아세안: 서구와 비서구의 경쟁지대

2008년 세계금융위기가 발발한 지 10여 년이 지난 오늘날 사이버보안은 세계 각국 정부, 기업 및 사회가 가장 관심을 가지는 이슈로 떠오르고 있으며, 특히 탈냉전 시대에 접어들어 유일한 패권국인 미국과 미국 주도 질서에 대해 의문을 품고 있는 러시아, 중국과 같은 비서구 국가 간의 이익이 가장 첨예하게 충돌하는 이슈이다. 이들의 의견충돌은 2017년 UN GGE 리포트 채택 실패뿐 아니라 이들 국가의 상이한 사이버보안 전략에서 드러나는 관점 차이에서 잘 드러난다.

아세안은 1960년대 중반 국제전으로 확산하는 베트남전과 인도차이나반도의 공산주의 무장 세력이 급격하게 점층하는 것에 대한 공동대응을 위해 인도네시아, 태국, 말레이시아, 필리핀 및 싱가포르 등 5개국이 창설한 지역공동체로, 2017년 기준 회원국은 10개국으로 증가했으며, 역내 인구는 약 6.4억 명에 달한다. GDP는 2조 7,615억 불(전 세계 GDP 3.45%)이며, 회원국들의 평균 경제성장률은 5%에 달하고, 인구의 60%가 35세 이하로 무궁한 성장잠재력을 가지고 있다. 회원국들의 대외관계를 살펴보면, 싱가포르, 인도네시아가 미국과 긴밀한 협력관계를 유지했지만, 캄보디아와 라오스는 전통적으로 중국의 우호 국가로 평가되고, 베트남의 경우 1990년대 미국과 수교한 동시에 기존 우방국인 러시아와 긴밀한 협력을 통해 미국과 비서구 국가 간의 균형을 유지하고 있다. 이같이 복잡한 아세안 국가들의 대외관계는 오늘날 서구-비서구 구도 중심의 사이버공간 논의의 현실과 매우 흡사하다. 그렇다면, 서구와 비서구의 힘이 교차하는 아세안이 오늘날 어떻게 사이버공간 협력을 추구하고 있는지를 알아보는 것은 작게는 아세안이라는 신흥 지역공동체의 사이버공간에 대한 인식과 협력을 확인하는 방법이 될 것이며, 크게는 서구-비서구 구도의 사이버공간 논의과정에서 아세안의 대응을 검토함으로써 우리의 방안을 구성하는데 참 고할 가치가 있다고 본다.

본고는 아세안의 사이버보안 국제협력 현황을 검토함으로써 아세안이라는 신흥시장이자 제3의 길을 걷는 지역 협력체가 서구 국가와 비서구 국가와의 협력을 통해 어떠한 사이버보안을 구현하려는 지에 논의하고자 한다. 이를 위해서 제2절과 제3절에서는 아세안 차원에서의 사이버보안 협력 채널과 아세안과 싱가포르 간의 협력 채널인 사이버보안 장관회의를 검토하고자 하며, 제4절에서는 아세안과 일본, 중국, 유럽연합 간의 협력으로 세분화해서 아세안 내 주요 논의경로를 확인하고자 한다. 아세안은 현재 정례 정상회담과 더불어 아세안+3(한·중·일) 정상회담, 정보통신 장관회의에서 사이버보안 협력을 논의하고 있으며, 싱가포르 주도의 사이버보안 장관회의 또한 중요한 채널이다. 제5절에서는 이 같은 협력 현황이 보여주는 의의와 더불어 우리나라가 향후 아세안과 어떠한 사이버보안 협력을 추진할지에 관한 밑거름을 약술함으로써 본고를 마무리하고자 한다.

아세안의 사이버보안 국제협력(I): 아세안 내 협력 채널 현황

아세안의 사이버스페이스 협력은 △아세안 자체의 사이버공간 협력(정상회담-정보통신 장관회의 및 사이버보안 장관회의, ARF), △아세안-싱가포르 사이버공간 협력과 더불어 △아세안-미국, 일본, 중국 및 EU와의 국제협력으로 구분할 수 있다. 우선 아세안 정상회담(ASEAN Summit)은 매년 개최되는 아세안 회원국 및 유관국가 정상들이 회동하는 회의체이며, 2017년 제34차 정상회담에서 아세안 사이버보안 선언문(ASEAN Leaders’ Statement on Cybersecurity Cooperation)을 채택한 바 있다. 2017년 제32차 정상회담에서 채택된 사이버보안 협력 선언(ASEAN Leaders’ Statement on Cybersecurity Cooperation)에는 △사이버공간을 위협이자 경제성장의 기회로 인식, △다양한 분야의 각기 다른 주체들의 참여에 따른 조율, △회원국들의 사이버보안 정책, 역량구축, 국제협력 조율 및 협력체계 구성, △UN 헌장 및 2015년 UNGGE 리포트의 사이버공간에 대한 적용, △국가 주권과 국제규범의 사이버 상 적용 인정, △공통적이고 자발적이며 비구속적인 사이버 상 국가 행위 규범 수용을 통한 신뢰 강화 등이 명시되었다.

우선 사이버공간을 “위협이자 기회”로 보는 인식은 사이버 상에서 증가하는 범죄, 테러리즘, 해킹 등을 지적하는 한편, 위협에만 매몰되지 않고 이 같은 위협을 해소하는 과정에서 관련 산업 성장 및 취업 증가를 지목한 것은 적어도 중국, 러시아와 같은 비서구 국가의 사이버공간에 대한 인식과 차이가 있으며, 또한 사이버공간의 안정적 이용에 방해가 되는 해킹, 테러, 범죄행위만을 언급하고 정치적 콘텐츠를 언급하지 않은 점도 비서구 국가들과는 확연히 다른 점이다. 두 번째로, 유엔헌장과 2015년 UNGGE 리포트를 비롯한 현행 국제규범의 사이버공간에 대한 적용을 들 수 있다. 사이버공간을 기존 육상, 해상 및 공영과 다른 공간으로 보고 이에 관한 국제법을 제정해야 할지는 오랫동안 논의되어왔으며, 아세안은 미국, 유럽연합과 같이 기존 국제법의 적용 가능함을 인정했다. 마지막으로, 국가의 사이버공간에서의 행위 규제를 들 수 있으며, 협력 선언은 공통적이고 자발적이며 비구속적인 규범 수용을 방안으로 제시했다. 이는 기존 국제법 및 현재 국가들로부터 받아들여져서 규제를 할 수 있는 최소한의 틀을 인정하고, 여기에서 사이버보안 국제 거버넌스를 시작하자는 것으로 해석된다.

두 번째로, 아세안 정보통신 장관회의(ASEAN Telecommunications Ministers Meeting, Telmin 이하 ‘텔민’ 약칭, 2001~현재)를 들 수 있으며, 2005년에 개최된 제3회 장관회의에서 처음으로 사이버보안을 위해 △2004년까지 모든 회원국의 인터넷침해사고대응팀(Computer Emergency Response Team, CERT) 설치 및 운영 추진, △공동 사이버위협 및 취약점 진단 프레임워크 구축, △위협 정보교류 합의가 합의문에 명시되었다. 제6회 (2006) 회의부터 (2015) 회의까지는 △네트워크 보안 보장, △아세안 내 사이버보안 유관기구 활동성과 (아세안 정보통신 감독평의회, 아세안 인터넷침해사고대응팀, 아세안 네트워크보안 행동평의회) 및 국제협력성과(아세안-일본 주요 정보통 신 기반시설 보호 가이드라인 수립 및 아세안-일본 사이버보안 협력 허브, 아세안-중국 CERT 사이버사고 유형 리스트 및 정보공유 프로토콜 처리 과정 합의), 아세안 사이버보안 협력전략(ASEAN Cybersecurity Cooperation Strategy), 사이버보안추진 방향(다양한 분야의 주요 주체들을 중심으로 하는 사이버보안 구현) 등이 논의되었다. 텔민에서 논의된 사항을 검토해보면, 구체적인 사안에 대한 확인과 더불어 향후 어떻게 회원국들이 자국 내에서 어떻게 사이버보안을 추진할지에 관한 방향 제시가 눈에 띈다. 2017년 회의에서는 정부, 기업, 학계, 비정부기구 등 다양한 분야의 다양한 주체들의 참여를 통한 사이버보안의 구현이 언급되었으며, 이는 기존의 활동 열거에서 벗어나 처음으로 아세안 국가들의 사이버보안 거버넌스 방향을 제시했다는 점에서 의미를 지닌다.

아세안 사이버보안 주요 협력 채널

세 번째로, 아세안지역안보포럼이 있다. 2001년 7월 25일 베트남 하노이에서 개최된 제8회 ARF 외무장관회의 성명에 처음으로 사이버 범죄가 언급되었으며, 사이버 테러리즘(2002년과 2006년), 사이버보안 및 사이버 테러리즘 전문가 화상 회의체 구성(2008~2009년), 사이버 범죄 및 테러리즘 대응과 관련해 러시아를 선도국으로 선정(2010), 사이버보안 강화를 위한 협력(2012~2013년), 사이버 범죄(2014년, 2018~2019년) 등이 보도 자료에 명시된 바 있으며, 대체로 원론적인 입장 표명에 그치고 있다. 또한, ARF 지원을 통해 개최되는 사이버보안 세미나⁽¹⁾)가 있으며, 우리나라는 2004년 및 2007년 제주 및 부산에서 개최한 바 있다. 주요 논의주제로는 △사이버 공격 및 테러리즘, △각국 정책(사이버테러 및 공격 대응, 정보통신 주요시설 보호) 및 기술소개, △CERT 현황 및 협력, △ARF 회원국 간 협력방안, △민간 기구 대응 현황 등이 있었다. 특이한 점으로는 2004년 세미나에 북한 외무성 관계자 4명이 참석한 바 있다. 관례로 북한은 남북한 회의 외에 남측에서 개최되는 국제회의에 정부 당국자를 파견한 예시가 없었으며, 2004년 회의 참석은 남북한이 모두 가입한 ARF가 지역 평화 조성뿐 아니라 남북한 교류 협력에 도움이 된다는 것을 보여준 사례이다.

아세안의 사이버보안 국제협력(II): 싱가포르의 역할

2016년부터 추진되고 있는 아세안 사이버보안 장관회의(The ASEAN Ministerial Conference on Cybersecurity)는 싱가포르 주도로 추진되는 회의체로 평가된다. 사이버보안 장관회의는 싱가포르 사이버보안원(Cyber Security Agency of Singapore)의 사이버보안주간 활동 내에 개최되며, 사이버보안의 성격, 인식 제고, 2015년 UN GGE리포트를 기반으로 한 규범 구성, 아세안 사이버역량구축 프로그램 (ASEAN Cyber-Capacity Programme)이 논의되었다. 네 번째로는 아세안지역안보포럼(ASEAN Regional Security Forum)이다. 사이버보안과 관련한 기구로는 외무장관회의와 사이버보안 세미나를 들 수 있다. 아세안지역안보포럼은 1994년 5월에 창설되었으며, 아세안 회원국 10개국과 우리나라, 미국, 일본 등 10개 대화 상대국과 7개 기타 회원국 등 총 27개국으로 구성되어 있다. 주요 논의주제는 국제 및 역내 안보 정세와 더불어 역내 신뢰 구축 조치, 예방외교 등이 있으며, 주요 회의체로 외무장관회의와 고위관리 회의(SOM)가 있으며, 사이버보안과 관련해서 아세안 지역 포럼과 27개 구성국이 공동개최하는 사이버보안 세미나가 있다.

2018년에 설립된 아세안-싱가포르 사이버보안 전문센터(The ASEAN Singapore Cyber Security Centre of Excellence)는 아세안 사이버역량 프로그램(ASEAN Cyber Capacity Programme)의 일환으로 싱가포르의 사이버보안 규범 및 사고 대응 경험과 교육을 공유하는 매개체이다. 주 교육 분야로는 사이버보안 규범(△국제법, △국내 법규 및 정책 수립, △분쟁 대응 방안) 및 사고 대응 매뉴얼(△공격 대응 실무경험, △방어 대응 및 관련 훈련)이다.

아세안의 사이버보안 국제협력(III): 타국과의 협력

아세안은 비단 아세안 회원국 간의 협력뿐 아니라 비회원국가, 국제기구와도 긴밀한 협력관계를 통해 사이버역량 및 협력 채널 구축 강화에 나서고 있으며, 대표적으로 일본, 중국, 유럽연합, 미국 및 러시아 등이 있다. 우선 일본은 아세안과 긴밀한 협력관계를 유지하는 국가로서 2018년에 설립된 아세안-싱가포르 사이버보안 전문센터가 대표적인 협력사례라고 하겠다. 일본 주도로 이미 아세안-일본 주요 정보통신 기반시설 보호 가이드라인(ASEAN-Japan Critical Information Infrastructure Protection Guideline)이 제정되었으며, 2017년 텔민에서 아세안-일본 사이버보안 역량강화센터(ASEAN-Japan Cybersecurity Capacity Building Centre) 설립이 확정되었고, 또한 아세안-일본 사이버보안 협력 허브(ASEAN-Japan Cybersecurity Cooperation Hub) 수립이 결정되었다. 마지막으로, 아세안 사이버역량발전(ASEAN Cyber Capacity Development Project)은 일본-아세안 협력 강화기금(Japan-ASEAN Integration Fund)의 지원을 받아 아세안과 인터폴(Interpol)에서 2016~2018년에 시행한 프로젝트이며, △국가별 사이버 정책 검토, △전문가 훈련(380명 교육 수료)과 더불어 세미나(사이버 범죄 및 위협 대응) 개최 및 경험 공유 등이 추진된 바 있다.

일본 외에 부각되는 국가로는 중국을 들 수 있으며, 중국은 인터넷침해사고 대응센터를 주도로 기술적 협력에 주력하고 있다. 2014년 9월 18일 광시좡족자치구 난닝에서 중국-아세안 사이버공간 포럼이 개최된 바 있고, 2016~2018년 인터폴 글로벌 혁신체계 일환으로 아세안 사이버역량발전 프로그램(ASEAN Cyber Capacity Development Project)이 시행되었다. 또한 아세안-중국 CERT 사이버사고 유형 리스트 및 정보공유 프로토콜 처리 과정 합의(ASEAN-China Computer Emergency Response Teams(CERTs)

사이버사고 유형 리스트, 정보공유 프로토콜 및 처리 과정 수립이 함의된 바 있다. 미국의 경우 다소 늦었는데, 2013년 7월 1일 브루나이에서 개최한 미국-아세안 장관급회의에서 해양안보와 사이버보안, 특히 사이버보안 및 사이버 범죄 대응에 관한 긴밀한 협력을 기대한다고 표명했으며, 이는 일본과 중국과 비교 시 아직 시작단계에 있다고 볼 수 있다.

의의 및 시사점

이렇듯, 아세안은 정보통신 장관회의 및 사이버보안 장관회의와 아시안 지역 안보 포럼을 통해 아세안 국가 모두가 수용 가능한 정책 개발뿐 아니라 인력훈련 및 사고 대응에 나서고 있으며, 또한, 일본과 중국을 통해 부족한 지원 자원을 수용하고 고급인력훈련에도 박차를 가하고 있다. 이 같은 국제협력에서 가장 중요한 채널로는 아세안 정상회의, 정보통신 장관회의, 사이버보안 장관회의와 아세안-일본 간의 협력이 있으며, 특히 협력의 방향과 구체적인 정책 기조가 정보통신 장관회의에서 논의되고 있다. 우선 정상회의에서 논의된 사이버공간의 성격은 “위협이자 기회”이며, 사이버공간은 열려있는 무한한 기회의 공간도, 부적절한 정보 유통에 따른 위협 증대도 아니다. 위협적 측면의 경우 사이버 범죄, 테러리즘 및 해킹으로 이는 비단 아세안뿐 아니라 서구, 비서구 국가 모두가 직면하는 이슈이며, 또한 아세안의 사이버보안이 여전히 성장단계에 머물러 있음을 보여주는 방증이라고 하겠다. 또한, 경제성장의 동력으로 보는 시각은 적어도 아세안이 사이버공간의 성장성을 주목하고 있고, 서구, 비서구의 특정 국가에 치우치지 않고 있음을 보여준다. 두 번째로, 사이버 범죄 및 테러리즘 문제를 들 수 있다. 아세안 구성 국가들을 들여다보면, 싱가포르처럼 경제, 사회적 발전 수준이 비약적으로 올라온 국가와 더불어 태국, 베트남, 인도네시아 등 개발도상국이 있고, 또한 라오스, 미얀마와 같은 저개발국가가 있다. 구성 국가 간의 경제, 사회적 발전의 차이로 인해 발생하는 사이버 범죄가 상이할 수 있고, 대응 인력 및 자원 또한 차이가 날 수밖에 없는 실정이다. 정보통신 장관회의 논의사항을 잠시 짚어보면 사이버위협 및 취약점 진단 프레임워크 구축, 사이버사고 유형 리스크 공유와 같이 실제 범죄 및 테러리즘에 대응하는 방안들이 제시된 것은 이 지역에서 가장 중요한 이슈는 기본적인 범죄 및 테러리즘 대응임을 보여준다. 세 번째로, 싱가포르의 역할이다. 앞서 언급했듯이, 싱가포르는 사이버보안 장관회의 개최의 실질적 구성원이며, 여기에서 논의된 사이버보안 성격과 인식 제고, 규범 구성은 아세안의 사이버보안의 수준을 제고시키는 동력이다. 향후 아세안의 사이버보안을 심층적으로 논의하기 위해서는 실질적 논의를 주도하는 싱가포르의 사이버보안 현황을 살펴볼 필요가 있으며, 특히 규범 구성을 주도하는 정부 및 학계를 주목해야 한다.

이를 볼 때, 아세안의 사이버보안은 성장기에 머물러 있 음을 알 수 있고, 일본과 더불어 중국이 아세안과의 협력을 강화하고 있으나 여전히 협력 이슈는 다양하다고 하겠다. 우선, 사이버위협 대응에 관한 경험 공유 및 교육지원을 들 수 있다. 현재 싱가포르와 더불어 인터폴, 중국, 일본에서 사이버위협 대응 교육을 지원하고 있으나, 언론에서 보도된 훈련 인력 수는 백여 명 수준임을 확인해볼 때, 향후 아세안 관련 ODA 예산에 사이버보안 분야를 추가해서 아세안과의 사이버보안 협력을 추진할 필요가 있다. 우리나라는 2000년대에 들어 아세안과의 ICT 분야의 교육, 훈련을 지원하고 있으나, ICT 기술 분야에서 안정적 협력이 이루어지기 위해서는 기술보안은 절대적으로 필요하다. 이를 고려하면 기존 기술협력뿐 아니라 사이버보안 협력이 필요하고, 이를 공공기관뿐 아니라 민간 대학에 위탁하는 형식으로 아세안 국가의 공무원, 기업 관리자, 대학원생의 사이버보안 교육을 지원하는 방안을 검토해볼 필요가 있다. 마지막으로 싱가포르를 중심으로 논의되는 아세안 사이버보안 규범을 심층적으로 검토해야 한다. 필자는 본고를 쓰며 정보통신 장관회의 및 사이버보안 장관회의에서 정책 방향뿐 아니라 아세안 사이버보안 전략과 더불어 규범 제정에 관한 논의를 언론 보도로 확인했다. 그러나 구체적인 전략과 규범에 관한 문서가 검색되지 않아서 정리에 어려움을 겪었다. 향후 아세안의 사이버보안 전략, 규범에 관한 정책연구 및 조사 분석이 뒤따라야 하며, 이를 통해 “아세안의 사이버보안”에 관한 심층적인 이해가 있어야 우리나라와 아세안 간의 사이버보안 협력이 강화될 것이다.

[참고문헌]
[1] 외교부, 『아세안 개황』(서울, 2018년), 14-17.

[2] 신남방정책특별위원회, 신남방정책. http://www.nsp.go.kr/policy/policy02Page.do (검색 일자: 2019.8.19).

[3] 최경희, 「2018년 아세안공동체 현황과 한·아세안 관계 그리고 2019년 전망」, 『정세와 정책』, 2018년 제20호(2018.12.17), P.2.

[4] 주 아세안대표부, 2015.12.27., 「ASEAN 공동체[ASEAN Community] 비전 2025.

[5] ASEAN, 16 Oct, 2012, Joint Media Statement of the Third ASEAN Telecommunications & IT Ministers

[6] ASEAN, September 18th, 2006, JOINT MEDIA STATEMENT Sixth ASEAN Telecommunications &IT Ministers Meeting, Brunei Darussalam

[7] ASEAN, 24 August, 2007, Seventh ASEAN Telecommunications&IT Ministers Meeting(7th TELMIN).

[8] ASEAN, 29 August, 2008, The 8th ASEAN Telecommunications&IT Ministers Meeting

[9] ASEAN, 16 November, 2012, Joint Media Statement of the 12th ASEAN Telecommunications and IT Ministers Meeting and its Related Meetings with Dialogue Partners.

[10] ASEAN, 11 Oct 2016, ASEAN Member States Call for Tighter Cybersecurity Coordination in ASEAN.

[11] ASEAN, September 27th, 2018, Chairman’s Statement of The 3rd ASEAN Ministerial Conference on Cybersecurity.

[12] ASEAN, 6 November, 2017, ASEAN Leaders’ Statement on Cybersecurity Cooperation.

[13] Indo-Pacific Defense Forum, 2018.12.21., 「싱가포르, 지역 내 사이버 역량 강화를 위한 프로그램 추진

[14] CCDCOE, Keiko Kono ,ASEAN
Cyber Developments: Centre of Excellence for Singapore, Cybercrime Convention for the Philippines, and an Open-Ended Working

[15] OpenGov, Dean Koh, 24 November, 2017. Enhancing cybersecurity in ASEAN – Singapore announces three broad proposals at the ASEAN Ministerial Conference on Cybersecurity.

[16] CCDCOE, Keiko Kono, ASEAN Cyber Developments: Centre of Excellence for Singapore, Cybercrime Convention for the Philippines, and an Open-Ended Working.

[17] ASEAN, 1 August, 2019, ASEAN-EU Statement on Cybersecurity Cooperation.

[18] Interpol, ASEAN Cyber Capacity Development Project(ACCDP).

[19] ASEAN, 13 September, 2013, Joint ministerial statement of the ASEAN-Japan Ministerial policy meeting on Cybersecurity cooperation.