핵심 요약:
- 나토, GDP의 1.5%를 핵심 인프라 보호에 지출키로 합의…민간 자산이 점점 더 전쟁의 표적이 됨
- 이란의 정유소, 데이터센터, 담수화 플랜트 공격은 기업 안보와 국가 안보 간 경계가 점점 모호해지고 있음을 보여줌
- 민간 인프라 보호에 수백억 달러가 드는 비용을 누가 부담할지 기업과 정부 간 갈등 고조
핵심 요약:

현대전은 이제 민간 인프라를 주요 표적으로 삼고 있으며, 이로 인해 기업 안보와 국가 안보 간의 고비용 융합이 강제되고 있다.
나토 32개국은 지난해 경제 산출량의 1.5%를 핵심 인프라 보호에 지출하기로 합의했다. 이란의 정유소부터 아마존 데이터센터까지 민간 자산을 겨냥한 전쟁이 기업 안보와 국가 안보의 경계를 모호하게 만들고 있는 상황이다.
"우리는 평화에 너무 오랫동안 젖어 있었다"고 보다폰의 노먼 하이트 글로벌 기업 보안 및 복원력 총괄 책임자는 말했다. "사람들은 기업을 위한 물리적 보안이 국방과 같은 공공재라는 사실을 깨닫지 못한다."
이란은 미국 및 이스라엘과의 갈전에서 페르시아만 전역의 정유소, 석유화학 시설, 해수 담수화 플랜트, 아마존 데이터센터를 공격했다. 러시아 해커로 의심되는 세력은 작년에 노르웨이 수력발전 댐의 밸브를 원격으로 조작했으며, 미국 당국은 4월 이란 해커들이 미국 식수 시스템을 표적으로 삼고 있다고 경고했다. 이러한 공격은 더 광범위한 변화를 반영한다. 우크라이나의 발전소, 미국의 공공시설, 발트해에서 타이완까지의 해저 케이블이 모두 전시 표적이 되고 있다.
철근 콘크리트로 데이터센터를 보강하고, 담수화 플랜트를 지하로 이전하며, 핵심 네트워크를 이중화하는 등 민간 자산을 보호하는 비용은 수백억 달러에 달할 것이며, 이 비용을 누가 부담해야 하는지를 두고 기업과 정부 간의 논쟁이 이미 불붙고 있다.
새로운 국방 계산법
북대서양조약기구의 이번 약속은 GDP의 5%를 국방 및 안보에 지출하기로 한 더 광범위한 협정의 일환으로, 사이버 보안, 산업 역량, 철도, 교량, 군사 물류에 필요한 항만 등 군사적 요구와 인접한 분야에 자금을 지원하는 것을 목표로 한다. 이들 노력의 진전 상황은 화요일 터키에서 열리는 나토 정상회의에서 주요 논의 사항이 될 것이다.
"우리는 광범위한 국방 개념이 필요하다. 국방은 더 이상 군사적인 것만이 아니다"라고 주세페 카보 드라고네 나토 군사위원장(이탈리아 해군 대장)은 말했다.
이러한 지출 목표는 기업들이 급속도로 확장되는 위협에 직면한 상황에서 나온 것이다. 해커들은 점차 컴퓨터 파일뿐만 아니라 건물 출입 통제, 공장 제어 등 중요 기능을 관리하는 시스템을 표적으로 삼아 원격으로 물리적 피해를 일으키고 있다. "물리적 시스템에 대한 디지털 공격은 물리적 문제를 만들어낸다"고 이탈리아 사이버보안 기업 엑세인의 지아니 쿠오초 최고경영자는 말했다.
연간 3000억 달러 규모의 화물을 처리하는 캘리포니아 롱비치항의 노엘 하세가바 최고경영자는 지난 5월 매일 수만 건의 공격을 막아내기 위해 사이버방어 작전센터를 출범시켰다. "5년 전만 해도 항만 보안은 주로 사람과 화물에 관한 문제였다. 오늘날에는 사람, 화물, 소프트웨어, 하드웨어, 그리고 영공이 모두 동시에 고려되어야 한다"고 그는 말했다.
누가 비용을 부담할 것인가?
독일에서는 민간 기업과 지방 공공사업자를 대표하는 강력한 산업 협회들이 새로운 물리적 보호 기준에 반발하며 재정적 파탄을 초래할 수 있다고 경고하고 있다. 뉴질랜드 정부는 핵심 인프라 기업과 그 임원들에게 사이버보안 위반에 대한 벌금을 부과하는 제안에 직면해 반대에 부딪혔다.
"민간 소유주는 중복성, 모니터링 및 수리 역량에 투자할 수 있지만, 적대적인 국가 활동을 실질적으로 억지하고, 순찰하고, 귀속시키거나 대응할 수 있는 것은 오직 정부와 군대뿐이다"라고 미 교통부와 국토안보부에서 30년간 사이버보안 및 인프라 보안 분야에서 일한 마크 글래서는 말했다.
유럽연합은 러시아의 우크라이나 전면 침공 이후 각국이 취약점을 줄이도록 요구하는 새로운 규정을 채택했지만, 많은 국가들이 이번 달까지 완료해야 할 국가 위험 평가에서 뒤쳐져 있다. 영국은 19세기로 거슬러 올라가는 법규를 개정해 해저 시설 파괴 행위에 대한 처벌을 강화하는 새 법안을 제안했다. 미국에서는 2018년 설립된 사이버보안 및 인프라 보안국(CISA)의 예산과 인력이 최근 몇 년간 축소됐다.
지난 3월 이란의 드론 공격으로 아랍에미리트와 바레인의 은행 및 기타 상업 목적으로 사용되는 데이터센터가 파괴됐다. 이들 센터는 여전히 오프라인 상태로, 인공지능에 대한 의존도가 높아지면서 데이터센터가 필수 불가결해지고 있다는 일련의 경고 신호 중 하나다. "지금 이러한 교훈을 배우는 것이 나중에 배우는 것보다 낫다"고 카네기 국제평화재단 기술 및 국제문제 프로그램의 샘 윈터-레비 연구원은 말했다.
대부분의 정부는 기업들이 최소 법적 복원력 요구사항을 넘어 투자하도록 유인책을 제공하지 않으며, 이는 투자할 여력이 있는 기업들이 복원력을 경쟁 우위로 내세울 것임을 의미한다. "기업이 핵심 인프라 보호를 위해 국가를 지원할 것으로 기대된다면, 그렇게 하도록 유인책이 필요하다"고 하이트는 말했다. 보다폰과 다른 8개 통신사들은 지난해 유럽 당국과 나토에 해저 케이블 보호를 위한 공공 지원과 조정을 강화할 것을 촉구했다.
이번 조치는 2001년 9·11 테러에 대한 대응과 유사하다. 당시 효율성을 위해 설계된 공항들은 보안을 최우선으로 운영 방식을 완전히 바꿨다. 미국은 연방 정부를 개편하고 수천억 달러를 국토안보에 투입했다. 이제 거의 모든 유형의 시설이 잠재적 표적이 되었지만, 아무도 그 비용을 해결하지 못했다.
본 기사는 정보 제공 목적으로 작성되었으며 투자 조언을 구성하지 않습니다.