EU는 유럽의 사이버보안 산업기술연구역량센터를 위한 계획 수립의 마지막 단계에 들어섰다. 이제 EU는 센터의 위치 선정 및 회원국들의 기여도에 대한 동의 등에 관한 문제들을 마무리 지을 것이다.
센터 유치 조건에 대한 마지막 협상이 임박한 상황에서, EU 정책입안자들은 여전히 회원국들이 자발적으로 비용을 지불해야 하는지에 대한 여부와 센터의 의결권에 관하여 논의 중이다.
센터의 조사위원인 라스무스 안드레센(Rasmus Andresen) 유럽 의회 의원(MEP)은 “우리는 당연히 센터가 회원국의 사이버보안 사업을 위해 예산을 분배하는 기관에 그치지 않고 유럽의 가치가 구현되는 곳이 되도록 해야 한다”고 말했다.
센터의 임무는 EU의 연구 및 디지털 프로그램인 Horizon Europe 및 Digital Europe에서 사이버보안 프로젝트에 자금을 배분하는 것이며, 유럽의 사이버보안 공동체와 연계하는 국가 조정 센터 네트워크를 협력하는데 일조하는 것이다.
유럽 연합 집행위원회는 2018년에 처음으로 센터 계획을 발표했는데, 그러한 센터와 네트워크가 어떻게 운영되는지를 테스트하기 위한 파일럿 프로젝트들에 자금을 지원했다.
파일럿 프로젝트중 하나인 CyberSec4Europe의 코디네이터이자 프랑크푸르트 괴테대학교의 모바일 및 다자간 보안 사업 책임자인 카이 란넨베르그(Kai Rannenberg)는 현재 세계 사이버보안 앱과 데모 프로젝트들이 관심을 받고 있다고 밝혔다.
사이버보안은 학계와 산업 간에 협력 부족이 기술 격차로 이어지는 분야이다. 연구 결과들은 종종 실제 솔루션의 개발로 이어지지 않으며, 새로운 센터가 이것을 해결하는데 도움이 될 수 있다.
란넨베르그에 따르면 이 문제는 교육 분야에서도 존재한다. 한 분석 결과에 의하면 암호학 같은 사이버보안의 전통적인 분야는 98%의 교육 프로그램들이 이를 다루고 있다. 하지만 운영 보안과 응용 솔루션들은 종종 무시되며 그 주제에 대한 강좌를 제공하는 프로그램은 20%도 채 안 된다.
새로운 사이버보안 역량 센터와 네트워크는 상향식 및 분산형 연구 및 거버넌스 구조들을 장려하면서 이러한 격차를 메우는 데 도움을 준다. 라넨베르그는 “우리는 이러한 모델들을 시도하고 있고 결국 유럽 법안이 이러한 모델들을 가능하게 할 것으로 기대한다”고 말했다.
빌뉴스대학교 카우나스 학부 학장인 케스투티스 드리아우니스(Kestutis Driaunys)는 센터가 주요 사이버보안 위협들을 해결하는 데 도움을 줄 것이고 EU 자원들을 더욱 효과적으로 배분해 주기를 희망한다. 사이버보안은 그 영향력이 과학과 산업의 거의 모든 분야에 영향을 미치고 있는 학문이다. 하지만 아직 최고 수준의 전문가가 부족한 분야이다.
사이버보안은 핵심 문제들을 정제하여 전략적으로 개선하고 이를 해결하기 위해 자원을 효과적으로 분배하는 것이 매우 중요해 지고 있다. 센터는 이러한 작업에도 기여할 수 있을 것이다.
기술 주권
지난 8월에 웹브라우저 개발자인 모질라(Mozilla)는 COVID-19가 회사 재정에 타격을 가한 후에 오픈소스 엔지 프로그램 Servo를 버렸다. 이에 따라 이제 구글의 브라우저 엔진인 크로미엄(Chromium)이 Google Chrome, Microsoft Edge 및 다른 기타 브라우저를 뒷받침하는 오픈 소스 코드의 유일한 생성자가 되었다. 리눅스 재단이 Servo를 넘겨 받을 때까지 크로미엄은 해당 분야에서 독점권을 가졌다.
이 사건은 란넨베르그에게 유럽이 동일한 상황에 대비할 수 있는 능력 배양의 필요성을 인지하는 계기를 제공했다. 2020년 여름 당시 아무도 그 프로젝트를 인수할 준비가 되어 있지 않았다. 라넨베르그는 이 같은 경우에 사이버보안 역량 센터가 그 상황을 모니터링하고, 필요할 경우 프로젝트를 지원하기 위한 자금 마련을 위한 활동을 전개할 수 있을 것이라고 말했다.
또한 란넨베르그 부담을 주는 지점들을 정확하게 찾아내고 핵심 기술 개발을 유도하는 것이 센터의 주요 기능 중 하나라고 믿는다. 그는 “디지털화는 만일 우리가 규제하지 않으면 서비스를 낮추어서 독점화하는 경향이 있다”고 지적하면서, “이러한 모든 ICT 인프라는 기술 및 산업 발전에 매우 중요하기 때문에 이를 빨리 마련하는 게 좋다”고 말했다.
이러한 관점에서 보면, 센터는 유럽의 기술 주권 추진에 핵심 주자가 될 수 있다. 란넨베르그는 유럽이 상당히 많은 가치와 민주적인 제도를 가지고 있으며, 이러한 가치들은 사이버보안 분야에서 보전되어야 한다고 지적했다. 이는 전통적인 보안 기술이 대개의 경우 하향식 구조를 선호하기 때문이다.
사이버보안을 위한 R&D 생태계 구축을 목표로 하는 스페인 비영리 기관인 사이버보안 및 디지털 환경(Cybersecurity and Digital Environment) Atlantic Arc의 부회장인 미구엘 가르시아 메네데즈(Miguel García-Menéndez)는 EU 수준의 개입은 우리가 믿고 싶은 것보다 훨씬 더 약한 유럽의 디지털 인프라를 원활하게 운영하기 위해서는 필수적이라고 말했다.
가르시아 메네데즈는 다음과 같이 말했다. “우리는 지금 디지털 취약성을 겪고 있다. 모두가 디지털 전환을 말하고 있지만, 매우 소수만이 디지털 취약성에 대해서 말한다. 매번 우리가 새로운 디지털 인프라를 만들 때, 대부분의 경우 회사들은 허약한 기반 위에 거대한 것을 짓고 있다는 것을 깨닫지 못한다. 그들은 사이버 위험에 쉽사리 빠질 수 있다.”
결국, 가르시아 메네데즈가 기대하는 센터의 역할은 사이버보안 분야에서 유럽을 세계적 리더로 만드는 것이 아니라, 유럽의 디지털 자원을 보호하는 것이다. 그는 공공 기관들이 유럽의 사이버보안 능력을 향상시키기 위해서 전진해야만 하고, 새로운 센터가 이것을 위한 하나의 도구로서 역할을 할 것이라는데 확신을 갖고 있다.
위치
남아있는 주요한 질문 중에 하나는 센터를 어디에 설립할 것인가이다. 현재 7개 국가가 센터 개최 의사를 표명했다.
유럽연합이사회에서 정한 기준들 중 하나는 설립 도시에 실질적인 사이버보안 생태계가 존재하는지 여부이다.
가르시아 메네데즈는 후보 도시 중에 하나인 스페인의 레온(Leon)이 그 센터의 적합한 환경을 제공하고 있다고 생각한다. 레온은 스페인의 여러 개의 사이버보안 조직중의 하나인 스페인 사이버보안 기구(Spanish Cybersecurity Agency)가 있는 곳인데 주변에는 신생기업들과 다국적 기업들이 다수 입지해 있다.
미구엘은 스페인 사이버보안을 의식하고 있으며 다른 국가들을 이끌 수 있다고 말한다. 스페인은 사이버보안의 중요성을 깨닫고 중요한 인프라에 관해 처음으로 유럽의 지침을 발표한 후 인프라를 보호하는 책임을 맡았다. 이로 인해 기업들은 스페인에서 번영할 수 있었고, 스페인의 사이버 산업이 성장할 수 있었다. 미구엘은 레온(Leon)이 제안서의 사업적인 측면에서 잘 부합하는 후보 도시라고 평가했다.
또 다른 조건은 연결성, 보안 및 상호운영 측면에서 훌륭한 IT 시설의 보유 여부이다. 이러한 이유로 드리아우니스(Driaunys)는 리투아니아의 빌뉴스가 좋은 후보라고 생각한다.
리투아니아는 국제 전기 통신 연합의 사이버보안 지수(International Telecommunication Union’s cybersecurity index)에서 세계 4위를 차지하고 있으며 세계에서 가장 뛰어난 인터넷 인프라를 다수 보유하고 있다. 드리아우니스는 리투아니아가 센터 제안서를 제출한 모든 국가 중에서 이 분야에서 리더십이 중요하게 두드러진다고 평가한다.
센터는 이웃 국가인 러시아로부터의 끊임없는 사이버 위협에 직면하고 있는 리투아니아가 사이버 공격에 대한 더 높은 안정성을 확보하는데도 기여할 것이라고 본다.
하지만 렌넨베르그는 자문 기능을 가진 센터가 나머지 EU 기관들과 잘 연결되기 위해서 브뤼셀로부터 합리적인 거리에 위치해야 한다고 말했다.