Practices and Political Implications of American Cybersecurity Policy since the CNCI (2008)

Abstract

In the age of the World Wide Web where cyberspace is virtually touching everything and everyone, the pursuit of cybersecurity is becoming ever more important. Facing the growing danger of cyber threats, the Bush Administration launched the Comprehensive National Cybersecurity Initiative (CNCI) in 2008 to systematically begin managing cybersecurity problems. The CNCI turns out to be a key document on which America’s cybersecurity foundation is built, providing direction for future policy. On this note, I first look into the various features of the CNCI to conceptualize and frame US cybersecurity policy into what I call the American Cybersecurity Triad. This framework consists of the three focal dimensions of: 1. governmentwide integration; 2. technological counterintelligence; and 3. educational mobilization. This triad is used as the analytical backbone of my paper to depict the core flow of American cyber defense. I then go through each leg of the triad, discussing the main practices that have been in progress since the CNCI. The executions of each of the dimensions in the consecutive order can be represented by: 1. federal, state, local, and international efforts; 2. technical innovations and private-public partnerships; and 3. professional and nonprofessional responsibilities. I then discuss controversial issues that each leg holds, to highlight the political implications that exist within the cybersecurity domain. The fundamental implications of concern regarding the reality of American cybersecurity policy, in the serial order of the triad above, are: 1. the complexities of political processes and bureaucratic biases; 2. the conflict between security and civil rights; and 3. the complications in building workforce coordination and public consensus. My analysis of the American cybersecurity policy since the CNCI finds that the American Cybersecurity Triad and the management of its political implications are crucial in constructing a cyber-secure nation. I finally argue that a state-centric and policy-oriented approach is essential in developing a comprehensive American cybersecurity policy. ;이 논문은 2008년도에 발표된 Comprehensive National Cybersecurity Initiative (이하 CNCI) 이후의 미국 사이버안보 정책의 실제와 정치적 함의를 연구한다. 부시행정부는 사이버안보와 관련된 문제를 체계적으로 다루기 위해 CNCI를 발표했으며, 이 정책문건은 미국 사이버안보의 토대를 형성시키는데 중요한 역할을 제공하고 미래 정책에도 방향을 제시해준다. 따라서 이 논문에서는 CNCI 정책을 미국의 사이버안보에 있어 중요한 기조로서 보고 이를 통해 미국의 사이버안보 정책의 핵심을 개념화한다. 먼저 CNCI 이후에 나타난 미국의 사이버안보 정책을 개념화하고 프레이밍(framing)하기 위해 CNCI를 분석하여 ‘American Cybersecurity Triad’라는 틀을 만든다. 이 프레임은 미국의 사이버안보 정책에 핵심적인 세가지 차원(dimension)을 내포하는데, 그 세가지는 다음과 같다. 첫째, ‘범정부적 통합(Governmentwide Integration),’ 둘째, ‘기술적 방첩활동(Technological Counterintelligence),’ 그리고 셋째, ‘교육적 동원(Educational Mobilization)’이다. 이 틀은 미국 사이버안보의 주된 흐름을 보여주기 위해 이 연구의 분석적 중추로써 활용된다. 다음으로 이 틀에 일관되게끔 미국의 사이버안보 정책이 실제로는 어떻게 전개되어 왔는지를 보기 위해 CNCI 정책과 그 이후의 다양한 실행들을 구체화한다. 첫째, ‘범정부적 통합’에서의 활동들은 연방정부와 주정부, 지방정부, 그리고 국제적인 노력의 결합으로 대표된다. 둘째, ‘기술적 방첩활동’과 관련해서는 기술적 혁신과 정부-민간 합작으로 그 실제가 드러나며, 셋째, ‘교육적 동원’에서의 실행은 전문가와 비전문가의 공동 책임으로 나타난다. 이러한 실제를 기술한 후, 각 차원에서 존재하는 근본적인 정치적 함의를 보기 위해 미국의 사이버안보 정책 속에 내제된 논쟁적인 이슈들을 논의한다. 첫째, ‘범정부적 통합’의 실제 속에서 나타나는 정치적 함의는 다양한 정치적 과정과 관료적 바이어스(bias)로 인한 복잡성으로 대표되며, 둘째, ‘기술적 방첩활동’에서는 안보와 시민권 사이의 갈등, 그리고 셋째, ‘교육적 동원’에서는 사이버 전문인력간의 조직화와 국민의 동의 및 여론 형성의 복잡함을 내포한다. 이러한 핵심적 이슈들을 논하면서 이 논문은 CNCI 이후 미국의 사이버안보 정책이 안고 있는 정치적 함의를 탐구하고 있다. ‘American Cybersecurity Triad’라는 틀을 바탕으로 CNCI 이후 미국의 사이버안보 정책의 주요 실제와 정치적 함의를 분석한 결과, 그 세가지 차원 속에서의 현실적 실행과 그 정치적인 이슈들의 집중관리가 효과적인 미국의 사이버안보 정책을 구축하는데 핵심적이라는 결론에 도달한다. 또한 포괄적인 미국의 사이버안보 정책을 발전시키기 위해서는 국가중심적(state-centric)이고 정책에 기반된(policy-oriented) 접근이 필요하다는 주장을 펼치고 있다. 미국의 사이버안보 정책을 효과적으로 현실화시키기 위해서는 큰 정부가 필요하며 궁극적으로 국가의 역할이 중대하다는 결론이다. ‘American Cybersecurity Triad’의 각 차원에서도 드러나듯이 범정부적인 통합을 실행하고, 기술적인 방첩활동을 발전시키고, 교육적인 동원을 이루기 위해서는 정책에 기반되고 관리된 정부의 역할이 중시된다. 특히 사이버안보라는 복합적인 개념은 다른 기존의 전통적인 안보개념과 다르기 때문에 고유하게 다룰 수 밖에 없다. 마지막으로 세 가지의 차원이 균형적으로 기능하는 것의 중요성을 강조하면서, 그 속에서 드러나는 정치적 함의와 이슈들을 함께 극복해 나가려는 노력이 미국의 사이버안보 정책을 구현하는데 필수적이라고 주장한다. 사이버공간을 보호하는 것은 21세기에서 중요한 글로벌 정책분야가 되었고 관련 글들 또한 많아지고 있지만 아직도 미미한 정도의 글들만이 사이버에 대한 리스크(risk)나 대응, 또는 그 정치적 함의들을 폭넓게 다루고 있다. 따라서 이 연구는 미국 사이버안보 정책의 핵심을 재개념화 하면서, 정치학적인 함의를 같이 풀어나간다는 점에 의의가 있다.