[임종인의 미래를 묻다] 사이버 리스크, 국가 차원 위기대응 체계 구축해야

2022. 11. 14. 00:23
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.


카카오 서버 마비같은 혼란, 어떻게 대비해야 하나


임종인 고려대 정보보호대학원 석좌교수
지난 10월 중순, 우리는 카카오의 서버 장애로 전사회적 혼란을 경험했다. 가족·친구·직장 동료와의 대화방에는 더 이상 메시지가 전송되거나 수신되지 않았다. 카카오톡 ID만 주고받았거나 오픈채팅으로 연락하던 사람들과는 소통 자체가 불가했다. 카카오톡으로 보낸 계약서 등 주요 문서들이나 카카오메일은 확인할 방법이 없었다. 택시는 호출이 되지 않아 이동에 혼란이 발생했다. 비단 카카오 서비스만의 피해가 아니었다. 카카오로 로그인이나 본인 인증을 받도록 한 다른 업체의 서비스들 역시 장애가 발생했다. 카카오에 의존하던 공공 서비스도 마비되어 입영통지, 국민연금 안내 등 국가 주요 서비스에 문제가 발생했다.

이렇게 우리 사회 전반의 혼란을 초래한 것은 북한의 위협도, 거대한 자연재해도 아니었다. 카카오의 서버가 위치한 데이터센터(IDC)의 무정전 전원장치 배터리에서 발생한 화재가 그 원인이었다. 언제든 일어날 수 있는 화재라는 리스크에 카카오가 대비하지 않았던 탓에 사회적 혼란이 초래된 것이다.

「 사이버, 실제 공간과 결합되는 추세
사이버상 위험이 사회·국가의 위험
점점 더 고도화하는 사이버 공격에
신속 대응으로 정상화하는 게 중요

사이버공간 리스크 대응의 필요성

미사일과 포격이 오가는 러시아 우크라이나 전쟁에도 양국 간 사이버공격이 치열하다. 특히 러시아는 전쟁 이전부터 전문 해커를 동원해 사이버 공격을 해온 것으로 알려졌다. [로이터=연합뉴스]

대한민국은 전 세계에서 IT가 가장 발전된 나라이고 IT 관련 서비스를 가장 높은 수준으로 널리 사용하고 있는 국가다. 우리는 국제전기통신연합(ITU)의 ‘ICT 발전지수’에서 지속적으로 1, 2위를 다퉈왔고 UN의 전자정부 평가에서도 최상위를 기록하고 있다. 이는 전사회적으로 사이버 공간에 높은 의존도를 가지고 있음을 의미한다. 사이버공간은 이제 우리 생활과 경제 활동 등의 주요 무대가 되었다. 더 나아가 최근에는 물리공간과 사이버공간이 점점 결합하는 양상을 보이고 있다.

세계경제포럼(WEF)은 4차 산업혁명의 핵심 동인을 ‘사이버물리시스템(Cyber-Physical System)’으로 지목했다. 이는 공장 설비, 자동차와 같은 전통적인 물리적 요소들이 사이버공간과 연결되어 원격이나 인공지능에 의해 자동적으로 제어되는 시스템을 의미한다. 사이버공간의 위험이 곧 우리 국민과 사회, 그리고 국가의 위험이 되는 것이다. 국가 차원에서 다시 한번 사이버공간의 리스크를 점검하고 관리해야 하는 시점이다.

사이버 레질리언스 강화

사이버공간의 모든 위협과 리스크를 완벽하게 사전에 막는 것은 불가능하다. 데이터센터의 화재 발생으로 서버가 중단되는 것은 드물지만 분명히 일어날 수 있는 일이다. 사이버 공격도 마찬가지로 2020년, 국회 정보위원회 국정감사 자료에 따르면 우리 공공 부문은 하루 평균 162만 건의 사이버 공격을 받고 있다.

대부분 막을 수 있는 위협이지만 100% 막을 수 있다고 보는 것은 위험하다. 사이버 공격은 점차 고도화되고 정교해지고 있으며 군과 정보기관 등 국가주체까지 위협에 가담하고 있다. 또한 정확한 목표를 설정하고 장기간 관련 정보를 수집해 맞춤형 공격을 수행하는 ‘지능형 타깃 지속공격(Advanced Persistent Threat)’은 이제 위협에서 일상적인 형태가 되었다.

이러한 흐름에 따라 최근 사이버보안에서 주목하고 있는 패러다임이 바로 ‘회복탄력성(resilience)’이다. 회복탄력성은 사고나 사이버 공격이 발생했을 때 얼마나 신속하게 대응하고 복구하여 다시 정상화될 수 있는지에 주목하는 패러다임이다. 이번 데이터센터 화재로 인한 장애 발생 사건에서도 카카오는 메신저 서비스 정상화에 11시간, 전체 서비스 정상화에 127시간이 소요되었다. 반면 같은 상황이었던 네이버는 4시간 이내에 대부분의 서비스를 정상화했다. 두 기업의 차이를 만든 것은 바로 회복탄력성이다. 기업은 물론 모든 주체들이 회복탄력성을 강화할 수 있도록 국가 차원에서 제도를 만들고 지원할 필요가 있다. 우리는 사이버상의 회복탄력성 개념을 이야기하고 있으나 아직 제도와 정책으로 구현은 미비하다.

국가 대응체계 확립 시급

미국은 일찍이 사이버 공간의 회복탄력성 개념을 정립하고 국립표준기술연구소에서 관련 프레임워크와 가이드라인 등을 개발해 제공하고 있다. EU는 2017년 사이버보안 전략 문서에서 회복탄력성을 강조했으며 올 9월, ‘사이버 레질리언스 법’ 초안을 발표했다. 이는 사이버공간에 연결될 수 있는 기기를 만드는 제조사들이 보안에 책임을 가지도록 하고 있다.

우리도 국가 차원에서 사이버 공간의 회복탄력성을 강화하기 위한 국가 대응 체계 확립이 필요하다. 공공부문과 기반시설, 핵심 서비스 등이 여러 위험과 사이버 공격에 얼마나 잘 대응할 수 있을지 평가하고 개선해야 한다. 국가 대응 체계의 핵심은 거버넌스와 법제다. 사이버안보를 담당하고 있는 여러 유관 기관들의 역할과 책임을 명확히 하고 기관 간 중첩되거나 사각지대가 없는지 확인해야 한다. 총체적 대응이 필요한 시점에는 컨트롤 타워를 중심으로 기관별 분산된 역량과 기능을 통합해야 한다. 기관 간, 영역 간 정보 공유와 협력이 이루어질 수 있도록 해야 한다. 이는 법적 근거가 필요하기에 ‘사이버안보 기본법’ 등 관련 법제를 제정해 이를 뒷받침해야 한다.

사이버 위기 대응 체계 구축도 필요하다. 국가 차원에서 상황별 위기 대응 매뉴얼을 만들고 유관 기관 담당자들이 이를 숙지하도록 해야 한다. 국가 차원의 사이버 위기 대응 훈련을 통해 매뉴얼이 잘 작동하는지 평가하고 지속적으로 개선해야 한다. 우리 정부는 사이버안보 국가 대응 체계 개선의 필요성을 인식하고 110대 국정과제에 ‘사이버안보위원회’ 설치와 관련 기본법 제정이 포함되어 있다. 하지만 아직 위원회 구성과 입법이 되지 않고 있어 더욱 많은 관심과 노력이 필요하다. 국가 대응 체계의 기반이 되는 인력과 기술, 산업 생태계를 조성해야 한다. 우리 정부도 사이버보안 10만 인재 양성, 보안 산업 전략적 육성방안 등을 제시하고 있다. 구체적이고 실효적인 후속 정책들이 추진되어 우리 사이버안보의 실질적인 기반 역량이 구축되어야 할 것이다.

사이버 억지력 확보

사이버공간 관련 모든 위협을 막거나 감내하는 방식으로 대응하는 것은 무모하다. 특히 북한 등 국가 차원에서 고도의 사이버 공격을 수행하는 악의적 국가들이 있기에 이를 방어하는 것만으로는 한계가 있다. 우리를 공격할 경우 자신도 피해를 받을 수 있다는 것을 인식해 주저하게 만드는 ‘사이버 억지력(Cyber Deterrence)’ 확보가 필요하다. 미국은 지속된 사이버 공격으로 피해를 보며 사이버 억지력 확보를 국가안보의 주요 과제로 인식해왔다.

2018년, 미 국방부는 ‘선제 방어’ 기조의 사이버 방호 전략을 수립했다. 이는 타국의 위협이 발생하고 난 뒤에 대응해서는 이미 늦기에 상대가 공격하기에 앞서 미리 방해하고 대응 조치를 준비해둔다는 전략이다. 선제 방어를 위해 상대의 모든 악의적 활동을 방해해 공격을 시도하기 전에 와해하기 위한 ‘지속 개입(Persistent Engagement)’ 전술을 채택했다. 또한 미국과 동맹국의 사이버공간에 위험 요인들을 미리 제거하는 ‘사전 사냥(Hunt Forward)’ 작전을 수행하고 있다. 우리는 아직 사이버국방·사이버작전 관련 전략과 작전 계획, 전술, 교전규칙 등이 미비한 상황이다. 국가 차원에서 명확한 전략 방향성을 설정하고 이를 구현하기 위한 부대의 배치, 전술과 교리 개발, 기술 개발, 연구 지원 등이 필요하다.

사이버공간 리스크 관리는 국가 핵심 과제

독일 사회학자 울리히 벡은 저서 『위험사회』에서 ‘21세기의 사회는 위험이 사회의 중심 현상이 되어 위험을 늘 점검해야 하는 사회가 될 것’이라고 예측했다. 위험사회의 주요 요인 중 하나는 과학기술이고, 정보통신기술의 총체라고 볼 수 있는 것이 사이버공간이다. 사이버공간은 국익의 핵심적인 공간이자 우리 국민과 기업·사회가 모두 의존하고 있는 공간이다. 우리 정부도 최근 ‘대한민국 디지털 전략’을 수립해 디지털이 일상의 필수가 되는 환경에서 경제·사회의 체질을 개선해 디지털 강국을 추진하고 있다. 하지만 위험이 관리되지 않은 디지털 환경, 사이버공간은 대한민국을 위험국가로 만들 것이다. 사이버 재난관리 체계를 만들고 사이버공간의 여러 리스크를 관리하고 대응하는 것은 국가의 핵심 과제다.

◆임종인=고려대 수학과를 졸업하고, 동 대학원에서 대수학으로 석사와 박사학위를 받았다. 이후 모교 수학과 교수로 임용됐으며, 정보보호대학원 교수와 원장을 역임했다. 대검찰청 디지털수사 자문위원장을 지냈고, 현재는 국방부와 합참, 육·해·공 사이버안보 자문위원으로 활동하고 있다.

임종인 고려대 정보보호대학원 석좌교수

Copyright © 중앙일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?