중동부유럽

기술의 비약적인 발전과 안보 개념의 확장 그리고 전 세계적인 사이버 범죄와 테러 급증 등으로 인해 사이버 보안의 중요성이 대두되고 있다. 작금의 현실은 조직화된 사이버 공격이 국가 안보에 심각한 도전이 되기도 한다. 이에 유럽연합(EU)은 28개 회원국의 사이버 보안 대응역량 강화를 위한 전방위적인 노력을 전개하고 있다. 본 원고에서는 EU의 사이버 보안 강화를 위한 노력들과 ‘해커빌(Hackerville)’이라는 별칭을 가진 루마니아의 한 도시를 소개하여 EU 사이버 보안의 두 가지 양상을 살펴보고자 한다.

EU 사이버보안법(Cybersecurity Act)

2019년 3월 12일, EU 의회에서 ‘EU 사이버보안법 (Cybersecurity Act)’이 통과되었다. 사이버 보안법은 사이버 보안 및 사이버 탄력성을 강화시키고 EU 디지털 싱글 마켓 내 신뢰감을 높이는 것을 목적으로 한다. 이 법은 두 가지 중요한 핵심 요소를 갖고 있다.

첫째, EU의 사이버 보안 전담 기관인 ENISA(European Network and Information Security Agency)를 상설기관으로 격상하고 그 역할을 강화시킨다. 2004년 유럽 단일의 사이버 범죄 대응 기구로써 출범된 ENISA는 그 규모와 예산이 매우 작아 그동안 큰 힘을 발휘하지 못했다. 하지만 이번 법안 통과를 기점으로 EU 사이버 보안의 중추적인 역할을 하게 된다. 앞으로 ENISA는 사이버 보안 분야의 EU 정책 및 법률을 개발하고 시행한다.

둘째, ENISA는 ICT 제품, 서비스 및 기술에 대한 유럽의 사이버 보안 인증 체제를 만들고 각 회원국에 지원한다. 본 체제는 도입 초기에는 강제성이 없고 2023년까지 각 공급자는 의무화 수준을 결정하게 된다.

사이버 보안법의 핵심은 EU 회원국 전체의 사이버 보안을 진흥하는 것을 목적으로 한다.

5G 장비 안전한 도입 위한 자체 지침 발표

현재 세계 각국 정부와 기업들이 5G 이동 통신 상용화를 위한 경쟁이 한창인 가운데 EU는 먼저 초연결 사회가 가져올 위험성을 직시하였다. 2019년 3월 26일, EU 집행위원회(European Commission)는 5G 시스템 도입을 위한 지침을 발표하였다. 사이버 보안 위험을 진단하고 그 결과를 공유해 대응책을 마련할 것을 각 회원국들에게 권고했다. EU 집행위원회의 권고안은 기존 규정을 강화하는 동시에 EU 차원의 협력을 확대하는 내용을 담고 있다. 이 권고안에 따르면, 각 회원국들은 2019년 6월 말까지 5G 네트워크 관련 리스크 진단을 마쳐야 한다. 기존의 규제는 강화하고 제3국 출신을 포함한 공급업체나 운영사들과 연계된 위험 요소들에 대해서도 대책을 강구해야 한다. 이 같은 작업들을 통해 EU 차원의 공통된 가이드라인을 만듦과 동시에 각 회원국의 정부 기관들은 5G 네트워크 장비 도입 시 적용되는 보안 규정을 별도로 마련해야 한다. 회원국들이 자체적으로 모든 통신장비에 대한 보안 위협을 평가하고 그 내용을 공유하도록 하였다. 이는 외국 기업에 의해 발생될 수 있는 사이버 보안 위협을 관리하기 위해서이다.

본 지침을 발표함과 동시에 EU는 중국의 통신장비 기업 화웨이 5G 네트워크 장비 도입을 배제하라는 미국의 요청을 거절하였다. 미국은 지난 2012년 미국 의회의 보고서를 통해 화웨이의 통신장비가 중국 정부의 스파이 활동에 사용되는 등 화웨이가 중국 정보당국과 연관돼 있다고 발표하였고 화웨이 사용이 사이버 보안에 위협이 된다고 주장해 왔다. EU는 회원국들에 미국이나 호주, 일본이 중국 화웨이의 5G 장비를 금지한 선례를 따르도록 하지 않았다. 그 대신 EU는 자체적으로 화웨이 장비의 보안 위험성을 판단하겠다며 회원국들에 관련 정보를 공유할 것을 권고했다. EU는 화웨이 장비를 금지하는 대신 위험을 관리하기로 한 것이다. 이와 같은 사이버안보 강화를 위한 EU의 법제화는 전 세계적으로 영향력을 끼치고 있다.

사이버 범죄의 핫 스팟으로 떠오른 중동부 유럽

「Risk Council」에 따르면 2000년대 초반 사이버 범죄가 많이 발생한 국가의 절반 이상이 소련 연방에 속해 있던 루마니아, 불가리아, 우크라이나 등이다. 사이버 범죄는 소규모의 지역 네트워크를 중심으로 이루어지는 경우가 많다. 특히 숙련된 해커들이 많이 분포되어 있다고 알려진 러시아와 우크라이나 그리고 중동부유럽 국가들에서 사이버 범죄가 많이 발생된다. 2004년 러시아와 동유럽 국가에서 50명 이상의 전문 사이버 범죄자들이 활동하는 것으로 파악되었다. 이 지역의 조직화된 범죄 집단은 지난 20년간 전문적인 사이버 범죄 기술을 개발했고 더 복잡하고 정교한 사이버 범죄를 널리 확산시켰다. DDos 공격, DNS 서버 조작을 통한 트래픽 조작, 하이재킹 등 다양한 디지털 익스토션(Digital Extortion)이 급증 되었다. 이런 범죄 유형들은 실행이 쉽지만 결과가 치명적이라 피해자에게 커다란 위협이 된다. 사이버 범죄가 기승을 부림에도 불구하고 심각성을 파악하지 못한 중동부유럽 국가들은 급증하는 사이버 범죄에 대해 부적절하고 약한 법규를 갖고 있으며 서유럽과 비교했을 때 다소 느슨하게 법을 집행하였다. 이것은 중동부유럽 국가 내 사이버 범죄를 빠르게 증가시키는 원인이 되었다. 또 경제적 이득을 취하는 것을 이유로 간접적으로 사이버 범죄를 눈감아 주기도 하며 이는 내부 비리로 이어지기도 한다. 예를 들어, 사이버 범죄자들이 트래픽 조작을 통한 광고 수익을 얻고 악성코드로 구성된 스팸을 배포하면서 막대한 수익을 취할 때 해당 지역의 공무원들이 이를 문제를 삼지 않는 대신에 일종의 거래가 이루어진다는 것이다. 이렇듯 중동부유럽 국가 내 사이버 범죄를 근절하려는 노력은 시대에 뒤떨어진 법규와 인식 부족으로 인해 많은 어려움을 겪고 있다.

해커들이 사는 마을, 루마니아의 해커빌

루마니아의 수도 부큐레슈티에서 북서쪽으로 2시간 30분 떨어진 거리에 있는 인구 10만의 작은 도시 름니쿠블체아(Râmnicu Vâlcea), 이 도시의 별명은 해커빌(Hackerville)이다. 전 세계의 법 집행 기관에 의해 해커빌이라는 별명이 만들어졌으며 도시의 경제 기반은 사이버 범죄에 기인한다. 이 도시에는 전자 상거래 사기 및 기업에 대한 멀웨어 공격에 능숙한 20~30대 사이버 범죄자들의 모여 살고 있다. 이러한 사이버 범죄로 인해 지난 20년간 이 지역 경제에 수천만 달러가 투입되어 새로운 형태의 비즈니스, 쇼핑몰, 아파트 및 유흥 시설이 개발되었다.

해커빌의 유래를 찾기 위해서는 1989년으로 거슬러 올라간다. 당시 루마니아 혁명의 결과로 차우셰스쿠가 처형당하고 공산당 정권이 무너졌으며 국가는 시장 경제 체제로 전환하게 된다. 이때 또 하나의 혁명이 시작되었다. 그것은 바로 인터넷과 컴퓨터이다. 수 십 년 동안 다수의 화학공장을 운영하고 관광 산업을 유지해 오며 다른 도시들보다 경제적 상황이 좋았던 이 도시에는 빠르게 인터넷과 개인 컴퓨터가 보급되기 시작하였다. 2000년대 초반부터 온라인 범죄가 만연 해지기 시작했다. 도시 곳곳에 저렴한 요금으로 이용가능한 사이버 카페들이 생겨났고 이 도시의 인터넷 사용자들은 이베이(Ebay) 등 경매 사이트에 가짜 광고를 게시하여 물건을 판매하는 등 사기 행각을 벌였다. 이들의 수법은 점점 더 체계적이고 혁신적으로 변해갔다. 합법적인 회사처럼 보이는 사이트를 만들어 운영하는 등 가짜 에스크로 서비스를 설립하였다. 2005년 루마니아는 사이버 사기 행위의 온상으로 알려졌고 구매자들의 경계 대상이 되었다. 하지만 사기꾼들의 수법은 날로 진화하여 다양한 수법으로 사이버 사기 행각을 벌였다. 미국 FBI는 사이버 범죄 단속을 위해 요원을 파견하였지만 역부족이다. 이 도시 전체가 일종의 침묵 표시인 오메르타(Omerta)를 따르기 때문이다. 이곳의 주민들은 해커나 온라인 범죄자에 대해 알더라도 함구한다. 어떤 도시든 범죄자를 위한 피난처가 되기 위해서는 시민들의 공모가 필수적이다. 름니쿠블체아는 마치 20세기의 시카고나 뉴욕처럼 도시 전체에 불법적인 경제 활동으로 인한 현금 유통이 활성화되어 있다. 거리에는 유명 브랜드의 고급 차들이 즐비하고 시내에 위치한 쇼핑몰은 주인을 기다리는 명품으로 가득 차 있다. 이 지역 주민들의 경우 자금이 어디에서 오는지 모두 알고 있으나 불법적인 활동을 멈추는 데는 큰 관심을 보이지 않고 있다.

해커빌을 주제로 하는 독일-루마니아 합작 드라마가 방영될 만큼 이곳은 사이버 범죄의 허브로 유명해졌지만 계속적으로 사이버 범죄 행각이 벌어지고 있다. 이유는 범죄의 가해자와 이 지역의 주민을 연결시키는 구체적인 증거가 부족하기 때문이다. 디지털 범죄는 추적이 어렵고 가해자를 쉽게 삭제할 수 있어 법적 기소가 어렵다. 또 사이버 범죄에 대한 심판이 청구되었더라도 유죄로 판결이 나는 경우가 적다. 전문가들은 유죄 판결이 적은 이유를 사이버 범죄가 이 지역을 부흥 시키는 수단이기 때문이라고 분석한다. 대부분의 사이버 공격은 루마니아 국외로 집중하며 자국의 기업이나 시민을 대상으로 하지 않는다. 또 사이버 범죄로 얻은 돈은 지역의 경제를 활성화시키고 지역 주민의 삶을 개선하는데 사용된다. 따라서 루마니아 정부가 사이버 범죄 척결을 위해 큰 노력을 기울이지 않는 것이다. 또 모든 국가는 사이버 범죄에 관한 자체 법률을 갖고 있기 때문에 피해를 당한 국가가 루마니아의 사이버 범죄자를 체포하려고 시도할 때 국가 간 협력이 어렵다. 국가 간 사이버 범죄로 간주되는 법과 정책의 범위가 다른 경우 가해 국가에서 쉽게 거부 될 수가 있다.

EU의 단일 사이버 안보 체계를 위한 모든 회원국들의 공조가 요구됨

EU는 전 세계적으로 귀감이 되는 사이버 안보 체계를 구축하기 위해 최선의 노력을 기울이고 있다. 이와 대조적으로 중동부 유럽의 회원국들에서는 사이버 안보에 대한 인식 부족과 미비한 법체계, 경제적 이유 등으로 사이버 범죄가 나날이 늘어가고 있다. 정교한 사이버 범죄와의 전쟁을 선포하고 사이버 보안 체계를 강화시키는 EU와 대조적으로 중동부유럽 국가들에게는 여러 가지 도전과제가 아직 많이 남아 있다. 각 회원국 정부의 협력이 없다면 사이버 범죄와 싸울 수 있는 방법은 거의 없다. 비약적으로 발전하는 사이버 기술에 대비하기 위해 사이버 범죄의 심각성과 문제점을 인지하고 규제와 법 제도를 공유하며 국제적으로 최선의 대안을 마련해야 한다. 각 개별 국가의 노력뿐만 아니라 연합체 차원에서의 공조가 필요하다.