사회, 국가 안보, 국가 간 주요 이슈로 점점 더 영향력 커지는 상황
조직적 대응 구조 만들고, 전문 인력 확보 통한 준비 필요
최근 안보 관련 보고서에 자주 언급되고 있는 주제는 공급망 위기, 주요국 간 기술패권 경쟁의 심화, 러시아 리스크 확산 등과 함께 사이버 안보와 개인정보보호(프라이버시)가 주요 화두로 등장하고 있다.
대표적으로 ‘22년 5월 이슈가 된 Apple-YMTC 사례를 살펴보면,
22.5월, Apple의 iPhone 14에 중국 YMTC(Yangtze Memory Technologies Company)의 메모리칩을 탑재·출시할 예정이라는 보도가 나오면서, 미국내 싱크탱크에서 Apple-YMTC 협력이 미 국가안보에 미치는 위협 및 대응에 대한 보고서를 통해, 미국의 ①국가안보, ②프라이버시, ③기술 리더십, ④경제 성장, ⑤일자리를 위협한다고 지적했다.
*CPA, China Tech Threat. “Silicon Sellout: How Apple’s Partnership with Chinese Chip Maker YMTC Threatens American National Security” (2022.6).
국가안보 관점에서는 중국 군 등이 미국-대만 컴퓨터 제조사인 Supermicro의 컴퓨터 마더보드 수천 대에 스텔스 원격 접속 기능이 있는 작은 칩을 심어 사이버 공격한 사례를 근거로 YMTC도 정상적 스마트폰 칩을 승인받은 후 공격 기능을 의도적으로 추가할 가능성을 제시하며, 이러한 칩 내장 시 전자제품을 원격 강제 종료시키는 “kill switch”가 될 수 있고, 군사 제품은 물론 전력공급 등 민간 주요 인프라 장비도 피해받을 수 있다고 언급하고 있다.
프라이버시 관점으로는 Apple이 중국 정부의 2.3억 아이폰 사용자에 대한 검열 및 감시를 지원할 수 있다고 했다.
‘17년 「중국 사이버보안법」에 따라 중국에 데이터 센터를 설립, 중국 정부에 고객 데이터 접근을 허용하고 있고, 중국인들이 검열·감시 등 억압받고 있다는 점은 美 화웨이 제재 이유 중 하나이며, 이 부분에서는 YMTC도 화웨이와 다르지 않다고 바라보고 있다.
또한, 스파이웨어를 포함한 YMTC 칩을 Apple 제품에 설치 시 수집된 데이터의 중국 송신 가능성이 상존하는 것도 위협으로 꼽고 있다.
결과적으로 현재 애플은 아이폰에 YMTC가 생산한 낸드플래시를 탑재하려던 계획을 보류한 상태다.
주요 국가들은 반도체·배터리 등 핵심산업 지원 정책과 기술보호 정책을 수립하는 방향으로 나아가고 있으며, 동맹국과 칩4(Chip4), 핵심광물안보파트너십(MSP)과 같은 협력체계를 구축하고 있다.
이러한 상황 속에서 앞으로 더 많은 국가들이 사이버 위협이나 개인정보보호를 군사 및 경제 안보 관점에서 전략적/전술적 수단으로 활용될 것으로 예상된다.
모든 것이 온라인 네트워크에 연결되는 사이버 세상은 기존에 없었던 새로운 영역으로 자리 잡고 있으며, 그 속에서 일어나는 일들이 실제 세상에 직접적인 영향을 끼치는 상황이다.
이러한 세상의 기반을 이루는 디지털 기술은 미래 국가 권력의 핵심으로 인식되고 있으며, 이는 단순한 기업경쟁력의 변수가 아니라 국가안보의 관점으로 강조되고 있다.
특히, 정보보호 분야는 사이버 세상에서의 리얼 전투를 벌이는 새로운 분야가 되었고, 지금 이 시간에도 다양한 방식의 공격과 방어가 이루어지고 있다.
사이버 위협이나, 개인정보보호와 같은 새로운 국가 간 이해 관계는 아직까지 전통적인 안보 관점에서 병력이나, 미사일, 전투기와 같은 현재의 직접적인 위협으로 보이지 않을 수 있지만, 필요한 경우에 국가안보, 경제안보 관점에서 상대적으로 비 전투적이면서 외교적 우위와 명분을 확보할 수 있는 특수성을 가지고 있다.
최근, 과학기술정보통신부에서 '클라우드 컴퓨팅 서비스 보안 인증에 관한 고시' 개정안을 통해, 국가·공공기관의 중요도에 따라 상·중·하로 나눈 후, '하'등급으로 분류된 국가·공공기관에 대한 클라우드 서비스에 대해 완화된 보안기준을 적용하여 논리적 망분리를 허용해 주는 방향으로 개정이 진행중이다.
이는, 공공 클라우드 시장 진출을 위한 CSAP(클라우드서비스보안인증)도 외국계 대기업들이 민간시장을 넘어 공공 시장에까지 진입할 수 있는 계기가 될 것으로 보인다.
APEC CBPR제도도, APEC 회원국 간 자유롭고 안전한 개인정보 이전을 지원하기 위해 프라이버시 보호 원칙을 기반으로 기업의 개인정보 보호 체계를 평가하고 인증하는 글로벌 인증제도로 최근에 인증이 진행되고 있다.
이 또한, APEC 회원국 간에 공동으로 개발하여 운영한다는 원칙이 있지만 글로벌 개인정보보호에 대한 헤게모니 확보 수단으로 활용될 가능성도 배제할 수 없다.
기존의 정보보호가 기술적 공격에 대한 방어적 수단에 초점이 맞춰져 있었다면, 앞으로는 사회 전반적으로, 국가 안보적 차원에서, 국가 간 주요 이슈로 점점 더 영향력이 확대될 것이다.
이러한 환경 변화에 맞서 우리의 이익을 확보하기 위해서는 관련 부처에서 조직적 대응 구조를 만들고, 전문 인력을 확보하면서 지속적인 관심을 가져가야 한다.
[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]
★정보보안 대표 미디어 데일리시큐!