“美 수도·전력·통신 등 핵심 인프라, 中 사이버공격에 속수무책”

미국의 외교안보전문지 포린 어페어스는 “중국은 ‘솔트 타이푼(Salt Typoon)작전’으로 미국 주요 통신망을 침투해 광범위한 도청 및 추적 능력을 확보하고 있다”는 앤 뉴버거 미국 후버연구소 연구원의 기고를 최근호에 게재했다. 뉴버거 연구원은 미국 스탠퍼드 대학교 석좌 강사로, 미국 국가안보국(NSA)을 거쳐 바이든 행정부에서 미국 국가안보회의(NSC) 사이버 및 신기술 담당 부국가안보보좌관을 역임했다.

포린 어페어스에 따르면, 미국은 △민간 중심의 파편적 시스템과 △개인정보 보호 원칙 때문에 사이버보안에 취약한 상태다. 이에따라, ‘디지털 트윈’ 등 인공지능(AI)기술을 활용한 인프라 보안 강화 및 실시간 모의 방어가 필요하다는 것. 중국에 대해서는, △공격 능력 확보와 △명확한 레드라인 설정으로 ‘공격적 억제전략’을 추진해야 한다고 포린 어페어스는 특히 강조했다.

중국은 권위주의 체제의 전면적 감시 덕분에 방어망을 강화하고 공격 능력까지 확충해온 반면, 미국은 민간 기업 중심의 파편적 시스템과 개인정보 보호 원칙으로 인해 대응에 한계를 보이고 있다고 평가된다.

미국 기업들은 혁신적인 소프트웨어, 클라우드 서비스, 인공지능, 사이버 보안 제품 등 기술 분야에서 세계적 선두주자다. 포린 어페어스에 따르면, 그러나 최대 3년 전부터 중국 정부의 지원을 받는 것으로 추정되는 해커들이 기술 강국인 미국조차 제대로 방어하지 못한 일을 해냈다. 그들은 주요 미국 통신망에 접근해 대화를 복사하고 전국적으로 미국 정보 요원과 법 집행 기관 요원들의 동선을 추적할 수 있는 능력을 구축했다. 

‘솔트 타이푼’이라고 명명된 이 공격은, 통신사를 대상으로 한 글로벌 작전의 상당 부분을 차지했다. 다수 미국 통신사 시스템에 깊숙이 침투했다. 중국이 미국인 통신 감시를 위해 확보한 능력의 전체 규모는, 당국이 거의 영원히 파악하지 못할 정도로 철저했다.

솔트 타이푼은 중국에게 일회성 정보 성공을 넘어선 의미를 지녔다. 이는 더 깊고 우려스러운 현실을 반영했다. 인터넷의 광범위한 보급이 새로운 지정학적 경쟁의 장을 연 지 불과 수십 년 만에, 중국은 디지털 전투 공간을 지배할 위치를 점하고 있다. 미국은 방대한 디지털 국내 전선과 그에 의존하는 물리적 자산을 보호하지 못해 뒤처졌다. 

사이버 공간에는 국경이 없기에, 미국 본토는 항상 전투 상태에 놓여 있다. 모든 병원, 전력망, 파이프라인, 정수장, 통신 시스템이 최전선에 놓여 있다. 미국의 핵심 인프라 대부분은 전투 준비가 되어 있지 않다.

중국의 사이버 지배력은 통신 분야에 대한 간첩 활동을 훨씬 넘어선다. 중국산 악성코드가 미국 에너지, 수자원, 파이프라인, 교통 시스템에 심어진 채 발견된 바 있다. 이러한 침투는 전통적인 정보 수집의 흔적을 거의 보이지 않는다. 

대신 이들은 미국인들의 일상과 미군 작전을 교란할 수 있도록 중국이 준비한 파괴 행위를 목적으로 설계된 것으로 보인다. 향후 위기 상황에서 중국은 이러한 사전 배치된 역량을 활용해 군사 동원을 지연시키고, 항공 교통 관제 시스템을 방해하거나, 연쇄적 정전을 유발할 수 있다. 직접적인 공격이 없더라도, 이들의 존재 자체가 국내 교란 가능성을 제기함으로써 미국을 억제할 수 있다.

‘솔트 타이푼’ 공격이 이처럼 광범위한 접근 권한을 확보할 수 있었던 것은 부분적으로 사이버 방어에 접근하는 △베이징의 권위주의적 방식과 △워싱턴의 보다 민주적인 관점 사이의 ‘근본적인 비대칭성’ 때문이다. 

미국의 가치관은 중국의 사이버 방어를 뒷받침하는 포괄적 감시를 금지한다. 이는 베이징이 보복에 대한 두려움 없이 공격적 작전을 수행할 수 있는 자유를 부여한다. 또한, 많은 민간 행위자가 정부로부터 최소한의 감독이나 직접적인 지원 없이 미국의 핵심 인프라를 관리하고 있다. 

그들의 사이버 보안 투자 수준은 상업적 이익에 따라 달라진다. 이는 사이버 공격자가 발견되더라도 그들이 네트워크나 시스템에서 제거되었음을 입증하기 어렵다는 것을 의미한다. 제거가 확실해 보일 때조차도 그들이 다시 돌아올 가능성이 크다.

현재 중국의 작전은, 미국의 사이버 방어에 가장 큰 도전이다. 하지만 유일한 위협은 아니다. 미국 인프라 네트워크의 취약점은 다른 적대국과 범죄자들에게도 매력적인 표적이 되고 있다. 지난 몇 년간 러시아와 이란은 여러 주의 미국 상수도 시스템 운영을 방해했다. 주로 러시아에 기반을 둔 해커들은 미국 병원 수백개의 운영을 마비시켰다. 

미국의 핵심 인프라를 보호하고 중국의 공격을 억제하기 위해, 워싱턴은 훨씬 더 많은 조치를 취할 수 있다. 아니, 반드시 그렇게 해야 한다. 정책 입안자들이 새로운 접근 방식을 시급히 개발하지 않는다면, 인공지능(AI) 혁명은 미국의 불리한 상황을 더욱 악화시킬 뿐이다.

워싱턴은 강력한 사이버 방어가 신뢰할 수 있는 사이버 공격을 가능하게 한다는 원칙에 기반한 새로운 사이버 억제 정책을 수립해야 한다. AI는 이 새로운 억제 정책에 대해, 실현이 가능하도록 하는 열쇠를 제공한다. 미국은 국가적 차원의 노력을 통해 AI를 활용해 방대한 핵심 인프라 네트워크를 모델링하고, 가장 중요한 취약점을 식별하며, 이를 해결함으로써 AI 전문성을 활용해야 한다.

워싱턴은 또한 중국을 억제할 수 있는 공격적 사이버 능력을 확보해야 한다. 또한, 사이버 공격에 대한 메시지를 더욱 일관성 있게 만들어야 한다. 특정 유형의 인프라에 대한 사전적 배치(pre-positioning)가 레드라인이라는 점을 명확히 하고, 보복 능력에 대해 신중하게 시사해야 한다.

△AI 기반 방어 체계를 개발하고, △공격 능력에 전술적으로 더 투자함으로써, 미국은 미흡한 사이버 전략을 ‘선제적 억지’로 전환할 수 있다. 미국 정부는 중국에 미국 국민의 생명을 지키겠다는 의지를 계속 전달해야 한다. 이는 미국인들이 의존하는 디지털 인프라의 가장 민감한 취약점을 찾아내고 보호함으로써만 가능하다.

비밀 무기

솔트 타이푼은 정교한 다단계 작전이었다. 공격자들은 통신망에 대한 관리자 접근 권한을 얻기 위해, 미국 통신사들의 사이버 보안 제품(방화벽 등)의 취약점을 악용하고, 무관한 해킹에서 훔친 비밀번호를 사용했다. 

일단 내부로 침투한 해커들은 악성코드를 설치하고, 합법적인 프로세스와 프로그램을 탈취해 통제권을 유지했다. 공격자들은 이후 침투한 컴퓨터, 서버, 라우터 및 기타 장치를 이용해 서로 다른 기업 네트워크를 가로질러 이동하며 가장 가치 있는 감시 위치를 찾아냈다.

중국의 사이버 우위 배경에는, 권위주의와 민주주의 통치 형태의 구조적 차이가 있다. 인터넷 등장과 함께 사이버 공격이 발생했을 당시, 중국과 미국 모두 유사한 취약점을 안고 있었다. 그러나 중국은 체계적으로 사이버 방어 체계를 구축한 반면, 미국은 사이버 공간 보안과 시민 자유 보장 사이의 균형 유지에 어려움을 겪었다.

1990년대 인터넷의 폭발적 성장은 베이징을 불안하게 했다. 중국 정부는 인터넷이 자유로운 표현을 가능케 할 잠재력을 우려했다. 권위주의 정권이라면 당연히 그러하듯, 이를 통제하기로 선택했다. 1990년대 후반부터 베이징은 온라인 발언을 검열하고 서구에서 개발된 웹사이트 및 애플리케이션을 차단하기 위해 다양한 기술과 법률을 동원했다. 베이징은 공격적 사이버 능력에 막대한 투자를 해왔다.

외부 관측자들은 여전히 이 소위 ‘방화벽 만리장성(The Great Firewall)’을 국내 검열 프로젝트로 묘사한다. 그러나 그 임무를 완수한 중국 정부는 자신들이 만든 시스템이 또 다른 강력한 기능을 지녔음을 발견했다. ‘방화벽 만리장성’ 기술은 반체제 발언을 걸러내는 동시에 악성 코드가 핵심 시스템에 도달하기 전에 식별할 수 있다. 중국 정부가 사이버 공격을 방어할 수 있는 도구를 제공한다. 

그 결과 중국 정수장, 전력망, 통신망 등 핵심 시스템은 대부분의 미국 시스템이 갖추지 못한 다층적 보호 장치를 운영 중이다. 외국 해커가 중국 인프라를 침투하려 할 경우, 대상 시스템의 특정 방어 체계뿐 아니라, 중국 정부의 통합 감시 능력까지 마주할 수 있다.

한편 미국은 정반대의 역학에 직면했다. 핵심 인프라가 국가의 직접 통제하에 운영되는 중국과 달리, 미국 시스템은 사이버 보안 역량과 위협 인식 수준이 제각각인 수천 개의 민간 기업이 소유하고 있다. 예를 들어 오하이오주의 한 소도시 정수장은 감당할 수 있는 수준의 사이버 보호 장치로 운영된다. 이는 종종 △취약한 소프트웨어, △기본 비밀번호, △해킹이 쉬운 구식 시스템을 의미한다. 

또한, 미국 정부는 민간 통신에 대한 정부의 ‘압수수색’을 금지하는 헌법 조항을 위반하지 않으려 한다. 이를 위해, 해당 기업의 명시적 동의 없이는 이들 기업의 네트워크를 위협으로부터 모니터링 하는 것이 법적으로 금지되어 있다. 따라서 미국은 가장 중요한 인프라를 디지털로 보호하기 위해 조각난 접근 방식을 채택하게 됐다. 하지만, 전력망과 같이 미국의 가장 민감한 시스템을 소유하고 운영하는 기업들은, 제한된 정부 감독하에 이를 보호할 책임이 있다.

작은 녹색 봇들

이러한 방어 체계의 공백은 중국에 대해, 보복 우려 없이 공격 능력을 개발할 수 있는 여지를 제공했다. 중국은 공격적 사이버 능력에 막대한 투자를 단행하며, 현재 정교함과 규모 면에서 워싱턴과 견줄 만한 프로그램을 구축했다. 중국은 이러한 능력을 ‘적극적 방어’라는 광범위한 군사 교리에 통합했다. 즉, 최선의 방어는 적의 행동을 사전에 차단하기 위한 선제공격이라는 것이다.

중국과 미국은 2015년 사이버 스파이 활동에 대해 처음으로 외교적 협의를 진행했다. 당시 버락 오바마 미국 대통령과 시진핑 중국 국가주석은, 상업적 이익을 위한 해커들의 지적 재산권 절도를 금지하는 합의를 중재했다. 그러나, 중국은 곧 이 합의를 위반했다. 

2017년 출범한 트럼프 1기 행정부는 외교적 접촉보다 강제 조치에 중점을 두었다. 예를 들어 2018년 3월, 미국 기업과 정부 기관의 독점 데이터를 훔친 베이징 연계 해커들에 대한 기소와 제재조치를 발표했다.

2021년 조 바이든 대통령이 취임한 후, 그의 행정부는 사이버 공간을 포함한 양대 강국 간의 전략적 경쟁을 관리하기 위해 중국과 정기적인 고위급 외교적 교류를 시작했다. 예를 들어, 바이든은 시진핑으로부터 중국이 2024년 미국 선거에 개입하지 않겠다는 약속을 받아냈다. 그러나 바이든 행정부는 중국의 공격적 사이버 작전이 강화되고 있음을 깨달았다.

예를 들어 2023년에는 중국 국가 지원 해커들이 마이크로소프트 클라우드 서비스의 취약점을 악용해 고위 관료들의 이메일 계정을 해킹했다. 바이든 행정부는 정기적으로 기밀 해제된 정보를 공개하고 중국의 사이버 활동이 간첩 행위에서 잠재적 파괴 활동으로 확대되고 있다는 경고를 점차 강화해왔다. 2024년 1월, 크리스토퍼 레이 미국 연방수사국(FBI) 국장은 하원 위원회에 출석해 “중국 정부와 연계된 해커들이 미국의 핵심 인프라를 표적으로 삼고 있다”며 “미국인들에게 ‘현실 세계의 피해’를 입힐 준비를 하고 있다”고 증언했다.

방어만으로는 중국의 우위를 완전히 극복할 수 없다. 중국의 사이버 작전은 미국 국가안보에 명백한 위협이 됐다. 중국의 사전적 배치 범위를 생각해보라. 미국 본토 전역의 상수도 인프라, 전력망 및 기타 핵심 시스템에서 침입이 발견됐다. 

이러한 공격은 일관된 패턴을 따른다. 침입자는 감시 제어 시스템에 대한 관리자 접근 권한을 획득하고, 시간이 지나도 그 접근 권한을 유지할 수 있는 능력을 구축한 후, 명령에 따라 악성 코드를 활성화할 수 있는 능력을 유지하면서 잠복 상태를 유지한다.

표적은 전략적 사고를 드러낸다. 정수장은 필수적인 민간 수요를 충족시키면서, 군사 시설도 지원한다. 전력망은 병원 운영부터 탄약 생산까지 모든 것을 가능하게 한다. 통신망은 민간 통신과 군사 지휘 체계를 모두 지원한다. 중국은 이러한 이중용도 시스템에 사이버 공격 도구를 사전 배치했다. 이로써 중국은 상당한 민간적 손실을 초래하면서 미군의 작전 효율성을 저하시키기 위한 준비를 하고 있다.

예를 들어 대만 위기 상황에서 이러한 능력은 결정적일 수 있다. 중국이 미국 철도망을 교란해 군사 동원을 지연시키거나, 동부 해안 전역에 정전을 유발하겠다고 신뢰성 있게 위협할 경우라면? 미국 지도부가 직면할 딜레마를 상상해 보라. 베이징은 실제로 그러한 공격을 실행할 필요조차 없다. 그 가능성만으로도 해외 개입의 국내 정치적 비용을 높여, 미국의 의사 결정을 바꿀 수 있다.

중국의 사전 배치 전략은 전술적 군사 목표에도 부합한다. 미군 기지는 전력, 상수도, 통신을 위해 주변 민간 인프라에 의존한다. 중국이 이러한 시스템을 위협함으로써, 군사 목표물을 직접 공격하지 않고도 미군 동원을 저지할 수 있다. 이는 미군 기지 폭격이 의미하는 ‘명백한 확전’을 피하는 방법이다. 마찬가지로 항만과 공항을 교란하면, 태평양 지역으로의 증원군 배치를 지연시키면서 비살상 전술로 민간 인프라를 표적화하는 것처럼 보일 수 있다.

중국 군사 이론가들은, 공격적 사이버 작전을 명시적으로 ‘전략적 억제’의 한 형태로 수용한다. 대부분의 전통적 억제 수단보다, 사이버 작전은 그럴듯한 부인 가능성을 제공한다. 

중국은 민간 인프라를 위협하면서도, 발생할 수 있는 장애는 의도적 공격이 아닌 대상국 자체 시스템 결함에서 비롯된 것이라고 주장할 수 있다. 실제로 중국 정부는 ‘솔트 타이푼’ 작전이나, 미국 인프라에서 발견된 악성코드의 배후임을 꾸준히 부인해왔다.

이중 시야

이러한 부인 가능성 때문에, 전통적 외교는 사이버전쟁 관리에 취약한 수단이 되었다. 미국은 직접 협상에 의존할 수 없다. 방어 체계 강화에 시급히 나서야 한다. 

바이든 행정부는 비상 권한을 동원해 △파이프라인, △철도 시스템, △공항, △상수도 시설에 대해 새로운 최소 사이버 보안 요건을 부과했다. 이는 민간 부문 보안 기준 의무화에 대한 수십 년간의 양당 저항을 극복한 조치다. 이 요건들은 기본적 보호 수준 향상을 이끌었다. 또한, 파이프라인을 규제하는 교통안전청(TSA) 같은 정부 규제 기관이 인프라 소유자의 사이버 방어 체계를 정기적으로 점검하고 지침을 제공할 수 있게 했다.

이는 중요한 진전이었다. 그러나, 강화된 기준조차도 중국 당국이 자국 내 동종 네트워크를 직접 감시하는 수준에는 미치지 못한다. 바이든 행정부는 미국 내 △파이프라인, △상수도 시스템, △철도망, △의료 산업 기업들에 대해, 사이버 사고 발생 후에만 정부에 보고하도록 의무화했다. 반면 중국 당국은 사고 발생 자체를 사전에 차단하기 위해, 자국 시스템을 실시간으로 감시할 수 있다.

한편 미국 상수도 시설에 대한 새로운 사이버 보안 의무는 여러 주에서 그 합법성에 이의를 제기한 후 중단됐다. 해당 분야는 취약한 상태로 방치되고 있다.

사이버 작전은 공중 폭격, 해상 전투, 지상전과 같은 전통적 전쟁과 유사하게, 공격과 방어를 모두 포함한다. 미국은 우월한 군사력으로 전통적 위협을 억제한다. 하지만, 방어와 공격이 불가분의 관계인 사이버 공간에서는 그러한 우위를 전혀 갖추지 못하고 있다. 

현재 미국 대통령들은 해결 불가능한 문제에 직면해 있다. 사이버 공간에서 잠재적으로 확대될 수 있는 보복적 공방전을 미국 방어 체계가 견뎌낼 수 있을지에 대한 확신이 부족하다. 그래서, 설득력 있는 억지 위협을 가할 수 없다. 미국은 사이버 분쟁의 현실을 인정하면서도, 미국의 기술적 우위를 적극 활용해 전략적 균형을 회복하는 정책이 필요하다.

전통적 외교는 사이버 전쟁을 관리하기엔 취약한 도구다. 우선 워싱턴은 자국 사이버 체계의 취약점을 이해해야 한다. 전통적인 전쟁에서는 군대 간 전력 비교가 전략 수립의 지침이 된다. 예를 들어 미군은 정기적으로 시험과 시뮬레이션을 실시해, 자국 방어 체계가 러시아의 미사일 발사 능력을 막아낼 수 있는지 확인한다. 

그러나 정부는 수천 개의 민간 소유 시스템을 보호하는 방어 체계가 무엇인지조차 파악하지 못하고 있다. 이 때문에 미국의 핵심 인프라가 중국의 사이버 공격을 견딜 수 있을지 평가할 수 없다.

방대한 데이터를 종합하는 능력이 급속히 발전하는 AI가, 이 거대한 문제를 해결할 새로운 기회를 제공한다. 실제로 AI는 미국의 새로운 사이버 억지 정책, 특히 소위 AI 생성 ‘디지털 트윈’의 핵심이 될 수 있다. 디지털 트윈은 실제 대상의 행동과 성능을 반영하는 가상 복제본이다. 풍력 터빈 같은 물리적 대상이나 전력망 같은 시스템을 실시간 데이터와 센서로 복제한다. 이러한 동적 디지털 모델을 통해, 조직은 물리적 자산을 원격으로 모니터링, 분석, 최적화할 수 있다.

최근 AI의 발전은 점점 더 크고 복잡한 대상의 모델링 능력을 획기적으로 향상시켜, 디지털 트윈의 유용성을 가속화했다. 산업계는 제품 안전성 향상을 위해 디지털 트윈을 빠르게 도입하고 있다. 예를 들어 롤스로이스는 현재 제트 엔진의 디지털 트윈을 운영해 안전성과 성능을 모니터링한다. 포드와 비엠더블유는 제조 공정의 디지털 트윈을 구축해 효율성을 개선했다. 

정부도 그 잠재력을 탐구하고 있다. 싱가포르는 수력 및 발전소를 위한 디지털 트윈과 테스트 베드를 구축했다. 북대서양조약기구(NATO)는 연례 대규모 사이버 방어 훈련에서 이러한 시스템을 활용했으며, 보안 팀들은 싱가포르 인프라를 공격하고 방어하는 시뮬레이션을 수행했다.

미국에서는 민간 부문 소유주들의 협력과 동의를 바탕으로 수백 개의 가장 민감한 핵심 인프라 시스템에 대한 디지털 트윈을 구축하는 국가적 노력을 하고 있다. 이를 통해, 해당 시스템의 보안 팀들이 핵심 서비스 제공에 실제 위험을 초래하지 않고도 위험한 공격 시나리오를 안전하게 테스트할 수 있게 될 것이다.

팀들은 디지털 트윈 내에서 다양한 시스템 구성 요소에 대한 사이버 공격을 시뮬레이션해, 어떤 취약점이 악용될 경우 주요 장애를 초래할지 파악할 수 있다. 이 정보를 통해 기업들은 모든 보안 결함을 동등하게 해결하려 시도하기보다, 가장 큰 위협을 가하는 취약점 수정에 한정된 자원을 집중할 수 있다.

디지털 트윈은 사이버 공격을 암시할 수 있는 이상 징후를 탐지하는 데 도움이 되는 기준 행동 패턴도 확립할 수 있다. 예를 들어, 수도 시스템의 디지털 트윈이 갑자기 비정상적인 밸브 작동이나 압력 변동을 보일 경우, 보안 팀은 물리적 피해가 발생하기 전에 잠재적 침입을 신속하게 식별할 수 있다. 

잠재적 영향은 개별 기업을 넘어선다. 지역 전력망의 가상 복제본을 사용해 연쇄적 고장 시나리오를 시뮬레이션함으로써, 광범위한 정전을 방지할 수 있는 보호 노드를 식별할 수 있다. 도시 상수도 시스템의 디지털 트윈은 오염 공격을 모델링해 잠재적 기술적 대응책과 비상 대응 절차를 제안할 수 있다. 

또한, 시간이 지남에 따라 디지털 트윈은 국가안보 커뮤니티가 기존 영역에서 일상적으로 수행하는 ‘대항력 비교(force-on-force comparison)’를 가능하게 할 것이다. 예를 들어 후버 댐 제어 시스템의 디지털 트윈은 공격 시나리오를 시뮬레이션해 운영자가 더욱 정밀하고 정교한 방어 체계를 개발하고, 공격 발생 시 신속한 복구 방법을 마련하는 데 도움을 줄 수 있다.

국가 핵심 인프라의 디지털 트윈 구축을 위한 국가적 노력으로, 미국 에너지부(DOE)는 미국 전력망에 대해 시범 운영을 신속히 할 수 있다. 해당 부처는 이미 전력망 모델을 보유하고 있다. 중국의 사이버전 능력에 관한 기밀 정보와 로렌스 리버모어 국립연구소, 샌디아 국립연구소 등의 AI 전문성, 그리고 미국 에너지 기업들과의 긴밀한 협력 관계를 활용할 수 있다. 이 시범 사업에서 얻은 교훈은 다른 핵심 부문의 디지털 트윈 구축에 활용될 수 있다.

포괄적인 디지털 트윈 구축에는 상당한 기술적 도전이 수반된다. 소유주들이 독점적 정보로 간주할 수 있는 인프라 시스템과 네트워크 데이터에 대한 상세한 지식이 필요하다. 정부 AI 및 정보 전문가들이 민간 소유주 및 운영자와 새로운 형태의 협력 관계를 구축하는 데는 시간이 걸릴 것이다. 

그러나 미국은 물리적 세계와 디지털 세계를 연결하는 가교가 필요하다. 침습적 감시 국가에 의존하는 중국의 사이버 장벽을 단순히 모방해서는 안 되며, 그럴 수도 없다. 반면 디지털 트윈은 미국 국가안보 관계자들에게 미국 사이버 방어 체계의 지속적인 현황을 제공할 것이다. 의사 결정자들에게는 사이버 공격을 저지할 국가적 준비 상태에 대한 실시간 평가를 제공할 것이다. 중국의 공격적 행위에 대한 대응을 고려하는 미래 대통령은 복잡한 모델링에 접근할 수 있을 것이다. 지속적인 공격 하에서 미국 인프라가 거의 즉각적으로 어떻게 작동할지는 오늘날 극히 부족한 전술적 정보 유형이다.

DM 보내기

중국이 구조적 우위를 점하게 하는 사이버 방어 격차는 인공지능 강화 방어 체계로도 완전히 극복할 수 없다. 현행 미국 법률은 인프라 운영자에게 네트워크 모니터링 권한을 전면 부여하며, 2015년 제정된 연방 법률은 협력적 방어를 촉진하기 위해 운영자들이 동료 및 연방 정부와 정보를 공유할 수 있도록 보장한다. 

그러나 일부 핵심 분야에서는 여전히 소유주와 운영자가 실제로 네트워크를 모니터링해야 한다는 의무 조항이 부재하다. 해당 의무가 존재하는 분야에서는 규제 당국이 운영자들이 사이버 방어 체계를 유지하고, 동료 및 연방 정부와 협력하도록 보다 일관된 감독을 수행해야 한다.

또한, 방어 체계만으로는 아무리 정교하더라도 중국의 우위를 완전히 극복할 수 없다. 진정한 억지력은 지속적으로 적의 역량을 약화시키고, 용납할 수 없는 대가를 부과할 준비를 갖추는 능력을 요구한다. 미국은 베이징이 중요하게 여기는 목표물을 위협할 수 있는 공격적 사이버 능력을 구축하고 유지해야 한다. 중국이 미국의 레드라인을 넘을 경우, 공격할 수 있고 실행할 것임을 명확히 전달해야 한다. 중국의 민간 인프라에 대한 보복적 침투를 시도하기보다는, 미국은 위기 시 중국이 의존하는 군사 자산을 표적으로 삼는 데 집중할 수 있다. 이는 국제법에 부합하며, 중국 정부의 전략에 더 큰 영향을 미칠 수 있다.

마지막으로, 미국은 메시지 전달을 강화해야 한다. 사전적 배치 공격이라 하더라도, 붕괴 시 중대한 사회적 영향을 초래할 특정 핵심 민간 인프라를 표적으로 삼는 행위는 용납되지 않음을 명확히 해야 한다. 이는 물리적 영향을 동반하는 사이버 공격을 전쟁 행위로 간주하겠다는 바이든 행정부의 중국에 대한 메시지를 발전시키는 것이다. 

미국은 세 가지 핵심 원칙을 전달해야 한다. △우리는 공격을 가한 주체를 규명할 것이다. △우리는 회복력이 있다. △우리는 보복할 것이다. 구체성은 신뢰성에 중요하다. 모호한 위협은 탐색과 오판을 초래한다.

중국이 미국의 레드라인을 넘을 경우, 워싱턴은 공격할 것임을 중국에 전달해야 한다. 이 메시지는 △신뢰성 있고 지속적이어야 하며, △미국의 공격 능력이 실재함을 입증할 만큼의 세부사항을 포함하되, △적국이 취약점을 보완할 수 있을 만큼은 넘어서지 않아야 한다. 러시아가 2022년 전면 침공 수년 전 우크라이나 정전을 유발하기 위해 사이버 공격을 사용한 결정은, 사이버 능력을 지나치게 노골적으로 시사할 때의 위험을 보여준다. 이 시위는 우크라이나가 전력망 방어 체계를 크게 개선하도록 만들었다.

미국이 사이버 방어 강화에 뒤처진 데에는 정치적 장애물과 기술적 장애물이라는 이유가 있다. 의회는 포괄적인 사이버 방어에 필요한 법적 권한 확대와 지속적인 투자에 거의 관심을 보이지 않았다. 민간 기업들은 비용 증가를 초래하는 의무적 보안 요건을 거부한다.

그러나 관망하는 태도는 더이상 용납될 수 없다. 워싱턴이 신속히 움직이지 않으면 인공지능은 중국의 우위를 가속화할 뿐이다. 미국은 디지털 전투 공간에서 우위를 되찾을 기술적 역량, 경제적 자원, 혁신 능력을 보유하고 있다. 

지금 미국에게 필요한 것은 포괄적 조치를 취할 비전과 정치적 의지다. 전 세계 국가들이 지켜보고 있다. 미국이 성공한다면, 국가안보를 훼손하지 않으면서도 디지털화와 자유로운 인터넷의 혜택을 달성하는 모범 사례가 될 수 있다. 

실패한다면 세계는 또 다른 교훈을 얻게 될 것이다. 민주주의 국가들은 사이버 위협에 대한 방어 능력이 상대적으로 취약하다는 점이다. 그리고 중국의 ‘적극적 억제’ 전략은 더욱 강력한 글로벌 영향력을 확보하게 될 것이다.

권세인 기자