세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[주말판] 사이버 보안 국제교범 ‘탈린 매뉴얼’의 고향 에스토니아
  |  입력 : 2017-02-11 09:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
탈린 매뉴얼, 정보보안의 갈림길을 묻는 문서... 편입이냐 확장이냐
젊은 독립국가 에스토니아의 젊은 지혜가 부럽기도 해


[보안뉴스 국제부] 지난 주 2월 3일 즈음, 사이버 보안 및 범죄 사건을 국제법으로 다루기 위한 연구 보고서 및 제안서인 탈린 매뉴얼(Tallinn Manual) 2.0이라는 것이 발간되었다. 여기서 탈린은 스탈린의 오타도 아니며, 대부분의 사람들에게 매우 낯선 이름으로, 에스토니아의 수도다. 사이버 범죄에 대한 국제법 관련 중요 자료에 왜 에스토니아의 수도 이름이 붙었을까? 에스토니아가 전 국가의 사이버화 혹은 디지털화에 앞장서고 있는 나라이며, 국경 없는 사이버 국가의 상징이기 때문이다. 옛 소련으로부터 독립해 나온 작은 나라 에스토니아가 대표 디지털 국가로 자리 잡은 배경과 아직 아마존 서점에 하드카피도 입고되지 않은, 따끈따끈한 탈린 매뉴얼 2.0에 대해 알아보자.


1. 에스토니아의 디지털화
에스토니아는 1991년 러시아로부터 독립했다. 갑자기 러시아 체제로부터 벗어난 에스토니아 정부에게는 갑작스럽게 엄청난 과제가 주어졌다. 하나는 ‘진짜 에스토니아인’을 파악해 시민권을 발부하는 것이었고, 다른 하나는 러시아 체제 이전의 땅 소유자들의 권리를 회복시키는 것이었다. 이를 위해 에스토니아 정부는 보존됐던 자료와 기록들을 몽땅 수집해 역사를 거슬러 올라가야만 했다. 가족 관계와 족보도 확인했다. 물론 종이에 적힌 서류들이었다. 에스토니아 정부의 현재 CIO인 타비 코트카(Taavi Kotka)는 “(당시 정부가) 이 과정에서 데이터의 연속성을 유지하는 게 얼마나 중요한지 절실하게 깨달았다”고 설명한다.

그때부터 ‘디지털화’라는 것이 국가의 화두가 되었고, 실제로 이는 e-Stonia라는 이름으로 빠르게 진행되었다. 그래서 1991년 당시 전화기 사용 인구가 나라의 절반도 되지 않고, 외무부에 숨겨져 있었던 핀란드 전화선이 나라 전체의 유일무이한 국제 통화수단이었던 곳이, 현재는 UN 전자정부평가에서 상위 20위권에 드는 나라로 성장했다. 이쯤에서 먼저 UN 전자정부 평가가 무엇인지 살짝 살펴보고 넘어가자.

2. UN 전자정부평가에서 우리나라와 에스토니아
UN 전자정부 평가란 말 그대로 전 세계 정부들을 ‘전자정부’라는 기준으로 UN이 순위를 매긴 결과를 말한다. 전자정부 세계 석차가 나오는 성적표라고 볼 수 있는데, 이는 2003년부터 시작해 2년에 한 번씩 발표된다. 2003년부터 2005년까지만 매년 발표되었다. 정보통신 인프라 지수(Telecommunication Infrastructure Index), 온라인 서비스 지수(Online Service Index), 인적 자본 지수(Human Capital Index)라는 세 가지 과목의 점수를 합산해 약 200개 국가의 순위를 결정하는데, 2016년 기준 에스토니아는 13위를 차지했다. 참고로 총 국가 수는 193개국이었고, 한국은 3위를 기록했다(한국은 그 전 3번의 발표에서 연속 1위를 차지하기도 했다). 상세 순위는 다음과 같다.


순위 차이가 많이 나는 것처럼 보일 수도 있지만 인적 자본 지수 점수 같은 경우 대한민국과 에스토니아와의 차이가 0.0034밖에 되지 않는다. 온라인 서비스 지수와 정보통신 인프라 지수 점수 또한 각각 0.05점과 0.12의 차이만이 있을 뿐이다. 또한, 두 나라의 평가 점수는 한국 0.8915, 에스토니아 0.8334인데 이것은 작년 2016년도에 조사한 전자정부 평가 전체 평균인 0.49보다 1.7배 이상 높은 수치다. 또한 에스토니아가 2010년 20위를 차지한 데에 이어 2014년 15위, 2016년 13위 등 꾸준히 성적이 오르고 있다는 것도 중요하다.


하지만 에스토니아 정부는 이 성적표에 큰 의미를 부여하지 않는다. 에스토니아 정부의 디지털 정책 자문인 심 시쿳(Siim Sikkut)은 본지와의 인터뷰를 통해 “에스토니아 정부는 UN 전자정부 평가에 크게 신경 쓰지 않으며, 그 결과를 바탕으로 디지털 정책을 결정하지도 않는다”며 그 이유에 대해 “평가 시스템이 매우 낡았으며, 이전 전자정부 강국들이 높은 점수를 받기에 유리한 시스템이기 때문”이라고 설명했다. 실제로 IT 및 디지털 산업군에서 에스토니아가 유명한 것은 전자정부 순위가 아니라 최초의 전자시민권, 최초의 온라인 투표 실시, 탈린 매뉴얼 등 상징성 있는 프로젝트들 때문이다.

3. 에스토니아 정부, 디지털화의 상징이 되다
인터넷을 통해 선거한다는 개념은 에스토니아 정부가 디지털화를 한창 진행 중이던 2001년부터 본격적인 지지를 받았으며, 2005년 세계 최초로 총선을 인터넷 시스템으로 진행한 국가가 되기에 이르렀다. 물론 100% 온라인 선거 시스템으로만 진행된 건 아니고, 오프라인 선거와 병행된 것이었다. 2007년 있었던 의원 선거 역시 인터넷 선거 시스템과 함께 진행되었다. 그로부터 총 8번의 온라인 선거를 치렀는데, 심 시쿳에 의하면 “단 한 번도 사고가 발생하지 않았다”고 한다. 온라인 선거 시스템에 대한 국민들의 신뢰도 매우 높은 상태라고.

하지만 그 무엇보다 에스토니아의 ‘디지털화’가 크게 주목을 받은 건 e-Residency라는 디지털 시민권 때문이다. ‘국경 없는 나라’를 만들겠다는 취지 아래 2014년 말부터 외국인들에게 시민권을 발급하기 시작한 것. 물론 이 시민권을 들고 에스토니아에 가서 거주할 수 있는 건 아니다. 다만 에스토니아 ‘디지털 시민’으로서 사업을 시작하고 은행 계좌를 개설할 수 있다. 안타깝게도 한국에는 에스토니아 대사관이 없는 이유로 디지털 시민권을 발급받을 수가 없지만 일본처럼 가까운 국가로 가서 에스토니아의 디지털 시민이 된 사람들도 일부 존재한다.

이러한 디지털 시민권 프로그램은 사실 다양한 온라인 사업을 유치하기 위한 에스토니아 정부의 ‘경제 살리기’ 노력이라고 볼 수 있다. 심 시쿳 역시 “경제를 살리기 위한 조치”라고 설명한다. “2년 만에 디지털 시민권 프로그램을 통해 약 1300개의 사업 유치를 이끌어냈습니다. 이 기업들은 매달 평균 360 유로를 내고 있고, 이는 매년 5백 6십만 유로의 국익으로 환산됩니다. 투자비 80만 유로에 비해 큰 수익이죠.”

데이터 대사관(Data Embassy)이라는 개념 역시 에스토니아가 시작했다. 각 나라가 친분 관계를 맺고 있는 나라에 대사들을 파견하듯, 국가의 중요한 데이터를 다른 믿을만한 나라에 저장해 놓는 개념을 말한다. 심 시쿳에 의하면 에스토니아는 2017년 처음 외국에 데이터만을 위한 대사관을 설립할 예정인데(장소는 아직 공개 불가능), 이 역시 세계 최초가 될 가능성이 높다. 마이크로소프트 등이 이 프로젝트에 참여하고 있다.

사실 에스토니아는 이미 실제 대사관들에 주요 정보를 백업해두고 있다. 2014년 타비 코트카는 “에스토니아는 이미 10년 정도 중요한 데이터를 다른 나라에 백업해왔다”고 발표하며 그 이유에 대해 다음과 같이 설명한 바 있다. “데이터 손실을 방지하기 위한 가장 효과적인 방법은 백업입니다. 에스토니아는 국가 전체가 디지털화되어 있다시피 해서 사이버 공격으로 데이터에 접근할 수 없게 될 때 온 나라가 마비될 수도 있습니다. 이를 막기 위해 나라 밖에 중요한 데이터를 백업해 두기 시작한 겁니다. 데이터의 연속성에 대한 고민이 이어진 거라고 볼 수 있습니다.” 실제 에스토니아는 2007년 러시아 해커들의 공격으로 국가 마비 상태를 겪은 바 있다.

하지만 이게 기존 ‘백업’과는 좀 다른 문제다. “국경 밖으로 중요한 데이터를 내보내는 거다 보니 생각할 게 많습니다. 어떤 데이터를 백업해야 하는가, 그 결정은 누가 내려야 하는가, 정말 마지막이라고 볼 수 있는 위기 상황에 필요한 ‘삭제’ 버튼을 만들어야 하는가 등이죠. 나라 선정을 잘 해야 하고, 그들과의 외교적인 관계에도 민감하게 신경 써야 하고요.” 심 시쿳 역시 데이터 대사관에 대해 “정부 입장에서는 대담한 결정”이라며 “그래서 많은 나라들이 에스토니아의 첫 데이터 대사관에 주목하고 있다”고 말한다. 하지만 어느 시점에는 모든 나라가 고민을 멈추고 데이터 대사관을 마련하리라고 그는 보고 있다.

4. 심 스쿳과의 간단 인터뷰
보안뉴스 : 2년 간 진행된 디지털 시민권, 어느 정도나 효과를 보고 있나?
심 시쿳 : 현재까지 약 1만 6천 여건의 디지털 시민권을 발급했다. 새롭게 설립된 기업은 1300개다. 이들을 통해 에스토니아는 1년에 5~6백만 유로의 수익을 창출하고 있다. 물론 이게 국고 단위에서는 큰 숫자가 아니다. 하지만 프로젝트 진행 기간과 80만 유로라는 투자금을 생각했을 때 충분히 고무적이다. 1만 6천 명의 디지털 시민은 1년 간 에스토니아에서 태어나는 아이들의 수보다도 많다. 장래가 더 기대된다. 한국의 온라인 환경도 관심 있게 보고 있고, 한국의 인재들 역시 에스토니아 디지털 환경에서 마음껏 사업하시길 바라고 있다.

보안뉴스 : 에스토니아의 온라인 선거 시스템도 유명하다. 그러나 세계적으로 온라인 선거라는 건 신뢰받지 못하고 있다. 미국과 러시아도 이거 때문에 시끄럽고, 네덜란드 역시 손으로 개표한다 하더라.
심 시쿳 : 잘 알고 있다. 그래서 보안에 엄청나게 투자한다. 선거의 모든 과정이 까다롭게 모니터링 되고 있다. 차라리 오프라인 선거가 덜 엄격하게 보일 정도다. 해외에서 참관인을 다수 초청하고 있으며, 고급 암호화 기술을 적용한다. 심지어 적용시키는 암호화 기술을 선거 때마다 바꿔서 해커 입장에서 처음부터 다시 공격을 시작하도록 강제시킨다. 실제 지난 8번의 온라인 선거 동안 사고가 한 건도 발생하지 않았다. 국민들의 신뢰도도 높다.

보안뉴스 : UN의 평가에 큰 신경을 쓰지 않는다고 들었다.
심 시쿳 : 맞다. 평가 시스템이 너무 오래되어 신뢰하기 힘들다. 참고하지도 않는다. 예를 들면 정부가 어떤 전자 서비스를 제공하고 있느냐에 큰 점수가 부여되지만, 실제 국민들이 이를 얼마나 사용하느냐는 평가하지 않는다. 전자정부를 평가한다고 한다면, 활용도를 우선순위로 삼아야 마땅하지 않을까? 게다가 전자정부의 핵심 기술인 디지털 서명 등은 아예 평가 대상조차 되지 않는다. 에스토니아 정부는 글로벌한 업계 동향에 더 집중한다.

보안뉴스 : 2017년, 에스토니아가 세계에 던져줄 화두는 데이터 대사관일 것이다. 왜 이미 기술로 앞서간 나라들은 이를 도입하지 않고 있을까? 왜 에스토니아가 이를 시작해야 하는가?
심 시쿳 : 개인적인 의견임을 먼저 분명히 하고 싶다. 솔직히 아직 많은 정부 관료들이 국가 차원에서의 사이버 보안 문제나 위험을 충분히 이해하고 있지 못하다고 본다. 그러니 그러한 문제들에 잘 대처하지 못한다. 그렇지 않다고 해도 국가의 민감한 데이터를 다른 나라 영토로 가져다 놓는다는 건 충분히 우려스러운 일이다. 에스토니아는 누구나 노려봄직한 표적도 아니며, 국제 관계에서 적이 많지 않기 때문에 오히려 과감하게 이런 정책을 추진할 수 있다고 본다. 하지만 다른 나라들도 머지 않아 데이터 대사관을 운영하리라고 생각한다.

보안뉴스 : MS가 데이터 대사관 프로젝트에 적극 참여하고 있는 것으로 알고 있다.
심 시쿳 : 많은 업체들이 참여하고 있고, MS도 그중 하나일 뿐이다. 지금도 이 프로젝트는 열려 있다. 데이터 대사관이라는 개념에 관심이 있다면 어떤 기업이라도 참여 신청이 가능하다.

5. 탈린 매뉴얼 2.0
먼저 탈린 매뉴얼의 부제가 ‘사이버 작전들에 적용 가능한 국제법에 관하여’라는 게 중요하다. 왜냐하면 국제사회는 시대의 흐름에 따라 ‘~에 적용 가능한 국제법’이라는 책들을 발간해왔기 때문이다. 탈린 매뉴얼 1.0과 2.0 발간 작업의 총책임자였던 마이클 슈미트(Michael Schmitt) 엑시터대학 교수는 “국제법을 다양한 상황에 적용하기 위해 연구해 ‘매뉴얼’을 발간한 역사가 짧지 않다”고 설명한다.

“1880년에는 인권 및 관습에 관한 옥스퍼드 매뉴얼(Oxford Manual)이라는 게 있었죠. 1994년에는 해상전투에 관한 국제법을 다룬 산레모 매뉴얼이라는 게 등장했고요. 2008년엔 공전 및 미사일전에 관한 하버드 국제법 매뉴얼이 발간되었습니다. 각각 당시 시대에 맞는 국제사회의 고민이 반영된 거라고 볼 수 있고, 2013년에 개정된 탈린 매뉴얼 1.0 역시 그러한 명맥을 잇고 있는 것입니다.”

사실 같은 탈린 매뉴얼이라고는 하지만 1.0과 2.0은 부제부터가 조금 다르다. 1.0은 ‘사이버전에 적용 가능한 국제법’이고 2.0은 ‘사이버 작전에 적용 가능한 국제법’이다. 여기서 말하는 사이버전이란 국가와 국가 사이에 일어나는 사이버 전쟁을 말하는 것이고, ‘사이버 작전’이란 국경을 넘나드는, 그러나 국가 정부의 의도와는 별개로 일어나는, 각종 사이버 범죄들을 말하는 것이다. 기존 매뉴얼들처럼 국가 사이의 분쟁을 다룬 게 1.0이었다면, 2.0은 일반 범죄들까지도 포함했다는 것이다. 슈미트 교수에 의하면 “러시아 민주당 해킹 사건과 같이 정의하기 힘든 사건들까지 전부 포함하기 위해서”라고 한다.

미사일이나 해상 무력 충돌이야 정부 개입 없는 순수 민간 자본만으로 실행하기 어려운 것에 반해 사이버 공격이란 것은 그렇지 않으니까 이런 개정판이 등장한 것은 납득이 간다. 게다가 사이버전과 사이버 범죄의 구분이 어려워지고 있는 것도 정보보안 업계의 중요 이슈이기도 하다. 하지만 사이버 공간에서 일어난 불미스러운 일들을 ‘사이버 작전(cyber operation)’이라는 모호한 이름으로 부르고, “미래에 새롭고 분명하게 정립되어야 할 것”이라고 남겨둔 것은 민간 차원에서 일어난 일들을 국제법으로 다루게 되는 달갑지 않은 미래의 시발점이 될 것 같은 찝찝함을 남긴다. 이에 대한 질문에 아직 슈미트 교수는 답변을 보내고 있지 않은 상태다.

그렇다면 탈린 매뉴얼이 국제사회에 어느 정도나 큰 영향력을 발휘할까? 슈미트 교수는 “1.0 버전에 대한 관심이 예상보다 훨씬 높았다”며 법적인 강제성이나 영향력을 염두에 두고 쓴 책이 아님을 암시했다. 실제 2.0 서문에 그는 “그저 현 국제법의 일면에 대한 전문가 집단의 의견일 뿐”이라고 쓰기도 했다. 더군다나 탈린 매뉴얼 프로젝트를 발간한 NATO의 의견이나 입장을 반영한 것도 아니라고도 명시했다.

“이 매뉴얼은 오로지 현존하는 국제법을 그 상태 그대로 반영하는 것으로, 최고의 보안 가이드도 아니고, 국제법을 개정해야 한다는 주장을 담고 있지도 않습니다. 게다가 특정 정치색깔을 반영하는 것도, 특정 정책을 옹호하고자 하는 것도 아닙니다. 현재의 국제법을 들여다볼 수 있는 다른 시각 정도라고 볼 수 있습니다. 철저히 렉스 페렌다(lex ferenda : 법적 정의에 따라 있어야 할 법)의 영역에 머물러 있는 문서입니다.”

6. 탈린 매뉴얼, 어떻게 받아들여야 하는가?
보안뉴스 국제부는 이 매뉴얼을 온라인 버전으로 구매해 읽고 있는 중인데, 정보보안 영역의 비전문가인 ‘국제법 전문가 집단’이 정보보안을 바라보는 시각이 흥미롭다. 각종 보안 사고가 주는 충격이 강해서인지, 보안 솔루션을 뛰어 넘는 해커들의 공격이 눈에 분명히 띄어서인지, 일반 업체들에 있어 정보보안은 계속해서 실패하고 있다는 인상을 주고 있고, 그래서 최근엔 사이버 보험에 대한 수요가 늘어나고 있다는 소식이 들리는데, 그러다가 법과 보험과 같은 다른 영역의 전문가들이 보안을 담당하게 될 지도 모르겠다는 위기감도 드문드문 든다.

아직까지 탈린 매뉴얼은 저자의 의도 그대로 법적인 강제성이나 영향력이 거의 없는 게 맞다. 따라서 누구나 알아두어야 할 필독서도 아니고, 심지어 기본 상식으로조차 요구되는 것도 아니다. 하지만 정보보안 문제가 점점 다른 영역으로 확대되고 있다는 것이 반드시 좋은 현상이기만 할까, 하는 의구심이 들게는 한다. 보안이라는 문제가 법의 영역으로 넘어가거나 정부가 해결해야 할 전염병 같은 문제와 동일취급 받기 시작한다면, 정보보안 전문가들은 AI가 아니라 지금의 협업 파트너들에게 일자리 뺏길 것을 걱정해야 할지도 모른다.

탈린 매뉴얼은 기술만으로 해결할 수 없는 정보보안의 현주소를 그대로 짚는 문서로, 1) ‘정보보안’이라는 특수하고 고유한 분야를 향한 타 분야 전문가들의 침범, 혹은 2) 타 전문 분야를 향한 정보보안의 확장을 나타낸다. 이를 테면 흡수당하느냐 덩치를 불리느냐의 갈림길을 상징한다는 것이다. 정보보안 문제라는 것이 다양한 분야의 협조를 요하는 것이 맞다면, 정보보안은 그 협업체의 중심에 있을 것인가, 아니면 변두리로 쫓겨날 것인가? 탈린 매뉴얼 2.0은 그걸 묻고 있다.

7. 에스토니아, 벤치마크해야 하는가?
확실히 에스토니아의 각종 디지털화 프로젝트는 강력한 충격을 국제사회에 안겨주었다. 국경 없는 국가라는 에스토니아의 외침이 자유를 선망하는 이들에게 새로운 희망을 주기도 했고, 실제 많은 작가, 기자들이 이 시민권을 발급받았다. 한국에서도 디지털 시민권을 발급받은 사람들이 존재한다. 그러나 이로 인한 실제적인 국가수익은 심 시쿳 자신이 표현하듯 “경제적으로 의미가 대단한 정도는 아니다.” 아직은 ‘수익이 나오긴 한다’는 정도에서 만족하는 수준으로, 조금 더 시간을 들여 지켜봐야 할 프로그램이다. 온라인 투표 시스템의 성공 스토리도 총 인구가 200만명도 안 되는 국가라 가능하다는 분석이 꽤나 큰 설득력을 얻고 있어 사람 많은 곳에서는 도입 결정이 쉽지 않다. 게다가 어차피 100% 온라인 선거인 상태도 아니다. 데이터 대사관 역시 관심 대상이지만, 아직 실현되지 않은 일이다.

하지만 그런 에스토니아만의 특수한 조건들을 모두 활용해 국제사회에서 커다란 ‘상징성’을 하나 둘 가져가는 업적 자체는 칭찬할 만 하다. 나라의 경제를 성장시키기 위해 나온 게 디지털 시민권과 국경 없는 국가였고, 인구가 적기 때문에 오히려 과감히 온라인 선거를 실시해보고, 큰 존재감이 없는 국가적 지위가 있어 데이터 대사관이라는 것도 적극적으로 타진해보고 있으니 말이다. 에스토니아 특집 기사를 준비하며, 한국이 활용할만한 한국만의 상황에는 어떤 게 있을까, 어떻게 에스토니아처럼 영리하게 활용할 수 있을까, 하는 생각이 가장 많이 들었다. 알파고 지나간 자리에 뒷북 정책들이 우후죽순 자라나고, 포켓몬스터들이 지도 위에서 튀어나올 때 ‘짝퉁들’도 같이 기어 나오는 굳건한 한국형 공식이 타파되길 비는 마음이 두 번째였다.
[국제부 문가용 기자(globoan@boannews.com)]
[국제부 홍나경 기자(hnk726@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)