2021년 12월, 영국은 2030년까지 사이버 강국을 위한 비전과 비전을 달성하기 위한 5대 실행 전략을 골자로 한 ‘국가 사이버 전략 2022’를 발표하였다. 영국은 최근 몇 년 동안 복잡하면서 강도 높은 사이버위협으로부터 자국의 보호하기 위하여 인텔리전스에 대한 투자, 사이버 범죄에 대한 법/제도 개선, 국가 사이버군(National Cyber Force, NCF) 창설 등 대응 전략을 착실히 실행해 나갔다. 또한, 사이버보안을 강화하고 사이버 위험에 대한 국민의 인식을 개선하였으며, 사이버보안 부문을 성장시키고 사이버위협에 대한 광범위한 역량을 개발하고 있지만, 앞으로도 여전히 사이버위협에 대한 도전에 직면할 것이라고 밝혔다.

영국은 ’국가 목표를 지원하는 사이버 파워‘라는 비전 아래 ’사이버 범죄, 사기, 국가 위협으로부터 국민을 보호할 수 있는 사이버 역량을 사용하여 진화하는 위협과 위험으로부터 잘 대비함으로써 더 안전하고 회복력 있는 국가 건설‘, ’지역과 국민에게 보다 균등한 기회를 갖게 하는 혁신적이고 번영하는 디지털 경제 구축‘, ’친환경적이고 건강한 사회를 지원하기 위해 혁신적인 기술을 안전하게 사용하는 과학 기술의 초강대국 건설‘, ’사이버 공간에서 활동의 자유를 보장하면서 개방적이고 안정적인 국제 질서를 선도하는 보다 영향력 있고 가치있는 글로벌 파트너 역할 수행‘을 목표로 하고 있다.

또한, 2025년까지 비전을 달성하기 위한 전략의 우선 실행 틀을 다음과 같이 설정하였다. 첫째는 영국 사이버 생태계 강화, 인력 및 기술에 대한 투자, 정부, 학계 및 산업체 간의 파트너십 심화, 둘째는 기업이 디지털 기술의 경제적 이점을 극대화하고 시민들이 사이버 공간에서 보다 안전하고 데이터 기밀성 보장에 대한 확신을 가질 수 있도록 사이버 위험을 줄여 탄력있고 번영하는 디지털 영국 구축, 셋째는 사이버 파워의 필수적인 기술을 선도하고 산업역량을 강화하며, 미래기술 확보를 위한 프레임워크 구축, 넷째는 정부 및 산업체 파트너와 협력하고 영국 사이버 파워를 보강하는 전문지식을 공유함으로써 보다 안전하고 개방적이면서 번영할 수 있는 국제 질서를 위한 영국의 글로벌 리더십 및 영향력 향상, 마지막으로 영국의 보안성 향상을 위해서 사이버 공간 내/외에서의 위협을 탐지, 교란 및 저지함으로써 통합되고 창의적인 모든 수단 활용이다.

이번 영국의 사이버 전략 2022는 ’국가 사이버 보안 전략 2016-2021‘과 ’안보, 국방, 개발 및 외교 정책에 대한 통합 검토본‘을 근간으로 작성되었다. 내용보다는 사이버 전략 2022가 작성되기까지의 노력이 시사하는 바가 크다. 정부 차원에서의 전폭적인 지원, 기존 사이버(안보) 전략과 안보/국방/외교 정책 검토 결과 반영, 지도부의 관심 등 우리나라가 배워야 할 점이 많다. 영국뿐만 아니라 선진국들의 사이버(안보) 전략은 정부 주도와 지원하에 이전에 관련 전략들을 검토하여 발전할 부분은 더욱 발전시키고 부족한 부분은 개선할 수 있도록 검토 내용을 포함시키고 국가 지도부의 강력한 의지를 표명한다. 이러한 관점에서 영국의 사이버 전략 2022 발표는 우리나라에게 많은 시사점을 준다.

첫째, 국가의 사이버 파워를 증진시키기 위해서는 정부 차원에서 투자를 아끼지 말아야 한다. 영국의 국가 사이버 전략 2022에서 사이버 파워는 점점 더 중요한 국력의 척도이자 전략적 이점의 근원이 되고 있으며, 사이버 공간 내에서 또는 사이버 공간을 통해서 국가 이익을 보호하고 증진하는 능력이라고 밝히고 있다. 사이버 파워가 미래 국력의 척도이자 국가 이익을 보호하고 증진하는 능력임에도 정부가 전폭적인 투자를 주저하고 망설일 이유가 없다.

둘째, 사이버(안보) 전략을 수립하면 전략의 효력이 없어지는 시점까지 반드시 실행 여부를 점검해야 한다. 앞서 언급한 바와 같이 영국은 이전의 사이버 보안 전략과 영국 안보관련 통합 검토본을 점검한 결과를 이번 국가 사이버 전략 2022에 반영했다. 우리나라는 2019년도에 국가 사이버안보 전략과 기본 계획을 발표한 바 있으나, 그 이후에 전략과 기본 계획의 어떻게 실행되고 있는지에 대한 내용은 찾아보기 힘들다. 물론 각 담당 부처에서 전략과 기본계획에 맞춰서 사업을 추진하고 있겠지만, 최소한 추진 성과는 발표할 필요가 있다.

셋째, 사이버 파워 증진을 위한 조직 개편과 법/제도를 마련해야 한다. 우리나라는 국가 사이버안보를 통제할 수 있는 콘트롤타워가 명확하지 않다. 대규모 사이버공격이 발생하여 심각한 피해를 입는 그 해에만 잠깐 사이버 조직 개편과 법/제도를 마련해야 한다는 의견을 내놓곤 한다. 일시적이 아닌, 즉흥적이 아닌, 보여주기가 아닌 지속적이고 튼튼하고 체계적인 조직이 필요하며, 조직의 구성, 책임과 활동을 보장할 수 있는 법과 제도도 필요할 것이다.

마지막으로 국가안보를 책임지는 대통령의 의지이다. 작년에 미국 바이든 대통령은 적국의 사이버위협에 대한 책임을 끝까지 물을 것이라고 밝혔으며, 아마존, 애플, 구글 등의 IT 기업의 최고경영자를 불러 사이버보안 강화 방안을 논의한 바 있다. 아무리 사이버안보 조직과 전문가가 있고 기술력이 튼튼하다고 해도 대통령이 사이버위협에 대한 강력한 대응 의지가 없다면 무용지물일 것이다. 이번 대통령 선거에서는 미래 안보영역의 핵심이라 할 수 있는 사이버안보 수호를 위한 비전과 정책의 제시, 그리고 의지가 있는 후보가 나타나길 기대한다.

■필자: 대전대학교 안보군사연구원장 엄정호 교수
엄정호 교수는 성균관대학교에서 컴퓨터공학과(정보보안) 석/박사 학위를 취득했다. 현재 대전대학교 군사학과/안보융합학과 교수로 재직 중이며, 안보군사연구원장을 역임하고 있다.

★정보보안 대표 미디어 데일리시큐!★