 행사에 사이버공격을 했을 때 국제 사회가 한국을 지지할지 생각해 보자. 또 한국이 보복을 선언하고 러시아를 해킹한다면 러시아는 반발하고 다시 보복하려고 할 것이다. 

중국의 해커들도 한국을 겨냥한 사이버공격을 많이 하고 있다. 그렇다면 한국이 중국을 겨냥해서 사이버공격을 할 수 있을까?

말로는 사이버공격에 사이버공격으로 대응한다고 하는 것이 쉽다. 또 속시원하게 느껴질지도 모른다. 하지만 다른 나라를 대상으로 한 사이버공격은 복잡한 문제다.

공개적으로 사이버공격을 하겠다고 이야길하고 또 그렇게 하는 것은 사이버전쟁, 외교분쟁, 무역분쟁은 물론 자칫 무력 충돌로 이어질 수도 있다.  

당장 한국이 법에 사이버공격을 명시하고 사이버공격을 하겠다고 한다면 북한, 중국, 러시아 등 다른 나라들은 오히려 이점을 명분으로 사이버공격을 정당화하려고 할지도 모른다.  

남북 관계 측면에서도 한국 정부가 남북 대결 종식과 화해협력을 주장하면서 사이버공간에서는 공격을 준비하고 있다는 오해를 불러올 수 있다. 

물론 국제 사회에서 암암리에 보복 사이버공격과 사이버반격 등이 이뤄지고 있다. 그러나 이를 공개적으로 이야기하고 주장하는 국가는 없다. 사이버공격을 하더라도 은밀하게 한다. 공개해서 좋을 것이 없기 때문이다.

공개된 행사에서 사이버공격을 이야기하고 이를 법, 정책에 반영해서 공개를 하자고 주장하는 소위 전문가들은 이런 점을 알고 있는지 의문이다. 

개인적으로 사이버공격을 공개적으로 천명하기 보다는 사이버공격 징후를 파악하는 정보력을 강화하는 것이 더 현명하다고 생각한다. 

이번 세종연구소 행사의 문제는 이것만이 아니었다. 전 국가 차원의 사이버안보를 국가정보원이 총괄하자는 김병기 의원의 법안에 상당수 전문가들이 찬성하며 국정원에 힘을 실어줬다.

그런데 행사에는 국방부, 경찰청, 과학기술정보통신부, 한국인터넷진흥원(KISA) 등 사이버보안 관련 부처 관계자들은 참석하지 않았다. 법안에 따르면 이들 부처들의 관계자들이 국정원장을 위원장으로 하는 위원회에 참여해야 하는데도 불구하고 말이다.    

또 문정인 세종연구소 이사장은 행사에 참가해 청와대 국가안보실장은 사이버안보를 총괄하기 어렵다고 주장했다. 문 이사장의 뉘앙스는 국가안보실장이 바쁘고 사이버보안에 대한 전문지식이 없어서 비서관이 실질적으로 업무를 할 것이라고 지적했다. 때문에 국정원장이 총괄하도록 해야한다는 것이다.

앞으로는 사이버안보에 국가의 존망이 달려있다. 이날 행사도 그런 취지로 열린 것이다. 국가안보실장이 국가 존망의 걸린 사이버안보를 챙길 수 없을 만큼 다른 일로 바쁘고 또 그것을 잘 모른다는 것은 사이버안보를 중요하게 인식하지 않는다는 뜻이다.

또 국정원장도 사이버보안을 잘 모르기는 마찬가지다. 정치인 출신인 박지원 원장이 사이버보안에 전문지식이 있겠는가? 국정원도 담당 차장이 사실상 업무를 총괄하게 될 것이다. 문정인 이사장의 주장은 김병기 의원과 박지원 국정원장에게 힘을 실어주려는 뜻으로 해석될 뿐이다.

앞서 말한 바와 같이 주장은 누구나 할 수 있다. 그러나 유튜브에서 아무말 대잔치를 하는 것과 전문 연구소의 공식적인 행사에서 전문가 패널로 말하는 것은 다른 문제다. 

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.

 

관련기사

저작권자 © NK경제 무단전재 및 재배포 금지