에스토니아 타깃으로 한 사이버전쟁...‘탈린’ 매뉴얼 탄생
국가간 사이버전 심화...사이버안보법 제정 필요성 높아져

[보안뉴스 성기노 객원기자] 전 세계 보안전문가들은 앞으로 사이버 전쟁이 빈번하게 발생할 것으로 예측하고 있다. 그렇다면 최초의 사이버전은 언제 어디서 일어났을까. 전문가들은 2007년 에스토니아에 대한 사이버 공격을 국가를 대상으로 한 최초의 사이버 공격이라고 보고 있다. 당시 북대서양조약기구(NATO)가 관여할 정도로 상당히 중대한 사건이었다.


▲ 사이버전쟁의 대규모 피해국가였던 에스토니아

이 사건의 발단을 살펴보면, 에스토니아 정부는 2007년 4월 27일 수도 탈린(Tallinn) 중앙에 있는 구소련 참전 기념 청동 군인상을 수도 외곽의 공동묘지로 이전하겠다고 발표했다. 그런데 이 동상은 러시아가 에스토니아를 50년간 통치한 상징으로 에스토니아 국민에게는 불명예의 상징이었으나, 러시아계 주민에게는 나치와 싸우다 전사한 영웅을 상징했다. 에스토니아는 구 소련에서 독립한 뒤 옛 체제를 지우기 위해 구 소련의 참전 기념 동상을 이전하기로 한 것이다.

에스토니아의 러시아계 주민들은 이전에 반대해 시위를 벌였고, 이 과정에서 많은 사람이 체포되고 사상자가 발생했다. 이는 결국 에스토니아와 러시아의 외교전으로 비화했고 에스토니아의 대통령궁과 공공 및 금융기관, 통신기업 대상으로 웹사이트를 마비시키는 디도스 공격(DDoS: 분산 서비스 거부) 유형의 대규모 사이버 공격이 발생했다.

당시 북대서양조약기구(NATO)는 에스토니아에 사이버테러 전문가를 파견해 사건의 진상 규명과 함께 피해복구에도 참여했다. 당시 조사 결과, 신원이 확인된 공격자 대부분이 러시아인이고 공격 경로가 러시아로 이어져 있어 에스토니아는 러시아에 공식적으로 수사지원을 요청했지만, 러시아는 관련성이 없다고 부인하며 수사 요청을 거절했다. 결국 이 사건은 배후가 없는 공격으로 일단락됐다.

문제는 러시아로 의심되는 이러한 사이버 침투에 대한 피해가 상상을 초월할 정도로 컸다는 데 있다. 이 공격으로 국민의 절반 이상이 인터넷 뱅킹을 이용하던 에스토니아는 큰 사회적 혼란과 함께 수천만 달러에 달하는 금전적 피해를 보았다. 이처럼 사이버 공격은 사회적 혼란과 물리적 피해가 동반되는 상당히 치명적인 군사적 행동이라는 점에서 전쟁의 개념 자체를 뒤바꾸고 있다. 그리고 사이버 공격은 주체를 규명하기가 상당히 어렵다는 점에서 앞으로도 자주 일어날 가능성이 크다.

이 사건이 일어난 뒤 북대서양조약기구(NATO)가 ‘탈린 매뉴얼(Tallinn manual: 사이버전에서 적용되는 국제법을 담은 지침서)’을 2013년 발표함으로써 국가 간 사이버 공격에 대해 국제법 수준에서 논의가 필요하다는 인식을 확산시켰다.

하지만 이번 미국 대선에서의 러시아의 해킹 의혹처럼 사이버 공격이 일어났을 때 그 주체를 밝혀내는 것이 어렵다는 게 가장 큰 문제다. 사건의 진상이 제대로 규명돼야 재발 방지를 위한 대책을 세울 수 있다. 하지만 심증만 있고 물증은 없는 사이버 공격의 특성 때문에 언제 어디서든 그 공격에 노출될 수밖에 없다. 우리 역시 조기 대선을 앞두고 선관위나 각 당 홈페이지 등이 무방비로 노출되고 있다. 이러한 문제 때문에 정부와 여당은 ‘국가사이버안보기본법(사이버안보법)’ 제정을 서두르고 있다.

사이버안보법은 북한이 전 세계에서 미국, 중국 다음으로 사이버 공격 역량을 갖춘 만큼 우리나라도 법률을 통해 대응하자는 논리에서 나온 자구책이다. 특히, 올해 대선을 앞두고 북한이 강력한 사이버 공격을 감행할 것이라는 분석도 제기되면서 사이버안보법을 서둘러 제정해 민·관·군의 대비책을 세워야 한다는 주장이 나오고 있다. 하지만 일각에서는 이 법안이 국민을 감시하는 수단으로 이용될 가능성과 통신자유권 침해에 대한 우려의 목소리도 있다. 사이버안보법 제정을 추진하더라도 이러한 우려를 감안해 국민들이 납득할 만한 개인정보 보호대책을 마련할 필요가 있다.
[성기노 객원기자(kino@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>