2013.01.24

사이버보안 정책 수립에 앞서 필요한 질문

Doug DePeppe | CSO

미국 미시건 주 최초의 CSO인 댄 로만(Dan Lohrmann)이 최근 자신의 블로그에 미국 사이버보안 독트린(US cybersecurity doctrine)에 관한 포럼을 개설했다. 관련 주제에 관해 기고를 진행하고 국가적 체계 구축 계획에 참여해오던 데에서 한 발 나아가 독트린이라는 물음을 직접적으로 던진 것이다. 좀 더 세부적으로 살펴보자면, 그의 질문은 사이버 공간이라는 신흥 영역에 대한 보다 깊이 있고 선행적인 고려의 필요성을 제시하는 것으로 이해할 수 있을 것이다.

그리고 필자의 의견을 말하자면, 영역에 대한 정의가 적절치 못하게 이뤄진 채 진행된다면, 독트린, 혹은 전략의 수립이 자칫 역효과를 낳을 수도 있을 것이다.

‘사이버 영토'라는 새로운 공간은 그 곳만의 새로운 원칙을 필요로 한다. 그러나 대상에 대한 완벽한 이해 없이 실행된 독트린은 오히려 혼란만을 가중시키고, 지속적으로 문제점을 드러내며 많은 이들을 골치 아프게 할 것이다. 과거 몬로 독트린(Monroe Doctrine)을 예로 들어보자. 이것의 경우에는 1800년대 초 국제 외교 및 지역 주권에 대한 충분한 이해 속에 추진된 정책이었기에 특별한 개선이나 수정을 필요로 하지 않았다. 우리 역시 국가 사이버보안 독트린이 10년도 못 가 효력을 잃기를 바라지는 않는다. 혼란은 2003 국가 사이버공간 안보 전략(2003 National Strategy to Secure Cyberspace) 한 번으로 족하지 않은가?

그렇다면 우리에겐 어떤 노력이 필요할까? 필자는 무엇보다 사이버 공간 이해와 정책 윤곽 구성을 위한 학계의 도움이 필요하다고 생각한다. 이는 학제간의 협력을 요구하는 작업이 될 것이다.

부처간 합의가 이뤄졌나?
실제로 아직은 사이버보안 문제를 어느 부처에서 다룰 지와 관련해서도 국토안보부와 국방부, 정보국, 사법부 간의 합의가 이뤄지지 않고 있는 상황이다. 일부는 제3의 민관협력 모델을 제안하고 있기도 하다. 이런 혼란이 가라앉기 전에는 독트린이 안정적으로 정착하기란 불가능할 것이다. 우선 사건들과 가장 많은 관련을 맺는 사법부나 국토안보부가 사이버공간 주권 수호를 담당한다 가정해보자. 우리는 어떻게 몬로 대통령과 같이 강력하게 우리들의 권리를 주장할 수 있을까? 오늘날 사이버 공간에서는 무장 공격까지도 벌어지고 있는 상황이지만, 이에 대응할 국가 정책은 아직 분명하지 않는 것이 현실이다. 누군가는 사건의 성격에 따라 각 부처가 각자의 사이버보안의 권한을 적용하는 방식을 제안하기도 한다. 그러나 그와 같이 모호하게 정의된 영역에서 어떻게 독트린이 쓰여질 수 있단 말인가?

토마스 쿤(Thomas Kuhn)은 ‘과학 혁명의 구조(The Structure of Scientific Revolutions)’를 통해 새로운 시작의 특성과 발달 과정을 이해할 수 있는 효율적인 모델을 제시한다.  여기에서 쿤은 어떻게 이상치(outlier)가 초기의 거부 단계를 극복하고 결국에는 연구되어 새로운 영역/학문으로 인정받게 되는지의 과정을 설명한다. 새로운 사고는 그에 알맞은 새로운 시각 역시 필요로 한다. 그러나 그것이 독자적인 영역을 구축하기 전까지는 기존 영역의 낡은(대게는 부적절한) 체계가 여기에 적용된다.

쿤의 패러다임은 다시 한 번 2003 국가 사이버보안 안보 전략을 상기시킨다. 당시 백악관은 전략의 방향 정의에 더해 ‘60일 사이버공간 보안 리뷰'라는 프로그램을 통해 기타 다양한 국가 전략, 군사 전략, 국제 전략 등과 연방 정부 각 부처의 기록들을 검토한 바 있다. 이와 더불어 네트워크 보안이니 정보 보안, 데이터 보호, 사이버 보안 등 용어 재정립 작업도 이뤄졌다. 분명 많은 일들이 이뤄졌지만 무엇 하나 명확한 것은 없었다. 이를 두고 필자와 동료들은 전략이라곤 없는 ‘5년짜리 동네 축구(5-year old soccer game)'라 표현한 적이 있다.




2013.01.24

사이버보안 정책 수립에 앞서 필요한 질문

Doug DePeppe | CSO

미국 미시건 주 최초의 CSO인 댄 로만(Dan Lohrmann)이 최근 자신의 블로그에 미국 사이버보안 독트린(US cybersecurity doctrine)에 관한 포럼을 개설했다. 관련 주제에 관해 기고를 진행하고 국가적 체계 구축 계획에 참여해오던 데에서 한 발 나아가 독트린이라는 물음을 직접적으로 던진 것이다. 좀 더 세부적으로 살펴보자면, 그의 질문은 사이버 공간이라는 신흥 영역에 대한 보다 깊이 있고 선행적인 고려의 필요성을 제시하는 것으로 이해할 수 있을 것이다.

그리고 필자의 의견을 말하자면, 영역에 대한 정의가 적절치 못하게 이뤄진 채 진행된다면, 독트린, 혹은 전략의 수립이 자칫 역효과를 낳을 수도 있을 것이다.

‘사이버 영토'라는 새로운 공간은 그 곳만의 새로운 원칙을 필요로 한다. 그러나 대상에 대한 완벽한 이해 없이 실행된 독트린은 오히려 혼란만을 가중시키고, 지속적으로 문제점을 드러내며 많은 이들을 골치 아프게 할 것이다. 과거 몬로 독트린(Monroe Doctrine)을 예로 들어보자. 이것의 경우에는 1800년대 초 국제 외교 및 지역 주권에 대한 충분한 이해 속에 추진된 정책이었기에 특별한 개선이나 수정을 필요로 하지 않았다. 우리 역시 국가 사이버보안 독트린이 10년도 못 가 효력을 잃기를 바라지는 않는다. 혼란은 2003 국가 사이버공간 안보 전략(2003 National Strategy to Secure Cyberspace) 한 번으로 족하지 않은가?

그렇다면 우리에겐 어떤 노력이 필요할까? 필자는 무엇보다 사이버 공간 이해와 정책 윤곽 구성을 위한 학계의 도움이 필요하다고 생각한다. 이는 학제간의 협력을 요구하는 작업이 될 것이다.

부처간 합의가 이뤄졌나?
실제로 아직은 사이버보안 문제를 어느 부처에서 다룰 지와 관련해서도 국토안보부와 국방부, 정보국, 사법부 간의 합의가 이뤄지지 않고 있는 상황이다. 일부는 제3의 민관협력 모델을 제안하고 있기도 하다. 이런 혼란이 가라앉기 전에는 독트린이 안정적으로 정착하기란 불가능할 것이다. 우선 사건들과 가장 많은 관련을 맺는 사법부나 국토안보부가 사이버공간 주권 수호를 담당한다 가정해보자. 우리는 어떻게 몬로 대통령과 같이 강력하게 우리들의 권리를 주장할 수 있을까? 오늘날 사이버 공간에서는 무장 공격까지도 벌어지고 있는 상황이지만, 이에 대응할 국가 정책은 아직 분명하지 않는 것이 현실이다. 누군가는 사건의 성격에 따라 각 부처가 각자의 사이버보안의 권한을 적용하는 방식을 제안하기도 한다. 그러나 그와 같이 모호하게 정의된 영역에서 어떻게 독트린이 쓰여질 수 있단 말인가?

토마스 쿤(Thomas Kuhn)은 ‘과학 혁명의 구조(The Structure of Scientific Revolutions)’를 통해 새로운 시작의 특성과 발달 과정을 이해할 수 있는 효율적인 모델을 제시한다.  여기에서 쿤은 어떻게 이상치(outlier)가 초기의 거부 단계를 극복하고 결국에는 연구되어 새로운 영역/학문으로 인정받게 되는지의 과정을 설명한다. 새로운 사고는 그에 알맞은 새로운 시각 역시 필요로 한다. 그러나 그것이 독자적인 영역을 구축하기 전까지는 기존 영역의 낡은(대게는 부적절한) 체계가 여기에 적용된다.

쿤의 패러다임은 다시 한 번 2003 국가 사이버보안 안보 전략을 상기시킨다. 당시 백악관은 전략의 방향 정의에 더해 ‘60일 사이버공간 보안 리뷰'라는 프로그램을 통해 기타 다양한 국가 전략, 군사 전략, 국제 전략 등과 연방 정부 각 부처의 기록들을 검토한 바 있다. 이와 더불어 네트워크 보안이니 정보 보안, 데이터 보호, 사이버 보안 등 용어 재정립 작업도 이뤄졌다. 분명 많은 일들이 이뤄졌지만 무엇 하나 명확한 것은 없었다. 이를 두고 필자와 동료들은 전략이라곤 없는 ‘5년짜리 동네 축구(5-year old soccer game)'라 표현한 적이 있다.


X