인공지능(AI), 자율주행자동차, 사물인터넷(IoT) 등 기술혁명 기반은 신뢰(Trust)다. 새로운 기술이 안전하다는 신념이 있어야 발전한다. 나라도 마찬가지다. 내가 살고 있는 곳이 안전하고 믿을 수 있어야 행복을 느낀다. 4차 산업혁명과 함께 우리는 초연결 사회에 살고 있다. 물리적 환경을 넘어 사이버 세상에서 사회, 경제, 정치 현상이 발생한다. 사이버 세상은 국경이 없다. 전자신문과 고려대 사이버보안정책센터, 한국인터넷진흥원은 10회에 걸쳐 4차 산업혁명 시대 안전한 '신뢰' 사회를 구현하는 방안을 모색한다.
'해킹이 민주주의를 파괴했다.'
지난 미국 대선에서 러시아가 해킹으로 주요 자료를 빼내고 가짜 뉴스를 만들어 여론을 조작한 사실이 드러났다. 미국인들은 해킹이 민주주의를 파괴했다며 충격에 휩싸였다.
우리도 예외는 아니다. 북한은 2009년부터 국내 주요 기관을 노린 사이버 공격을 펼쳤다. 지난해 북한은 국방 전산망을 해킹해 1급 군사기밀 '작계5027'을 빼돌린 것으로 드러났다. 우리는 새로운 작전체계를 만들어 대응해야 하는 상황이다.
지금 세계는 총성 없는 전쟁터다. 국가가 지원하는 해커 활동이 활발하다. 주요 국가는 공세적으로 사이버 무기를 만들고 조직을 확충했다. 첩보전도 사이버 공간으로 옮겨왔다. 미국 국가안보국(NSA)은 세계 정부와 국민을 대상으로 사이버 감시 활동을 해왔다. CIA는 스마트TV를 이용해 감청활동을 했다.
◇4차 산업혁명 플랫폼은 '보안'
현대는 사물인터넷(IoT) 기술로 초연결 사회로 접어들었다. 빅데이터, 로봇공학, 인공지능(AI), 클라우드, 블록체인 등 기술이 융합하며 4차 산업혁명이 시작됐다. 기술 발전으로 생산 한계비용은 없어지는데 정부, 기업, 가정, 개인 등 전 영역에서 사이버 보안 문제가 발생하면 사회적 혼란과 파급 효과가 막대하다. 오히려 보안 비용이 증가하면서 4차 산업혁명에 따른 생산 비용 감소 효과가 사라진다.
권헌영 고려대 정보보호대학원 교수는 “현재 국가가 지켜야할 대상은 단순히 PC와 인터넷이 아니라 이를 매개로 한 국민과 사물, 공간”이라면서 “사이버 보안은 4차 산업혁명의 플랫폼”이라고 말했다. 사이버 보안 틀을 제대로 갖추지 않으면 개인정보나 산업기밀 유출을 넘어 4차 산업혁명 플랫폼 신뢰가 무너진다.
권 교수는 “4차 산업혁명 필수 기반인 사이버 보안 대책을 마련해야 한다”면서 “사이버 세상에는 미국도 우방이 아니며 우리 스스로 능력을 키워야 한다”고 덧붙였다.
임종인 사이버보안정책센터장은 “초연결 시대에 사이버 보안 없는 경제 번영은 불가능하다”면서 “사이버 안전 없는 국민안전, 사이버 국방 없는 국가 방위, 사이버 안보 없는 국가 안보는 무용지물”이라고 강조했다.
◇기존 틀을 버려라
4차 산업혁명 시대 새로운 사이버 보안 거버넌스로 방향 전환이 시급하다. 현 사이버 보안정책은 개별 시스템을 보호하는 구조다. IoT기기가 모두 연결되는 4차 산업혁명 시대는 전체를 통합 보호하는 대책이 필요하다.
기존 보안 정책은 포지티브 규제다. 금지항목이 많지만 예외를 허용한다. 이를 네거티브 방식으로 전환하자는 목소리가 높다. 원칙을 허용하고 예외를 금지한다. 정부가 주도하는 규제 위주 정책보다 기업과 시장 역할을 강화해 민간 역량을 활용해야 한다.
현재 국내 사이버 보안 거버넌스는 청와대가 사이버 안보 컨트롤타워다. 국가정보원을 중심으로 경찰청, 국방부, 미래창조과학부, 행정자치부가 소관 영역에서 협력한다. 주요 사이버 사고 발생 시 정보 공유가 힘들고 부처 간 이기주의로 떠넘기기에 급급하다.
강용석 SK인포섹 본부장은 “국내 보안 기업 역량으로 4차 산업혁명 격랑을 잘 건널지 의문”이라고 우려했다. 강 본부장은 “지금까지 정부 규제가 글로벌 기업과 싸워 견딜만한 기업을 만들었지만 이제 상대는 시만텍 등 보안 기업이 아니라 구글, 아마존 등으로 달라졌다”면서 “정부가 규제를 풀고 기업이 기술 혁신으로 경쟁하게 틀을 바꿔야 한다”고 말했다.
구태언 테크앤로 대표는 “4차 산업혁명 시대 구글과 아마존 등 거대 기업이 AI로 무장하고 별들의 전쟁을 벌인다”면서 “우리는 강력한 개인정보보호법이 있지만 유출 사고는 끊이지 않고 사업 발전도 뒤처진다”고 지적했다. 그는 “개인정보 표준 이용 동의(PI Commons)를 제안한다”면서 “기존 규제의 틀을 벗어던질 시점”이라고 밝혔다.
◇사이버 보안 거버넌스 필요
전문가들은 차기 정부에서 기존보다 체계적인 국가 사이버 보안 정책 마련을 촉구한다. 단순히 사이버 안보와 보안을 총괄하는 부처나 컨트롤타워 설립을 뛰어넘는 그림을 요구한다. 디지털 신뢰 환경을 만들고 글로벌 사이버 위협에 통합 대응하는 역량 마련에 목소리를 높인다. 디지털 재난 대응체계에서 민주주의와 헌법 권리 보장을 위한 사이버 보안 체계 구축을 이야기한다. 사이버 보안 문제를 안보와 연결해 국제 규범 참여에 적극 대응해야 한다는 목소리도 크다.
조화순 연세대 정치외교학과 교수는 “사이버 보안 문제를 국내 이슈로 생각하는데 4차 산업혁명이 발생하는 공간은 바로 사이버 세상”이라면서 발상 전환을 요구했다. 조 교수는 “미·중 간 사이버 안보를 둘러싼 갈등과 경쟁에서 알 수 있듯 개별규범을 넘어 국제 질서 운영 주도권으로 접근해야 한다”고 말했다. 이어 “한국 사이버 안보 정책은 국제 거버넌스 문제를 넘어 어떤 국제 질서에 편입될 것인가의 문제”라면서 “국제 사회는 사이버 세상에서 규범을 만드는데 앞장서며 이익 챙기기에 바쁘다”고 덧붙였다.
이미 글로벌 소프트웨어 기업 마이크로소프트는 '디지털 제네바 협약'을 제안했다. 국가가 아닌 기업이 나서 사이버 거버넌스를 제안한다. 브레드 스미스 MS 최고법률책임자(CLO)는 국가 지원 해커 급증에 대처할 국가 간 합의 필요성을 당부했다. 스미스 CLO는 지난 2월 미국 샌프란시스코에서 열린 세계 최대 보안콘퍼런스 RSAC2017에서 “2차 세계대전 때 민간인을 보호하기 위해 국제 사회가 제네바 협약을 체결한 것처럼 사이버 공격으로 인한 민간인 피해를 막기 위해 디지털 제네바 협약이 필요하다”고 말했다.
임종인 센터장은 “사이버 공간에서는 한 개 국가에 제한한 사건은 존재하지 않는다”면서 “사이버 국제 협력은 선택이 아닌 필수”라고 강조했다. 그는 “한국은 국제 사이버 보안 규범에 참여할 정책, 기관, 전문가 모두 부족하다”면서 대책마련을 촉구했다.
김인순 보안 전문기자 insoon@etnews.com