[포커스온] 사이버 전쟁의 미래를 보다
진화하는 사이버 무기, 국제 수준의 대책 필요
인류가 전쟁을 위해 계속해서 새로운 전장을 찾고 신무기를 개발해 왔듯, 미래에 있을 사이버 전쟁(사이버전, Cyber Warface)의 양상도 더욱 다양해질 전망이다. 이번 러시아-우크라이나 전쟁은 다가올 미래 사이버전의 모습을 일부 보여줬다.
일례로 러시아의 위성 공격을 예로 들 수 있다. 이번 전쟁에서 러시아는 우크라이나 침공 1시간 전 미국 기업 비아샛(Viasat)의 위성에 멀웨어 공격을 감행했다. 이로 인해 우크라이나를 포함한 동유럽 국가 일대가 정전을 겪었고 비아샛의 수많은 터미널이 훼손됐다. 이에 테슬라의 일론 머스크는 위성을 통해 운용되는 스페이스X의 우주 인터넷 ‘스타링크’를 제공해 우크라이나 군을 돕기도 했다. 지상이 아닌 우주 공간에서 사이버전이 이뤄진 것이다.
또한 인공지능(AI), 메타버스 등 신기술을 접목한 융합 사이버 무기의 등장도 미래 사이버전의 주요 양상으로 떠오를 것으로 보인다. 미국 안보 전문 매체 와이어드에 따르면, 실제로 이번 전쟁에서는 자동으로 공격 대상을 지정·폭격하는 AI가 접목된 자폭형 드론이 목격되기도 했다.
AI, 메타버스 등 사이버전에 활용될 것
미래의 사이버전에서 가장 활용성이 높을 것으로 예상되는 무기는 바로 AI다. 기존에 사람을 통해 가해진 사이버 공격이 AI를 통해 자동화된 방식으로 이뤄질 수 있다.
‘ETH 취리히 CSS(보안연구센터)’의 막스 시트 선임연구원은 한 외신에 쓴 기고에서 AI가 미래의 사이버전에서 사이버 무기로 활용될 경우 심각한 위협이 될 수 있다고 우려했다.
먼저 AI는 해커가 시스템의 보안 취약점을 찾는데 동원될 수 있다. 취약점을 찾는 작업은 퍼징(fuzzing)이라고 하는 대량의 데이터를 자동으로 입력하는 과정을 통해 수행되는 경우가 많다. AI는 이런 과정을 더욱 쉽게 만들어 준다.
AI를 통해 사회 공학 공격이 더욱 활성화될 수 있다는 점도 있다. 악성 파일을 첨부한 스팸 메일의 타깃을 자동 선별해 보내거나, 사용자 간 데이터를 습득하는 AI 챗봇이 대화를 통해 신뢰를 얻은 후 기존 동영상이나 이미지를 조작하는 딥페이크 기술을 사이버전에 활용할 수 있다는 것이다. 러-우 전쟁에서 러시아가 젤렌스키 우크라이나 대통령을 사칭한 딥페이크 영상을 통해 선동을 유도했듯 만약 AI가 무차별적으로 가짜 영상, 이미지를 배포할 경우 심각한 문제가 발생할 수도 있다.
또한 AI를 통해 악성코드 등 멀웨어의 생산과 확산이 더욱 빨라질 수 있다. 마리아 리가키와 세바스티안 가르시의 생산적 적대 신경망(GAN, AI가 실제 이미지를 활용해 가짜의 이미지를 만들어내는 것)을 예로 들 수 있다.
GAN은 페이스북 채팅과 같은 트래픽 프로필을 모방하는 모델링을 통해 감지를 피할 수 있었다. 아울러 AI를 사용하는 트로이목마 다운로더 이모텟(Emotet)의 경우, AI를 통한 자동화된 방식으로 멀웨어를 사람보다 빠른 방식으로 배포했다.
최근 주목받고 있는 메타버스 또한 사이버전의 새로운 전장이 될 가능성이 높다.
올해 우리나라 정부는 약 5560억 원의 자금을 들여 콘텐츠·미디어 생태계 거버넌스를 조성하고, 가상 경제의 중심지인 메타버스 도시를 설립하는 계획을 세웠다. 만약 이렇게 막대한 자금을 투자해 구축한 메타버스가 적국의 사이버 공격을 받을 경우에는 국가 인프라에 막대한 피해가 발생할 수도 있다.
특히 메타버스는 법적 규제와 보안·안전 장치의 부재로 금융 사기, 사회 공학 공격, 개인정보 침해 등 각종 범죄가 일어날 가능성이 더 높다. 이는 곧 미래 사이버전의 전장이 곧 메타버스로 옮겨갈 수 있다는 점을 시사한다.
사이버전 대응을 위한 국제 사회의 논의 필요
사이버전의 규모가 커지고 그 양상이 다양해짐에 따라 이를 대비해기 위한 국제법의 필요성도 점점 커지고 있다.
물론 그동안 국가 간 사이버 공격 행위에 대한 규범적 논의는 계속 있어 왔다. 하지만 대다수 전면전에서의 사이버전이 아닌 국지전 수준에 대한 내용이었으며, 또한 사이버 공간의 초국경성·초가상성·초익명성 등으로 인해 합의된 국제법이 적용되기 힘들다는 한계도 있었다.
현재 사이버전에 대한 국제법과 관련해 논의되고 있는 영역은 주로 안보, 경제, 인권, 기술 등이다. 하지만 사이버 공간의 이중성, 사이버 공격자 구별에 대한 정립, 사이버 장비의 무기화에 대한 정의 등 고려해야 할 부분이 많아 합의가 쉽지 않은 상황이다.
유준국 국립외교원 외교안보연구소 국제법센터 연구 교수는 “사이버전의 경우 재래식 전쟁과 다르게 물리적인 피해가 직접적이지는 않지만, 국가의 인프라에 손상을 입힌다는 측면에서 국제법이 부재하다는 지적이 나오고 있다.
하지만 서방과 미국, 중국과 러시아 측의 입장이 갈리고 있는 상황이다. 서방이 전쟁법(전시국제법)을 사이버전에도 적용하자는 입장이라면, 중·러 측은 사이버 공간의 특성에 맞춰 새롭게 법을 만들자고 주장하고 있다. 이해 관계 때문에 합의가 잘 되지 않고 있다”라고 설명했다.
이어 “최근 러-우 전쟁처럼 실제 사이버전의 위험성이 드러난 시점에서, 당장 국제법을 만들기는 어렵지만 적어도 구속력 있는 조약을 통해 국가들이 사이버전에 대해 자발적으로 책임 있는 행동을 하도록 하는 가이드라인의 필요성이 커지고 있다. 유엔·사이버스페이스 총회·NATO·EU·SCO 등 다수 지역 기구들을 중심으로 관련 논의가 계속 진행되고 있는 부분은 기대할 만하다”라고 덧붙였다.
아울러 그는 “기술 측면에서 보면, AI-IoT 등 사이버전에 활용될 수 있는 기술의 발전도 워낙 빨라, 법안이 그 속도를 따라가지 못한다는 점도 한계로 작용하고 있다. 이런 점을 보완하기 위해서라도 유엔 등 국제 기구에서 빠르게 적용할 수 있는 가이드라인을 제정하도록 빠르게 움직여줘야 한다”라고 강조했다.