WHAT IS CYBERSECURITY?

WHAT IS CYBERSECURITY?
In search of an encompassing definition for the post-Snowden era
Morten Bay
UCLA Information Studies
Ph.D. Candidate in Information Studies at UCLA
mortenbay@ucla.edu

 

INTRODUCTION
The quote above is from a press release issued by the White House on February 13, 2015. The occasion was a cybersecurity summit, called by President Obama, which saw participation by leaders from some of America’s largest technology-producing and technology-reliant firms. It does not divulge any further information about its last sentence, and why Americans would not want the Federal government to provide cybersecurity for every private network. All-encompassing federal cybersecurity provisions may not be practical, but what is it exactly that makes it so self-explanatory that Americans are against it? In the post-Snowden age, privacy issues come to mind, but also tax payer money being spent on what would essentially be a nationalization of an enterprise that has already been undertaken by private actors in a market worth billions. The White House is most likely correct in assuming that such a policy would be overwhelmingly unpopular. But if that premise is accepted, another, and more complex question is raised: If government, federal or local, cannot provide the citizens it covers with complete protection from cyberattacks, how much can and should it provide?
The question is complicated by several factors. When it comes to protection from crime, terrorism or hostile attacks from foreign nations, we rely on the government on protection through law enforcement and the military, two areas that even have their own departments and cabinet secretaries. Even when we employ private protection measures from mall security officers to personal bodyguards, eventually government agencies will take over when incidents happen – from the local police officer that is called in to handle a shoplifter to the arrest of somebody whose attack on a VIP has been stopped by a bodyguard. But that does not seem to apply as soon as the prefix ‘cyber-’ is applied. As soon as those five letters are applied to incidents, private actors are in large part the enforcers of protection. It is easy to understand in the case of an attempt to hack an individual’s computing equipment – it is analogous to buying home protection through a security firm. But the analogy between ‘cyberspace’ and ‘real-space’ does not hold as soon as we turn our gaze to infrastructure. Government entities own and protect infrastructure such as roads, bridges and in some locations, even the power grid in the physical world. But, as the White House press release indicates, there seems to be a perception that digital infrastructures are different, because, A. they are not physical, and B. they are not state-owned or government-controlled and therefore protection of them is first and foremost a responsibility held by the private sector and the government second. In the following, I shall challenge the validity of both those claims.
As the White House press release states, much of critical infrastructure that is targetable through cyberattacks (i.e., digital information infrastructure) is owned by the private sector. A police patrol car can use public streets to move around but the police needs a warrant to search private premises and can only enter them otherwise if there is suspicion of a crime being committed on the premises. But in cyberspace, as the White House admits, all the premises are private, so it is hard for the ‘patrol car’ to even get to a crime scene. This has led to the government adopting a strategy of what is called “criminal deterrence” in the White House quote above. An interpretation of this term, in the context of the quote, is that the government can react to a crime or an act of war after it is committed, and it can engage in deterrence. It cannot stand in the way of those committing the acts, like it does through national defense. That would require a walled-garden Internet strategy such as the one adopted by China, which is unconstitutional in the U.S., precisely because the infrastructure in question is private. Government attempts to ‘patrol’ the infrastructure are massively unpopular, as the Snowden case has revealed (Ganguly, 2015). Which raises another question: How can the government act as provider of any type of security, if it is not allowed some amount of surveillance power, i.e., the ability to monitor what is happening in the digital infrastructure?
What all this rather simplistic reasoning adds up to is the fact that the analogy between ‘real-space’ and ‘cyberspace’ (see definitions below) does not hold by default. There seems to be a need to treat the ‘cyber’ realm differently and rethink the way justice is enforced and international relations are maintained. Every U.S. citizen has a constitutional right to protection against both crimes and acts of war from the government. The constitution’s preamble states that the government by the people shall “establish Justice, insure domestic Tranquility, provide for the common defence, promote the general Welfare, and secure the Blessings of Liberty to ourselves and our Posterity” (Archives.gov, 2015), so the government cannot be left completely out of the picture, even when it comes to the ‘common defence’ and ‘securing the Blessings of Liberty’, a task which it would seem falls to private actors in the digital space.
In other words, it appears that there is a need to examine the term ‘cybersecurity’ and move towards a more specific understanding of the concept, which encompasses both the cybersecurity provided by private actors, as well as the cybersecurity provided by government agencies, in order to protect the lives, property as well as privacy for individuals in the network age.

 

서론
위의 인용문은 2015년 2월 13일 백악관이 발표한 보도자료에서 나온 것이다. 이 날 행사는 오바마 대통령이 소집한 사이버 보안 정상회담이었는데, 이 회담에는 미국 최대의 기술생산 및 기술의존도가 높은 몇몇 기업들의 지도자들이 참석했다. 게다가 이 회담은 마지막 문장에 대한 정보를 더 이상 밝히지 않고 있으며, 왜 미국인들은 연방정부가 모든 사적 네트워크에 사이버 보안을 제공하는 것을 원하지 않는지도 모른다. 이 모든 것을 포괄하는 연방정부의 사이버 보안 조항들은 실용적이지 않을 수도 있지만, 정확히 무엇 때문에 미국인들이 이 조항에 반대하는 것인지를 너무나 자기 설명적으로 설명할 수 있는 것일까? 스노든 이후의 시대에는, 프라이버시 문제가 떠오를 뿐만 아니라, 납세자들은 수십억 달러 규모의 시장에서 이미 민간 행위자들이 수행하고 있는 기업의 국유화를 위해 지출되고 있다. 이러한 정책이 압도적으로 인기가 없을 것이라고 백악관이 가정하는 것은 아마도 옳을 것이다. 하지만 이러한 전제가 받아들여진다면, 연방정부든 지역정부든, 정부가 사이버 공격으로부터 자신이 커버하는 국민들에게 완전한 보호를 제공할 수 없다면, 이 정책은 얼마나 제공할 수 있고 제공해야 하는가 하는, 또 하나의 보다 복잡한 질문이 제기된다?
문제는 여러 가지 요인으로 인해 복잡하다. 범죄, 테러 또는 외국으로부터의 적대적 공격으로부터 보호하는 경우, 우리는 법 집행을 통한 보호와 군에 의존하는데, 이 두 분야에는 심지어 자체 부서와 내각 비서가 있다. 심지어 우리가 쇼핑몰 보안 담당자로부터 개인 경호원에 이르기까지 사적인 보호 조치를 취할 때도, 도둑을 처리하기 위해 출동한 지역 경찰관으로부터 VIP에 대한 공격이 경호원에 의해 저지된 사람을 체포하는 것에 이르기까지, 사건이 발생하면 결국 정부 기관이 대신하게 된다. 하지만 '사이버'라는 접두사가 붙자마자, 이는 적용되지 않는 것 같다. 이 다섯 개의 글자가 사건에 적용되자마자, 사적인 행위자들이 대부분 보호 집행자가 된다. 개인의 컴퓨터 장비를 해킹하려는 시도의 경우, 쉽게 이해할 수 있는데, 이는 보안 회사를 통해 가정 보호 장치를 구입하는 것과 유사하다. 하지만 우리가 사회 기반 시설로 시선을 돌리자 마자, '사이버 공간'과 '실제 공간' 사이의 비유는 성립되지 않는다. 정부 기관들은 도로, 다리 그리고 심지어 물리적인 세계의 전력망과 같은 사회 기반 시설을 소유하고 보호한다. 하지만 백악관의 보도 자료에서 알 수 있듯이, 디지털 사회 기반 시설은 다르다라는 인식이 있는 것 같다, 왜냐하면 디지털 사회 기반 시설은 물리적인 것이 아니기 때문이다. 왜냐하면 디지털 사회 기반 시설은 국영이거나 정부의 통제를 받지 않기 때문이다. 그러므로 디지털 사회의 보호는 최우선적으로 민간 부문과 정부가 보유한 책임이다. 이하에서 나는 그 두 가지 주장의 타당성에 이의를 제기한다.
백악관 보도자료에 나와 있듯이, 사이버 공격을 통해 목표로 삼을 수 있는 중요한 사회기반시설 (즉, 디지털 정보 사회기반시설)의 상당 부분은 민간 부문이 소유하고 있다. 경찰 순찰차가 이동하기 위해 공공 도로를 이용할 수는 있지만, 경찰은 사적인 건물을 수색하기 위해 영장이 필요하며, 그렇지 않은 경우에만 순찰차가 진입할 수 있다. 하지만 사이버 공간에서는, 백악관이 인정하듯이, 모든 건물이 사적인 공간이기 때문에, '순찰차'가 범죄 현장에 가기조차 힘들다. 이로 인해, 정부는 위의 백악관 인용문에서 말하는 '범죄 억제' 전략을 채택하게 되었다. 인용문의 맥락에서 이 용어를 해석하자면, 정부는 범죄나 전쟁 행위가 저지른 후에 그것에 대응할 수 있고, 그것은 억제에 관여할 수 있다는 것이다. 이 전략은 국방을 통해서 하는 것처럼 그러한 행위를 저지르는 사람들을 방해할 수는 없다. 그렇게 하려면, 중국이 채택한 것과 같은 장벽을 두른 인터넷 전략이 필요할 것인데, 이는 정확히 문제의 사회기반시설이 사적이라는 이유만으로, 미국에서는 위헌이다. 정부는 스노든 사건에서 드러난 것처럼 사회기반시설을 '순찰'하려고 시도한다 (강글리, 2015). 또 다른 의문을 제기하는 것은, 즉 디지털 사회기반시설에서 무슨 일이 일어나고 있는지 감시할 수 있는 능력이 허용되지 않는다면, 어떻게 정부가 어떤 종류의 보안도 제공하는 역할을 할 수 있느냐 하는 것이다?
이 다소 단순한 추론들이 모두 합쳐지는 것은 '현실 공간'과 'cybers 공간'(아래의 정의 참조) 간의 비유가 기본적으로 성립하지 않는다는 사실이다. 'cyber' 영역을 달리 취급하고 정의가 집행되고 국제 관계가 유지되는 방식을 다시 생각해 볼 필요성이 있어 보인다. 모든 미국 국민은 정부로부터 범죄와 전쟁 행위 모두에 대해 보호받을 헌법적 권리가 있다. 헌법 전문은 국민에 의한 정부는 "정의를 확립하고, 국내의 평온을 보장하며, 공동 방위를 제공하고, 일반 복지를 증진하며, 우리 자신과 우리 후손에게 자유의 축복을 보장한다"(Archives.gov , 2015)고 명시하고 있어, 디지털 공간의 민간 행위자들에게 떨어질 듯한 과제인 '공동 방위'와 '자유의 축복 securing'에 관한 한, 정부를 완전히 배제할 수는 없다.
즉, 네트워크 시대에 개인의 생명, 재산은 물론 사생활 보호를 위해 민간 행위자가 제공하는 사이버 보안과 정부 기관이 제공하는 사이버 보안을 모두 포괄하는 개념에 대한 보다 구체적인 이해로 나아갈 필요성이 있는 것으로 보인다.

 

WHAT IS CYBERSECURITY?
The word ‘security’ is defined in the online version of the Oxford English Dictionary (Oxford University Press, 2015) as “The state of being free from danger or threat”. However, that simple definition belies the complexity of the actual use of the word, and particularly when it comes to cyber-security. The latter term is used continuously by politicians, computer specialists, IT managers, tech entrepreneurs, health industry professionals and national security operators, a spectrum so wide it would seem almost impossible that so many people would agree on a definition. As it turns out, there are differing views on what cybersecurity is. The term is used to cover the measures government institutions take to protect the public and the institutions themselves from threats in the ‘cyber’-domain, also known as ‘cyberspace’. Yet it is also used on a level that is somewhat closer to the individual, when it refers to protection against viruses and other malware on a computer, whether this is personally owned or used in the work situation.
The term itself also does not give any clues as to which threats, cybersecurity secures against. Unlike a term such as ‘national security,’ ‘job security’ or ‘environmental security’ which clearly state that the things to be secured are the nation, employment and the environment, cybersecurity is less clear. Is it ‘cyber’ that needs protection, or is the security put in place through means of ‘cyber’? Since its emergence in the years following the end of the cold war (see below), attempts at interpreting and defining cybersecurity have been made by many scholars. In the following I will provide an overview of the movement towards a more specific definition of cybersecurity, beginning with the breakdown of this composite into its two components, followed by a discussion of the term as a whole.

 

사이버보안이란?

'보안'이라는 단어는 옥스포드 영어 사전의 온라인 버전 (Oxford University Press, 2015)에서 "위험이나 위협으로부터 자유로운 상태"로 정의됩니다. 하지만, 이러한 단순한 정의는 특히 사이버 보안과 관련하여, 이 단어의 실제 사용의 복잡성을 경시합니다. 후자의 용어는 정치인, 컴퓨터 전문가, IT 관리자, 기술 기업가, 보건 산업 전문가 및 국가 보안 운영자들에 의해 지속적으로 사용되며, 너무나 많은 사람들이 정의에 동의할 수 없을 정도로 광범위한 영역에서 거의 불가능해 보입니다. 알고 보니, 사이버 보안이 무엇인지에 대한 다양한 견해가 있습니다. 이 용어는 '사이버 공간'이라고도 알려진 '사이버' 영역의 위협으로부터 대중과 기관을 보호하기 위해 정부 기관들이 취한 조치를 포괄하기 위해 사용됩니다. 하지만, 이 용어는 개인이 소유하고 있든, 업무 상황에서 사용하고 있든, 컴퓨터의 바이러스 및 기타 악성 프로그램으로부터 보호하는 것을 의미할 때, 개인에 다소 가까운 수준에서도 사용됩니다.
용어 자체도 사이버 보안이 어떤 위협에 대비하여 보안을 확보하는지에 대한 단서를 제공하지 않는다. 보안의 대상이 국가, 고용, 환경임을 명확히 밝힌 '국가 안보'나 '고용 안보' 또는 '환경 안보'와 같은 용어와 달리 사이버 보안은 명확성이 떨어진다. 보호가 필요한 것이 '사이버'인가, 아니면 '사이버'라는 수단을 통해 보안이 마련되는가? 냉전이 종식된 이후(아래 참조), 사이버 보안을 해석하고 정의하려는 시도는 많은 학자들에 의해 이루어져 왔다. 이하에서는 이 복합체를 두 가지 구성 요소로 분해하는 것을 시작으로 사이버 보안에 대한 보다 구체적인 정의를 향한 움직임에 대한 개요를 제공하고 용어 전반에 대한 논의를 진행할 것이다.

 

DECOMPOSING CYBERSECURITY
Most state-provided/ public definitions of cybersecurity can be classified as realist/positivist as I will explain below. This so-called traditional view on security writ large is mostly oriented towards threats at a systemic/collective level, rather than an individual level. This means that usage of the term by public officials or public communication outlets usually does not address the individual’s need for cybersecurity on his or her computer (or other device), but rather it addresses the cybersecurity needs of the nation, larger population groups, infrastructure critical to the population or to businesses and the general economy. This way of addressing the issue resembles the rhetoric surrounding national security in the offline world, and it is not surprising that there is a parallel between this (particularly the U.S. government’s) way of addressing cybersecurity and traditional/realist/ positivist notions of security as such.
An example could be US-CERT (United States Computer Emergency Response Team), the cybersecurity division of the Department of Homeland Security (DHS), which offers both a broad and a more specific definition online:

“The activity or process, ability or capability, or state whereby information and communications systems and the information contained therein are protected from and/or defended against damage, unauthorized use or modification, or exploitation.”
“Strategy, policy, and standards regarding the security of and operations in cyberspace, and encompass[ing] the full range of threat reduction, vulnerability reduction, deterrence, international engagement, incident response, resiliency, and recovery policies and activities, including computer network operations, information assurance, law enforcement, diplomacy, military, and intelligence missions as they relate to the security and stability of the global information and communications infrastructure. (DHS, 2015)
From a scholarly standpoint, Craigen, Diakun-Thibault, and Purse (2014) define the term in a way which attempts to cover as much ground as possible, and yet still have a legalistic resonance: “Cybersecurity is the organization and collection of resources, processes, and structures used to protect cyberspace and cyberspace-enabled systems from occurrences that misalign de jure from de facto property rights” (p.1).

 

사이버 보안의 해체
사이버 보안에 대한 대부분의 국가 제공/공공 정의는 내가 아래에서 설명할 바와 같이 현실주의/실증주의로 분류될 수 있다. 대규모 보안에 대한 소위 전통적인 견해는 대부분 개인 수준보다는 체계적/집단적 수준의 위협을 지향한다. 이는 공무원이나 공공 통신 매체가 이 용어를 사용하는 것이 보통 개인의 컴퓨터(또는 기타 장치) 상의 사이버 보안에 대한 요구를 해결하는 것이 아니라 국가, 더 큰 인구 집단, 인구 또는 기업 및 일반 경제에 중요한 인프라의 사이버 보안 요구를 해결한다는 것을 의미한다. 이러한 문제 해결 방식은 오프라인 세계에서 국가 안보를 둘러싼 수사학과 유사하며 사이버 보안을 다루는 방식과 (특히 미국 정부의) 전통적/실증주의적 안보 개념 사이에 유사점이 있다는 것은 놀라운 일이 아니다.

예를 들어 국토안보부(DHS)의 사이버 보안 부서인 US-CERT(United States Computer Emergency Response Team)를 들 수 있으며, 이는 온라인에서 광범위하고 보다 구체적인 정의를 제공한다:
"정보통신 시스템 및 그에 포함된 정보가 손상, 무단 사용 또는 수정 또는 착취로부터 보호 및/또는 방어되는 활동 또는 프로세스, 능력 또는 능력 또는 상태"
"사이버 공간에서의 보안 및 운영에 관한 전략, 정책 및 표준, 그리고 글로벌 정보통신 인프라의 보안 및 안정성과 관련된 컴퓨터 네트워크 운영, 정보 보장, 법 집행, 외교, 군사 및 정보 임무를 포함한 위협 감소, 취약점 감소, 억제, 국제적 관여, 사고 대응, 복원력 및 복구 정책 및 활동의 전 범위를 포괄한다(DHS, 2015)
Craigen, Diakun-Thibault, and Purp(2014)는 학술적 관점에서 이 용어를 가능한 한 많은 근거를 포괄하려고 시도하면서도 여전히 법주의적 공명을 갖는 방식으로 정의한다: "사이버 보안은 사실상의 재산권으로부터 구속력을 잘못 정렬하는 사건으로부터 사이버 공간 및 사이버 공간 가능 시스템을 보호하기 위해 사용되는 자원, 프로세스 및 구조의 조직 및 수집이다."(p.1).

 

TOWARDS A DEFINITION OF CYBERSECURITY
As evidenced by the discussion above, a very precise definition of the term cybersecurity that can be summed up in a few sentences seems quite elusive. However, a few conclusions can be drawn which are helpful in the journey towards a workable interpretation of the term:
 Cybersecurity is a security matter, i.e., it is concerned with freedom from threats.
 Threats to cybersecurity all share the common trait that they constitute the threat of a breach/attack.
 Cybersecurity, although related, is different than information security and computer security.
 From the definitions put forward by Craigen, Diakun-Thibault and Purse (2014), DHS (2015) and ISO (2012), there is a clear tendency towards defining cybersecurity as primarily being concerned with the security of systems, rather than individuals. When looking at these systemic definitions through the lens of security studies, they seem to fall into the traditional category.
 Critical security studies offers a different perspective on the concept of security, with particularly the Aberystwyth and Copenhagen schools introducing both the individual and the discourse into security analysis. Critical security studies also opens up security studies to analysis of other types of security, e.g environmental security or, relevant to this text, cybersecurity.
 There seems to be a shortage of literature which employs critical security studies in order to understand cybersecurity.
 A working definition of cybersecurity must address that which the referent object is being secured against, i.e., the threats to security.
 In the case of cybersecurity, there are several types of threats, but what they all have in common is that they entail some sort of digital breach/attack.
 If one adopts a materialist view on the digital, such a breach/attack compromises physical security measures comparable to the physical damage inflicted by the threats dealt with in security studies writ large (albeit on a micro-level). This is augmented by the existence of ‘kinetic crossover’ events, in which a threat to cybersecurity crosses over to become a threat in the non-digital space.

 

사이버 보안의 정의를 향하여
위의 논의에서 입증되었듯이, 몇 문장으로 요약될 수 있는 사이버 보안이라는 용어에 대한 매우 정확한 정의는 상당히 어려워 보인다. 그러나, 이 용어에 대한 실행 가능한 해석을 향한 여정에서 도움이 되는 몇 가지 결론이 도출될 수 있다:
 사이버 보안은 보안 문제, 즉 위협으로부터의 자유에 관한 것이다.
 사이버 보안에 대한 위협은 모두 침해/공격 위협을 구성한다는 공통된 특성을 가지고 있다.
 사이버 보안은 비록 관련이 있지만 정보 보안이나 컴퓨터 보안과는 다르다.
 Craigen, Diakun-Thibault and Purp(2014), DHS(2015) 및 ISO(2012)가 제시한 정의를 보면, 사이버 보안을 개인보다는 시스템의 보안에 주로 관심을 두고 있는 것으로 정의하는 경향이 뚜렷하다. 이러한 시스템 정의를 보안학의 렌즈를 통해 살펴보면, 전통적인 범주에 속하는 것으로 보인다.
 중요 보안 연구는 보안의 개념에 대한 다른 관점을 제공하며, 특히 아베리스트위스와 코펜하겐 학파는 개인과 담론을 모두 보안 분석에 도입했다. 또한 중요 보안 연구는 환경 보안이나 이 텍스트와 관련된 사이버 보안과 같은 다른 유형의 보안 분석에도 보안 연구를 개방한다.
 사이버 보안을 이해하기 위해 중요한 보안 연구를 사용하는 문헌이 부족해 보인다.

 사이버 보안의 작업 정의는 참조 대상이 보안 대상, 즉 보안 위협에 대해 보호되고 있는 것을 다루어야 한다.
 사이버 보안의 경우 여러 유형의 위협이 존재하지만, 모두 일종의 디지털 침해/공격을 수반한다는 공통점이 있다.
 디지털에 대해 유물론적 관점을 채택한다면, 그러한 침해/공격은 (비록 미시적 수준이지만) 대규모로 작성된 보안 연구에서 다루는 위협에 의해 가해지는 물리적 손상에 필적하는 물리적 보안 조치를 손상시킨다. 이것은 사이버 보안에 대한 위협이 비 디지털 공간에서 위협이 되기 위해 교차하는 '동역학적 크로스오버' 이벤트의 존재로 인해 강화된다.

CONCLUSION
Above, I have explored the different theoretical and interpretational aspects that could or even should be considered when discussing cybersecurity as a concept and a term. Through application of theory from critical security studies as well as philosophy and sociology, I have shown that cybersecurity as a concept inhabits a space which is bigger than simply protecting computers from viruses or hacker attacks. Cybersecurity is a security matter which spans from the individual’s security against cyber threats to all of society. As such, the concept of cybersecurity demands a multi-faceted theoretical approach, which I have attempted to show above. In conclusion, however, we are left with a definition of cybersecurity that is anything but specific, and is open for even more research and theorization in the future.

 

결론
이상에서 필자는 개념과 용어로서의 사이버 보안을 논의할 때 고려될 수 있거나 고려되어야 할 다양한 이론적, 해석적 측면을 탐색하였다. 철학과 사회학뿐만 아니라 비판적 보안학의 이론 적용을 통해 개념으로서의 사이버 보안이 단순히 바이러스나 해커의 공격으로부터 컴퓨터를 보호하는 것보다 더 큰 공간에 서식한다는 것을 보여주었다. 사이버 보안은 사이버 위협에 대한 개인의 보안에서부터 사회 전체에 걸친 보안 문제이다. 이처럼 사이버 보안의 개념은 다면적인 이론적 접근을 요구하며, 이는 필자가 위에서 보여주려고 시도한 것이다. 그러나 결론적으로 우리는 사이버 보안에 대한 정의를 구체적이지 않고 남겨두었으며, 앞으로 더욱 많은 연구와 이론화를 위해 열려 있다.