미국과 중국은 지난 2015년 9월 정부 차원에서 상대국 기업의 영업비밀을 캐내기 위한 사이버산업스파이 활동에 개입하지 않기로 했다. 당시 외신들은 버락 오바마 미국 대통령과 시진핑 중국 주석이 '기업간 사이버절도 문제 해결'을 위해 전격 합의했다고 전했다.
한국에서도 민간 기업이 사이버산업스파이 활동 피해를 당할 우려는 상존한다. 중국과 북한발로 추정되는 민간 기업 대상 사이버공격 사례는 비일비재하다. 이런 위협을 예방하는 차원에서 한국과 타국 정부간 협약을 맺는다면 어떨까.
실제로 미국 사이버보안업체 파이어아이는 최근 3년간의 중국발 사이버공격 동향을 분석한 결과, 양국 협약이 적어도 미국 산업계에는 긍정적으로 작용했다고 진단했다. 한국과 중국 정부가 비슷한 합의를 추진한다면 도움이 될 것이라 기대할 만하다.
지난달말 방한한 파이어아이의 패트릭 월시 커스터머에듀케이션 담당 부사장에게 그럴 가능성이 얼마나 있을지 물었다. 그는 미국 해군 4성장군 출신 보안위협 전문가로, 방한 당시 한국 기자들에게 중국과 북한의 사이버공격 동기와 현황을 설명했던 인물이다.
그런데 파이어아이 측은 해당 문의에 즉답을 피했다. 월시 부사장이 아닌 대변인 명의로 "합의 당사국을 대상으로 한 중국의 사이버공격 활동이 현저하게 감소한 것을 목격했다"고만 언급했다. 정부간 합의를 통해 한국이 실질적인 피해를 줄일 수 있을지에 대해선 말하지 않았다.
사실 파이어아이 측 설명에 따르면 중국 기반 사이버공격그룹에 의한 미국 기업 대상 침해공격 규모는 2014년 중반부터 감소하기 시작했다. 이는 그간 이어진 중국의 사이버전력 대외노출, 사이버전력 중앙집중화와 국방개혁, 공격 집중대상 변화, 서방 국가들의 외교적 반발 등이 복합적으로 작용한 결과다. 미중 합의는 여러 요인가운데 하나일 뿐이라는 얘기다.
이는 파이어아이가 지난해 6월말 공개한 중국발 사이버산업스파이 활동 분석 보고서 '레드라인드로운(REDLINE DRAWN)'에 담긴 내용이다. 보고서는 파이어아이가 2013년 2월부터 2016년 5월까지 중국기반 사이버공격그룹 72개를 추적, 그들이 수행한 네트워크침해사례 262건의 특징을 분석한 것이다.
보고서에 따르면 262건의 침해사례 가운데 미국 소재 네트워크를 침해한 사례가 182건, 다른 나라 소재 네트워크를 침해한 사례가 나머지 80건이었다. 80건의 네트워크 침해 피해를 당한 지역은 유럽, 아시아, 남미, 중동과 아프리카 등 25개 나라였다.
회사측은 보고서 내용을 인용하며 "중국 기반 사이버공격 그룹에 의한 미국 기업 대상 침해공격 규모는 2014년 중반부터 줄기 시작했다"면서도 "확실히 사이버공격자들이 그들의 기법을 발달시키고 사람들이 연결된 기기를 더 많이 사용함에 따라, 공격은 계속해서 정교화, 고도화하고 있다"고 덧붙였다.
관련기사
- 전직 美해군 4성장군 "북한 사이버공격 목적은…"2017.05.11
- 한국 사드배치 보복성 중국발 사이버공격 거세지나2017.05.11
- "러시아, 사이버 공격으로 국익 추구"2017.05.11
- "한국, 내년에도 중국-북한발 사이버 위협 표적"2017.05.11
결국 미중 정부간의 사이버산업스파이 활동 지원 중단 합의가 미국 민간기업을 대상으로 한 중국발 공격 규모 감소에 도움이 된 요인 가운데 하나이긴 하지만, 이것만으로는 더 정교해지고 고도화하는 공격 위협의 부담을 두고두고 덜어낼 수 있다고 기대하긴 무리다.
미국 펜실베니아대학 로스쿨의 제프리 베이글 기술·혁신·경쟁센터 총괄이사도 2015년 9월 미중 정부간 합의 당시 그에 대해 양자간 조약이나 법적 구속력이 있는 것이 아닌 '신사협정'일 뿐이라며, 그 효과를 크게 기대하지 않았다.
