사이버보안 위협의 증가는 기업과 국가 안보에 중요한 이슈로 부상하고 있다. 사회공학적인 사기범죄와 랜섬웨어의 증가로 인해 기업은 수백만 달러의 피해를 입었고, 미 대선에 대한 해킹 공격과 위협은 이제 지속적인 위협으로 일상화되었다.

트럼프 대통령은 취임 전, 사이버보안을 취임 후 100일 이내 정책 최우선순위 중 하나로 상정할 것이라고 밝힌 바 있다. 그러나 일부 사이버보안 전문가들은 아직 트럼프 행정부가 이러한 중요한 이슈를 해결할 수 있을지에 대해 확신을 갖고 있지 않다. 지난 11월 IT 조사기관인 Forrester Research社는 새로운 대통령이 취임 이후 100일 이내에 사이버위기를 겪을 것으로 예상하고, 강력한 사이버보안 정책의 필요성과 사법절차의 개선 등을 촉구한 바 있다. 트럼프 대통령은 사이버보안 관련 정책을 국방부, 함창의장 등에게 일임한다고 밝혔는데, 그러나 법적인 측면에서 보자면 국토안보부(DHS)가 인프라 보호를 위한 적정한 책임기관이며, 군사 네트워크 보안은 국방부가 담당 기관이라고 할 수 있다.

지난 12월 트럼프 대통령은 알파벳, 테슬라, 페이스북, 아마존 등 미국의 선도적인 기술기업 CEO들과 회동을 갖고 실리콘 밸리 지역 기업과의 협력을 통해 사이버보안 강화를 위한 혁신적인 솔루션을 개발키로 한 바 있다.

트럼프 대통령의 사이버보안 정책에 어떤 내용이 담길지 확실치 않다. 그러나 트럼프 행정부가 추진할 주요 사항은 아래와 같다.

1. 미래 사이버공격 방어

민주당전국위원회(DNC)에 대한 사이버공격은 궁극적으로 트럼프에게 행운이기는 했지만, 선거 운동 중 해킹 공격과 다른 사이버 공격은 미국 대선을 디지털 차원에서 주권을 침해한 사상 최초의 사건이다. 이 상황의 엄중함으로 미 양당은 사고에 대한 조사와 미래 사이버공격에 대한 방어 능력을 키우기 위해 노력하고 있다.

사이버 이슈는 국제사회와 협력을 필요로 한다. 그러나 사이버범죄 대응을 위한 유일한 국제적 합의는 부다페스트 협약(Budapest Convention on Cybercrime)이고, 이마저도 그 효과에 대해 의문이 제기되고 있는 상황이다. 트럼프 대통령의 사이버보안 계획은 대부분 자국 국내 이슈에 초점을 맞추고 있으며, 사이버공격 억제를 위한 미국의 역할에 중점을 두는 정책을 도입할 것으로 예측된다.

트럼프 대통령은 사이버범죄와 연류된 개인이나 조직을 대상으로 여행이나 상업 거래를 금지하는 것과 같이 즉시 제재를 가할 수 있다. 그는 또한 사이버범죄 활동과 관련성이 매우 높은 것으로 판단되는 국가를 대상으로 해당 정부에 압력을 가할 수도 있다. 국내적으로는 미 행정부가 정보기관, 금융 및 사법당국, 기타 사이버활동과 관련된 자국의 기관들을 조직하여 테러대응 전략을 수립할 수 있다.

2. DDoS 공격의 영향을 줄이기 위한 정책 이행

2016년 10월 21일 일단의 해커 조직이 대규모 DDoS 공격을 가함으로써 미국의 인터넷 네트워크와 웹사이트 일부가 다운되었다. DDoS 공격은 하나의 컴퓨터로부터 발생하지 않기 때문에 이를 예방하거나 막는 것이 용이하지 않다. 공격은 악성코드에 감염된 인터넷과 연결된 수많은 단말기를 통해 이루어진다.

이러한 공격의 본질적인 특성으로 인해 예방을 위한 간단한 방법은 없다. 그러나 만일 웹사이트에 쉽게 공격 목표가 될 수 있는 소수의 메인 서버를 사용하지 않고, 많은 수의 독립적인 서버를 이용한다면 모든 서버가 공격에 의해 영향 받을 확률이 크게 줄어든다. 트럼프 행정부는 미래 DDoS 공격에 대응하기 위해 취약점을 탐지하고 네트워크 관리를 강화하는 표준화된 정부차원의 정책을 개발할 수 있다. 이러한 목표를 달성하기 위한 방법은 소규모 기업에서 접근이 용이한 자동화된 위험감소 기술을 개발하도록 기술 기업의 리더들과 협력하는 것이다. 이 기술은 기존의 IT 보안 요원들의 역량을 뛰어넘는 공격을 탐지하고 걸러낼 수 있는 컴퓨터 프로그램을 위주로 한다.

3. 해킹으로부터 안전한 운송 및 배송 시스템

자율 운전 기술과 자동화된 선적 운송이 빠르게 현실화되고 있다. 우버(Uber)가 인수한 스타트기업인 오토(Otto)는 자율형 운전 트럭을 개발했다. 구글의 자율형자동차 프로젝트로 시작한 와이모(Waymo)는 크라이슬러와 함께 100여대에 이르는 자율형 미니밴을 개발하고 2017년이 이를 출시할 계획이다. 2016년 12월 초 아마존은 영국에서 첫 번째 상업용 드론을 선보인 바 있다. 운송 및 배송 서비스가 점차 인터넷에 기반한 서비스에 의해 제공되면서 해커게 의한 원격 침투 가능성도 빠르게 증가하고 있는 실정이다.

자동차 제조업체들은 컴퓨터와 인터넷에 연결된 장치를 장착하여 비자율형 자동차를 만들고 있으며, 이를 통해 다양한 기능을 제공하고 있다. 이는 해커들이 원격에서 브레이크나 자동차 경보, 운전대 조작 등에 원격으로 접근하여 사이버보안 이슈를 일으킬 수 있다. 비행기의 경우 승객이 기내 와이파이를 통해 웹사이트에 접속할 경우 바이러스 혹은 말웨어 감염 등을 통해 원격에서 피해를 입힐 수 있다. 이러한 해킹에 필요한 도구들과 기술은 이미 다수 존재하며 상대적으로 저렴하고 용이하게 구입할 수 있다.

미 국방부는 사이버공격으로부터 자율형 자동차를 보호하기 위한 플랫폼 개발에 여러 민간 기업과 협력하고 있다. 자율형 자동차의 소프트웨어 개발업체인 Perrone Robotics社, 사이버방어 솔루션 제공업체인 Mission Secure社 등이 대표적이다. 우버와 구글 등 기술기업들도 이미 자율형 자동차 시장에 진입하여, 트럼프 행정부는 이들과 추가적인 사이버보안 연구를 위해 협력체계를 구축할 수 있다.

운송 시스템에 대한 심각한 사이버공격이 아직 발생하지는 않았지만, 트럼프는 위협을 심각하게 여기고 좀 더 강력한 방화벽과 보안 시스템 개발을 위해 민간 부문과 추가적인 협력관계 구축을 모색할 수 있다.

4. 정보를 공유하는 기업을 보호하기 위한 법적 프레임워크 개발

정부와 민간 부문간 정보 공유는 사이버공격을 예방하기 위해 또한 중요하다. 현재 기업들은 사이버보안 정보공유법(Cybersecurity Information Sharing Act)에 의해 일정 정도 배상 책임을 면제받는다. 그러나 이러한 방법은 공공과 민간의 긴밀한 협력관계 구축을 위해 충분하지 않다. 트럼프 행정부는 현재 기업들에게 적용되는 사이버 규제를 검토하고, 이를 단일 규제 프레임워크로 대체하는 방안을 고려할 수 있다. 이를 통해 기업들은 컴플라이언스 이슈에 덜 신경 쓰고 사이버보안을 위한 자원 할당을 원활하게 할 수 있다. 아울러 효과적인 정보공유를 진작시키기 위한 법제 개선을 검토할 수 있다.

5. 사이버공격으로부터 소비자 정보를 보호

미국 증권감독위원회(Securities and Exchange Commission)가 2015년 제시한 사이버보안 이니셔티브는 투자기업이 수집, 보유하고 사용하는 소비자 정보에 대한 보호에 초점을 맞추었다. 2013년 오바마 대통령은 주요기반시설 운영 기관에 대한 정보보호 모범사례 개발을 위해 국가표준기술연구소(NIST)로 하여금 국가 프레임워크를 개발하도록 하는 행정명령에 서명한 바 있다. 그 첫 번째 버전은 이미 이용 가능하며, 업데이트 버전이 2017년 초에 발표될 예정이다. 이 프레임워크에 대한 컴플라이언스는 자율적이기 때문에, 많은 기업들이 해당 가이드라인을 도입하는데 주저하거나 그 속도가 느리다. 이에 따라 아직도 대규모 개인정보 유출사고가 빈번하게 일어나고 있다.

트럼프 행정부는 NIST의 가이드라인을 좀 더 강조하고 컴플라이언스를 확대함으로써 이러한 사고를 줄일 수 있다. 미시적으로는 일반 대중을 상대로 사이버보안 모범사례의 활용을 촉진하는 캠페인을 전개함으로써 피해를 줄일 수 있다.

6. 강력한 사이버 인력 양성

트럼프 대통령이 일단의 IT 기업 리더들과 회합을 가질 당시, 일부 참석자들은 전임 오바마 대통령의 과학기술 계획인 STEM(Science, Technology, Engineering and Math)을 지속할 지에 대해 의구심을 가졌다. 아직 이에 대한 구체적인 대안을 제시하지는 않았지만, 이 이슈에 대한 검토를 약속한 만큼 기술 이민의 금지해제 등을 포함한 대책을 강구할 필요가 있다.

역자의견: 새로운 미 행정부의 등장으로 인해 사이버보안 분야 정책과 그 이행 과정에 많은 변화가 있을 것으로 예상된다. 미국의 상황을 예의 주시하며 이로 인한 파급효과를 면밀히 분석, 대처할 필요가 있다.