대한민국과 미국의 사이버 방어 전략: ‘선제 방어’로의 전환

국가들이 사이버 방어 전략을 수립할 때, 그들은 악의적인 사이버 작전의 영향을 방어할 수 있다는 전제 하에 행동한다. 그러나 이러한 반응적 태도 대신, 미국은 2018년 국방부(DOD)가 ‘선제 방어(Defend Forward)’ 전략을 개발하면서 적극적인 태도로의 패러다임 전환을 주도했다. 이 태도는 이후 미국에서 유지되어 왔으며, 2023년 국방부 사이버 전략의 도입에서 재확인되었다. 한국에서도 유사한 접근 방식이 채택되었는데, 대한민국은 2024년 국가 사이버 보안 전략에서 선제 방어 접근 방식을 도입하였다. 이 전략은 DOD의 ‘선제 방어’와 몇 가지 측면에서 유사함을 보인다.

선제 사이버 방어는 국가들이 사이버 위협에 대응하기 위해 고려할 수 있는 여러 옵션 중 하나이다. 일반적으로 대응 옵션은 다양한 유형으로 구성될 수 있으며, 방어적 또는 공격적인 대응으로 나눌 수 있다. 방어적 대응은 다시 반응적 또는 선제적으로 분류될 수 있다. 공적 귀속과 국제법에 따른 반응적 방어의 사례를 들 수 있으며, 선제적 방어는 능동적 사이버 방어 및 기타 위협 탐지 활동 등을 포함할 수 있다. 특정 상황에서는 선제 사이버 방어 외의 대안들이 더 효과적일 수 있다. 이 논문은 이러한 개념을 바탕으로 작성되었다.

선제 방어를 위해 각국은 적의 사이버 공간에서의 행동에 대한 통찰을 얻어야 하며, 이는 주로 적이 악의적인 사이버 작전을 수행하는 데 활용하는 물리적 인프라에 숨겨져 있다. 이러한 시설들은 주로 외국에 위치하고 있다. 따라서 선제 사이버 방어를 위해서는 동맹국 및 파트너와의 협력이 매우 중요하다. 다행히도, 한국과 미국은 최근 몇 년 동안 이 분야에서 협력하기 위해 많은 노력을 기울여 왔다. 이러한 협력은 두 국가 간의 동맹을 바탕으로 이루어졌다. 본 논문의 목적은 한국과 미국이 사이버 방어의 선제성을 높이기 위해 협력을 심화해야 할 영역을 탐구하는 것이다.

한국의 사이버 방어 전략 변화

2019년 국가 사이버 보안 전략

2019년 문재인 전 대통령 행정부는 한국의 첫 국가 사이버 보안 전략을 공개했다. 2019년 전략에 명시된 방어적 입장은 선제적이라기보다는 반응적이라고 할 수 있다. ‘사이버 공격 대응 능력 강화’라는 두 번째 전략 과제는 이러한 반응적 입장을 엿볼 수 있는 대목이다. 2019년 국가 사이버 보안 기본 계획에 따르면, 사이버 공격 대응 능력을 강화하기 위해 관리 취약점을 통해 사이버 억제력을 확보하고, 대규모 사이버 공격에 대한 준비태세를 강화하며, 국제 협력을 통한 포괄적이고 능동적인 대응 방안을 모색하는 등의 노력을 기울일 예정이다. 사실상, 2019년 전략은 선제 방어 개념을 고려하지 않고 작성된 것으로 보인다. 그러나 이 전략이 한국 최초의 국가 사이버 보안 전략을 대표하고, 청와대 국가안보실이 국가 사이버 보안의 주도적인 역할을 하도록 하는 거버넌스 구조를 세웠다는 점에 있어 그 중요성을 지닌다.

2024년 국가 사이버 보안 전략

2024년, 윤석열 대통령 행정부는 두 번째 국가 사이버 보안 전략을 발표했으며, 이를 통해 한국의 접근 방식을 공격적인 태도로 전환했다. 2024년 전략에서는 ‘공격적 사이버 방어 및 대응 능력 개발’을 ‘글로벌 중심 국가’가 되기 위한 세 가지 주요 목표 중 하나로 설정하였다. 이를 위해 한국은 ‘공격적 사이버 방어 활동 강화’라는 전략적 임무를 설정하였다.

비록 2024년 전략은 방어적 태도를 ‘공격적 사이버 방어’라고 명칭하고 있지만, 실제로 이러한 명칭이 필요할 정도로 공격적이지는 않다. 특히 한국이 실제로 진행하려는 활동에 비추어 볼 때 더욱 그렇다. 이 전략의 하위 과제는 공적 귀속의 확립, 위협 행위자의 사이버 인프라 추적, 공동 경고 발출 및 공격 기원에 대한 위협 정보 수집 및 분석 등을 구체적으로 포함한다.

이러한 하위 과제 중 일부는 공격적 요소가 포함될 수 있지만, 공격적이라는 용어 아래에 잘 맞는 활동은 아니다. 또한 부적절한 명명은 오해와 잘못된 해석, 그리고 결국 불안을 초래할 수 있다. 사이버 공간에서 방어와 공격의 경계를 명확히 하는 게 어렵기 때문이다. 사이버 활동의 범위에서 순수한 방어 행동은 한쪽 끝에 위치하고, 상대방의 목표를 파괴하거나 파기하는 공격적 작전은 반대쪽 끝에 위치한다. 따라서 행정부의 ‘공격적 사이버 방어’의 위치가 이 범위에서 어디에 있는지 분명히 하기가 어렵다.

공격적 사이버 방어를 강화하기 위해 윤 행정부는 세 가지 주요 활동을 강조하였고, 그 중 일부는 선제적인 접근을 반영한다고 볼 수 있다. 첫 번째는 귀속이다. 한국은 사이버 공격의 가해자를 식별하기 위해 법적 및 기술적 능력을 동원할 것이라고 밝혔다. 또한, 사이버 공격 뒤에 있는 행위자를 과학적 증거를 사용하여 식별하고 그들의 악의적인 행동에 대한 책임을 묻겠다고 강조하였다. 이를 위해 한국은 귀속 절차와 기준을 수립하고, 이를 국제 협력의 기초로 활용할 예정이다.

두 번째 활동은 파트너 국가와의 공동 억제 강화이다. 이 행정부는 공동 사이버 보안 경고 발신을 통해 위협 행위자에 대한 억제력을 극대화하고자 하였다. 예를 들어 2024년 7월 한국은 호주, 캐나다, 독일, 일본, 뉴질랜드, 영국 및 미국의 관련 부처와 함께 APT40(중국이 후원하는 그룹)에 대한 공동 사이버 보안 경고를 발신하였다. 같은 달, 한국, 영국 및 미국은 북한 정찰총국 소속 해킹 그룹인 안다리엘의 활동에 대한 공동 보안 경고를 발신하였다.

세 번째 활동은 능동적 탐지와 공격 기원 분석을 통한 선제적이고 능동적인 대응이다. 이는 미국의 ‘선제 방어’와 유사한 접근을 반영한다. 한국의 전략은 정보 기관과 군대에 사이버 공격의 출처를 탐지하고 분석하며, 공격의 징후를 조기에 발견하고 관련 부처와 신속하게 정보를 공유하는 미션을 부여하고 있다. 이를 구현하기 위해 2024년 국가 사이버 보안 기본 계획에서는 한국이 위협 행위자를 식별하고 그들의 기지, 인프라 및 활동을 추적하는 기술을 개발할 것이라고 명시하고 있다.

위의 세 번째 요소를 통해 한국은 선제 사이버 방어를 향한 발걸음을 내디딘 것으로 볼 수 있다.

조직적 틀과 선제 사이버 방어

한국에서는 국가안전보장실(NSO)이 사이버 보안 관련 업무를 조정하고 중장기 정책 방향을 수립 및 검토하는 역할을 맡고 있다. NSO의 조정 아래, 정부 기관 및 부처들이 각자의 사이버 보안 관련 책임을 수행한다. 특히 국가정보원(NIS)과 국방부(MND) 산하 사이버사령부가 선제 사이버 방어에서 핵심 역할을 담당하고 있다.

2024년 사이버 보안 전략으로 한국은 사이버 보안 의무 규칙인 국가정보원법과 규정을 수정하였다. 이로 인해 NIS의 사이버 보안 관련 업무의 네 가지 주요 사항이 더욱 세분화되고 정리되었다.

첫째, NIS는 국가 사이버 보안을 위한 정보를 수집하고 배포하는 활동을 수행한다. 즉, NIS는 국제 해킹 조직이나 국가 후원 해킹 그룹에 대한 정보를 수집, 준비 및 배포한다. 둘째, NIS는 북한 및 외국 국가, 개인, 조직 등으로부터의 위협 활동을 식별, 억제 및 차단하기 위한 조치를 취한다. 셋째, NIS는 공공기관에 대한 사이버 공격과 위협에 대한 예방 및 대응 조치를 취할 권한이 있다. 넷째, NIS는 공공 및 민간 기관이 공동으로 위기 관리 및 대응을 수행하는 통합 대응 거버넌스를 수립 및 운영할 수 있다.

위기 상황에서 NIS의 국가 사이버 보안 센터(NCSC)는 사이버 위협 태스크 포스(CTTF)로 기능하여 대응 임무를 맡고 있으며, 평상시에는 국가 사이버 위험 관리 부대(NCRMU)로 운영된다.

한국의 선제 사이버 방어와 관련하여, 사이버 보안 의무 규칙 제6조의 3에 주목할 필요가 있다. 이 조항은 2024년 개정된 사이버 보안 의무 규칙에서 새로 도입된 것이다. 제6조의 3에 따르면, NIS의 이사는 국가의 안전과 이익에 대한 공격을 선제적으로 식별하고 억제하며 차단하기 위한 필요한 조치를 취할 수 있다. 이러한 조치는 외국 및 북한 기지를 추적하고 무력화하는 것을 포함할 수 있다. 이 조항은 NIS의 선제 사이버 방어를 위한 법적 근거를 제공한다.

한국의 사이버사령부도 사이버 보안과 관련된 임무를 수행하며, 주로 국가 방어와 관련된 임무를 맡고 있다. 사이버사령부는 2011년 국방부의 사이버 보안 업무를 주관하기 위해 설립되었다. 사이버사령부의 주요 임무에는 사이버 작전 계획 및 실행, 사이버 작전을 위한 프레임워크 개발 및 수립, 사이버 위협 정보의 수집, 분석 및 활용이 포함된다. 또한, 국방부 산하 방첩사령부도 사이버 방어 및 정보 전쟁을 지원한다고 알려져 있다.

한국의 사이버 보안 구조는 아래의 그래픽으로 요약될 수 있다.

대한민국과 미국의 선제 사이버 방어 협력

미국의 접근과 ‘선제 방어’

미국의 사이버 방어에서 선제성의 본질은 ‘선제 방어’ 포스트에 반영되어 있다. 2018년 도널드 트럼프 대통령이 첫 임기를 시작한 해, 미국 국방부의 사이버 전략은 선제 방어라는 새로운 접근 방식을 도입하였다. 선제 방어는 적의 활동의 기원에 최대한 가깝게 접근하여 방어하는 개념이다. 선제 방어는 미국 사이버 사령부의 ‘사이버 공간 우세를 달성하고 유지하기 위한 지침’에서 처음 소개되었다. 문서에 따르면 미국은 악의적인 사이버 작전을 방해하고 차단하기 위해 선제 방어를 시행할 것이며, 이는 무력 사용 수준 이하의 활동까지 포함된다. 미국은 선제 방어가 미국의 네트워크가 아닌 적의 네트워크에서 활동하는 것을 포함하더라도 여전히 방어적 활동이라고 강조하였다.

선제 방어는 지속적 참여(persistent engagement) 개념과 밀접하게 연관되어 있다. 미국은 사이버 사령부가 적의 능력을 방해 또는 약화하기 위해 계속적으로 적과 교류해야 한다는 인식 하에 지속적 참여 철학을 도입하였다. 지속적 참여의 목표는 미국의 네트워크에 도달하기 전에 해외 사이버 위협을 식별하고 차단하는 것이다.

지속적 참여의 정신은 전 미국 사이버 사령부 사령관인 폴 나카소네 장군의 은유에 잘 반영되어 있다. 그는 “우리의 해군력은 항구에 머무르지 않고 방어하며, 우리의 공군력도 비행장에 머무르지 않는다. 그들은 바다와 하늘을 순찰하며 국방을 위해 우리의 경계선이 넘기 전에 배치한다. 사이버 공간에서도 동일한 논리가 적용된다.”고 말하였다.

바이든 행정부는 2023년 국가 사이버 보안 전략의 두 번째 기둥(‘위협 행위자 저지 및 분해’)에서 선제 방어를 계속 채택하였다.

이 기둥에 있는 전략적 과제는 악의적인 사이버 행위자가 국가 안보와 공공 안전을 위협하지 못하도록 모든 힘을 mobilizing을 목표로 한다. 미국은 악의적인 사이버 활동을 중단하는 데 있어 민간 부문의 참여를 확대하고 국제 파트너와의 협력을 증진할 것이라고 상세히 설명하였다. 국방부는 2023년 국가 사이버 보안 전략에 따라 악의적인 사이버 활동을 방해하고 지원 생태계를 파괴하기 위해 선제적으로 방어할 것이라는 신호를 보냈다.

ROK와 미국의 사이버 방어 접근: 차이점과 공통점

ROK와 미국의 선제 사이버 방어 접근 방식 간에는 공통된 특성과 차이점이 존재한다. 두 나라 간의 협력 가능성을 파악하기 위해서는 이러한 공통점과 차이점을 분석해야 한다.

차이점

첫 번째로, 미국과 한국의 접근 방식에는 서로 다른 배경이 있다. 미국의 선제적 태도로의 패러다임 전환의 근본적인 이유 중 하나는 2018년 이전까지 미국의 사이버 억제 전략의 실패이다. 미국은 초기 사이버 보안 전략 수립 시 무력 사용의 기준을 초과하는 행동을 중대한 사이버 위협으로 간주하였다. 그러나 그 시기까지 미국이 겪은 악의적인 사이버 작전—2014년 소니 해킹, OPM 해킹, DNC 해킹—은 모두 무력 사용 수준 이하였다. 잦지만 미미한 사이버 사고는 간과되었고 비록 수량적으로 적었지만 국가 안보에 착실히 영향을 미치고 있었다. 이러한 위협 환경을 인식하여 미국은 선제 방어 및 지속적 참여 전략을 고안하게 되었다. 반면에 한국의 선제적 입장은 이러한 반성과는 다소 거리가 있다. 한국은 사이버 위협의 본질을 인지하게 되었다. 즉, 사이버 공간의 초연결성으로 인해 사이버 위협에 대한 완전한 예방과 방어가 불가능하다는 점이다.

두 번째로, 선제적 방어를 위한 리더십 구조에도 차이가 있다. 미국에서는 단일 리더가 국가안보국(NSA)의 부국장 및 미국 사이버사령부의 사령관을 겸임하여 정보를 통합하고 선제 방어 작전을 조정한다. 그러나 한국의 NIS와 사이버사령부의 역할은 선제 사이버 방어를 위한 통합되지 않은 방법으로 진행되고 있다. NIS의 국가 사이버 보안 센터(NCSC)는 위기 관리 시스템에서 기능할 수 있지만, 이는 주로 위기 기반으로 운영되며, 따라서 특정 기준을 필요로 한다. NIS와 사이버사령부는 국가 법률에 따라 각각 선제 방어에 참여할 권한이 있지만, 이는 상호 협력의 효율성을 제한할 수 있다.

공통점

미국과 한국 모두 사이버 위협 출처에 대한 정보 수집이 성공적인 선제 방어의 핵심이라고 보건대, 정보를 수집하고 분석하여 적의 약점과 의도, 능력에 대한 통찰을 얻는 것은 근본적으로 선제적 방어의 핵심 요소이다. 한국은 2024년 전략에서 사이버 공격 출처에 대한 정찰 및 정보 강화를 강조하였다. 또한 악의적인 활동의 신호를 사전에 포착하고 탐지하기 위해 활동을 통합하는 것이 필요하다.

한 국가의 경계 내에 제한된 위협 수색은 선제적 방어의 성공을 한정지을 수 있다. 따라서 선제적인 방어 태도는 외국 국가와의 파트너십을 필요로 한다. 실제로 미국의 선제 방어는 미국의 네트워크를 넘어 동맹 및 파트너 네트워크 그리고 적의 네트워크에서까지 활동하는 것을 요구한다. 따라서 미국 사이버사령부는 파트너십을 선제 방어의 필수 구성 요소로 보고 있다. 이를 위해 초대 국가로서의 초대 요청에 따라 방어 사이버 작전이 수행되는 ‘헌트 포워드’ 작전이 부각된다. 현재까지 약 20개국 47회에 걸쳐 선제 방어팀이 투입되었다. 한국 또한 외국 정보기관과의 위협 인텔리전스 교환을 확대할 계획을 세우고 있다.

선제 사이버 방어의 협력 방안 마련

ROK-US 동맹과 선제 사이버 방어

현재 많은 불확실성이 한국과 미국의 동맹 관계 및 각국의 사이버 보안 전략의 경로에 걸쳐 남아 있다. 트럼프 대통령은 두 번째 임기 중 사이버 보안 자원을 재편성하고 있다. 한국은 현재 이 정치적 전환이 만들어낸 혼란 속에서 상황을 이해하고 있다. 많은 사람들은 트럼프 대통령의 한국과의 동맹을 계속 이어갈 의지가 있는지 의문을 제기하였다. 또한, 전문가들은 한국 내 리더십 부재가 ROK-U.S. 동맹에 위협이 될 것이라고 경고하였다.

그럼에도 불구하고 다음 두 가지 원칙은 훼손될 수 없다. 첫째, ROK-U.S. 동맹이 사이버 공간에 적용된다는 원칙은 견지되어야 한다. 다행히도 한국과 미국은 이번 동맹이 지속적으로 필요하다는 부분에 관한 공동의 이해를 보이고 있다. 서울과 도쿄의 외교부 장관과 미국 국무부 장관은 2025년 2월 회의를 열어 국가는 평화와 번영을 위해 상호 동맹 체제의 강화를 논의하였다. 또한, 미국은 ROK-U.S. 및 일본-U.S. 동맹을 통한 확대 억제 협력 강화를 재확인하였다. 이러한 맥락에서 2023년 윤 대통령과 바이든 대통령이 체결한 전략 사이버 보안 협력 프레임워크(SCCF)가 강조되어야 한다.

둘째, 사이버 방어의 선제적 태도가 포기되어서는 안 된다. 사이버 위협이 변화함에 따라 국가 방어 전략도 변화하게 마련이다. 따라서 사이버 공간의 본질에 적응하면서 방어도 반응에서 선제적으로 발전해 나가고 있다는 사실을 인식해야 한다.

이 글에서는 한국이 미국과의 협력을 통해 선제 사이버 방어를 홍보하기 위해 우선 고려해야 할 다섯 가지 주요 사항을 제안한다.

첫째, 두 국가는 사이버 방어를 위한 적절한 협력 체계를 고민해야 한다. SCCF의 하에 두 나라는 상호 방어 조약(MDT)이 사이버 공간에 어떻게 적용되는지에 대해 논의하였다. 그러나 선제 사이버 방어에 관한 두 국가 간의 협력에서 MDT의 역할은 제한적일 것이다. 이는 MDT 조항이 주로 무력 공격 상황을 다루기 때문이다.

둘째, 한국과 미국은 서로 선제적으로 방어하고자 하는 주요 위협 행위자를 정의해야 한다. 2024년 국가 사이버 보안 전략에 따르면, 한국은 주로 북한의 위협을 겨냥한 공격적 대응을 도입하고 있다. 그러나 실제 위협 환경은 이와 다소 차이가 있다.

셋째, 한국과 미국은 네트워크의 집단적 면역력을 성공적으로 구축하는 방법을 논의해야 한다. 선제 사이버 방어는 악의적인 행위가 국가 네트워크에 영향을 미치기 전에 방어하는 것을 목표로 한다.

넷째, 한국은 선제 방어 및 효율적인 정보 공유를 위한 조직 구조를 재편해야 한다. 한국은 선제 방어와 정보 공유를 통합된 틀 내에서 수행하지 않는다.

다섯째, 선제 방어의 법적 한계를 탐색해야 한다. 선제 방어는 악의적인 사이버 활동의 출처를 능동적으로 탐지하고 분석하는 것을 포함한다.

결론적으로, 사이버 위협이 진화함에 따라 국가가 이에 대응하기 위해 개발한 도구도 그에 맞춰 진화하고 있다. 선제적인 사이버 방어는 사이버 공간의 고유한 특징과 위협에 잘 적응된 도구이다. 한국은 2024년 국가 사이버 보안 전략에서 선제 방어 태도를 도입하였으며, 궁극적인 목표는 미국의 ‘선제 방어’와 유사하다. 선제 사이버 방어의 개념은 국가 간의 협력을 요구하며, 이는 악의적인 행위자가 남긴 흔적을 전 세계적으로 추적해야 하기 때문이다. 이러한 환경을 감안할 때, 선제 방어에서 가장 경험이 풍부한 미국과의 협력이 절대적으로 필요하다.

이미지 출처：csis