중동부유럽
전문가오피니언
[전문가오피니언] 에스토니아 - 여전히 사이버 호랑이인가?
에스토니아 Catlyn Kirna Tallinn University - 2020/08/11
온라인 세금 신고가 가능하고, 사이버 공격에 맞서 이기며, 사이버 안보 측면에서 세계를 선도하는 에스토니아는 사이버 호랑이(cyber tiger)라는 명성을 가지고 있다. 에스토니아는 그 이름을 어떻게 얻었으며, 명성의 어느 정도가 사실일까? 본 글에서는 에스토니아의 명성 및 현재 사이버 안보 상황을 살펴본다. 지난 몇 년간 어떠한 진전과 퇴보가 있었는지, 이를 통해 배울 점은 무엇인지 고찰할 필요가 있다. 본 글에서는 에스토니아가 마주했던 문제와 함께 에스토니아가 이에 어떻게 대처했는지에 주목한다.
이슈 현황
에스토니아는 온라인 서비스와 혁신을 발전시키고 2008년 이후 사이버 공격과의 싸움에서 주도적인 역할을 하는 등 오랜 기간 동안 수준 높은 디지털 국가라는 명성을 누렸다. 에스토니아는 해외 기업 유치 및 혁신의 수단으로 이레지던시(e-residency, 전자시민권)를 개발했다. 에스토니아는 슈퍼디지털화(super-digitalized)를 홍보 콘셉트로 잡았다. 특히 2019년 UN 안전보장이사회(UNSC, United Nations Security Council) 이사국 진출을 위해 노력하던 당시에는 더욱 그러했다. 하지만 이러한 이미지는 어느 정도 실제와 맞는 것일까? 지난 몇 년 동안 탐구와 토의를 요하는 여러 이슈가 발생한 바 있다. 이러한 이슈는 왜 발생한 것이며, 논의를 통해 무엇을 배울 수 있을까?
에스토니아의 최근 사이버안보 및 발전 이슈를 살펴볼 때는 세 가지의 주요 주제를 다루어야 한다. 이들은 모두 문제가 어떻게 발생하여 어떻게 해결될 수 있는지를 보여주는 주제들이다. 첫 번째 주제이자 논란의 여지가 가장 클 것으로 판단되는 주제는 ID카드 보안 논란이다. 2017년 9월, 에스토니아에서 75만 개의 ID카드 및 디지털 신원이 해킹에 취약하다는 소식이 전해졌다(Estonian National Broadcasting, 2017). ID카드가 널리 사용되고 있는 바, 이는 에스토니아 디지털 서비스의 취약성과 신원 도용 가능성을 시사하는 사건이었다. 뒤이은 논란으로 값비싼 대가를 치른 에스토니아와 칩 제조사는 서로를 상대로 손해배상 청구 소송을 진행하기도 했다. 이 사건은 세계적으로 보도되어 에스토니아의 대외 이미지에 영향을 미쳤다(Reuters, 2018). 그 이후로도 사용상의 오류 및 보안 관련 추가적 뉴스가 발생하는 등 ID카드 관련 문제는 이어졌다. 2018년 말에는 여러 과학자가 디지털 서명된 문서가 해킹에 취약하다는 것을 밝히며 역대 가장 큰 결함이 드러났다(Estonian National Broadcasting, 2018). 하지만 이 모든 사건에도 불구하고 에스토니아는 ID카드를 지속 유지하고 이를 다양한 방식으로 사용해 왔다.
아직 해결되지 않은 또 다른 이슈는 에스토니아의 혁신적인 이레지던시 프로그램이다. 몇 년 동안 활발히 시행되어 온 이 프로그램은 여러 문제에 부딪혔다. 이레지던시는 외국인이 에스토니아와 별다른 관계를 가지고 있지 않아도 사업상의 목적으로 물리적으로 에스토니아에 방문하는 일 없이 에스토니아의 온라인 거주민(online resident)이 될 수 있는 제도이다(E-Residency Official Website). 그래서 이 제도에 관심이 있고 특정 조건을 충족한다면 전 세계 모든 사람이 이레지던시를 신청할 수 있다. 이레지던시는 혁신적이지만 나름의 문제가 있다. 첫째, 많은 외국인에게 있어 이레지던시의 권한과 한계점을 이해하기가 쉽지 않다. 일례로 사업체를 세우는 것이 생각보다 더욱 복잡하다(Company in Estonia). 또한 여러 은행이 이레지던시를 인정하지 않는다는 문제가 있었다. 이에 대통령이 성명을 통해 이러한 은행에 관해 언급하고 국가 이레지던시 프로그램을 집행해야 할 필요성을 직접 설명하기에 이르렀다(Estonian National Broadcasting, 2019). 은행들이 이레지던시를 받아들이는 것을 꺼리는 주된 이유는 신원 인증 관련 문제 및 돈세탁 문제 발생 가능성 때문이다. 이 이슈는 다른 부문의 문제 및 디지털 외적 문제의 규범과 기대치를 충족해야 할 때 에스토니아 디지털 정책 지침인 디지털 어젠다(digital agenda) 시행에 차질이 빚어질 수밖에 없음을 보여준다.
우려를 자아내는 세 번째 부문은 사이버 공격이 종종 일어나는 환경 내에서의 전반적 디지털 서비스 관련 문제이다. 에스토니아의 디지털 시스템은 업데이트를 요하나, 많은 계획이 개발 단계에서 좌절되었다. 이러한 실패 사례를 분석한 국가 차원의 2019년 감사 결과, 문제는 주로 목표의 비현실성, 기업의 경험 부족, 법제 및 금전적 문제와 관련되어 있는 경우가 많다는 사실이 드러났다(Estonian National Broadcasting, 2019). 디지털 시장을 담당하던 에스토니아 출신의 전(前) EU 집행위원이 강력히 주장한 것처럼 에스토니아가 다른 유럽 국가에 비해 뒤쳐져 있다는 주장 또한 있다(Ansip, 2017). 에스토니아의 디지털 서비스에는 여러 문제가 나타나고 있으며, 에스토니아는 이를 해결하는 데 구조적 어려움을 겪고 있는 것으로 보인다.
이 모든 것은 에스토니아가 자칭하는 것과 달리 더 이상 사이버 스타(cyber star)가 아님을 의미하는 것일까? 그렇지 않다면, 문제를 통해 에스토니아가 얻은 교훈 및 다른 국가들이 배울 수 있는 점에 대신 주목해도 좋을까?
원인과 분석
에스토니아가 마주해 온 문제들의 발생 배경은 어느 정도 유사하다. 과거 혁신적인 국가였던 에스토니아는 현재 소프트웨어상의 결함, 보다 명료한 비전 및 관심의 필요성 등 여러 문제를 직면하고 있다. 그러나 지금까지 어떤 문제가 왜 발생했는지를 살펴보자면 다루어야 하는 핵심적인 이슈들이 있다. 가장 큰 보안 이슈는 에스토니아인의 ID카드와 관련된 것이다. 에스토니아에서는 온라인 투표를 포함한 여러 가지 다양한 사안에 ID카드를 사용하기 때문이다.
에스토니아는 2002년부터 성인의 ID카드 사용을 필수화했다(단, ID카드를 보유하지 않아도 처벌은 없다). ID카드는 유럽연합 내 이동에 사용할 수 있으며, 온라인 신원 인증에 더욱 자주 사용된다. 카드에는 정부 서비스 및 은행을 포함한 다양한 민간 기업에 로그인할 때 사용할 수 있는 암호화된 인증서가 포함되어 있다. 카드는 ‘2요소 인증(two-factor identification)’을 사용한다. 즉, 카드의 사용자는 암호화를 통해 디지털 신원이 안전히 보호될 수 있도록 카드뿐만 아니라 카드에 딸려 있는 구체적인 코드 또한 알아야 한다. 정부는 이러한 조치를 통해 예상되는 카드의 보안 수준이 충분하여 보건 정보, 세금, 온라인 선거 투표 등 여러 공식 디지털 서비스에 활용 가능하다고 판단하고 있는 것으로 보인다.
2017년, 몇몇 테스트 결과(실제 이러한 사건이 발생한 것은 아니나) 암호화가 풀릴 수 있고 신원 도용이 가능하다는 사실이 밝혀졌다. 이 논란을 통해 보안 위기에 노출된 것으로 밝혀진 카드의 수가 많아 교체 필요성이 발생했으며, 에스토니아 및 에스토니아 디지털 시스템 전반의 명성이 흔들렸다. 가장 시급했던 사안은 같은 해 몇 개월 후로 예정되어 있던 에스토니아의 선거였다. 전반적인 선거의 보안성 문제가 대두하며 더 큰 우려를 자아냈다. 하지만 결함이 밝혀진 ID카드의 사용은 중단되었으며 실질적인 보안 사고 문제가 발생한 것은 아니었기에 선거는 당초 예정대로 치러졌다. 칩 제조사인 젬알토(Gemalto)와 에스토니아는 카드 결함의 원인으로 서로를 탓했고, 따라서 양측간 문제는 풀리지 않고 남아 있다. ID카드 관련 이슈는 문제가 외부에서 기인할 수 있으며, 설사 세평이 손상되는 일이 있더라도 이를 해결하는 것이 중요하다는 점을 보여주었다. 디지털 이슈에는 애매한 부분이 많아 양측간 법적 공방은 진행 중이다.
ID카드가 널리 사용되는 것과 비슷하게, 에스토니아는 2014년에 해외 기업을 유치하고 경제를 진작시키기 위해 이레지던시 개념을 도입하는 혁신적인 모습을 보였다. 이 프로그램은 널리 사용되고 있으나, 여러 문제가 노출면서 큰 성과를 보이지 못했다. 이레지던시 프로그램에서 드러난 중요한 이슈는 두 가지다. 첫째, 외국인에게 있어 큰 장애물인 신원인증 등의 이유로 일부 서비스들이 이레지던시 서비스의 수준을 따라잡지 못했다. 은행권을 예로 들면, 은행권에는 나름의 규제가 있고, 그저 이레지던시 보유자의 기대 수준을 충족한다는 이유만으로 규제를 쉽게 바꿀 수는 없다. 이레지던시가 당초 설계대로 운영되려면 보다 나은 글로벌 인증 시스템이 필요하다. 둘째, 이레지던시 보유에 따르는 권한의 범위에 대한 혼란이 있었다. 홍보 내용이 상당히 모호했기 때문이다. 그러나 한편으로는 홍보가 효과를 거둔 것은 사실이다. 에스토니아는 이레지던시 프로그램의 성공을 위해 열심히 노력했으며, 2019년 말 기준 1만 개 이상의 기업이 이레지던시 프로그램을 바탕으로 설립되었다(Estonian National Broadcasting, 2019). 이행에 관련하여 문제가 있었음은 사실이나, 개선이 이루어졌다.
디지털 문제는 여러 면에서 해결이 까다롭다. 디지털 서비스 측면에 있어 선도적 국가였던 에스토니아는 인프라 노후와 디지털 세상의 변화, 사이버 공격의 증가 등으로 인해 문제를 겪고 있다. 상술한 것처럼, 개선을 이루어 내는 것은 어려웠다. 요식체계로 인해 해결 과정에 어려움이 있었으나, 다른 여러 조치가 취해졌다. 일례로 에스토니아는 코로나19가 퍼지기 시작하자 바이러스를 대상으로 해커톤(hackathon)을 조직했다. 실천 가능한 여러 아이디어를 낳은 이 해커톤 행사는 전 세계의 찬사를 받았다(Salter, 2020).
추가적으로, 에스토니아가 사이버안보에 주력하기 시작한 것은 자국 보호의 수단으로서뿐만 아니라 이러한 문제를 국제적 사안으로 대두시키기 위함이기도 했다. 사이버 공격은 국가 전반의 취약성에 더해 사이버 안전성에 대한 교육 부족을 보여주는 것이기도 했다. 의회에서 수행된 테스트마저도 사이버 세상의 원리에 대한 이해 제고가 필요하다는 사실을 명확히 보여주었다. 에스토니아는 UNSC에서 리더십을 발휘하여 이 주제를 부각시켰다(Naylor, 2020). 이러한 사안에 주력하면 문제를 발생 전에 선제적으로 해결할 수 있는 가능성이 높아지므로, 시스템 노후화에 따라 발생하는 취약성을 어느 정도 제거할 수 있게 된다. 이에 더해 민간 부문이 제공할 수 있는 도움의 손길에 더욱 주목한다면 디지털 인프라 및 디지털 호랑이로서의 에스토니아의 명성에 발생한 문제들을 해결할 가능성이 더욱 높아질 것이다.
전망과 시사점
디지털 측면에서 에스토니아가 가지고 있는 문제를 보면 에스토니아를 비틀거리는 사이버 호랑이로 보기 쉽다. 전문가들은 지속가능한 해결책을 필요로 하는 문제가 많다고 강조한다. 다른 한 편으로, 에스토니아의 사례는 디지털 혁신이 늘 즉각적으로 성공을 거두는 것은 아니며 또한 추후 문제를 일으킬 수도 있다는 것을 보여준다. 해결책이 더욱 중요한 요소이다. 상술한 문제에 대하여 에스토니아는 몇몇 명확한 개선을 이루어냈다.
- 여러 새로운 파트너와 함께 문제 해결을 위해 ID카드 인증서 보안을 강화하였다. 최소 1년에 한 번은 ID카드 보안 문제가 발생하고 있으므로 이들 개선책 모두가 완벽히 성공했다 말하기는 어려우나 프로젝트는 지금도 진행 중이며, 매번 문제가 발생할 때마다 카드는 장기적으로 더욱 안전해지고 있다.
- 에스토니아는 ID카드의 대안을 도입 및 홍보했다. 모바일 ID(Mobile ID)와 스마트 ID(Smart ID)는 개인의 휴대폰을 사용하며 대부분의 경우 ID카드와 동등하게 사용된다.
- 이레지던시 관련 문제로 인해 에스토니아는 서비스 통합을 보다 심도 있게 살펴보았으며, 이에 더해 향후 이레지던시 사용자의 기대치가 현실과 일치하도록 정확한 내용을 홍보할 필요성에도 깊은 관심을 기울이게 되었다. 이레지던시 프로그램은 널리 사용되었고, 많은 기업이 이를 통해 에스토니아를 찾은 만큼 이 프로그램을 성공 사례로 일컬을 수 있을 것이다.
디지털 혁신가로서 에스토니아가 가진 명성은 겉보기만큼 정확하진 않을지 모르나, 이 사안에 에스토니아가 집중하고 있는 것만큼은 널리 알려져 있다. 디지털을 활용한 코로나19에의 대응 및 사이버안보 문제를 전반적으로 진두지휘하는 모습은 여전히 에스토니아가 다른 국가에 비해 디지털 생활에 주력할 때 무엇이 가능한지 더욱 잘 설명할 수 있다는 것을 보여준다.
앞으로 더 많은 문제가 떠오를 것으로 예상된다. 그러나 문제 해결의 중요성을 강조하고 있다는 점 및 이들 이슈를 직접적으로 해결한다는 점을 보면 사이버 스타(cyber star)의 빛이 바랜 것이 아니라 단지 조정기를 지나고 있을 뿐이라는 점을 알 수 있다. 에스토니아를 통해 배워야 할 주된 교훈은 디지털 혁신이 어려우며, 지속적인 업데이트가 필요하고, 가끔씩 뒤처질 수 있으나, 그럼에도 불구하고 혁신을 이어 나갈 수 있다는 점이다.
본 페이지에 등재된 자료는 운영기관(KIEP) 및 EMERiCs의 공식적인 입장을 대변하고 있지 않습니다.
| 이전글 | [이슈트렌드] 불가리아, 1조 원 규모의 국내 경제 지원책 발표 | 2020-08-07 |
|---|---|---|
| 다음글 | [전문가오피니언] EMU를 향한 크로아티아의 여정과 실질 수렴 달성을 위한 국영기업의 역할 | 2020-08-11 |
