By GARRETT M. GRAFF, WIRED US

2021년 7월, 젠 이스털리(JEN EASTERLY)가 미국 역사상 두 번째 연방 정부의 국내 사이버 보안 기관 국장 임무를 시작했다. 최근까지만 하더라도 모건 스탠리 소속으로 민간 기업에서 근무하던 이스털리 신임 국장은 7월 12일(현지 시각), 상원 의회에서 사이버 보안 및 기반시설 보안국(CISA) 국장으로 공식 확인받았다. 이때 플로리다주의 공화당 상원 의원인 릭 스콧(Rick Scott) 의원이 이스털리 국장의 임명을 지지하고 약 한 달 후의 일이다. 7월 13일(현지 시각), 이스털리 국장은 CISA의 국가 투표 기반 시설 보안 관리를 담당할 신임 국장으로 임명된 후, 이미 미국 선거 관료를 대상으로 연설했다.

이스털리 국장 임명 확인은 약 6개월에 걸쳐 바이든 행정부에서 미국 정부가 갈수록 극단화되면서 복잡한 사이버 보안 기관 조직도의 마지막 구성도를 완성한 셈이다. 바이든 행정부는 솔라윈즈 공급망 해킹 사태부터 동해안 일대의 일시적인 가솔린 부족 사태라는 결과를 낳은 송유관 기업 콜로니얼 파이프라인을 겨냥한 공격과 같이 대대적인 주목을 받은 랜섬웨어 사태까지 이미 미국의 가장 심각한 사이버 보안 문제에 신속하게 대응할 방안을 찾았다.

도널드 트럼프 전 대통령이 지난 몇 년간 사이버 보안 기관을 없애고 규모를 줄이면서 사이버 분야 고위급 관료를 해임한 뒤, 바이든 행정부는 갑자기 트럼프 전 대통령과 180도 다른 모습을 보이기 시작했다. 높은 영향력을 지닌 동시에 뛰어난 능력을 지닌 지도자급 관료 여러 명과 협력한다. 사이버 분야의 가장 중요한 최고위급 관료 상당수가 현재 미국 정부에 모였다는 희소식이 있다. 반대로 나쁜 소식이 있다면, 미국이 제한된 연방 예산과 당국 및 관료주의적 승리로 큰 어려움을 겪는 5가지 중복되는 역할을 담당하는 관료를 두고 있다는 사실이다. 미국의 가장 복잡하면서 엄격한 정책 문제로 남아있는 일을 처리하는 데 인재를 배치하는 당혹스러운 일이다. 사이버 문제 해결에 도움을 주는 대신 그저 뱃사공이 너무 많은 상황이 될 수도 있다.

이스털리 국장이 미국 정부의 민간 사이버 보안 노력을 관리하면서 선거 관료 및 주요 기반시설과 소통해 지역 사회와 주, 민족 집단 체계는 물론이고 민간 기업 네트워크와 업계까지 보호하는 역할을 하는 CISA의 국장으로 취임하기 전, 폴 나카소네(Paul Nakasone) 사령관이 미국 국가 정보국(NSA)의 신호 정보 작업 대표와 미국 국방성 사이버 군사력인 사이버 사령부의 사령관을 겸임했다. 또, 나카소네 사령관은 군대의 자체 통신과 컴퓨터 네트워크 보안 역할도 맡는다.

NSA가 공유하는 기본적 특성은 그동안 미국 정부의 대대적인 관료주의 때문에 사이버 보안의 중요성이 뒷전이었음을 뒤늦게 인정한다.
 
바이든 대통령은 백악관에서 새로운 국가 안보 보좌 차관인 앤 노이버그(Anne Neuberger)와 같이 사이버 기술과 신흥 기술을 다룰 사이버 및 신흥기술 관련 관리직을 추가로 두고자 한다. 노이버그 차관은 바이든 행정부의 일반적인 사이버 관련 행정 명령에서 협력하면서 대중적으로 드러난 사이버 보안 문제를 담당한다. 또, 바이든 행정부는 크리스 잉글리스(Chris Inglis)를 미 의회가 새로 만든 국가 사이버 보안 총괄직을 수행하도록 임명했다. 국가 사이버 보안 총괄직은 대통령의 수석 보좌관 겸 협력자 역할을 하도록 마련됐으며 애매하면서 확실한 정의가 없는 역할을 하는 새로운 직위이다. 잉글리스도 7월 12일(현지 시각)에 임명됐다. 잉글리스가 사이버 보안을 위해 직접 구상할 역할은 앞으로 두고 보아야 한다. 혹은 잉글리스가 자신의 비전 실현을 위해 설립할 팀도 함께 지켜보아야 한다. 백악관 대통령실 산하 기관으로 존재할 잉글리스의 부처는 마약 단속이나 미국 무역 관리 대표와 같이 국가안보회의(NSC)와는 별도의 역할을 수행할 것이다. 잉글리스의 팀은 직원을 최대 75명 임명할 수 있어, 미국 정부 전체에 걸쳐 최대 규모의 사이버 정책 기관이 될 것이다. 그러나 잉글리스의 직원 임명 계획, 역할 등은 확실하지 않다.

무엇보다도 법무차관 리사 모나코(Lisa Monaco)와 법무차관보 존 칼린(John Carlin)이 기소를 통해 적국에 대응하면서 2014년부터 중국 군대 산하 해커를 상대로 획기적인 일련의 사건을 처리한 법무부가 있다. 모나코 차관과 칼린 차관보 모두 2021년 봄, 랜섬웨어 공격이 쏟아지는 상황에서 재빨리 법무부의 역할을 구상하면서 사이버 보안 분야에서 법무부의 역할을 주장했다. 그와 동시에 2021년 4월, 대책 본부와 콜로니얼 파이프라인이 건넨 랜섬웨어 데이터값 230만여 달러를 되찾을 기습적인 압수 계획을 발표했다.

(추가 정보: 필자는 주로 공공 부문과 민간 부문의 아스펜 사이버 보안 그룹(Aspen Cybersecurity Group)에 참여한 아스펜 연구소(Aspen Institute)에서 이 기사에서 언급된 대다수 인물과 근무한 적이 있다. 필자도 2018년, 존 칼린 법무차관보와 함께 미국 정부의 사이버 보안 접근 방식을 설명한 책을 공동 집필했다.)

법무부의 사례를 예외로 두고 보자면, 핵심 사이버 보안 담당 관료는 NSA와 미국 사이버 사령 기관이 있는 포트미드 일대의 사이버 보안 관련 특별한 경력을 지닌 전문가이다. 나카소네 사령관 이외에 잉글리스도 30년간 NSA에서 미국 시민을 위한 역할을 하면서 부국장이 되었다. 노이버그는 2021년 초 임명 전, NSA의 사이버 보안 부서를 이끄는 모습을 보였다. 또, 과거에는 최고 위험 관리자 역할을 하면서 일반적으로 대중의 참여가 알려지지 않은 공공 기관에 대중의 목소리를 만들어냈다. ‘TAO(Tailored Access Operations)’라는 이름으로 알려진 NSA 엘리트 해킹팀 소속이었던 이스털리 신임 국장은 2009년, 해킹팀을 구상했다. 그와 동시에 나카소네 사령관 등 다른 관료가 현자의 미국 사이버 사령부를 설립하는 것을 도왔다.

NSA가 공유하는 기본적인 특성은 사이버 보안이 미국 정부의 광범위한 관료주의에서 오랫동안 뒷전이었다는 사실을 뒤늦게 인정한 것이다. 바이든 행정부가 선거 이후 지난 몇 년간 사이버 보안 문제를 다루면서 생각해온 지도자인 최고위급 관료를 찾았을 때, 실제로 임명할 수 있는 인재는 단 한 명이었다.

NSA와 사이버 사령부 모두 트럼프 행정부 임기 내내 빠르게 변하면서 더 적극적이면서 공격적인 사이버 작전 수행을 기본으로 만들었다. 2020년 가을, 와이어드가 보도한 바와 같이 나카소네 사령관은 자신의 임기 전부터 미국 정부가 수행해온 각종 사이버 작전보다 3년 가까이 사령관직을 겸임하는 동안 더 공격적인 사이버 작전을 개시해왔다. 최근 수 개월간 미국 사이버 사령부는 적대국의 사이버 공격뿐만 아니라 이란, 중국 등 적국의 온라인 활동으로부터 위협받는 규모와 공격의 치밀함 등이 급격히 증가하면서 미국 관료가 갈수록 지목한 기존의 조작 범죄에도 초점을 맞추었다.

그러나 바이든 행정부의 백악관은 중국 테크 기업부터 랜섬웨어까지 여전히 사이버 문제 관련 접근방식 상당수를 해결하고 있다. 잉글리스와 노이버그, 모나코 차관, 이스털리 국장, 나카소네 사령관 모두 친밀한 관계를 지니면서 책임감을 공유하지만, 각자 다른 철학을 지니고 있다. 게다가 이제는 다른 여러 정부 기관에 배치돼, 각자 다른 수단과 능력을 지니고 있다.

잉글리스와 노이버그의 협력과 백악관 내 사이버 보안 역량 공유 방식은 바이든 행정부의 인터넷 문제 접근 방식의 가장 큰 의문 사항 중 하나일 것이다. 이스털리 국장과 나카소네 사령관이 온라인 공간에서 정부의 민간 및 군사 접근방식을 두고 균형을 맞출 방식도 마찬가지이다. 현재의 기술과 보안 정책을 넘어서 미국의 사이버 방어의 미래와도 관련이 있을 것이다. NSA와 사이버 사령부가 결국 둘로 나뉜다면, 노이버그와 잉글리스, 이스털리 모두 나카소네 사령관의 임기 종료 후 사이버 사령부를 지휘를 총괄할 후보로 거론될 것이다.

사이버 보안을 다루는 각각의 기관과 상대적 자금 지원 사이에서 오랫동안 끓어오르는 긴장감도 탐색해야 할 것이다. 2018년에 출범한 CISA는 가장 최근까지만 하더라도 ‘국가 보호제도국(National Protection and Programs Directorate)’이라는 이름으로 알려진 복잡하게 형태가 바뀐 국토안보부 산하 기관이었다. 2021년 봄에 사이버 전문가 수백 명을 새로 영입했으나 여전히 사이버 사령부 규모의 1/4~1/3 수준이며, NSA 규모의 1/10도 안 되는 수준이다. 민간 부문 전체나 정부 내부에서 협력을 강행할 수 있는 권위가 없다.

그러나 이는 여전히 갈수록 기승을 부리는 온라인 위협에 대한 일관성 있는 정부 대응을 모색하는 데 직면하게 된 유일한 문제가 아니다. 앞서 언급된 5가지 문제를 넘어 미국 비밀 경호국과 이민세관 집행국도 같은 법률집행 의무를 부담하며, 미국 시민 상당수가 콜로니얼 파이프라인 사태를 계기로 다른 여러 기관이나 사법 관할지가 아닌 교통안전국이 실제로 미국 송유관의 사이버 보안을 관리한다는 사실에 놀랐다.

사이버 보안 문제를 다루는 기관이 많지만, 여전히 중요한 격차가 존재한다. 그 어떤 기관도 의도적인 거짓 정보 유포와 온라인상의 가짜뉴스 확산을 확인하고 맞서 싸우면서 퇴치하는 데 실제 권한이 없다. 다만, 바이든 행정부 산하 국토안보부가 몇 달 간 가짜뉴스 관련 문제를 어느 정도 관리하려 할 수도 있다. 국토안보부가 정보 작전 부문으로 나아가는 데만 관심이 있을 것으로 보이는가? 2021년 7월, 법률 집행기관과 정보기관에서 30년간 근무한 적이 있는 전문적인 능력을 갖춘 인재인 존 코헨(John Cohen)이 국토안보부 산하 정보분석국의 신임 국장으로 임명됐다.

국가 사이버 총괄국을 두고 정부의 사이버 역할 투자금 확대를 권고한 솔라륨 위원회(Solarium Commission)를 이끄는 데 도움을 준 앵거스 킹(Angus King) 상원의원은 7월 12일(현지 시각), 사이버 보안 담당 관료 임명에 대해 아래와 같이 말했다.

킹 의원은 미국 정치 전문 매체 더 힐에 공식 성명을 통해 “이제 미국의 모든 관료가 사이버 보안을 위한 일을 시작할 때”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Biden’s Cybersecurity Team Gets Crowded at the Top