데이터 안보·공급망 안보의 교차: 신흥위협에 대한 대처는 얼마나 되어 있는가?
[보안뉴스= 유인태 단국대학교 정치외교학과 교수] 미·중 기술패권 경쟁이 2018년 본격화되면서 일상 생활에서조차 공급망 안보가 화두가 된 것은 주지의 사실이다. 동시에 사이버 보안 분야에서는 데이터 안보에 대한 위협이 일찍부터 논의되고 있었지만, 미·중 전략 경쟁은 이를 더욱 첨예한 이슈로 만들었다.
[이미지=gettyimagesbank]
그런데 이 두 사안 영역의 교차 영역이 새로운 위협으로 부상했다. 바로 데이터 안보와 공급망 안보가 교차하며, 국가안보 위기가 제기되고, 첨단산업경쟁을 치러야 할 대상으로 주목 받기 시작한 것이다.
데이터 안보와 공급망 안보, 각각의 단어가 매우 어렵고 생소하게 들릴 수 있다. 더욱이 이들이 교차하는 안보 위협은 더 난해하게 들릴 수 있지만, 최근 우리 주변의 뉴스로 등장한 바 있다.
예를들어, 화웨이의 5G, ZPMC(Shanghai Zhenhua Heavy Industries, 중국명 ‘상하이전화(上海振華)중공업’) 항만 대형 크레인, 미래자동차의 핵심 기술 라이다, 중국산 DJI 드론, 틱톡, 커넥티드 차량(Connected Vehicle)을 들 수 있다. 결이 다르지만 콜로니얼 파이프라인, 솔라윈즈 사태 등도 데이터 안보와 공급망 안보가 교차하는 사례로 볼 수 있다.
전자는 공급망 안보가 확보되지 않아 데이터 안보가 우려되거나 침해되는 경우이다. 후자는 데이터 안보가 타협되어 공급망 안보가 침해된 경우이다. 어느 쪽이던 간에 양쪽을 관통하는 공통점이 존재한다.
즉, 우리 일상생활과 밀접하게 관련된 생활 영역에서의 보안이 타협되는 경우이며, 침해의 결과는 국가적 위기를 불러일으킬만한 막대한 경제적 손실, 사회적 혼란을 야기하며 국가안보로 이어질 수 있다. 따라서 데이터 안보와 공급망 안보의 교차 영역은 국가 차원에서의 대비와 대응이 요구되는 매우 중요한 사안으로 부상했다.
교차 영역에서 부상하는 위협을 더 잘 이해하기 위해서 구체적으로 몇몇 사례들을 보자. 이제는 잘 알려진 화웨이, 그리고 ZTE의 5G 장비에 대한 미국의 사용금지는 미국의 데이터 안보에 대한 인식과 결합됐다. 2015년에는 미국의 연방인사관리처 1,970만명의 기밀정보취급인가 신청자에 대한 데이터가 중국의 해킹으로 빠져나간 바 있다. 미국의 방위산업체와 전략자산에 대한 기밀정보 탈취 시도들은 지속적으로 이루어졌다.
데이터가 이동하는 디지털 네트워크가 중국에서 생산된다면, 그 위협은 더 커질 수 있다. 실제 미국은 화웨이와 중국 공산당과의 관련성에 대한 의혹을 계속 제기해 왔다. 전 세계 크레인 시장의 70%를 차지하며, 미국에서는 80%의 점유율을 보이는 ZPMC 항만 대형 크레인의 경우도, 중국 공산당과의 관계가 미 정보당국에 의해 제기됐다. 라이다 기술과 헤사이기업, 그리고 중국 정부와의 관계, 중국산 DJI 드론과 소셜 플랫폼 틱톡도 모두 중국 정부 또는 국내법에 의한 중국 공산당과의 관계가 우려됐다.
이쯤 되면 패턴이 보인다. 미·중 전략 경쟁의 맥락에서 중국산 차세대 기술들이 중국 당국과 연결되며 안보적 위협의 근원이 된다. 동시에 다른 패턴도 보인다. 위협의 대상이 되고 있는 중국산 차세대 첨단기술들은 큰 수익을 창출하는 주요 시장을 점하고 있으며, 대체로 미국은 해당 시장경쟁력에서 밀리고 있다는 것이다.
그리고 이러한 기술들은 데이터 안보와 공급망 안보가 동시에 위협 받을 수 있는 영역이다. 공급망이 안전하게 보장되지 못하면, 데이터 안보가 소위 CIA(신뢰성(Confidence), 무결성(Integrity), 가용성(Availability))가 타협될 수 있다.
또는 데이터 안보가 타협되면, 공급망 운영에 지장이 생기며, 공급망 안보가 위험에 처한다. 예를 들어, 2021년의 콜로니얼 파이프라인 사이버 침해 사고는 사이버기반시설의 침해가 사회에 지대한 피해를 일으킬 수 있음을 방증하고 있다.
이러한 신흥 위협에 대해 미국 정부는 전 세계적으로 앞서 대응 및 대비해 왔다. 초기 트럼프 정부에서는 화웨이와 같은 기업에 대해서 경제 제재를 통해 기업 행위자별로 대처를 취했지만, 점차 대통령 행정명령을 통해 부문별 대비책을 세워나가기 시작했다.
2021년 솔라윈드나 콜로니얼 파이프라인 사건 이후로 바이든 정부는 행정명령 14028을 내놓으며, 소프트웨어 자재명세서(SBOM)을 의무화하며 소프트웨어 공급망 강화를 도모했다. 2022년 글로벌 소프트웨어 공급망의 현황을 다루는 각서를 통해서는 제로 트러스트 전략, 위협 탐지 및 대응, 그리고 복구 전략 등을 내놓았다. 모두 공급망 안보와 데이터 안보의 관련성을 다루고 있다.
앞서 조치들 외에도 지속적으로 대통령명령, 의회입법 그리고 부처별 대응 전략이 나오고 있다. 이러한 조치들은 미국 내에서 새로운 보안 표준을 설립해 나가고 있는데, 한국은 이러한 표준이 갖는 글로벌 함의를 고려하며 대비해 나갈 필요가 있다. 미국과 가까운 관계를 유지하고 있는 한국은 미국이 제시하는 보안 표준에 상응하는 기술이나 제도를 갖추지 못하게 될 경우 정치, 외교, 국방, 경제(산업), 기술 협력에서 차질을 빚을 수 있기 때문이다. 한국의 준비 상황과 향후 대응 하나하나가 중요하게 여겨질 수밖에 없다.
[글_유인태 단국대학교 정치외교학과 교수]
[보안뉴스= 유인태 단국대학교 정치외교학과 교수] 미·중 기술패권 경쟁이 2018년 본격화되면서 일상 생활에서조차 공급망 안보가 화두가 된 것은 주지의 사실이다. 동시에 사이버 보안 분야에서는 데이터 안보에 대한 위협이 일찍부터 논의되고 있었지만, 미·중 전략 경쟁은 이를 더욱 첨예한 이슈로 만들었다.
[이미지=gettyimagesbank]
그런데 이 두 사안 영역의 교차 영역이 새로운 위협으로 부상했다. 바로 데이터 안보와 공급망 안보가 교차하며, 국가안보 위기가 제기되고, 첨단산업경쟁을 치러야 할 대상으로 주목 받기 시작한 것이다.
데이터 안보와 공급망 안보, 각각의 단어가 매우 어렵고 생소하게 들릴 수 있다. 더욱이 이들이 교차하는 안보 위협은 더 난해하게 들릴 수 있지만, 최근 우리 주변의 뉴스로 등장한 바 있다.
예를들어, 화웨이의 5G, ZPMC(Shanghai Zhenhua Heavy Industries, 중국명 ‘상하이전화(上海振華)중공업’) 항만 대형 크레인, 미래자동차의 핵심 기술 라이다, 중국산 DJI 드론, 틱톡, 커넥티드 차량(Connected Vehicle)을 들 수 있다. 결이 다르지만 콜로니얼 파이프라인, 솔라윈즈 사태 등도 데이터 안보와 공급망 안보가 교차하는 사례로 볼 수 있다.
전자는 공급망 안보가 확보되지 않아 데이터 안보가 우려되거나 침해되는 경우이다. 후자는 데이터 안보가 타협되어 공급망 안보가 침해된 경우이다. 어느 쪽이던 간에 양쪽을 관통하는 공통점이 존재한다.
즉, 우리 일상생활과 밀접하게 관련된 생활 영역에서의 보안이 타협되는 경우이며, 침해의 결과는 국가적 위기를 불러일으킬만한 막대한 경제적 손실, 사회적 혼란을 야기하며 국가안보로 이어질 수 있다. 따라서 데이터 안보와 공급망 안보의 교차 영역은 국가 차원에서의 대비와 대응이 요구되는 매우 중요한 사안으로 부상했다.
교차 영역에서 부상하는 위협을 더 잘 이해하기 위해서 구체적으로 몇몇 사례들을 보자. 이제는 잘 알려진 화웨이, 그리고 ZTE의 5G 장비에 대한 미국의 사용금지는 미국의 데이터 안보에 대한 인식과 결합됐다. 2015년에는 미국의 연방인사관리처 1,970만명의 기밀정보취급인가 신청자에 대한 데이터가 중국의 해킹으로 빠져나간 바 있다. 미국의 방위산업체와 전략자산에 대한 기밀정보 탈취 시도들은 지속적으로 이루어졌다.
데이터가 이동하는 디지털 네트워크가 중국에서 생산된다면, 그 위협은 더 커질 수 있다. 실제 미국은 화웨이와 중국 공산당과의 관련성에 대한 의혹을 계속 제기해 왔다. 전 세계 크레인 시장의 70%를 차지하며, 미국에서는 80%의 점유율을 보이는 ZPMC 항만 대형 크레인의 경우도, 중국 공산당과의 관계가 미 정보당국에 의해 제기됐다. 라이다 기술과 헤사이기업, 그리고 중국 정부와의 관계, 중국산 DJI 드론과 소셜 플랫폼 틱톡도 모두 중국 정부 또는 국내법에 의한 중국 공산당과의 관계가 우려됐다.
이쯤 되면 패턴이 보인다. 미·중 전략 경쟁의 맥락에서 중국산 차세대 기술들이 중국 당국과 연결되며 안보적 위협의 근원이 된다. 동시에 다른 패턴도 보인다. 위협의 대상이 되고 있는 중국산 차세대 첨단기술들은 큰 수익을 창출하는 주요 시장을 점하고 있으며, 대체로 미국은 해당 시장경쟁력에서 밀리고 있다는 것이다.
그리고 이러한 기술들은 데이터 안보와 공급망 안보가 동시에 위협 받을 수 있는 영역이다. 공급망이 안전하게 보장되지 못하면, 데이터 안보가 소위 CIA(신뢰성(Confidence), 무결성(Integrity), 가용성(Availability))가 타협될 수 있다.
또는 데이터 안보가 타협되면, 공급망 운영에 지장이 생기며, 공급망 안보가 위험에 처한다. 예를 들어, 2021년의 콜로니얼 파이프라인 사이버 침해 사고는 사이버기반시설의 침해가 사회에 지대한 피해를 일으킬 수 있음을 방증하고 있다.
이러한 신흥 위협에 대해 미국 정부는 전 세계적으로 앞서 대응 및 대비해 왔다. 초기 트럼프 정부에서는 화웨이와 같은 기업에 대해서 경제 제재를 통해 기업 행위자별로 대처를 취했지만, 점차 대통령 행정명령을 통해 부문별 대비책을 세워나가기 시작했다.
2021년 솔라윈드나 콜로니얼 파이프라인 사건 이후로 바이든 정부는 행정명령 14028을 내놓으며, 소프트웨어 자재명세서(SBOM)을 의무화하며 소프트웨어 공급망 강화를 도모했다. 2022년 글로벌 소프트웨어 공급망의 현황을 다루는 각서를 통해서는 제로 트러스트 전략, 위협 탐지 및 대응, 그리고 복구 전략 등을 내놓았다. 모두 공급망 안보와 데이터 안보의 관련성을 다루고 있다.
앞서 조치들 외에도 지속적으로 대통령명령, 의회입법 그리고 부처별 대응 전략이 나오고 있다. 이러한 조치들은 미국 내에서 새로운 보안 표준을 설립해 나가고 있는데, 한국은 이러한 표준이 갖는 글로벌 함의를 고려하며 대비해 나갈 필요가 있다. 미국과 가까운 관계를 유지하고 있는 한국은 미국이 제시하는 보안 표준에 상응하는 기술이나 제도를 갖추지 못하게 될 경우 정치, 외교, 국방, 경제(산업), 기술 협력에서 차질을 빚을 수 있기 때문이다. 한국의 준비 상황과 향후 대응 하나하나가 중요하게 여겨질 수밖에 없다.
[글_유인태 단국대학교 정치외교학과 교수]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
