하지만 새해 벽두부터 국내외에서 벌어지는 여러 이슈로 뒤숭숭하다. 국내에서는 디지털자산기본법(안)의 입법 우선순위가 엉뚱한 방향으로 흐르고 있고, 해외에서는 전쟁의 와중에 미국이 발표한 사이버 전략을 비웃기라도 하듯 친-이스라엘(시온주의) 성향의 의료 기술 기업 네트워크가 마비되고 데이터가 삭제·탈취되는 사이버 공격이 벌어지고 있다. 이번 글에서는, 디지털자산이라는 맥락을 유지하되, 사이버 보안이라는 관점에서 앞으로 나아갈 방향을 살펴보기로 하자.
디지털자산기본법
먼저, 국내 상황이다. 디지털자산 거래소의 '대주주 지분 제한'이라는 국내에만 독특한 인위적 설계를 두고 입법 우선순위 논의가 뒤로 밀리며 공전하면서 골든타임을 놓치고 있다는 비판이 높아지고 있다. 공정한 경쟁의 장이 열리도록 글로벌 정합성을 갖추고 명확하게 설계된 제도와 규칙이라는 규율 체계를 바탕으로, 디지털자산 사업자가 책임 있게 혁신하며 국제 경쟁력을 확보해 나가도록 지원해 달라는 기대감이 실망감으로 이어지지 않을까 하는 생각에 자못 안타깝기까지 하다.
디지털자산 기본법 제정 과정은 디지털자산이라는 금융성 자산을 두고 벌어질 수 있는 위험으로부터 사회 공동체의 질서와 이익을 보호하기 위해, 그 발행과 유통을 둘러싸고 보호받을 법익을 통합적으로 반영하고, 앞으로 마련될 제도적 장치와 방향을 두고 의견을 수렴하며 공감대를 형성해 가는 과정이어야 한다.
물론 가장 중요한 투자자 보호의 핵심은 블록체인 생태계에 고유한 디지털자산과 분산원장 기술을 기반으로 토큰화된 자산을 망라해 '나쁜 행위자의 진입과 활동'을 억제하는 체계가 효과적으로 작동하도록 하는 데 있다. 정보의 비대칭이 해소되도록 '알고서 하는 투자' 환경을 조성하고, 사업자들의 유형별로 준수할 행위 규칙을 명확히 하며, 법익을 수호하며 공적 권한을 행사할 당국에 적절한 권한을 부여하고, 나아가 나쁜 행위에 관계되는 원천 정보를 당국에 제공하는 공익신고자를 보호하는 장치에 이르는 포괄적인 규율 체계의 완성에 방점을 두어야 한다. 여기에는 디지털자산의 탈취와 악용에 효과적으로 대응하는 공공-민간 협력 체계의 작동, 초국경으로 움직이는 법정화폐 담보형 스테이블코인을 비롯한 디지털자산을 관리 가능한 '대외지급수단' 범위로 포섭하는 외국환관리 법제의 정비, 나아가 사이버 공간의 위협에 대한 국가 차원의 안보 대응체계까지 포함되어야 한다.
글로벌 차원에서는 '동일 행위, 동일 위험, 동일 규제'라는 대원칙이 표준으로 제시되어 있고, 디지털자산의 특성을 반영하는 '유연한' 맞춤형 규제도 필요하다는 접근법이 대세다. 유럽연합(EU)은 2023년 5월, 암호자산시장법(MiCA)을 제정하면서 그 실행 방안을 법률로써 반영했고 오는 7월 유로권 전역의 본격 시행을 앞두고 있다. 유럽연합은 디지털자산 백서의 기재 사항을 법적으로 명시했고, 디지털자산 사업자의 진입(인허가)과 경영권(주주) 변경 단계에서 대주주와 경영진이 적합한 자격을 갖췄는지 심사해 걸러내기 위해 '적격성 요건' 기준(fit & proper test)을 두었다. 인위적으로 획정한 '지분'으로 제한하는 구조가 아니고, 최종 소유자와 경영진이라는 자리에서 사업자를 실질적으로 지배하는 지위를 갖지 못하게 평판이 좋지 않은 자를 효과적으로 차단하는 장치다. 미국의 법안 논의에서도 그러한 인위적 제한 장치는 찾아볼 수 없다. GENIUS Act, 디지털자산 시장 구조에 관한 Clarity Act 법안, 그리고 지난해 7월 대통령 직속의 디지털자산 시장 실무그룹(PWG)이 발표한, "디지털 금융 기술 부문의 미국 리더십 강화"라는 보고서(PWG Crypto Report)에서도 전례를 찾아볼 수 없다. 대신, 책임 있는 혁신과 경쟁력 강화, 정치한 제도의 설계와 집행에 방점을 두고, 불법 행위 차단을 병행하고 있다.
사이버안보의 확보
두 번째 유념해 볼 사안이 사이버 공간에서의 위협 양상이다. 사이버 위협은 나날이 증가하며 정교화되고, 특히 국가를 배후로 하는 공격 양상이 커지면서 '사이버 전쟁'으로까지 비화했다. 지난 2월 28일 시작된 대이란 전쟁이 전 세계에 어두운 그림자를 드리우는 와중에 주목할 만한 사이버 해킹 사건이 발생했다. 백악관이 3월 6일 트럼프 대통령의 '미국 사이버 전략'(President Trump's Cyber Strategy for America)을 발표한 직후다. 지난 3월 11일 이란 정보 당국과 연계성이 있다고 알려진 친-이란 성향의 '한다라'(Handala)라는 해킹 그룹이 의료 기술 업체 '스트라이커'(Stryker) 네트워크를 공격했다. 블룸버그 등의 보도에 따르면, 이 사이버 공격으로 친-이스라엘 성향의 미국 업체인 스트라이커사의 시스템 전체가 사실상 마비되는 피해가 있었다. 한다라 측은 이란 초등학교 미사일 공격에 대한 보복을 내세웠고, 20만여 개에 달하는 시스템, 서버, 모바일 기기에서 데이터를 삭제했으며, 79개 나라에서 스타라이커사 운영을 마비시켰다고 주장했다. 엄청난 분량의 주요 데이터가 유출되고 데이터 원격 삭제를 동반하는 공격이었다(data wiper/erasure attack). 사내망과 연결된 개인 스마트폰의 데이터까지 삭제됐다고 한다. 데이터 복구와 시스템 복원이 늦어지거나, 의료 장비 작동 환경에 대한 원격 교란으로 이어지면 환자 생명을 직접 위협하는 최악의 상황으로까지 번질 수 있다는 심리적 공포를 노린 공격이 아닐 수 없다.
이처럼 사이버 공간에서의 위협이 진화하고 있다는 점에서, 이제는 국가 안보 차원에서 효과적 대응체계를 구축할 또 다른 골든타임이 찾아왔다고 할 수 있다. 유럽연합은 MiCA와 더불어, 유로존의 핵심 인프라가 갖출 사이버 보안 수준을 강화한 NIS2 및 그 금융 부문 버전인 사이버복원력법(DORA)을 제정하면서, 그 준수 대상에 디지털자산 거래플랫폼도 포함했다. 미국은 통합적인 법률은 아니지만, 최근 발표한 사이버 전략을 통해 대응 기조를 분명히 했다.
사이버안보 확보를 위한 골든타임
트럼프 대통령의 미국 사이버 전략은 민간 첨단기술의 전략적 통합과 활용을 통한 '공세적 억지력'을 강조하며, 미국이 사이버 공간에서도 안보와 기술 우위를 유지하고, 모든 전략 자산을 동원해 사이버 위협에 공세적으로 대응하며, 차세대 첨단기술 경쟁에서도 앞서고, 평시와 전시에 국가 핵심 인프라를 보호해 나가겠다는 핵심 기조를 밝힌 포괄적인 국가 전략이다. ▲적대 세력의 사이버 활동 억제 ▲ 사이버 규제의 합리화 ▲ 정보 시스템의 현대화 및 보안성 강화 ▲ 국가 핵심 인프라 보호 ▲ 핵심 신기술 부문의 우위 유지 ▲ 사이버 인재와 역량 구축이라는 '6대 정책 기조'를 제시하고 있다.
미국은 재래식 군사력뿐만 아니라, 비-물리적 억지력(non-kinetic powers) 부문에서도 타의 추종을 불허하는 압도적 자산을 보유한 나라다. 비-물리적 억지력은 물리적 타격 없이 적의 시스템을 무력화하거나 마비시키는 사이버 공격, 전자전 수행 능력을 뜻한다. 이번 사이버 전략에서는 최고의 기술에 투자하고 혁신을 지속하면서, 사이버 역량을 공세적/방어적 임무에 최대한 활용하기 위해 정부와 민간 부문 간의 전례 없는 협력을 천명했다. 사이버 위협에는 신속하고 단호하게, 선제적으로 정면 대응하고, 필요하면 적대적 네트워크와 인프라를 무력화하는 공세적 사이버 작전도 불사하겠다고 했다. 적대 세력의 사이버 캠페인 무력화, 자국 네트워크의 방어 태세와 복원력 강화, 기술 패권 확보를 추진하고, 산업계가 첨단기술 분야에서 빠르게 혁신할 수 있도록 비효율적인 규제를 제거하며, 혁신에 보안을 입혀 연방 시스템과 핵심 기반 시설 및 공급망을 방어하고, 민간 부문의 재능과 독창성을 활용하는 새로운 공공-민간 관계를 수립해 나가겠다고 했다. 우리나라의 사이버안보 전략 등 국가 안보 전략뿐만 아니라, 공공-민간 부문에 걸친 효과적인 협력 체계 구축, 나아가 국내외 디지털자산 생태계에도 그 시사하는 바가 적지 않다. (미국 사이버 전략 번역본은 업비트 투자자보호센터 홈페이지에 올려놓았다).
국가 안보 전략 차원
첫째, 사이버안보는 국가적인 기밀 보호를 넘어 '국민의 일상'을 지켜내는 민생 직결형 안보 논리로 전환될 필요가 있고, 사이버 공격에 대한 실질적인 억지 수단 확보와 능동형 대응체계 개발이 필요함을 시사한다. 사이버 공격과 위협이 일반 시민을 대상으로 하고 있다는 점에서, 미국은 가혹한 대가를 수반하는 직접적인 사이버 공격 등 공세적 전략으로 전환하기로 했다. 미국민, 산업계, 우방국이 사이버 적대 세력을 홀로 상대하지 않도록 모든 사이버 작전 역량을 동원하고, 민간 부문에 인센티브를 제공하며, 사이버범죄와 지식재산권을 탈취하는 범죄 인프라를 뿌리 뽑고, 불법 자금의 탈출구도 봉쇄하겠다고 했다. 최고의 기술과 팀을 활용해 악성 행위자를 추적하고, AI-기반 사이버 도구도 신속하게 도입하기로 했다. 에이전틱 AI가 스스로 목표를 설정해 위협 행위자를 실시간으로 탐지/유인/기만하고 역공격을 실행하는 '자동화된 사이버 전쟁'을 예상할 수 있다. 또한, 미국은 사이버 공간 방어와 자유 수호는 집단적 노력이라면서, 그에 따르는 비용과 책임을 미국과 우방국 간에 공정하게 배분할 필요가 있다는 점도 강조하고 있다.
둘째, 국가 핵심 인프라에 대한 보호와 첨단기술 패권 유지의 필요성이다. 미국은 초격차 역량을 기반으로 경쟁적 우위를 유지하고, 우선 식별된 국가 핵심 인프라에서 사이버 보안 모범 사례, 양자-내성 암호화(PQC), 제로 트러스트 아키텍처의 채택과 클라우드 전환 등을 추진해 방어력과 복원력을 강화하기로 했다. AI 서비스를 구동하는 AI 기술 스택 전체를 국가 안보 자산으로써 안전하게 보호하기 위해 AI 보안을 혁신하고, 사이버의 중요성에 대한 인식 수준을 높이고, 정부도 최고의 기술을 구매하여 사용하며, AI가 혁신과 글로벌 안정을 가져오도록 사이버 외교도 추진하기로 했다. 이러한 전략은, 반도체와 AI 등 핵심 기술을 보호하고, 클라우드/데이터 센터에 대해서도 국가 중요 시설급의 사이버/물리적 보안 표준을 요구할 필요가 있음을 시사한다.
셋째, 사이버 규제의 합리화 필요성이다. 미국은 사이버 방어가 고비용의 점검 목록(check-list)으로 전락하지 않도록, 데이터 및 사이버 보안 규제를 정비하기로 했다. 규제 준수 부담을 줄이고, 책임 관계를 명확히 하며, 당국과 업계가 보조를 맞추고, 민간 부문이 빠르게 진화하는 위협을 민첩하게 따라잡을 수 있게 하려는 조치다. 국가 안보 자산의 현대화와 경쟁력 확보는 실질 성과를 강조하는 방향으로 접근할 필요가 있음을 시사하는 대목이다.
넷째, 기술 패권 전쟁이 하드웨어를 넘어 AI 모델과 알고리즘이라는 소프트파워의 안보화라는 가치 기반의 경쟁으로 확장되고, 공급망 안보에서 AI 시장은 민주적 가치와 신뢰성을 최우선으로 하여 '신뢰할 수 있는 AI'와 '신뢰할 수 없는 AI'로 양분될 수 있음을 시사한다. 미국은 정보와 운영 기술에 관계된 공급망의 안전한 보호 전략을 명시했다. 미국산 기술의 촉진과 활용을 통해 적대적인 공급자와 제품 의존도를 줄이고, 적대 세력의 초기 접근 기회도 부정해 나가며, 적대국의 저가형 장비나 소프트웨어, AI 모델의 확산을 정보 오염이나 안보 위협으로 규정하고, 사용자 검열·감시와 사용자를 오도하는 편향성이 내장된 AI 플랫폼을 폭로하며 그 확산을 저지하겠다는 방침을 밝히고 있다.
마지막으로, 사이버 인재와 역량 구축이다. 미국은 산업계와 학계, 정부와 군을 망라해 사이버 인재를 교육하고 훈련해 공유하는 실용적인 파이프라인을 구축하고, 나아가 정교한 사이버 기술과 솔루션을 설계하고 구현할 차세대 인력을 충원해 나가기로 했다. 사이버 인재를 국가 번영과 안보를 위한 필수적인 전략 자산으로 보는 접근법은 디지털 금융의 시대, 사이버 공간에서 자행되는 위협에 대처하는 보편적인 국가 전략의 하나가 되어야 한다.
디지털자산 생태계
미국 사이버 전략에는 공세적인 사이버 대응으로의 전환, 불법 자금에 대한 단호한 대처뿐 아니라, 사용자 프라이버시 보호와 암호화폐 및 블록체인 기술의 보안성 지원, 양자-내성 암호화 채택의 촉진 등도 포함되어 있다. 지난해 7월, 백악관이 발표한 대통령 직속의 워킹그룹 보고서에서도 불법 금융 대응과 사이버 보안이 강조되며, '공공-민간 협력 체계'의 확대가 권고되었다. 디지털자산 생태계에 시사하는 바를 살펴보기로 하자.
첫째, 미국 사이버 전략에는 불법 자금의 "탈출 경로와 피난처 부정", 적대적 "네트워크의 해체와 해킹 업체 제재" 등 무관용 기조가 들어 있다. 미국은 불법 자금과 해킹된 자금의 세탁 경로가 되는 디지털자산 거래소나 믹서(Mixer) 등의 프로토콜에 언제든 직접적이고 강력한 개입과 제재를 할 수 있다. 디지털자산 거래소들은 자산의 흐름뿐 아니라 소프트웨어 공급망 전체에 대한 안보 검토, 나아가 국가 안보를 위협하는 자금의 통로가 되지 않도록 실시간 차단 역량까지 갖춰나갈 필요가 있다.
둘째, 민-관 협력 체계하에서는 민간사업자의 안보 책임이 강화되고, 사이버 보안 체계를 갖춰야 한다는 요구가 높아진다. PWG 크립토 보고서에서도 디지털자산 관련 사이버 보안 위험이 국가적 안보 우려로 이어지고 있으므로, 사이버 보안 표준의 채택과 공공-민간 부문 간 협력 체계 확대가 필요하다고 권고했다. 사이버 위협 정보의 자동 전파 등 공유 체계로 편입되는 민간사업자들은 단순한 보고를 넘어 국가 사이버 방위 체계의 일원이라는 역할을 요구받게 될 것이다. 이미 미국에서는 디지털자산 부문에서 민관 협력 체계가 작동한다. Blockchain Alliance와 Crypto-ISAC을 예로 들 수 있다. 전자가 공공과 민간 부문 간의 사람 중심 인적 네트워크라면, 후자는 국가 배후의 정교한 공격에 대응하기 위해 구축된 시스템 중심의 네트워크다. 금융 부문의 정보 공유 및 분석 대응체계인 Financial-ISAC에 상대된다. 크립토-ISAC은 해킹이 발생하면 기술적으로 즉각 대응에 나서, API를 통해 해커의 지갑 주소, 악성코드 패턴 등을 기계적으로 실시간 공유한다. 제재와 기소 등 법적 권한은 있지만 기술적 민첩성이 부족할 수 있는 공적 부문과 권한은 없지만 속도에 앞서는 민간 부문이 결합하여, "민간의 선제 대응→정부 당국의 법적 확정→민간의 봉쇄"라는 협력 대응체계가 작동한다. 코인베이스 등 메이저 거래소들이 이 두 가지 민관 파트너십에 가입되어 있고, SEAL 911이라는 화이트 해커 그룹도 '비공식 핫라인'을 통해 이 협력 체계를 지원한다. 국내의 디지털자산 거래소들도 국내외 협력과 공조의 지평을 넓혀 갈 필요가 높아지고 있다.
셋째, AI 기반 솔루션의 고도화다. '에이전틱 AI' 도입을 통해 자금세탁이나 해킹 자금 추적 속도가 비약적으로 빨라지게 되는 상황이라면, 민간사업자의 AI 기반 솔루션 도입이 현실적 과제가 될 수 있다. 수동적 모니터링을 넘어 AI-기반의 FDS를 갖추고 AI 에이전트가 자금 흐름을 실시간으로 추적·동결하는 시스템을 구축하라는 압박에 대비해야 한다. 이미 업비트 등 국내의 디지털자산 거래소들도 높은 수준의 AI-기반 FDS(이상거래탐지) 체계와 온체인 추적 기술을 실무에 접목하고 있다. 높은 역량과 기술로 민관 협력 체계에서 주어지는 역할을 다하고, 사용하는 예측 모델이나 보안 AI 자체가 국가적 안보 사고로 이어지지 않도록, AI 모델에 대한 취약점 점검까지 보안 프로세스의 필수적 요소가 되도록 해야 할 것이다.
국가적인 역량 강화와 안보 전략을 구성하는 요소는 다양하고 우선순위도 달라질 수는 있다. 디지털 금융 시대로 접어들고 있는 지금에는, 앞서 본 바와 같이, 국가적인 사이버안보 전략과 디지털자산 생태계의 책임 있는 혁신과 경쟁력 제고 또한 우선해야 할 과제 중 하나로 부상하고 있다. 그 제도화되는 규율 체계가 정치하게 설계되고, 효과적으로 작동될 수 있도록 속도감을 더해야 할 때다.
이해붕 업비트 투자자보호센터장
관련태그
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
댓글