이슈브리프 통권 244호
(2021. 2.16)
2021년 바이든 정부의 사이버안보 정책 전망
오일석 신안보전략연구실
제244호
February 2021. No. 244
국문초록
바이든 정부는 2020년 12월 △SolarWinds 사태, △의사당 폭력 사건, △코로나19 백신과 치료제 및 그 연구개발에 대한 사이버공격 등으로 인해 사이버안보의 중요성을 보다 크게 인식하게 되었다. 이에 바이든 정부는 사이버안보를 정책 우선순위에 두고 이를 실현하기 위하여 정부 내 사이버안보 거버넌스 구축을 서두르고 있다. 바이든 정부는 출범 당일 발표한
<미국 구제 계획(American Rescue Plan)>에 따라 90억 달러의 예산을 투입하여 사이버 위기로부터 사이버안보를 강화할 계획이다. 또한 그 다음날 발표된 <코로나19 대응과 팬데믹 대처를 위한 국가전략>을 통해 코로나19 관련 연구개발, 백신 활동, 공중보건 시스템 및 보건 인프라 등에 대한 사이버위협에 적극적으로 대응할 계획이다.
2021년 바이든 정부는 코로나19 극복에 사활을 걸고 있기 때문에 코로나19 백신 연구개발, 백신 공급망 보호 등과 관련된 사이버안보 활동에 집중할 것으로 보인다. 특히 바이든 정부는 러시아와 중국 등에 대해 적극적이고 실질적인 공격 중심의 사이버안보 정책을 추진할 것으로 보인다. 이러한 사실은 국가안보국(NSA) 출신을 국가사이버국장과 국가안보부보좌관에 지명한 것을 통해 알 수 있다.
핵심어 : SolarWinds, 미국 구제 계획, 코로나19 대응과 팬데믹 대처를 위한 국가전략, 국가안보국, 국가사이버국장, 국가안보부보좌관
2021년 바이든 정부의 사이버안보 정책 전망
이슈브리프 통권 244호
2021년 바이든 정부의 사이버안보 정책 전망 01
바이든 정부, 사이버안보를 국가정책 우선순위로 인식
2020년 1월 20일 바이든 정부가 출범하였다. 바이든 정부는 당면한 코로나19 위기 극복을 위해 출범 당일 <미국 구제 계획(American Rescue Plan)>을 발표하고 그 다음날인 21일에는 <코로나19 대응과 팬데믹 대처를 위한 국가전략 (National Strategy for the COVID-19 Response and Pandemic Preparedness)>을 발표하였다. 동 계획과 전략에는 모두 코로나19 대응과 관련된 사이버안보에 관한 사항도 포함되어 있다.
바이든 대통령은 원래 사이버안보를 국가안보의 우선순위로 생각하지는 않았던 것으로 보인다. 바이든 대통령의 공약을 살펴보면 외교안보 분야의 국방 부문과 관련하여 우주 및 사이버영역의 중요성을 강조한바 있다. 그러나 사이버안보를 국내 디지털 정책과 관련하여 인식한 것으로 보인다. 이러한 사실은 중국 및 러시아 등으로부터의 사이버 위협을 강조하고 사이버인프라에 대한 투자 확대 및 높은 규제 기준을 마련하는 등의 정책을 제시한 것을 통하여 알 수 있다.
하지만 바이든의 사이버안보에 관한 인식은 2020년 12월 SolarWinds 사태를 계기로 전환된 것으로 보인다. SolarWinds 제품을 사용한 미국의 연방 부처와 민간 기업 등 18,000여 곳이 동 제품에 탑재된 악성코드에 의한 해킹 공격으로 심각한 피해를 당하였기 때문이다. 연방수사국(FBI), 국토안보부의 사이버안보기반 보호국(CISA), 국가정보실(ODNI) 등은 2020년 12월 SolarWinds 사태를 처음 발표하였고, 2021년 1월 5일에는 국가안보국(NSA)의 지원을 받아 동 공격이 러시아 소행이라고 발표하였다. 이 SolarWinds 해킹 발표 당시 대통령 당선인 신분이었던 바이든 대통령은 사이버공격 특히 SolarWinds 해킹 등에 대한 대응이 정책의 우선순위가 될 것이며, 미국에 대한 사이버위협을 손 놓고 가만히 두지 않을 것임을 적들은 명심하여야 한다고 성명을 발표하였다.
오일석 (신안보전략연구실)
이슈브리프 통권 244호
여기에 의사당 폭력 사건과 코로나19 백신과 치료제 및 그 연구개발성과에 대한 사이버공격은 사이버안보의 중요성에 대한 바이든과 민주당의 인식을 강화 시키고 있다. 우선 의사당 습격 사건으로 인해 의사당 내 시스템이나 네트워크에 대해 악성코드가 내재된 장치가 탑재되었을 우려가 제기되고 있다. 또한 2020년 12월 미국과 영국은 물론 한국의 제약사 등에 대해 코로나19 백신과 치료제 및 그 연구 결과물을 탈취하기 위한 사이버공격이 시도되었고 코로나19 백신 공급망의 일부를 차지하는 냉동저장시스템을 대상으로 한 사이버공격도 감지되었다. 이에 미국 위 사이버안보기반보호국(CISA)은 백신 저장과 유통을 담당하는 기관들에 대하여 사이버공격 주의 경보를 발령한 바 있다. 바이든은 대선과정에서부터 코로나19 백신의 생산과 분배를 중요한 국가전략으로 간주하였기 때문에 이에 대한 사이버공격은 바이든으로 하여금 사이버안보를 안보 정책의 우선순위로 자리매김하도록 하고 있다.
사이버안보 거버넌스 구축
바이든은 사이버안보를 정책 우선순위에 두고 이를 실현하기 위하여 정부 내 사이버안보 거버넌스 구축을 서두르고 있다. 바이든은 제이크 설리번(Jake Sullivan)을 국가안보보좌관(National Security Advisor)로 임명하였다. 또한 국가안보국(NSA)의 사이버안보 국장인 앤 뉴버거(Anne Neuberger)를 사이버안보 담당 국가안보부보좌관(Deputy National Security Advisor for Cybersecurity) 으로 발탁하였다. 뉴버거는 2009년부터 국가안보국에서 일하였으며 작전부국장보 (Assistant Deputy Director of Operations), 최고위험담당관(Chief Risk Officer), 민관협력센터장(Director of Commercial Solutions Center) 등을 역임하였다. 국가 안보국은 보다 적극적인 사이버 정보활동으로 외국으로부터의 사이버위협을 방지하고 근절시키기 위하여 2019년 사이버안보국(cybersecurity Directorate)을 신설하면서 뉴버거를 그 수장으로 임명하였다.
바이든은 국가사이버국장(National Cyber Director)에 젠 이스털리(Jen Easterly)를 임명할 것으로 보인다. 이스털리는 2011년부터 2013년까지 국가안보국(National Security Agency) 부국장을 역임하고 오바마 정부 시절 국가안보전보장회의
이슈브리프 통권 244호
2021년 바이든 정부의 사이버안보 정책 전망 03
(National Security Council)에서 대테러담당 선임비서관으로 근무하면서, 뉴버거와 함께 사이버사령부 설립에 기여한 것으로 알려졌다. 한편 국가사이버국장은 미국 의회가 사이버안보 활동을 강화하고 그 정책의 조정과 통합을 위하여 2021년도 국방수권법을 통해 백악관에 국가사이버실(the Office of the National Cyber Director)을 설치하도록 규정함에 따라 신설되었다. 국가사이버국장은 국가안전보장회의의 구성원으로서 사이버안보와 신기술에 대해 대통령을 보좌하는 최고위 정책결정자 가운데 하나이다.
한편 트럼프 정부는 2018년 5월 15일 국가안전보장회의 구성원인 사이버안보 조정관(cybersecurity coordinator)을 폐지하였다. 사이버안보조정관의 부재는 SolarWinds 사태, 중국의 기술 탈취, 러시아의 선거개입 등 사이버위협이 가중 되고 있는 상황에서 이에 적극적으로 대응할 거버넌스 체계가 작동하지 않았다는 비난을 받게 되었다. 이에 미 의회는 사이버안보 정책을 조정하고 총괄하기 위해 2021년 국방수권법을 통해 국가사이버실을 설치하고 국가사이버국장을 임명 하도록 한 것이다.
코로나19 대응과 연계한 사이버안보 활동 전개
바이든 정부는 <미국 구제 계획>에 따라 코로나19로 어려움을 겪고 있는 미국의 공중보건과 경제를 재건하고 인종차별을 제거하기 위해 1조9천억 달러의 예산을 투입할 예정이다. 이 구제계획에서 바이든은 미국이 코로나19 뿐만 아니라 사이버안보 위기에도 직면하고 있다고 강조하였다. 따라서 바이든은 연방 정부의 컴퓨터와 네트워크를 현대화하고 보안을 강화하기 위하여 90억 달러의 예산을 투입함으로써 사이버 위기로부터 사이버안보를 강화하는 방안을 이 계획에 포함 시켰다.
한편 바이든 대통령은 코로나19 백신의 공정한 분배를 통한 코로나19 조기 종식의 실현을 국정의 최우선 과제로 하고 있다. 따라서 사이버공격을 통해 코로나19 백신의 연구개발이나 공급망 등에 외국이 간섭 또는 방해하거나 정보를 절취하는 것을 미국에 대한 묵과할 수 없는 도전으로 인식하고 있다. 이에 <코로나19 대응과 팬데믹 대처를 위한 국가전략>은 코로나19 관련 연구개발, 백신 활동,
공중보건 시스템 및 보건 인프라 등에 대한 사이버위협에 적극적으로 대응해 나갈 것이라고 하였다. 이를 위해 동 전략은 국가정보국장(Director of National Intelligence)으로 하여금 코로나19 백신 및 관련 공중보건 활동을 대상으로 한 사이버위협과 외국의 정보활동에 대한 평가(assessment)를 실행하도록 하였다.
바이든 사이버안보 정책 전망
2021년 바이든 정부는 코로나19 극복에 사활을 걸고 있기 때문에 코로나19 백신 연구개발, 백신 공급망 보호 등과 관련된 사이버안보 활동에 집중할 것으로 보인다. 이는 앞에서 살펴본 <미국 구제 계획>과 <코로나19 대응과 팬데믹 대처를 위한 국가전략>의 실행을 통해 구현될 것으로 보인다. 또한 SolarWinds 사태를 통해 바이든 정부는 연방 정부 시스템과 민간 네트워크 등에 대한 보안 강화를 적극 추진할 것으로 보인다.
바이든 정부는 러시아와 중국 등에 대해 사이버안보에 있어 적극적이고 실질적인 공격 중심의 정책을 추진할 것으로 보인다. 그동안 러시아나 중국의 사이버공격에 대응해 왔지만 중국의 미국 기술과 지적재산권 절취를 막지 못해 미국의 기술 경쟁력이 약화되었고, 러시아의 SolarWinds 공격과 가짜뉴스 등을 통한 선거 개입으로 미국의 민주적 가치에 손상이 발생하였으며 막대한 경제적 피해를 당하였다고 생각하기 때문이다.
바이든 정부의 공세적 사이버 정책은 국가안보국(NSA) 출신의 국가안보 부보좌관과 국가사이버국장의 임명을 통해 실현될 것으로 보인다. 국가안보국은
△프리즘 프로젝트, △통신망으로부터의 정보수집, △「애국자법」 제215조에 의한 메타데이터 수집, △외국 위성통신 감청, △특별수집서비스, △컴퓨터 네트워크 탐사, △비밀 신호정보활동 등 신호정보 활동은 물론 정보보증(Information Assurance) 및 컴퓨터 네트워크 작전(Computer Network Operation : CNO) 등 적극적인 사이버공격과 방어 업무를 수행하고 있기 때문이다.
지명된 국가사이버국장과 국가안보부보좌관은 모두 사이버사령부와 국가안보국 에서 함께 근무하였다. 국방수권법에 따라 국가사이버국장은 미국의 사이버
이슈브리프 통권 244호
2021년 바이든 정부의 사이버안보 정책 전망 05
방위와 정부 및 민간 네트워크 보안을 담당하므로, 이스털리는 보다 적극적인 사이버방어 정책을 실현할 것으로 보인다. 한편 국가안보부보좌관 뉴버거는 국가 안보국에서 사이버방어는 물론 공격 관련 업무를 수행한바 있다. 따라서 뉴버거를 중심으로 미국은 보다 공격적인 사이버작전과 적극적인 사이버 정보활동을 실행 할 것으로 보인다.
//끝//
본 내용은 집필자 개인의 견해이며,
국가안보전략연구원의 공식입장과는 다를 수 있습니다.
