코드를 넘어 지정학으로: 내가 배운 사이버 보안의 진짜 민낯
보통 ‘사이버 보안’이라고 하면 컴컴한 방에서 검은 화면에 초록색 코드를 두드리는 해커를 떠올리곤 한다. 하지만 사이버 보안은 IT 부서의 전유물이 아니라, 국가 간의 소리 없는 전쟁터이자 고도의 정치 싸움이다.
1. 바닷속 케이블이 끊기면 우리 일상은 어떻게 될까?
최근 영국 인근 해역에서 러시아 잠수함 3척이 해저 케이블 근처를 서성이다 포착된 사건이 있었다. 단순히 “남의 나라 바다에서 뭐 하나?” 싶겠지만, 이건 생각보다 훨씬 심각한 문제다.
영국 인터넷 트래픽의 90% 이상, 가스 수입의 77%가 이 해저 파이프와 케이블을 통해 들어오기 때문이다. 만약 누군가 작정하고 이 선을 끊어버린다면? 우리가 매일 마시는 커피 값을 결제하는 일부터 병원 예약, 대학 수강 신청까지 모든 일상이 멈춘다. 단순한 ‘기술적 결함’이 국방부 장관이 직접 나서서 경고를 날리는 ‘국가 안보 위기’로 번지는 순간이다.
이처럼 평범한 기술이 국가의 생존을 위협하는 쟁점으로 격상되는 것을 ‘고도의 안보화(High-Level Securitisation)’라고 부른다. 이건 기술이 결정하는 게 아니라, 정치적 판단에 의해 결정된다.
2. 기술이 모든 걸 결정한다는 착각: ‘Affordances’의 이해
우리는 “AI가 일자리를 뺏을 것”이라거나 “기술이 세상을 바꿀 것”이라는 말을 쉽게 한다. 이를 기술 결정론이라고 하는데, 수업에서는 이 시각을 경계한다. 기술은 그저 도구일 뿐, 그것을 어떻게 쓰고 어떤 의미를 부여하느냐는 사회와 사람에 달려 있기 때문이다.
여기서 재밌는 개념이 바로 ‘어포던스(Affordances)’다. 예를 들어 ‘암호화 기술’이라는 기능은 하나지만, 이를 쓰는 사람에 따라 그 의미는 천차만별이다. 인권 운동가에게는 ‘안전한 대화 창구’가 되고, 범죄자에게는 ‘수사망을 피하는 방패’가 되며, 권위주의 정부에게는 ‘통제에 대한 도전’이 된다. 기술은 중립적일지 몰라도, 그것이 놓인 맥락은 지극히 정치적이다.
3. 세계를 움직이는 세 개의 거대 축: 테크노폴(Technopoles)
사이버 공간에도 보이지 않는 국경과 세력이 존재한다. USYD의 Cybersecurity 수업에서는 이를 세 개의 테크노폴로 설명했다.
- 미국: 실리콘밸리의 압도적인 혁신 리더십으로 기술 우위를 점하고 있다.
- 중국: ‘디지털 주권’을 내세우며 국가 주도로 기술 자급자족을 꿈꾼다.
- 유럽(EU): 기술력은 앞선 두 나라에 밀릴지 몰라도, GDPR이나 AI Act 같은 강력한 ‘규제 권력’으로 전 세계 표준을 주무른다.
이들의 관계를 단순히 무기를 쌓아두는 ‘군비 경쟁’으로 볼 것인지, 아니면 서로 시너지를 내는 ‘혁신 경쟁’으로 볼 것인지에 따라 우리가 세워야 할 정책도 달라진다.
4. Claude Mythos와 이중 용도의 딜레마
최근 가장 뜨거웠던 사례는 앤스로픽(Anthropic)의 Claude Mythos 모델이다. 이 AI는 수십 년 동안 인간 개발자들이 찾아내지 못한 오픈소스의 취약점을 단숨에 찾아냈다.
놀라운 발전이지만 소름 돋는 지점이기도 하다. 방어자가 쓰면 ‘최강의 백신’이지만, 공격자가 쓰면 ‘치명적인 무기’가 되기 때문이다. 이를 이중 용도(Dual-use)의 딜레마라고 한다. 결국 앤스로픽은 이 모델을 대중에게 공개하는 대신, 선택된 기업들과만 협력하는 방식을 택했다. 기술적 성취보다 ‘누구에게 이 힘을 줄 것인가’라는 정치적 판단이 앞선 결과다.
5. 우리가 사이버 정치를 배워야 하는 이유
지금 이 순간에도 전 세계는 보이지 않는 사이버 공간에서 Espionage(첩보), 영향력 공작, 경제 전쟁을 벌이고 있다. 기술은 빛의 속도로 변하는데, 이를 다스릴 국제법이나 규범은 거북이걸음이다.
결국 사이버 보안을 공부한다는 건 파이썬 코드를 짜는 기술을 넘어, 이 복잡한 세계의 권력 지도를 읽는 법을 배우는 과정이다. 바로 이 다음주에 진행된 Crisis Simulation(위기 대응 시뮬레이션)이 의미있었던 이유이기도 하다. 직접 다른 국가나 기업의 역할을 맡아 이 지독하게 얽힌 이해관계를 풀어보는 것은 내겐 무척 새로운 경험이었기 때문이다.
이 글은 USYD의 CISS6022 Cybersecurity 수업 내용을 바탕으로 작성되었습니다.
