'인터넷'에 해당되는 글 41건

  1. 2019.11.02 NATO 사이버방어협력센터의 수장 야크 타리엔 인터뷰
posted by 알짜 정보 岳岩 2019.11.02 07:53

25개국의 협력적인 사이버 방어 체제 마련위한 조직...다국적 보안 코디네이터
러시아와 중국, 북한 등은 ‘평화’가 아니라 ‘잠재적 군 운용 시기’라는 용어 사용
광범위한 익명성은 무조건적인 인권이며 선인가?...“해로운 결과 더 많다”


[보안뉴스 문가용 기자] 부산에서 3회째를 맞은 사이버공격방어대회 보안 컨퍼런스의 기조 연설자로 참석한 야크 타리엔 대령은 NATO의 사이버방어협력센터(CCDCOE)에서 센터장을 맡고 있다. CCDCOE라는 다국적 조직을 이끄는 그를 기조 연설 직전에 만나 이야기를 나누었다.

[이미지 = iclickart]


보안뉴스 : CCDCOE의 수장이다. 정확히 CCDCOE는 어떤 조직인가?
야크 타리엔 : 주로 유럽에 있는 동맹 국가들의 사이버 보안 강화를 위해 움직이는 다국적 보안 합동 센터다. 현재는 25개국이 함께하고 있으며 난 각 나라에서 온 전문가들이 조직적으로 움직일 수 있도록 조율하는 역할을 하고 있다. 참고로 NATO의 산하 기관은 아니다. 책임져야 하는 영역만을 본다면 CCDCOE가 NATO보다 광범위하다고 말할 수도 있다.

당연하지만 CCDCOE는 국가의 위에 있는 권력 기관이 아니며, 오히려 25개 회원국들을 지원하는 책임을 맡고 있다. 특히 정부 기관들이 온전히 이해하기 힘들 수 있는 ‘360도 사이버 방어’에 대해 알리고, 이런 다각도의 보안 접근법이 각 나라의 국내 사정에 맞춰 도입될 수 있도록 돕고 있다.

보안뉴스 : 360도 방어 접근법이란 무엇인가?
타리엔 : 쉽게 말해 사이버 보안이라는 것이 IT 기술의 하위 영역이 아니라는 것을 말한다. 지금 너무나 많은 사람들이, 심지어 주요 조직의 결정권자들까지도, 사이버 보안을 IT 전문가들이 해결해야 할 것이라고 생각하고 있다. 많은 문제가 여기에서부터 비롯된다고 생각한다. 사이버 보안에는 기술적인 영역도 포함되어 있지만 법과 제도, 생활양식과 같은 영역도 있다는 걸 이해해야 한다.

다행히 최근 들어 법과 제도라는 측면에서 비어있던 것이 채워지고 있는 중이다. 10년 전만 해도 법적인 측면에서 사이버 보안은 진공의 영역이었다. 기존의 규칙들은 통하지 않고, 새로운 규칙은 존재하지 않으니, 일부 국가들 사이의 협약만이 거의 유일한 제도적 장치로 남아있었다. 그러다가 탈린 매뉴얼(Talin Manual)이라는 게 나오기 시작하면서 사이버 보안의 제도적 측면이 부각되기 시작했다.

물론 탈린 매뉴얼도 일종의 가이드라인으로, 법적 강제성을 가지고 있지는 못하다. 이미 존재하고 있는 국제법이 사이버 영역에서 어떤 식으로 해석되거나 적용되어야 할지 제시하는 것일 뿐이다. 이를 참고로 해서 국내법이 각 나라에서 마련된다면, 그제야 보다 큰 강제력이 발동될 수 있을 것이다. 다행히 그런 일이 많은 나라에서 진행되고 있다.

보안뉴스 : 탈린 매뉴얼 같은 제도적 장치나 그 기반이 되는 요소가 시급히 필요할 만큼 지금 사이버전이 무섭게 벌어지고 있는가? CCDCOE에서 보는 입장은 어떤가?
타리엔 : 100년전, 비행기라는 것이 처음 발견되었을 때도 사람들은 앞으로 모든 인류의 전쟁은 비행기를 통해 이뤄질 것이라고 생각했었다. 하늘을 자유롭게 날아다니며 경계 없이 상대를 피격할 수 있는 기술이니, 그렇게 상상하거나 걱정했을 법 하다. 하지만 지금은 어떤가? 물론 공중전이 현대 전쟁에서 굉장히 중요한 요소이긴 하지만, 모든 전쟁이 공중전 양상만 띠는 건 아니다.

사이버 공격 혹은 방어 기술이라는 것도 난 비행기의 전철을 밟을 것이라고 예상한다. 해킹 기술이 사이버전의 무기로서 대두된 건 비교적 최근의 일이다. 모두가 해킹 기술을 동원한 전쟁을 상상하는 것도 자연스럽다. 그리고 분명 사이버전은 지금의 공중전처럼 전쟁에서 중요한 요소가 될 가능성도 높다. 하지만 오로지 사이버 기술만으로 전쟁이 구현되지는 않을 것이다. 육군과 해군, 공군은 여전히 필요할 것이며, 사이버 기술은 이런 기존 군의 움직임을 보다 효율적이고 정확하게 만들어줄 것으로 보인다.

보안뉴스 : CCDCOE와 같은 다국적 조직체를 운영하는 게 쉽지는 않을 것 같다.
타리엔 : 같은 보안 전문가라고는 하지만, 다양한 문화를 가진 사람들이라 의견을 합치하는 것이 까다롭긴 하다. 근무 여건이나 보상에 대해 이 나라 사람과 저 나라 사람이 기대하는 바가 다르고, 모두가 납득할 만한 표준 근무 조건을 제시하는 게 어렵다. 심지어 휴가 일수를 정하는 일에서조차 의견이 분분하다. 보안이라는 전문 분야에서 일을 추진할 때도 이런 현상이 나타난다. 언어 문제는 차라리 간단하다고 여겨질 정도다.

하지만 이런 차이를 극복해내고 뭔가를 공통적으로 이뤄냈을 때, 수장으로서 이런 저런 차이들을 봉합해서 같은 공감대를 형성했을 때 느끼는 성취감은 대단히 크다. 단순히 어려움을 극복해냈다는 차원을 넘어서, 뭔가 인류 거대 프로젝트를 함께 시작하는 데에 중요한 역할을 수행한 듯한 역사적 뿌듯함마저 느껴질 때가 있다. 배경이 서로 다른 사람들이 같은 목표를 가지고 같은 일을 추진해나갈 때의 에너지는 대단히 긍정적이다.

외부 업무에서도 비슷한 성질의 어려움을 겪곤 한다. 센터장이니 외부 파트너들을 만나 관계를 쌓고 서로의 의견을 조율해야할 때가 많은데, 이 때도 참으로 다양한 사람들을 만나게 된다. 파트너십 강화를 통한 사이버 방어 능력 향상이라는 한 목적 아래 만나도 여러 가지 변수가 등장한다. 업무가 늘 역동적이며, 같은 일을 반복하는 경우가 거의 없다.

보안뉴스 : 이번에 한국에 온 것도 그런 파트너십 강화를 목적으로 한 것인가?
타리엔 : 그렇다. 한국은 기술적으로 상당한 발전을 이뤄온 나라이며, 이미 NATO와 CCDCOE가 주관하는 락드쉴즈(Lock Shields)라는 전 세계적인 사이버 방어 대회에서도 중요한 역할을 담당했었다. 한국과 CCDCOE는 사이버 방어라는 측면에서 중요한 관계를 구축할 수 있을 것으로 기대한다. 서로가 서로에게 도움을 주고 얻어갈 것이 많은, 긍정적이고 풍요로운 관계다.

나는 에스토니아 사람으로서 한국의 사이버 보안 현실에 동질감을 느낀다. 둘 다 사이버전 행위를 아무렇지나 않게 하는 위험한 이웃을 두고 있다는 점에서 특히 그렇다. 한국의 경우는 북한이 있고, 에스토니아는 러시아다. 이런 나라들은 사고방식 자체가 우리와 다르기 때문에 만반의 준비를 갖춰야 한다. 서방 세계나 그 동맹국들이라면 ‘평화의 시기’라고 생각할 때를 러시아는 ‘군 운용 가능성의 시기’로 여긴다. ‘평화’라는 말이 그들에게는 오히려 정찰과 경계, 훈련의 때라는 것이다.

그렇기 때문에 그들은 국제 사회에서의 각종 비판도 개의치 않고 계속해서 사이버 공격을 진행하며 정보를 모은다. 우리는 평화를 누릴 때 저들은 혹시 모를 사태를 위해 준비하고 있다는 것이다. 그들이 지금 진행하고 있는 공격 자체도 그렇지만, 그들을 움직이게 하는 이유가 더 무서울 수 있다.

보안뉴스 : 민간 차원에서 스스로를 보호하려면 어떻게 해야 할까?
타리엔 : 실제 생활 속에서 도둑이나 강도에 당하지 않으려고 하는 것과 비슷한 걸 해야 한다. 문을 잠그고, 경보기를 설치하는 등의 노력을 기울여야 한다는 것이다. 또한 보안 업계는 위생 교육을 하듯이 누구나 어느 정도 수준의 보안 인식을 갖출 수 있도록 교육과 훈련, 캠페인과 같은 활동을 벌여야 한다. 개개인이 할 수 있는 일이라면 그런 활동에 참여하고 적극 실천해보는 것을 권장한다. 더 이상 보안은 정부나 기술자들의 일이 아니라는 것을 깨닫는 것에서부터 의미 있는 행동이 시작된다. 한 사람 한 사람이 쉽게 당해주지 않는 것이 국가적 사이버 보안을 강화하는 길이다.

[이미지 = 보안뉴스]


보안뉴스 : 국가적 보안이 강조되는 과정에 프라이버시가 침해되기도 한다.
타리엔 : 쉽지 않은 문제다. 일단 ‘프라이버시를 보호받는다’는 것에 대한 사람들의 기대치가 다양한 것 같다. 누구는 나와 내 친구 사이에 오가는 대화 내용을 아무도 볼 수 없는 것을 프라이버시라고 말하고, 누구는 인터넷에서 내 이름을 밝히지 않고 아무 댓글이나 달 수 있는 것을 프라이버시라고 말하는 것 같다. 개인적인 의견이지만 광범위한 익명성은 불필요하다고 생각한다. 당연히 나와 지인 사이의 이메일은 나와 지인에게만 공개되어야 한다. 하지만 익명성은 무조건적으로 광범위하고 보편적으로 보장되어야만 하는 가치까지는 아니라고 본다.

에스토니아의 경우 인터넷에서 익명으로 댓글을 다는 것이 허용되었을 당시, 한 뉴스 매체가 네티즌의 공격적인 댓글 때문에 소송을 당하고, 크게 패소한 적이 있다. 이 사건을 전후로 에스토니아에서 글을 남기려면 에스토니아의 디지털 시민권을 가지고 로그인을 해서, 자신의 진짜 이름으로 하도록 분위기가 변했다. 그렇다고 에스토니아 정부가 시민의 의견을 묵살하고 억압한다? 전혀 그렇지 않다. 오히려 익명으로 남기는 글은 ‘믿지 못할 정보’ 취급을 받는다. 에스토니아에서는 그런 글들을 ‘화장실 벽’이라고 부른다. 배변 중에 앉아서 아무런 의미도 없는 걸 마구 써재끼는 그런 낙서와 다름없기 때문이다.

광범위한 익명성이 보장되는 환경인 텔레그램이나 다크웹을 보라. 전부 범죄의 소굴로 변했다. 표현의 자유라는 가치도 중요하고, 그것이 기본 인권임에는 틀림이 없지만, 익명성의 무조건적인 보장이 갖는 순기능인 표현의 자유가 사회에 얼마나 보탬이 되는지 생각해봐야 한다. 익명성 뒤에 숨어 해악을 저지르는 경우가 압도적으로 많다. 그게 인간이다. 떳떳한 정보는 이름을 밝히고 쓰고 책임을 지는 것이 더 성숙한 표현의 자유다. /보안뉴스 [국제부 문가용 기자(globoan@boannews.com)]

댓글을 달아 주세요