지난달 26일 미국 워싱턴 DC에서 열린 한미 정상회담의 큰 성과 중의 하나로 양국의 동맹을 사이버공간에까지 확장하기로 한 선언을 들 수 있다. '전략적 사이버안보 협력 프레임워크'라는 별도의 문서를 채택해 협력의 범위·원칙·체계 등의 내용도 구체화했다. 사이버 적대세력 억지(또는 억제), 핵심 인프라 보호, 사이버범죄 및 자금세탁, 가상자산 및 블록체인 애플리케이션(앱) 보호, 역량 강화, 공동훈련, 정보 공유, 군사 분야 사이버협력 심화, 법 시행, 기술개발, 인력 양성, 민관 협력 등 핵심 사안을 명문화해 향후 한미 사이버 안보 협력의 플랫폼을 마련했다.
사이버공간의 한미동맹이 어디까지 가야 하고 어떤 내용을 채워야 할지는 앞으로 풀어가야 할 미래 국가전략의 큰 숙제가 아닐 수 없다. 채택된 문서에서 향후 과제로 한미 상호방위조약을 사이버안보에 적용할 논의를 시작한다는 문구가 눈에 띈다. 상호방위조약의 발동을 위한 조건, 즉 공격의 성격과 목표 및 수준 등에 대해 양국 간 실무적 검토·협의가 진행될 것이라고 한다. 몇 가지 문제를 진지하게 고민하기를 제언해 본다.
첫째, 상호방위조약의 적용론은 대북 억지의 차원에서 미국의 재래식 및 핵 능력을 빌려 쓰듯이 사이버 능력을 빌려 쓰자는 '확장억지론'에 기반을 둔다. 일방이 '무력공격'에 준하는 사이버공격을 받았을 때 공동으로 나서서 보복하겠다는 의지를 보여주자는 것이다. 사이버 확장억지론은 강력한 메시지를 발신하는 선언적 효과가 있지만, '사이버 보복' 그 자체만으로는 실제 억지 효과는 그리 크지 않을 가능성이 있다. 북한은 디지털 인프라를 제대로 갖추고 있지 못한데, 이에 비해 한국의 취약성이 비대칭적으로 높기 때문이다. 따라서 단순히 '확장'하는 차원을 넘어서 여타 억지 수단과 적극 '연계'하는 접근이 병행돼야 한다.
둘째, 사이버 확장억지론은 최근 미국이 제시한 '통합억지론'과의 관계 속에서 이해해야 한다. 미국의 통합억지는 주로 양자관계에 기초한 기존의 동맹을 '연맹해서(federated)' 전진 배치된 미국의 전략자산을 통합·사용하는 맞춤형 전략을 구사하겠다는 것이다. 사이버안보와 관련해 미국의 통합억지 전략은 주로 중국의 위협을 염두에 두고, 한국을 비롯한 동맹국과 파트너 국가들을 참여시키는 프레임을 짜고 있다. 이에 비해 한국은 북한발 사이버 위협에 초점을 맞추고 미국이 한국에 제공하는 확장억지를 기대한다. 여기서 관건은 통합억지를 추구하는 미국의 목표와 확장억지에 대한 한국의 기대가 얼마나 유기적으로 조율되느냐이다.
셋째, 과거와 같은 일방의존의 군사동맹이 아니라 상호의존의 복합동맹으로 발전한 한미관계 전반을 고려해야 한다. 상호방위조약에 사이버안보를 포함하는 문제는 단순히 '사이버 우산'을 빌려 쓰는 데 그치지 않고 그 반대급부를 미국에 제공해야 하는 상황을 초래할 수도 있다. 미중경쟁이 가속화되는 과정에서 한국이 좀 더 적극적으로 자국의 편을 들어 달라는 미국의 요구를 거절하기가 점점 더 어려워질 수도 있다. 2018, 2019년의 이른바 '화웨이 사태'처럼, 미국이 중국과 관련한 특정 기술을 배제하라고 압박한다면 어떻게 할 것인가? 실제로 이러한 전략적 딜레마의 조짐이 최근 반도체 분야의 미중 갈등 과정에서 불거지고 있다.
끝으로, 동맹의 프레임을 넘어서 국제협력의 지평을 보는 시야의 확대도 필요하다. 이번 정상회담 이후 미국 주도의 정보동맹인 '파이브 아이즈' 수준의 협력을 목표로 하고, 장차 캐나다, 영국, 일본 등과도 협력해 동맹이라는 '강한 고리'를 확대하겠다는 구상이 제기되고 있다. 그런데 사이버 안보 분야의 국제협력은 그 특성상 네트워크상의 '약한 고리(weak ties)'의 활용도 놓치지 말아야 한다. 한미동맹이라는 양자 프레임에만 시야를 고정할 것이 아니라 인도·태평양 지역에서 전개되는 소다자·다자 프레임이나 국제기구 차원의 글로벌 프레임을 적극 활용한 국제협력의 모색도 병행해 진행할 필요가 있다.
한미 양국이 재래식 또는 핵 공격을 받았을 때 상호방위한다는 것과 사이버 공격을 받았을 때 상호방위한다는 것의 의미는 사뭇 다를 수밖에 없다. 확장억지라고 하는 동일한 틀에 넣어서 보더라도 사이버 억지를 핵 억지와는 다른 방식으로 이해하고 다뤄야 하는 이유다. 한국이 미국과의 사이버 안보협력에서 기대할 것은, 확장억지와 같은 전통적인 억지 개념에 기반을 둔 '거시적 약속'만이 아니라, '전략적 사이버안보 협력 프레임워크'에서 제시된 구체적인 협력 방안들에 대한 '미시적 실천'이다.