1. 서론
최근 사이버 공격은 전시와 평시를 가리지 않고 그 빈도와 범위가 증가하고 있다. 러시아-우크라이나 전쟁에서 러시아가 우크라이나 정부 기관과 은행을 대상으로 분산 서비스 거부(DDoS) 공격 및 와이퍼 악성 코드를 활용해 사회적 혼란을 초래하고 민간 인프라를 마비시킨 사례에서 볼 수 있듯이, 사이버 공격은 현대전의 핵심 요소로 부각되고 있다. 우리와 직접 대치 중인 북한도 정부기관, 금융기관, 군과 방산업체 등을 대상으로 무차별적 사이버 공격을 수행하고 있어 한반도 역시 사이버 공격의 안전지대가 아니다.
이와 관련해 미국은 사이버 공격을 심각한 안보 위협으로 간주하고 제로 트러스트(Zero Trust) 보안모델과 위험 관리 프레임워크(Risk Management Framework)를 무기체계 획득사업에 적극 적용하고 있다. 또한, 디펜드 포워드(Defend Forward)와 헌트 포워드(Hunt Forward) 작전 수행개념을 통해 사이버 위협에 공세적으로 대응함으로써 사이버 공간에서의 대응 능력을 강화하고 있다[1]. 우리 軍도 사이버 전력을 비롯한 비대칭 전력에 대응하기 위해 제로 트러스트 시범사업을 추진하고 있으며, 한국형 위험 관리 프레임워크(K-RMF) 도입을 통해 사이버 대응력을 높이고 있다. 하지만 사이버전 수행을 위한 사이버 무기체계 개발 프로세스와 개발비용 산정에 관련한 연구는 상대적으로 아직 미진한 상태이다.
최근 첨단 무기체계에서 소프트웨어(SW)의 비중이 비약적으로 증가하고 있지만, 기존의 하드웨어 중심의 무기 획득 프로세스는 소프트웨어(SW) 환경변화를 충분히 반영하지 못한다. 일반적으로 소프트웨어(SW)가 집약된 무기체계는 신속한 획득 절차와 전 수명주기 동안 지속적인 업데이트 및 패치(patch)가 요구된다. 이러한 소프트웨어(SW) 환경변화를 반영하여 美軍은 적응형 획득 모델(Adaptive Acquisition Framework, AAF[2])에 소프트웨어 획득 경로(Software Acquisition Pathway, SWP[3])를 반영하였다. 미군의 소프트웨어 획득 경로(SWP)는 애자일(agile) 모델을 적용해 최신 무기의 효과적인 관리와 유지보수를 촉진한다. 애자일(agile) 모델은 사용자와 개발자가 협력하여 사용자 요구사항 및 피드백을 신속히 반영하기 위해 소프트웨어(SW) 설계, 구현, 시험, 배포 절차를 반복함으로써 소프트웨어(SW) 환경변화에 탄력적으로 대응할 수 있다[4].
일반적으로 사이버 무기는 무형의 소프트웨어(SW)로서 가치 평가가 어렵고, 개발 기간 및 운영 환경의 변화로 인해 불확실성이 크며, 획득 소요 비용을 정확히 산정하기 어렵다. 따라서 기존의 무기체계 개발 프로세스로 많이 사용하던 폭포수 모델[5]로는 소프트웨어(SW) 환경변화에 적응하기 힘들다. 이러한 문제를 해결하기 위해 최근 애자일(agile) 모델을 활용한 사이버 무기체계 획득 프로세스 및 개발비용 산정을 위한 연구가 활발히 진행중이다[6, 7, 8]. 또한, 우리 방위사업청도 애자일 모델을 무기체계와 소프트웨어(SW) 획득에 적용하기 위한 제도 개선을 추진 중이다[9].
본 논문은 사이버 무기 획득 프로세스에 대해 고찰하고, 나아가 사이버 무기 개발비용 산정 방안에 대해 연구한다. 이를 위해 美軍을 중심으로 애자일 모델을 적용한 사이버 무기체계 획득 모델에 대해 연구하고, 해당 모델을 WannaCry 사례에 적용해 사이버 무기 개발비용을 산정해본다. 본 논문의 연구결과는 향후 사이버 무기체계 획득을 위한 합리적인 의사결정을 지원하는 자료로 활용될 수 있을 것이다.
2. 美軍의 사이버 무기 획득 정책
이번 장에서는 사이버 무기 획득방안과 관련해 美軍의 적응형 획득 모델(AAF) 및 사이버 무기 획득방안에 대해 살펴본다.
2.1 美軍의 국방혁신과 적응형 획득 모델(AAF)
美 국방부는 첨단 기술을 보유한 민간 IT 기업들의 방위산업 참여 확대를 위한 법령, 제도, 절차, 조직, 예산 등에서 전면적인 혁신 정책을 추진하고 있다[10]. 특히, 제도 및 절차 측면에서 기존의 무기획득 프로세스인 주요 역량 획득(Major Capability Acquisition)과 긴급 역량 획득(Urgent Capability Acquisition) 외에도 민간 첨단 기술의 신속한 국방 무기체계 적용을 위한 중간 단계 획득(Middle Tier of Acquisition), 소프트웨어 획득(SW Acquisition), 그리고 인사 및 군수 관리체계 등을 포함하는 국방비즈니스 획득(Defense Business Systems), 서비스 획득(Acquisition of Services) 등 6개 무기 획득 프로세스를 포함한 적응형 획득 모델(AAF)을 정립하였다.
(그림 1)은 적응형 획득 모델(AAF)의 각 경로(pathway)상 주요 내용을 보여준다. 이 모델은 획득되는 무기 유형에 따라 획득 경로를 선택하여 혁신적인 방어 체계를 구축하고, 신속한 기술적 대응을 가능하게 한다. 이러한 기반 아래 인공지능(AI), 클라우드, 사이버보안 등 첨단 기술을 보유한 민간 IT 기업의 방위산업 진출을 확대하여 안보와 경제의 선순환 구조를 만든다.
(그림 1) 美 국방부 적응형 획득 모델(AAF[2])
2.2 소프트웨어 획득 경로(SWP)
美 국방부는 사이버 무기 획득과 관련해서는 적응형 획득 모델(AAF)의 소프트웨어 획득 경로(SWP)를 적용한다[3]. (그림 2)의 소프트웨어 획득 경로(SWP)는 2019년에 신설되었는데 무기체계 및 내장 소프트웨어(SW)를 신속하고 반복적으로 업그레이드하는 것을 그 목표로 하고 있으며, 그 대상은 소프트웨어(SW)로 집약된 항공기, 전차, 함정, 위성 등을 포함한다.
(그림 2) 소프트웨어 획득 경로(SWP[3])
소프트웨어 획득 경로(SWP)는 계획 단계와 실행 단계로 구분된다. 첫째 계획 단계에서는 요구 사항과 접근 방식을 정의하고, 이를 바탕으로 개발 로드맵을 수립한다. 이후 실행 단계에서는 이 로드맵에 따라 기능을 설계(plan), 구현(code), 통합(build), 시험(test)하며, 초기 배포 후에는 사용자 피드백과 변경된 요구사항을 반영하여 이 과정을 반복한다. 소프트웨어의 요구된 기능은 통상 1년 이내에 완료된다. '소프트웨어는 끝이 없다(Software is Never Done)'는 원칙에 따라 업그레이드를 주기적으로 반복하여 최상의 상태를 유지함으로써 기존 무기체계의 소프트웨어(SW) 업그레이드에 장기간 소요되던 문제를 해결하였다.
美 국방부는 진화하는 사이버 위협에 효과적으로 대응하기 위해 소프트웨어(SW)를 신속하게 개발하고 배포해야 할 필요성이 있었다. 이때 단계별로 수행되는 폭포수 모델은 일단 한 단계가 진행되면 이전 단계로 되돌아가는 것이 제한되기 때문에 소프트웨어(SW) 변경이 어렵다는 단점이 있다. 이에 비해 애자일 모델은 소프트웨어(SW)를 1년 이내에 작동 가능한 상태로 제공하고, 사용자 피드백을 바탕으로 반복적으로 개선하여 유연하게 대응할 수 있다. 따라서 애자일 모델은 빠르게 변화하는 요구에 적응하고 최적의 소프트웨어(SW)를 제공할 수 있다[5].
2.3 미군의 사이버 무기 획득
통상 사이버 무기는 국가안보 차원에서 비밀로 유지되며, 그 존재와 특성은 공개되지 않는다. 사이버 무기의 효과는 그 특성과 작동 원리가 노출되면 급격히 감소하는데 이는 방어 기술의 발전으로 인해 무기의 유효성이 저하 되기 때문이다. 사이버 무기는 보안성과 익명성 덕분에 공격자가 자신의 신원을 숨기고, 빠른 속도로 목표를 공격할 수 있다. 또한, 다양한 유형의 공격 기법과 도구를 사용하여 여러 플랫폼과 시스템에 적응할 수 있다. 이러한 특성으로 인해 사이버 무기는 재래식 무기처럼 공개적으로 거래되지 않고, 주로 연구개발을 통해 획득된다. 이는 사이버 무기의 전략적 효과를 극대화하고, 보안을 유지하는 데 중요한 역할을 한다.
미국은 사이버 역량 강화를 위해 소프트웨어 획득 경로(SWP)를 적용하여 합동 사이버 무기 프로그램(JCW: Joint Cyber Weapon Program)을 운영하고 있다[6]. 사이버 무기는 신속한 개발과 배포가 요구되며, 일반적으로 애자일 모델 적용을 통해 6개월 이내에 획득된다. 사이버 무기의 수명은 상대적으로 짧고, 유지보수는 거의 없거나 극히 제한적이다.
3. 사이버 무기 개발 비용 산정 방안
이번 장에서는 사이버 무기 개발 비용 산정을 위해 방위사업청 분석평가업무 실무지침서와 SW 사업 대가산정 가이드라인에 대해 살펴보고, 애자일 모델 기반 비용 산정 방안을 분석한다.
3.1 방위사업청 분석평가업무 실무지침서
국내 무기체계에 대한 비용분석은 방위사업청 분석 평가업무 실무지침서(이하 실무지침서)를 따른다. 실무지침서는 방위력 개선사업의 의사결정을 지원하기 위한 기준을 제공함으로써 과학적이고 체계적인 분석 기법을 적용하여 필요한 예산을 정확하게 추정하고, 이를 바탕으로 획득 사업 수행을 돕는다. 실무지침서의 주요 기준으로는 최소 3단계 이상의 작업 분할 구조(WBS)를 사용하고, 비용분석 대상은 하드웨어(HW)와 소프트웨어(SW)로 구분하며, 소프트웨어(SW)에 대해서는 SW사업 대가산정 가이드[11] 적용을 권장하고 있다.
실무지침서에 규정된 비용분석 기법은 세 가지 방법으로 나누어진다. 첫째, 공학적 추정법은 작업 분할구조(WBS)를 기반으로 비용 요소를 세분화하여 원가를 추정하며, 신뢰성이 높아 주로 사용된다. 둘째, 모수 추정법은 통계적 기법을 사용하여, 旣 개발된 유사 체계의 발생 비용을 바탕으로 회귀 분석을 통해 비용을 산정한다. 셋째, 유사장비 추정법은 유사한 무기체계와 비교하여 개발 대상 체계에 적용하여 대략적인 비용을 예측한다.
현재 국내 무기체계는 일반적으로 폭포수 모델 기법을 적용하여 개발된다. 폭포수 모델은 작업 분할 구조(WBS)를 사용하여 프로젝트의 전체 범위를 정하고 세부 작업을 나눈다. 작업 분할 구조(WBS)를 통해 요구사항분석, 설계, 구현, 시험, 유지보수 과정을 순차적으로 관리하고 정확한 비용을 산출할 수 있다. 특히, 무기체계 소프트웨어(SW) 개발은 (그림 3)과 같이 요구사항 분석으로 시작하여 소프트웨어(SW) 설계, 구현, 통합 및 시험 단계를 거친다. 착수 초기에 모든 요구사항을 상세하게 정의하고 프로젝트를 진행하면서 기술적 불확실성을 낮춘다[12].
(그림 3) 무기체계 소프트웨어 개발 절차[12]
앞서 언급한 바와 같이 사이버 무기는 전통적인 무기체계와 달리 새로운 영역의 무기로서 획득을 위한 불확실성이 높다. 특히, 소프트웨어(SW)의 취약점 획득 여부, 취약점을 활용한 신속한 무기개발, 활용된 취약점의 공개 및 패치 여부에 따라 사이버 무기의 수명이 좌우된다. 이러한 특수성을 고려할 때 사이버 무기에 대해서는 유사장비 추정법과 모수 추정법보다는 훨씬 체계적인 공학적 추정법이 요구된다.
3.2 SW사업 대가산정 가이드라인
SW사업 대가산정 가이드[11]는 소프트웨어(SW) 사업을 추진하기 위한 예산 수립과 적정한 대가의 기준을 제공한다. 소프트웨어(SW) 사업 대가는 대상이 되는 사업유형을 고려하여 적용할 모형을 선정하여 비용을 산정한다. 사업유형은 소프트웨어(SW) 수명주기를 기준으로 기획, 구현, 운영 단계로 구분한다. 기획단계는 5개 유형으로 주로 컨설팅 업무량과 투입 공수에 의한 방식으로, 구현 단계는 기능점수(FP : Function Point) 방식으로, 운영단계는 유지관리비, SW운영비, 서비스비 등을 고려하여 적용한다.
SW사업 대가산정 가이드를 적용하여 사이버 무기 개발비용을 염출할 수 있는데 이때 비용 산정 과정은 계획수립 단계와 개발실행 단계로 구분된다. 우선, 계획수립 단계에서는 기획단계의 정보보안 컨설팅 유형을 선정한다. 계획수립에 필요한 직무별 투입인력과 기간을 예측하고, 각 항목별로 직접인건비, 제경비 및 기술료, 직접경비를 합산하여 산출한다. 개발실행은 구현 단계를 선정하여 사이버 무기의 규모를 기능점수(FP)로 측정하고, 기능점수(FP)당 단가를 곱하여 비용을 예측할 수 있다.
하지만 SW사업 대가산정 가이드를 적용하여 사이버 무기 개발비용을 산정하는 방식에는 문제점이 있다. 그 원인은 사용자 개발 요구사항이 유동적이며 기술적 불확실성이 높아, 설계, 구현, 시험 등 필요한 항목에 대한 비용을 사업 착수 전에 확정할 수 없다. 또한, 기능점수(FP) 산정을 위한 전제조건이 충족되지 않는데, 이는 요구사항 분석 단계에서 사이버 무기의 규모, 참조되는 내외부 데이터, 시스템과 관련된 입출력 기능이 확정되지 않기 때문이다.
3.3 애자일 모델 기반 비용 산정
애자일 모델은 반복적이고 점진적인 개발 프로세스를 통해 프로젝트의 비용 산정이 유동적이고 지속적으로 조정된다. 사업추진 전 비용 예측은 주로 두 가지 방법으로 나뉜다. 첫째, 팀 규모와 계약 기간에 따라 고정된 인력 자원 사용을 기준으로 비용을 산정하고, 자원 소모와 기능의 복잡성에 따라 조정한다. 둘째, 작업의 복잡성 수준에 따라 상대적 난이도를 평가하고, 백로그(backlog) 항목에는 'x-small', 'small', 'medium', 'large', 'x-large'와 같은 노력의 수준(LoE: Level of Effort)을 할당하여 고정 비용을 설정한다. 이러한 접근방법은 작업의 난이도와 예상 소요 시간을 반영하여 공정하고 일관된 가격 책정을 지원한다. 또한, 팀의 구성과 역할을 이해하는 것은 비용 추정에 중요한 정보로 활용된다.
애자일 모델 기반 개발에서 초기 단계에서는 요구사항이 명확하지 않기 때문에 정확한 비용 추정이 어려울 수 있다. 그러나 프로젝트가 진행됨에 따라 점진적인 분석과 조정을 통해 비용 예측의 정확성을 높일 수 있다. 요구사항은 초기에는 포괄적으로 설정되며, 개발 목표와 방향성은 로드맵에 정의된다. 요구사항은 백로그(backlog) 항목으로서 에픽(epic), 기능(feature), 스토리(story)로 세분화된다. 이러한 항목은 스프린트를 통해 반복적으로 처리되며 이를 통해 프로젝트 로드맵이 체계적으로 실행된다.
(그림 4)는 애자일 모델의 스프린트 절차를 보여준다. 하나의 스프린트는 일정 기간 동안 백로그에서 선정된 스토리를 처리한다. 스프린트의 초기 단계에서 팀은 요구 분석을 통해 작업의 명확성을 확보하며, 이후 설계 과정을 통해 해결책을 구체화한다. 다음에는 실제 코딩 작업이 진행되며, 이후 품질 검증을 위해 시험평가를 수행하고 결과물은 실제 환경에 배포된다. 이후 사용자의 요구사항과 피드백을 반영하여 스프린트를 반복한다.
(그림 4) Sprint in Agile Process[13]
초기 단계의 백로그와 로드맵은 프로젝트 진행에 따라 지속적으로 갱신되며, 새로운 요구사항과 변경 사항에 따라 우선순위가 조정된다. 첫 스프린트 완료 후 요구사항, 설계, 개발, 시험, 배포에 필요한 비용을 산출하고, 이후에는 지속적인 데이터 분석과 피드백을 통해 비용 예측의 정확성을 높인다. 초기의 불확실성은 시간이 지남에 따라 줄어들며, 전체 프로젝트의 로드맵과 비용 추정은 반복적인 검토와 조정을 통해 유연하게 관리된다.
선행연구들에 비춰볼 때 소프트웨어(SW)로 제작되는 사이버 무기는 소프트웨어(SW) 환경변화를 쉽게 반영하기 위해 애자일 모델에 작업 분할 구조(WBS)를 포함해 분석하는 것이 일반적이다[14].
4. 사이버 무기 개발비용 도출
WannaCry는 2017년에 발생한 랜섬웨어로서 전세계적으로 많은 피해를 야기했다. WannaCry는 Windows SMB(Server Message Block) 프로토콜 취약점(EternalBlue)을 이용한 랜섬웨어로 윔(worm) 형태로 PC를 공격한다. 감염된 PC는 네트워크에 연결된 다른 취약한 PC를 찾아 전파하고, PC 내 데이터를 암호화한 뒤 암호화된 데이터 해독 조건으로 몸값을 요구한다. 본 논문에서는 WannaCry 랜섬웨어 유형의 사이버 무기를 개발하는 것을 가정하여 애자일 모델을 적용한 사이버 무기 개발비용을 산출한다. 이 때 총 개발비용은 인건비, 취약점 획득비용, 개발비용을 포함한다.
4.1 프로젝트 작업 분할 구조(WBS) 정의
사이버 무기 개발비용을 산정하기 위해 본 논문은 애자일 모델을 적용한 사이버 무기 개발 프로젝트의 작업 분할 구조(WBS)를 (그림 5)와 같이 정의하였다.
(그림 5) WBS of Cyber Weapon Projec
(그림 5)는 애자일 방식을 적용하여 사이버 무기 개발 프로젝트의 WBS를 3레벨 이하로 간략히 수립한 예시이다. 사이버 무기 개발은 프로젝트 관리, 시스템 공학, 연구개발, 시험 및 평가 요소로 분류되고, 각 요소별 하위 작업으로 구분된다. 이때 3∼4 레벨에는 스프린트를 통해 반복적으로 수행되어야 할 작업이 포함된다. 예를 들어, 사용자와 개발자 간의 회의, 코딩, 시험평가 항목은 n차 반복을 나타낸다.
4.2 인건비 산정
사이버 무기개발 프로젝트의 주요 비용 요소는 인건비와 개발을 위한 소프트웨어(SW) 도구, 시험 도구, 프로젝트 관리 비용 등이 포함된다. 이러한 요소 중에 인건비가 큰 비중을 차지하는 노동집약적 프로젝트이다. 인건비 산정을 위해 국내외 기준을 검토하였고, 참여 인력의 전문성이 높게 요구되는 프로젝트 특성상 GSA(General Services Administration[15])의 자료를 적용하였다. 비록 국내 통계청(한국소프트웨어산업협회)도 소프트웨어(SW) 기술자 평균 임금을 제공하지만, 직군의 세부적 분류와 임금 수준을 고려하여 GSA의 자료를 적용하였다.
<Table 1> Hourly Labor Rates in GSA[15]
GSA는 미국 정부의 획득 서비스를 담당하며 비용 최소화 정책의 일환으로 계약 직군별 임금 수준을 제공한다. <표 1>은 사이버 무기 개발에 관련된 직군의 시간당 임금 수준을 평균 대비 ±34% 범위(±1σ, 표준편차)로 제시한다. 본 논문에서는 계산의 편의를 위해 이 범위 내의 임금 수준을 기준으로 개발비용을 산정하였다.
4.3 취약점 획득비용
취약점 획득비용은 작업 분할 구조(WBS) 내 소프트웨어(SW) 버그를 탐지하고 개념증명(PoC : Proof of Concept)을 위한 비용이다. 취약점 획득 비용을 예측하기 위해 버그바운티에 통용되는 가치를 고려하였다. 대표적인 버그바운티 업체로는 Zerodium, Bugcrowd, HackerOne 등이 있다. 특히, Zerodium은 제로데이 취약점과 고급 익스플로잇 기술을 확보하는 업체로 높은 포상금을 지급하기로 유명하다. 이때, Zerodium은 대상 환경을 데스크톱 및 모바일 장치로 구분한 후, 운영되는 소프트웨어(SW)별 익스플로잇(Exploit) 가격 수준을 제공한다.
<표 2>는 Zerodium의 데스크톱 대상으로 다양한 운영체제를 기준으로 제시된 익스플로잇 획득 비용을 보여준다. Windows의 익스플로잇은 최소 \(\begin{align}\$17,200\end{align}\)에서 \(\begin{align}\$1,724,100\end{align}\) 범위로서 책정된다. 점유율이 높아 인기 있는 소프트웨어(SW)를 대상으로 정상적으로 작동하고, 탐지가 어려운 경우에는 높은 가격으로 인정된다. EternalBlue 경우, Windows 제로 클릭(Zero-click) 취약점으로 탐지가 어렵고 성능이 우수하다. 또한, DoublePulsar는 이를 이용하여 임플란트 기능을 수행하는 익스플로잇으로 높은 가치로 평가할 수 있다[6].
<Table 2> Exploit Costs in Zerodium [6]
4.4 개발비용 분석
애자일 모델 기반 사이버 무기 개발은 통상 팀의 노력을 기반으로 측정한다. 이때, 스프린트 단위로 수행되는 작업의 양과 복잡도에 따라 비용을 산정할 수 있다. 작업 분할 구조(WBS)로 작업을 세분화하고, 각 작업에 대한 스프린트와 필요한 시간을 추정한다. 이후 팀의 시간당 비용을 곱하여 전체 비용을 산출한다. Agile Team Estimator[16]는 미국 정부에서 제공하는 애자일 모델 기반으로 소프트웨어(SW)를 개발하는 경우 팀 비용을 계산하는 도구이다. 본 논문에서는 이 도구를 활용하여 사이버 무기 개발비용을 산정하였다.
세부적인 개발비용 산출을 위해 우리는 WannaCry 랜섬웨어를 분석한 기존 연구[17]를 참고하여 WannaCry의 컴포넌트를 분석하여 백로그 항목과 MITRE ATT&CK[18] 기술 및 복잡도를 도출하였다. 이때, MITRE ATT&CK은 사이버전에 사용되는 기술과 전술을 체계적으로 정리하며 정보 수집, 무기화, 배포, 실행, 유지 및 지휘와 통제 등 주요 단계를 포함한다. 사이버 무기는 크게 정보 수집 (예: network scanner), 공격용(예: malware), 익스플로잇(exploit), 임플란트(implant), 페이로드(payload)로 구분된다. 각 유형은 네트워크 구조 탐지, 공격 코드 배포, 취약점 이용, 시스템 제어 및 작업 수행을 통해 사이버 공격의 기법을 구현한다.
<표 3>은 WannaCry 연구개발에 필요한 백로 그 항목과 기술을 보여준다. 백로그 항목은 구현에 필요한 기간을 고려하여 에픽, 기능, 스토리로 구분했다. 취약점 연구(□1 , 에픽)는 버그 탐지와 개념증명(PoC) 제작을 위해 요구되는 시간(6개월 이상)으로, 이 외 기능()은 최소 2주 이상으로, 스토리(①~④)는 스프린트 이하 분량으로 정했다. 또한, 개발에 요구되는 노력 수준을 등급화(예: XS, S, M, L, XL)하여 복잡도를 고려했다.
<Table 3> Backlog Items & Techs in WannaCry
<표 4>는 특정 팀이 단일 스프린트를 수행하는데 소요된 비용을 예시로 보여준다. 스프린트는 2주 단위로 진행되며, 이 기간 소프트웨어(SW) 개발자는 전일 참여하고, 프로젝트 관리자는 50%의 참여 비율만큼 참여한다고 가정했다. 팀별 스프린트 단가는 팀원의 구성에 따라 달리 산정되어 기준 금액이 정해진다. 비용 산정은 각 팀의 기준 금액과 스프린트 수행 횟수를 곱하여 해당 팀의 총 비용을 산출한 뒤, 모든 팀의 비용을 합산하여 전체 개발 비용을 도출하였다.
<Table 4> Example : Price per Team Sprint
(그림 6)은 Agile Team Estimator를 활용해 산출한 WannaCry 개발 기간에 따른 총비용의 증가 추이를 보인다. 독점(Zero-day) 취약점 비용은 EternalBlue와 Doublepulsar를 각 \(\begin{align}\$1,724,100\end{align}\)(최고가, 2021 기준)로 구매하였다고 가정했다. 개발팀은 10명으로 구성하여 2개 팀을 운영하고, 스프린트 단위는 2주로 설정했다. 이런 가정하에서 개발 총비용은 대략 최소 \(\begin{align}\$4,000,000\end{align}\)에서 \(\begin{align}\$6,500,000\end{align}\) 범위로 예측되었다. 이때, 추정값이 정확한 값이 아닌 범위로 예측된 이유는 백로그에 있는 부분 기능을 개발 완료하는 속도와 사용자 시험 평가, 피드백, 변경 요구사항의 처리 과정이 원활히 진행되는 정도에 따라 개발 기간에 변동이 있을 수 있기 때문이다.
(그림 6) 개발 기간에 따른 총비용 증가 추이
앞선 연구[6, 19]에 따르면, 총 비용 산정에 평균적으로 58%가 취약점 탐지와 익스플로잇(Exploit) 개발에 42%가 무기개발에 사용되는 것으로 평가했다. 이러한 내용을 본 연구에 적용하면, 두 개의 팀이 협력하여 개발할 경우 약 5개월에서 6개월 정도 소요될 것으로 예상된다. 만약 개발팀을 추가적으로 운영한다면 그 기간은 추가한 팀의 역량만큼 단축될 것이다. 또한, 취약점 탐지와 익스플로잇(Exploit, PoC 형태) 개발에 각각 1개월 정도 소요되고, 대부분의 취약점 구매 비용은 대략 \(\begin{align}\$50,000\end{align}\)에서 \(\begin{align}\$300,000\end{align}\)인 것으로 알려져 있다[19]. 따라서, 우리의 예측치는 독점 취약점 획득비용 수준에 따라 상당히 낮아질 수도 있다.
참고로, WannaCry는 공개 취약점(CVE-2017-0144)을 활용하여 개발된 것으로 추정되며, 개발 기간은 1개월 이내로 추정된다. 이때, 공개 취약점을 활용함으로써 무기개발 비용은 대폭 절감할 수 있지만, 취약점 패치와 같은 대응 조치로 무기의 수명은 상대적으로 짧아진다.
5. 결론
본 논문은 소프트웨어(SW) 환경변화를 반영하기 위한 사이버 무기 획득정책에 대해 분석하였다. 특히, 미국의 사례를 벤치마킹하여 소프트웨어 중심의 무기 체계에서 요구되는 지속적인 업데이트와 패치가 애자일 모델 적용을 통해 효과적으로 관리될 수 있음을 확인할 수 있었다. 이러한 접근법은 우리 정부의 사이버 무기체계와 소프트웨어 획득 절차 개선에 긍정적인 영향을 미칠 것으로 기대된다.
또한, 사이버 무기 획득 모델과 비용 예측 방안을 체계적으로 분석하고, WannaCry 랜섬웨어를 개발한다는 가정하에 애자일 방식을 적용하여 개발비용을 도출하였다. 본 논문의 결과는 향후 사이버 무기체계 획득을 위한 합리적인 의사결정을 하는데 큰 기여를 할 것으로 예상된다.
References
- U.S. Department of Defense. (2023). 2023 Department of Defense Cyber Strategy.
- U.S. Department of Defense. (2022). DOD instruction 5000.02: Operation of the Adaptive Acquisition framework (Change 1).
- U.S. Department of Defense. (2020). DoDI 5000.87: Operation of the Software Acquisition Pathway.
- Office of the Under Secretary of Defense for Acquisition and Sustainment. Agile Software Acquisition Guidebook, February 2020.
- Government Accountability Office (GAO). Defense Software Acquisitions Changes to Requirements, Oversight, and Tools Needed for Weapon Programs. GAO-23-105867. 2023.
- Wilson, Bradley, et al. A Cost Estimating Framework for US Marine Corps Joint Cyber Weapons. RAND Corporation, 2023.
- W. Rosa, S. Jardine. Data-driven agile software cost estimation models for DHS and DoD. Journal Systems and Software., V. 203, September, 2023. https://doi.org/10.1016/j.jss.2023.111739
- M. Fernández-Diego, E. R. Méndez, F. González-Ladrón-De-Guevara, S. Abrahão and E. Insfran, 'An Update on Effort Estimation in Agile Software Development: A Systematic Literature Review,' in IEEE Access, vol. 8, 2020. https://doi.org/10.1109/ACCESS.2020.3021664
- 방위사업청 보도자료, 무기체계 소프트웨어 맞춤형 마련한다. 2024.1.4.
- U.S. Department of Defense. (2021). Digital Modernization Strategy.
- 한국소프트웨어산업협회. "SW사업 대가산정 가이드(2024년 개정판)" 2024. 5.
- 방위사업청, 무기체계 소프트웨어 개발 및 관리 매뉴얼(개정), 2022.12.
- Northern, Carlton, et al. 'Handbook for implementing agile in department of defense information technology acquisition.' The MITRE Corporation (2010).
- US Government Accountability Office. 'Agile Assessment Guide: Best Practices for Agile Adoption and Implementation.' September. 2020.
- GSA Pricing, https://buy.gsa.gov/pricing/
- Agile Team Estimator, https://techfarhub.usds.gov/
- Hsiao, Shou-Ching, and Da-Yu Kao. 'The static analysis of WannaCry ransomware.' ICACT. IEEE, 2018.
- MITRE ATT&CK, https://attack.mitre.org/
- Ablon, Lillian, and Andy Bogart, Zero Days, Thousands of Nights: The Life and Times of Zero Day Vulnerabilities and Their Exploits, Santa Monica, Calif.: RAND Corporation, RR-1751-RC, 2017.