[박춘식 교수의 보안이야기] 미국전략예산평가센터(CSBA)의 Krepinevich는 사이버 전쟁에 대해서 포괄적인 보고서를 발표하고 사이버 공격의 특징에 대해서 설명하고 신속하게 사이버 공격의 위협에 대한 관심을 높여 이것에 대응할 전략을 고려할 필요가 있다고 설명하고 있다.
 
이 내용에 대해 소개한다. 다시 말하면 중요한 인프라가 사이버 공격에 당할 위험이 높아지고 있어 미국 정부고관 등은 사이버 진주만의 위험을 지적하고 있다. 그러나 1930년대의 공군력에 대해서와 같이, 현재 사이버 병기가 어느 정도 유용한가를 자신을 갖고 설명할 수 없다.
 
핵병기에 비하면 사이버 병기에 대한 관심은 지금까지 낮았다. 이유는 1)핵병기의 히로시마, 나가사키와 같이 사이버 병기의 위력을 보이는 사례가 없다는 것 2)사이버 병기의 파괴력이 보이지 않는 것 3)정부가 사이버 병기나 사이버 활동에 대한 정보를 밝히지 않는 것 때문이다.
 
사이버 병기를 핵병기와 비교하면, 유사점보다는 상이점이 훨씬 많다. 공격이 방어보다 유리한 점은 사이버 병기와 핵병기가 동일하다. 사이버 병기와 핵 병기의 커다란 차이점은 전쟁과 평화의 구별이다.
 
핵의 경우, 핵병기로 공격한다면 전쟁이지만, 사이버에서는 예를 들면 상대의 컴퓨터 시스템에 침입하여 논리폭탄(logic bomb)을 설치하는 경우 이것은 전쟁행위라고는 보이지 않지만, 나중에 논리 폭탄을 작동시키면 상대에 현저한 손해를 주게 된다.
 
그 외에도 상대의 네트워크의 약점을 알아 데이터를 훔치기 위해 사이버 수단이 빈번하게 사용되고 있다. 핵무기는 “사용하지 않는다”가 상식이지만, 사이버는 완전히 반대로 사이버 활동은 항상 활발하게 집요하게 행하여지고 있다.
 
속도는 사이버 병기 쪽이 핵병기를 웃돈다. 핵병기의 경우, 냉전기, 대륙간탄도가 미소간을 나르는 데 30분 정도가 걸렸지만, 사이버 병기의 경우 이미 상대 시스템에 침입되어 있는 것 조차 가능하다.
 
또한 사이버 병기에는 공격의 대상이 방어 시스템 강화 등에 의해 항상 변화하고 있기 때문에 무기가 이미 유효하지 않게 될 가능성이 있다는 특징이 있다.　사이버 병기가 중요한 인프라를 공격할 경우의 손해는 핵병기에 의한 공격에 비해서 적으며, 사이버 병기가 괴멸적 파괴를 가져다주는 능력은 핵병기에 비하면 훨씬 적다고 생각되지만, 사이버 병기가 사용될 가능성은 핵병기보다도 크다.
 
이것은 1)핵공격의 경우는 공격자를 특정할 수 있기 때문에 억지가 통하나 사이버 공격의 경우, 공격자의 특정이 용이하지 않아 이것이 공격의 요인이 되는 것, 2) 핵병기와 다르게 사이버 공격 능력을 가진 국가, 비국가 주체의 수가 많은 것 3) 사이버 병기의 사용, 사용하지 않는 것의 구별이 명확하지 않으며, 허용 가능한 사이버 활동과 괴멸적인 결과를 가져다 주는 공격에 이르는 활동과의 사이를 구별짓는 것은 어려운 것에 의한 것이다.
 
따라서 신속하게 사이버 공격의 위협에 대한 관심을 높여 사이버 공격에 대응하는 전략을 고려할 필요가 있다고 설명하고 있다.
 
Krepinevich는 3명의 미국 국방장관을 모시면서 미 국방부의 평가국에 근무하였다. 국방 전략의 전문가로 최근에서는 AirSea Battle 을 주장하는 등, 굴지의 논객이다. 이 보고서는 Krepinevich가 사이버 전쟁에 대해서 포괄적으로 논한 것으로 사이버 전쟁을 이해하는 데 좋은 자료가 되고 있다.
 
사이버 병기의 특색은 이것이 단순한 장난이나 데이터 취득에서 컴퓨터, 인프라, 나라의 주요 시설의 혼란 대상이 넓어 상대에게 괴멸적 타격을　가져다 주는 것으로 지금까지의 병기의 개념에서는 설명할 수 없는 것이다.
 
사이버 전쟁은 국가안전보장에 있어서 새로운 위협이 되는 것은 틀린 것이 아니지만 사이버 능력 자체, 매일 매일 진보를 계속하고 있기 때문에 사이버 전략은 아주 복잡한 것이 되고 있다.
 
Krepinevich가 말하는 것처럼 사이버 전쟁에 대해 깊은 이해를 하며 사이버 전략을 신중하게 고려할 필요가 있으며 이것이 사이버 전쟁에 대한 대응의 대전제가 되고 있다. 요즈음 사이버 전쟁은 기존의 국제법의 틀로 담을 수 없다는 것에 아주 유의해야 한다.
 
논리폭탄의 예로부터도 밝혀진 것처럼 공격에 대한 착수의 시기부터 애매하다. 사이버 전쟁에 관한 국제법이 정비되는 것은 가정하기 어려우며 국가에 의한 실행의 중첩에 의해 부드러운 규범(Soft Law)을 만들어 가게 될 것이다.
 
일본은 행동이 기존의 국제법에 합치하고 있는 지 없는 지에 강하게 고집하는 경향이 있는 데 사이버 전쟁에 관해서는 이러한 태도는 바뀌어야만 하며 동맹국, 비동맹국과 함께 행동 규범을 만들어내는 것이 필요하다. 또한 방어를 이해하기 위해서도 공격 연구를 적극적으로 추진할 필요가 있다고 생각된다.(오카자끼연구소)(Wedge. 2012.10.26)　
 
[글. 박춘식 서울여자대학교 정보보호학과 교수]