Proposal for a Preemptive and Proactive Cyber Defense Operations Framework

선제적·적극적 사이버 방어작전 프레임워크 제안

Abstract

The recent increase in cyber threats across all civilian, public, and military sectors, combined with the strategic value of cyber attacks proven in the Russo-Ukrainian War, demands a fundamental change in the Republic of Korea (ROK) military's cyber defense operations. Countries around the world are strengthening their existing cyber defense strategies in a more offensive direction and actively considering direct responses to attackers, such as the use of hacking back. From a military operations perspective, to effectively defend against cyber attacks, preemptive responses such as surveillance, reconnaissance, and neutralization of attackers or their infrastructure are necessary, along with proactive operational activities to identify and eliminate internal infiltrators. This study proposes specific operational activities for conducting preemptive and proactive cyber defense operations, including information surveillance and reconnaissance, neutralization, threat analysis, proactive defense, and investigation and analysis. Applying the proposed cyber defense operations framework to the ROK military will contribute to the execution of more effective cyber defense operations.

최근 민·관·군 전 영역에 대한 사이버 위협 증가와 러-우 전쟁에서 증명된 사이버공격의 전략적 가치는 한국군 사이버 방어작전의 강력한 대응 변화를 요구하고 있다. 전 세계 각국은 기존의 사이버 방어전략을 보다 공세적인 방향으로 강화하고 있으며, 해킹백 활용 등 공격자에 대한 직접적 대응도 적극적으로 검토되고 있다. 군사작전 측면에서 사이버 공격에 효과적으로 방어하기 위해서는 공격자 또는 공격 기반체계에 대한 감시정찰 및 무력화 등 선제적 대응이 필요하며 내부의 침투한 적을 적극적으로 식별하여 제거하는 적극적 작전활동이 수행되어야 한다. 본 연구에서는 선제적·적극적 사이버 방어작전 수행을 위한 구체적인 작전활동으로 정보감시정찰, 무력화, 위협분석, 적극방어, 조사분석을 제시하고 있다. 제시하는 사이버 방어작전 프레임워크가 한국군에 적용된다면 보다 효과적인 사이버 방어작전 수행에 기여할 것이다.

1. 서론

최근 민간·공공·국방 전 영역에 대한 사이버 위협 증가와 러-우 전쟁에서 증명된 사이버공격의 전략적 가치는[1] 매우 강력한 사이버 방어작전의 대응 변화를 요구하고 있다. 즉, 위협 발생 후 대응하는 기존의 수동적 방어 체계가 명백한 한계에 이르렀음을 보여 준다. 이러한 인식하에 본 논문은 단순 침해대응을 넘어 국방 사이버공간과 연결된 외부 영역까지 방어의 범위를 확장하고 잠재적 위협을 사전에 인지하여 무력화를 통해 작전적 우세를 확보하는 선제적·적극적 사이버 방어작전 프레임워크를 제안 하고자 한다.

사이버공간에서 효과적인 방어작전을 수행하기 위해서는 최우선으로 아군 사이버공간의 안전성을 확보하는 사이버보안 작전이 선행되어야 한다. 이어서 외부 사이버공간에서 공격을 수행하는 적을 선제적으로 감시 및 정찰하고 무력화하는 작전과 아군의 사이버 공간에 침투한 적을 식별해 위협을 분석하고 대응하는 작전이 필요하다. 영역 측면에서는 방어를 수행할 사이버공간의 범위를 적극적으로 외부 사이버공간, 즉 연결된 사이버공간으로 확장할 필요가 있다. 국방사이버공간은 온-오프라인으로 공공·민간의 사이버공간과 연결되어 있다. 또한, 국내를 넘어 우방국 및 적국과도 연결되어 있어 연결된 외부로의 방어작전 영역 확장은 보다 적극적으로 검토해야 한다.

이러한 상황 인식하에 본 연구에서는 연결되고 확장된 사이버공간에서 방어작전의 우세를 달성하기 위한 선제적·적극적 사이버 방어작전 수행 방안과 구체적인 작전 활동을 제시한다.

논문의 구성은 다음과 같다. 2장에서는 민간영역의 사이버 방어전략의 변화 추세와 미군 및 한국군의 사이버전 교리 및 해킹백의 군사적 활용에 관해 살펴본다. 3장에서는 효과적인 사이버 방어작전 수행을 위한 선제적·적극적 사이버 방어작전 프레임워크를 제시하고 이를 설명한다. 4장에서는 가상 시나리오 기반으로 제시한 프레임워크 적용방안을 보여주고, 기존의 방어 전략과 비교 분석한다. 또한, 제시하는 프레임워크의 적용시 고려해야할 사항과 대응방안을 정리하여 제시하였다. 마지막으로 5장에서 연구 내용을 요약하고 결론을 맺는다.

2. 관련연구

2.1 사이버 방어전략의 발전 및 한계

현재의 사이버 침해대응 또는 방어전략은 정보보호라는 개념에서 태동하여 발전해 왔다. 초기에는 컴퓨터 침해사고에 대응하기 위해 CERT (Computer Emergency Response Team)를 창설하고, 대응 절차를 발전시켰다. 대응절차는 “탐지→조사→분석→예방”의 4단계를 기본으로 하면서 기술 발전을 수용하고 법적 구성요건을 충족시킬 수 있는 방향으로 개선되어 왔다. (그림 1)은 한국인터넷진흥원(KISA)에서 제시하고 있는 침해사고 대응절차를 보여주고 있다[2]. 이러한 절차는 국내 CERT의 대응절차 표준화에 크게 기여하였다.

(그림 1) 한국인터넷진흥원 침해사고 대응절차

이후 APT (Advanced Persistent Threat) 등 고도화된 공격에 대한 대응, 위협정보 수집·분석, 예방 및 복원 등의 개념이 중요해지면서 보안운영센터(SOC, Security Operation Center)를 설치 운용하게 된다. 최근 보안운영센터의 업무절차는 NIST Cybersecurity Framework(CSF) 2.0[3]에서 제시한 임무 수행 절차를 준용하고 있다. 보다 세부적으로는 식별→방호→탐지→대응→복구의 절차와 전체를 조정 및 통제하는 거버넌스를 핵심 기능으로 보유하고 있다.

그러나 CERT 및 보안운영센터의 운영방식은 침해 사고 대응에 초점이 맞추어져 있으며, 특히 침해에 대한 조기식별 및 대응시간 단축에 중점을 두고 있었다. 이러한 수동적인 대응체계는 최근 공격 사례에서 확인할 수 있듯이 효과적인 대응에 한계가 있다. 즉, 공격자의 공격이 표면에 드러날 때까지 그 활동을 선제적으로 식별하는 것은 불가능하며, 내부에 잠입해서 은밀하게 활동하고 있는 공격자를 찾아내서 제거하기에도 적합하지 않다. 따라서 공격자에 한 발 뒤처지는 사후처리 방식의 대응을 할 수 밖에 없다.

최근에는 이러한 한계를 극복하기 위해 선제적 사이버위협 탐지 및 대응방법에 관한 연구[4]나 위협헌팅(threat hunting) 등 보다 적극적인 대응개념을 적용하고는 있으나 근본적인 방어전략의 변화는 없었다.

2.2 美 사이버작전 교리 및 작전수행체계와 한국군 사이버작전 교리 및 한계

군사작전 측면에서 사이버작전의 발전추세를 살펴 보면, 미군은 2010년 사이버사령부를 창설하였다. 2013년에는 최초의 합동사이버작전교범인 JP 3-12R[5]을 발간하였고, 2018년에는 사이버공간작전(JP 3-12)[6]을 발간하였다. 2023년에는 작전개념의 진화와 수행방식을 발전시켜 합동사이버공간작전(JP 3-12)[7]을 발간하였으나 대외로 공개하지는 않았다.

사이버공간에서의 군사작전은 공세적 사이버작전(OCO, Offensive Cyberspace Operations), 방어적 사이버작전(DCO, Defensive Cyberspace Operations), 국방네트워크작전(DODIN Operations, DoD Information Network Operations )의 3개 임무(Mission)로 구성되어 있다. 그리고 각각의 군사작전은 사이버 효과를 발생시키기 위해 하나 이상의 전술적 기능(Actions)올 포함한다. 전술적 기능은 사이버공간 보안(Cyberspace Security), 사이버공간 방어(Cyberspace Defense), 사이버공간 이용(Cyberspace Exploitation), 사이버공간 공격(Cyberspace Attack)으로 구분된다. 사이버 군사 작전, 임무 및 기능 간의 관계는 (그림 2)에서 보는 바와 같다.

(그림 2) Cyberspace Operations Missions, Actions, and Forces

또한, 미 사이버사령부는 지속적 개입(Persistent Engagement) 및 적극적 방어(Defend Forward) 전략 구현을 위해 사이버국가임무부대(CNMF, Cyber National Mission Force)를 활용하여 요청받은 동맹국의 네트워크상에서 적의 위협을 식별하고 제거하는 헌트포워드작전(HFO, Hunt Forward Operation)을 수행한다[8][9].

기존 사이버작전 수행개념과 교리 발전에 더해 미군은 물리적 영역에 배치되는 사이버작전부대의 활동을 구체화하기 위한 노력도 진행하고 있다. 기존의 전술적 사이버작전으로는 근접 작전수행 형태를 적절하게 설명하지 못한다는 한계를 인식하여 원정사이버작전(ECO, Expeditionary Cyberspace Operation)이라는 새로운 개념을 도입하고 있다.[10].

한국군은 2010년 사이버사령부를 창설하면서 작전 교리를 발전시켜 왔다. 합참은 2017년 최초로 합동사이버작전 교범을 발간하였으며, 2023년에는 개정판이 발간되었다[11]. 합동사이버작전 교범에서 사이버작전은 사이버 공격작전, 사이버 방어작전 및 네트워크작전으로 구분하고 있다. 이는 미군의 사이버공간작전 개념을 적용한 결과이다.

또한, 합참은 구체적인 사이버작전 수행 방안을 포함하는 사이버작전수행지침을 작성하여 작전에 활용토록 하였다[12]. 사이버작전수행지침에서는 사이버 방어작전의 활동을 역추적, 관제, 위협분석, 조사분석, 예방 등으로 구분하고 있다. 그러나 이러한 활동은 기존에 적용했던 침해대응 활동을 군사적 측면에서 해석하여 명칭을 변경한 것에 불과하며, 최신 사이버 방어작전 수행 시 요구되는 선제적이고 적극적인 작전 활동을 포함하지 못하고 있다는 한계가 있다.

즉, 한국군의 사이버 방어작전은 위협 발생이전에 선제적 대응활동이 없으며, 위협이 식별 또는 탐지된 이후의 활동으로 구성되어 있다. 또한, 작전영역이 국방사이버공간이라는 내부영역에 집중되어 있어 적과 아군이 공동으로 활용하는 회색영역 및 적 영역인 적색영역에 대한 활동을 제한하고 있다. 내부의 대응활동도 내부에 이미 들어와 있는 적을 찾아내는 위협식별 활동이나 핵심 방어대상에 대한 물리적으로 직접 접근하여 위협을 탐지하는 활동 등 적극적 방어작전 활동을 포함하지 않고 있다. 이는 현 사이버공격 형태에 대한 효과적인 사이버 방어작전 수행에 부합되지 않는 문제점을 가지고 있다.

2.3 공세적 사이버 방어전략으로의 전환

2024년 정부가 발표한 ｢국가 사이버안보 기본계획｣에서 5대 전략과제 중 하나로 ‘공세적 사이버 방어 활동 강화’룰 제시하고 있다. 공세적 사이버 방어란 발생한 공격에 대응하는 단순 방어개념을 넘어 예상되는 공격을 사전 식별하고 무력화하는 개념을 의미한다. 이렇듯 방어 전략이 공세적으로 전환된 이유는 2장에서 전술한 바와 같이 기존의 대응 방식이 사이버 공격의 원천 차단은 불가능하다는 한계를 가지기 때문이다. 즉 사이버공격에 효과적으로 대응하기 위해서는 공격자를 사전 식별 후 무력화하는 보다 선제적이고 적극적인 대응이 필요하다[13].

이러한 조치는 2019년 발표된 ｢국가사이버안보전략｣에서 명시되었던 ‘능동적 대응’을 ‘선제적·공세적 대응’으로 한 차원 더 강화했고, 억지력을 형성하는 방안을 좀 더 구체적으로 제시하는 등 진일보한 측면이 있다고 평가할 수 있다.

미국은 2023년 발표한 ｢국가사이버안보전략｣에서 사이버공간 내 우세 확보 및 선제적 방어전략을 통해 위협을 사전에 차단한다는 의지를 천명했다[14]. 또한, ｢CISA 전략계획 2023∼2025｣는 미국의 핵심 네트워크에 대한 침해가 발생하기 전 능동적으로 위협을 무력화한다는 내용을 포함하고 있다[15]. 일본 정부는 2021년 ｢사이버 시큐리티 전략｣을 통해 능동적 사이버 방어(Active Cyber Defense) 전략을 수립했고, 법안을 통해 사이버 위협을 사전에 탐지하고 차단하는 것을 목표로 사이버 방어전략을 개정하였다[16][17].

이처럼 전 세계 각 군은 사이버공간 내 위협을 국가차원의 안보문제로 인식하는 가운데, 사이버 방어 역량 극대화를 위해 공세적 대응을 강화하는 방향으로 정책을 전환하고 있다.

또한, 러시아-우크라이나 전쟁에서 우크라이나측에서 효과적으로 대응한 것이 러시아의 사이버작전 효과를 현저하게 저하시킨 핵심 원인이라는 분석도 있다. 특히, 미군의 우크라이나에 대한 사이버작전 지원이 효과적이었음이 최근 미 정부의 공식적인 인정을 통해서도 확인된 바 있다. 미군이 우크라이나를 지원해 사이버공격과 사이버 정보작전 및 사이버 방어작전을 적극적으로 수행한 것이다. 세부적인 작전수행 방식은 공개되지 않았으나, 미군은 우크라이나의 주요 국가기반시설 및 군사시설에 침투해 있거나 침투하려 시도한 러시아의 사이버공격을 사전에 식별하고 제거함으로써 러시아의 사이버공격을 약화 또는 무력화시켰을 것으로 추정하고 있다[18].

이와 같이 군사작전에서의 사이버 방어전략은 기존의 예방적 차원의 시스템 점검 및 보완조치, 침해 발생 시 신속한 대응 등의 사후조치가 결정적인 효과를 발휘한다. 그리고 아군 사이버공간에 적이 존재함을 상정하지 않는 방어전략에서 적이 이미 아군의 영역 내에서 활동하고 있다는 가정을 기반으로 사이버작전을 수행하는 방어전략으로의 변화를 요구하고 있다. 사이버작전의 공세적 활용에 관한 연구도 지속되고 있다.[19]

2.4 해킹백의 군사적 활용

해킹백(Hacking back)이란 해킹에 대한 보복 또는 반격 행위를 의미하는 용어이다. 예를 들어 공격자로부터 해킹 피해를 당한 후 피해자 스스로 공격자를 식별하여 도난당한 데이터를 찾아오거나 삭제하기 위해 공격자의 시스템에 직접 접근하는 행위 등을 의미한다. 즉, 해킹백은 컴퓨터 시스템 상에서의 공격자의 사이버공격에 대한 ‘공세적인 방어 사이버 행위(aggressive defensive cyber actions)’로서, 도난당한 데이터의 삭제 또는 검색, 해커 시스템 손상, 해커를 식별하여 법집행기관에 보고하는 행위 등을 포함할 수 있다[20].

2011년 조지아 법무부는 자국의 기밀을 지속적으로 탈취한 사이버공격의 배후를 식별하기 위해 해킹백을 수행하였다. 자국의 웹사이트에 연결된 컴퓨터 안에 ‘조지아-나토 협정(Georgian-NATO Agreement)’이라는 이름으로 악성 소프트웨어가 숨겨진 파일을 등록하여 공격자가 이 파일을 다운로드하도록 유도하였다. 공격자가 파일을 다운로드해 열람하는 순간 해커의 컴퓨터에 악성코드가 설치되었으며, 이를 통해 공격자의 민감한 정보를 획득하였다. 그리고 컴퓨터의 웹캠 해킹을 통해 공격자의 이미지를 확보할 수 있었다[21].

블루 시큐리티(Blue Security)라는 보안회사는 불법 스팸을 발송하는 공격자를 무력화하기 위해 스팸 발송자의 웹사이트를 마비시키는 스팸 방지 프로그램을 자사의 소비자들에게 배포하여 스팸메일 발송자가 식별되면 수천 번에 걸쳐 반복적으로 항의 메시지를 보내 스팸 발송자의 웹사이트를 마비시킨다. 즉, DDoS 공격과 유사한 기술을 사용하여 공격자의 웹사이트를 무력화한 사례이다[22].

2025년 8월 개최된 데프콘 33 현장에서 배포된 프랙(Phrack)이라는 해킹저널에는 북한 킴수키 조직으로 추정되는 해커가 사용했던 컴퓨터에서 확보한 8.9GB 분량의 데이터가 공개되었다[23].

공개된 데이터를 통해 해당 공격조직이 국내 방첩 사령부, 외교부, 대검찰청 등 기관에 대한 공격을 수행한 사실이 확인되었으며, 공격자가 사용했던 공격기법 및 악성코드 등이 공개되어 대응에 활용되었다. 해당 데이터는 추가적인 분석을 거치면 공격자와 공격 기법 등을 보다 정밀하게 특정할 수 있을 것으로 기대된다. (그림 3)은 프랙지를 통해 공개된 공격자 컴퓨터의 바탕화면을 캡처한 화면이다.

(그림 3) 프랙에 공개된 공격자 PC 바탕화면

또한, 2014년 북한에서 발생했던 인터넷 마비 사태는 미국의 소니픽쳐스 해킹에 대응한 사이버공격의 결과라는 주장도 있다[24]. 이와 같이 적의 사이버공격에 대응해 억제 능력을 보여주기 위해 보복성 공격으로 맞대응하는 경우도 있다.

해킹백에 대한 필요성은 지속적으로 제기되고 있으나, 기술적 한계 및 법적 문제 등으로 인해 일상적으로 활용되는 것은 허용되지 않고 있다[25]. 그러나 군사작전에서는 해킹백을 적극적으로 활용할 필요가 있다. 역추적, 공격자 기반체계에 대한 정찰, 해킹 커뮤니티 감시 등을 통해 적의 공격을 사전에 인지 및 차단하고 공격자를 특정하는 등 적극적인 활용 방안을 검토해야 한다.

3. 선제적·적극적 사이버 방어작전 프레임워크 제안

3.1 선제적·적극적 사이버 방어작전 프레임워크

사이버 방어전략은 기존의 KISA 침해대응 체계나 NIST에서 제시한 CSF와 같이 수동적인 대응전략에서 보다 공세적이고 능동적인 대응전략으로 변화를 요구받고 있다. 이를 사이버 방어작전에 적용하면, 사이버 방어작전은 적을 명확히 인지하고 대응하는 방향으로의 전환이 필요하다.

그리고, 미군의 사이버작전 교리인 JP 3-12에서 제시되는 작전형태를 적극 도입하여, 아군의 국방사이버 공간 내부방어에 치중하는 작전형태에서 과감하게 벗어나 외부영역에 대한 감시·정찰활동을 강화하면서 적 및 적의 사이버공격 기반체계에 대한 정보를 적극적으로 수집하고 분석해야 한다. 그리고 단순한 위협 정보의 수준을 벗어나 실질적으로 아군에 대한 공격 수행을 준비하고 있는 적 활동 정보를 획득하는 데 집중해야 한다.

또한, 내부영역에서 적의 공격에 의해 피해를 입은 정보체계에 대한 조사·분석을 통해 공격기법 및 공격 주체를 식별했던 소극적인 형태도 탈피해야 한다. 국방사이버공간 외부에서 해킹백 등의 기술을 적용하여 적을 명확하게 특정하고 적의 내부정보를 획득해 작전에 활용하는 방안을 적극적으로 강구해야 한다.

국방정보체계 내부방어 측면에서도 수동적인 CERT 또는 침해대응절차에 따른 대응에서 벗어나 내부에 숨어있는 적을 찾는 노력을 강화해야 한다. 내·외부간 트래픽 및 시스템로그 등 대량의 데이터를 기반으로 적의 활동을 조기에 식별하는 작전이 필요하다. 또한, 물리적으로 작전대상체계에 직접 접근하여 방어작전 대상체계가 있는 현장에서 시스템을 분석하고 잠재적 활동을 위해 숨어있는 적을 탐색하는 작전 활동도 필요하다. 이를 위해 미군의 헌트포워드 작전형태를 적극 적용할 필요가 있다. 기존의 조사분석작전은 대응시간의 단축을 최우선 목표로 설정하고 작전활동을 수행해야 한다.

따라서 효과적인 사이버방어작전 수행을 위해서는 공세적이고 능동적인 전략으로의 전환이 필수적이다. 그리고 국방영역 외부에서는 시간적으로 적의 공격 개시 이전에 선제적 작전활동 필요하며, 국방영역 내부에서는 내부에 숨어 있는 적의 위협을 능동적으로 찾아내는 적극적 작전활동이 필요하다.

사이버 방어작전(Defense Operations)은 적을 대상으로 수행하는 작전이라는 점에서 보안(Security)과는 명확한 개념상의 차이가 존재한다. 보안은 적과는 상관없이 아군의 작전체계에 대한 취약점을 제거하고 보호하는데 중점을 둔다. 반면 방어작전은 방어대상에 공격을 가하는 적을 외부에서부터 차단하고 이미 내부로 들어와 활동하고 있는 적을 찾아서 제거한다.

이러한 사이버 방어작전을 효과적으로 수행하기 위해서는 이미 식별된 적에 대한 신속한 대응 위주의 작전활동에서 벗어나 선제적이고 적극적인 작전활동으로의 전환이 필요하다. 이에 본 논문에서는 <표 1>에서 보는 바와 같이 효과적인 사이버방어 작전을 수행하기 위한 사이버 방어작전 형태와 활동을 제안한다.

<표 1> 제안하는 사이버 방어작전 형태 및 활동

3.2 선제적 사이버 방어작전 활동

선제적(Preemptive) 사이버 방어작전은 국방정보체계 외부영역에서 적이 공격을 준비하는 단계부터 실제 공격을 진행하는 단계 및 공격 이후 단계까지 모든 대응활동이 포함된다. 그리고 적이 공격에 활용하는 악성코드나 네트워크, 중간 경유지 등의 모든 사이버 기반체계를 탐지 및 무력화하는 군사행동을 의미한다. 선제적 사이버 방어작전에 포함되는 구체적인 활동은 사이버 정보감시정찰(Cyber-ISR)작전과 무력화(Neutralization)작전으로 구분할 수 있다.

사이버 정보감시정찰작전은 적이 국방정보체계 외부에서 공격을 수행하기 위해 준비한 공격 기반체계를 식별하고, 추적 및 관리하는 작전이다. 이는 공격 전, 중, 후 모든 기간에 적용된다. 즉, 공격자는 모든 사이버공격이 이루어지는 과정에서 공격 모의, 악성코드 및 피싱 페이지 제작, 경유지 확보, 지휘통제(Command and Control) 네트워크 구축 등 공격에 필요한 사이버 기반체계를 확보하여야 한다. 사이버 정보감시정찰은 적이 공격을 수행하기 위해 조성한 기반체계를 사전에 식별 및 분석하여 향후 대응에 활용한다.

기반체계에 대한 분석 결과는 기반체계 유형에 따라 다르게 활용할 수 있다. 예를 들어, 공격모의가 이루어지는 텔레그램 채널은 지속적인 감시를 통해 적의 공격의도와 목표를 사전에 인지하는 데 활용할 수 있다. 악성코드 및 피싱 페이지 등에 대한 정보는 적의 공격 대상과 활용하는 취약점 식별 등에 활용할 수 있다. 지휘통제 네트워크 및 경유지 정보는 공격 개시 시점과 활동을 면밀하게 확인할 수 있는 중요한 지점이 될 수 있다. 따라서, 사이버 정보감시정찰 작전에서는 이러한 적의 사이버 기반체계를 인지할 수 있는 기술이 반드시 확보되어야 한다.

그리고 사이버 정보감시정찰작전에서는 필요시 식별된 적의 사이버 기반체계에 직접 침투해 적의 정보를 확보할 수 있다. 즉, 구축된 경유지나 피싱페이지에 접속해 공격에 성공하면 공격과 직접적으로 관련된 정보를 확보함으로써 아군의 정확한 피해를 특정할 수 있고, 적의 능력도 확인할 수 있다. 다만 이러한 작전의 수행은 적절한 작전보안대책 수립이 전제되어야 하며, 법적 문제를 야기할 수도 있으므로 작전에 신중을 기해야 한다.

사이버 무력화작전은 공격자의 공격 의지를 제거하고 공격에 활용된 컴퓨터, 네트워크, 경유지 등 모든 수단을 파괴하기 위한 직접적인 활동을 의미하며, 정보감시정찰작전과 연계하여 수행된다. 평시에는 정보감시정찰작전을 통해 획득한 적 표적을 관리하다가 적의 공격이 임박했다는 징후가 명확하게 식별되거나 적의 공격이 진행되는 과정에서는 아군의 피해를 최소화하기 위해 적의 공격능력을 무력화시키는 작전이다.

이러한 사이버 무력화작전은 방어작전의 일환으로 시행될 수 있으나, 작전활동의 형태는 공격작전과 동일하므로 공격작전의 일환으로 볼 수도 있다. 따라서, 사이버작전을 수행하는 조직에서 임무를 효과적으로 수행할 조직을 선정하고 책임을 명확히 구분할 필요가 있다.

3.3 적극적 사이버 방어작전 활동

적극적(Proactive) 사이버 방어작전의 핵심개념은 적이 이미 국방정보체계 내부영역에서 활동한다는 가정하에 내부에서 활동하고 있는 적을 효율적으로 식별하고 제거하며, 침해가 인지된 즉시 최단 시간 내에 대응하는 것이다. 구체적인 작전활동은 위협분석, 적극방어 및 조사분석작전으로 구분할 수 있다.

위협분석작전은 작전영역 외부에서 작전영역 내부로 접근하는 적을 식별하는 활동과 작전영역 내부에 들어와 있는 적을 식별하는 활동으로 구분할 수 있다. 우선 작전영역 외부에서 내부로 접근하는 적을 식별하는 활동은 기존 침해대응활동의 관제활동과 동일할 것이다. 즉, 기 설치된 방화벽, 침입탐지체계 등 정보보호체계와 탐지정책을 활용하여 침투하는 적을 식별한다. 작전영역 내부에 침투해 있는 적을 식별하는 활동은 두 가지 관점으로 구분하여 수행한다. 우선 아군정보체계 및 정보보호체계에서 생성된 로그를 수집해적의 TTP(Tactics, Techniques, and Procedures)와 비교 분석하여 적을 식별한다. 이어서 공격자는 공격 명령을 수신하거나 내부정보를 외부로 유출할 목적으로 외부와 통신을 수행한다는 가정하에 비정상 네트워크 트래픽을 분석하여 적을 식별한다. 러시아-우크라이나 전쟁이 발발 이전 러시아의 악성코드를 사전에 식별하고 대응한 활동이 대표적인 사례이다[26].

적극방어작전은 위협분석작전을 통해 식별하기 어려운 내부의 적을 찾는 활동이다. 이미 내부에 침투한 적을 조기에 식별하기 위해서는 적이 활동하는 현장에 직접 전개하여 작전을 수행하는 것이 훨씬 효과적이다. 그러나 사이버작전부대를 현장 전투부대에 투입해 작전을 수행하는 것을 고려한다면, 다양한 선행과제를 검토하고 해결해야 한다. 먼저 현장 전투부대와의 협조가 이루어져야 한다. 전투부대 임무수행에 지장을 초래하지 않는 범위에서 사이버작전을 수행할 범위를 조율해야 하고, 투입 시기 및 규모 등도 협조해야 한다. 사이버작전을 수행할 부대는 신속하게 임무를 수행할 수 있는 역량과 장비를 갖추고 있어야 한다.

이와 같이 사이버작전 부대를 현장에 투입하는 과정은 많은 준비가 필요하지만, 작전의 효과성은 극대화될 수 있다. 현장 네트워크에 대한 정확한 이해 및 핵심 작전지역 선정이 가능해지고, 원격 접근이 불가능한 정보체계 및 정보에 대한 접근도 가능하여 보다 많은 분석 정보를 확보할 수 있다. 이러한 장점은 위협분석작전을 통해서는 보장할 수 없는 부분이다.

전술한 형태의 작전이 거둘 수 있는 효과성은 현재 미군이 수행하는 헌트포워드작전이 잘 보여주고 있다. 미군은 헌트포워드작전을 통해 동맹국 네트워크 및 시스템에서 활동하고 있는 적을 찾아 신속하게 제거함으로써 미국으로의 위협 이전을 사전에 차단하는 성과를 달성하고 있다. 따라서 적극방어작전이 현재 한국군 사이버작전 교리에는 정의되지 않은 작전형태이지만 미군의 헌트포워드작전을 벤치마킹하여 아군의 작전에 적용시킬 수 작전형태로 포함시킬 필요가 있다.

조사분석작전은 식별된 적의 위협에 신속하게 대응하는 작전활동이다. 대표적인 사례로는 지난 2018년 평창동계올림픽 시 발생한 러시아의 사이버공격에 대응했던 범정부 올림픽 침해대응팀의 활동을 들 수 있다[27]. 사이버 방어작전 활동 중 유일한 사후적 대응 활동으로서, 다양한 탐지 수단 및 활동을 통해 인지된 적의 침해로 인한 피해를 최단시간 내 최소화하고, 피해 확산을 차단하며, 공격자를 식별하여 차후 작전방향을 결정하는데 유용한 정보를 제공하는 활동을 포함한다. 이러한 활동들은 이미 기존의 침해대응에서도 제시되고 있는 작전형태이다.

4. 제안한 프레임워크의 작전 적용 및 고려사항

4.1 가상 시나리오 기반 프레임워크 적용

사이버 공격자의 공격수행 절차는 Lockheed Martin에서 제안한 사이버킬체인[28]이나 MITRE에서 제시한 ATT&CK 프레임워크[29]에서 잘 정의되어 있다. 이러한 절차의 세부 기술적 절차를 제외하고 핵심 활동만을 재정의하면 <표 2>와 같이 계획수립, 기반구축/운용, 거점확보, 목표달성의 4단계로 정리할 수 있다.

<표 2> 공격자 핵심활동 및 대응활동

본 절에서는 두가지 가상 공격시나리오를 기반으로 제안한 선제적·적극적 사이버 방어작전 프레임워크를 적용하여 작전이 수행되는 절차를 보여준다. 제안하는 시나리오는 기존의 한국군 사이버 방어작전 교리로는 효과적인 작전적 적시성을 제공할 수 없다. 따라서, 본 논문에서 제안하는 프레임워크 적용을 통해 한국군이 효과적인 사이버 방어작전을 수행할 수 있음을 제시한다.

4.1.1 시나리오 #1 내부정보 유출

첫 번째 공격시나리오는 민감한 정보가 담겨있는 내부 데이터베이스 서버를 해킹하여 정보를 탈취하는 공격 시나리오이다. 공격자는 목표를 선정하고 목표로 하는 시스템에 대한 내부정보를 획득하기 위해 인터넷에 공개 또는 비공개된 정보를 획득하여 공격계획을 수립하고, 공격자 자신을 은닉하고 공격대상에 접근이 용이하도록 공격목표와 동일한 국가내에 공격기반체계를 마련한다. 공격기반체계는 보안이 취약한 중소기업의 서버를 사전에 해킹하여 공격 중간 경유지 및 탈취 자료의 1차 저장 장소로 활용한다. 이후 공격자는 사전 확보한 내부자의 이메일 주소를 활용하여 해킹메일을 발송, 해킹메일을 열람한 내부자 PC를 공격 거점으로 확보한다.

이전 단계를 통해 확보된 내부 거점을 통해 내부정찰, 수평이동을 통해 공격 목표로 접근한다. 공격 목표인 데이터베이스 정보를 탈취하기 위해 장시간 네트워크 트래픽 모니터링, 키로깅 등을 통해 목표시스템의 접근 아이디와 비밀번호를 획득하고 결정적 시기에 내부 데이터베이스 서버에 접근하여 민감한 정보를 추출하여 사전 준비한 중소기업 서버에 자료를 전송한다. 이후 공격자는 중소기업 서버를 통해 수집된 자료를 사이버 범죄에 대한 법적인 절차가 미비한 제3국으로 정보를 이동시킨후 확보한 정보를 이용하여 다크넷에 민감 정보판매 또는 피해 회사에 해킹사실을 통보하고 금전요구를 수행한다.

공격자의 공격진행 단계에서 제안한 방어작전 프레임워크를 적용하면 먼저, 공격자가 공격을 수행하기 위해 정보를 수집하는 단계와 취약한 서버를 해킹하여 기반구축/운용하는 단계에서 정보감시정찰작전 활동을 수행하여 적의 공격을 사전에 차단할 수 있다. 즉, 공격자가 정보수집활동을 위해 일반적으로 비공개된 해커들의 커뮤니티를 이용할 것이다. 이러한 비공개 커뮤니티를 정보감시정찰 활동을 통해 사전에 모니터링 하면서 공격목표를 모의하는 과정을 사전에 인지할 수 있고, 사전에 방어를 강화함으로서 공격을 방어할 수 있다. 또한, 공격자가 내부거점 확보를 위해 해킹메일 공격을 수행하거나 성공하였다면 위협분석 및 적극방어작전을 통해 내부에서 외부에 마련한 공격거점과의 통신을 식별할 수 있다. 또한, 조사분석 작전을 통해 내부자 PC에 숨겨져 있는 악성코드를 식별하고 악성코드 분석을 통해서 외부의 공격거점을 인지하여 해당 공격거점에 대한 정보감시정찰 작전을 수행한다. 이러한 정보감시정찰 활동을 통해 내부정보가 이미 외부로 유출되었는지 또는 새로운 내부의 공격거점이 있는지 등을 확인할 수 있다.

또한, 공격자가 이미 목표를 달성하여 내부의 민감한 정보를 외부로 유출하였다면 무력화 작전을 수행하여 외부의 공격거점에 저장된 자료를 삭제하고 공격자의 공격원점 IP 등 추가 정보를 획득하여 공격자를 특정할 수 있는 정보를 획득하여 향후 공격자를 법적으로 기소하는 등 추가 작전에 활용할 수 있다.

4.1.2 시나리오 #2 내부자 공격에 의한 무기체계 내 사이버위협 대응

두 번째 공격시나리오는 적이 아군의 C4I 체계에 사이버공격을 수행하는 시나리오이다. 일반적으로 무기체계에 포함되는 소프트웨어는 외부의 다양한 업체 또는 제작자를 통해 제공된다. 공격자는 이러한 점을 악용하여 아군의 C4I 체계에 들어가는 소프트웨어의 공급업체를 해킹하여 C4I 체계의 공통상황도 프로그램 소스를 확보후 해당 소프트웨어 취약점을 활용하여 내부에 악성코드를 삽입하는 공격을 수행한다. 악성코드는 활성화시 특정 IP로 비콘신호를 전송하여 감염사실을 공격자에게 전송하며, 공격자는 필요시 악성코드에 감염된 C4I 체계에 특정신호를 전송하여 C4I 체계의 정상적인 동작을 방해하거나 파괴할 수 있다.

이러한 무기체계에 대한 공격은 내부와 외부의 네트워크가 완전히 분리된 상태로 운용되어 최초 공격자는 외부에 위치하여 악성코드를 제작하고 공격을 계획하나, 내부의 감염시스템을 파악하거나 실제 공격을 감행하기 위해서는 내부자의 도움이 필요하다. 이러한 내부자의 도움은 내부자가 인지한 상태일 수 있고, 인지하지 못한 상태에서 도움을 줄 수 있다.

무기체계 시스템의 경우 독립된 네트워크 환경에서 동작하므로 원격에서 시스템을 모니터링 할 수 없다. 따라서, 위협분석작전은 해당 시스템에 직접 접근이 가능한 내부에의 침해대응조직과 협업을 통해 내부에 잠재된 위협을 식별 할 수 있다. 그러나, 해당 무기체계가 직접 운용되는 환경에 물리적으로 접근해야 식별할 수 있는 정보들이 있어, 이러한 무기체계 환경에서는 적극방어 작전이 매우 유용하게 활용될 수 있다. 사이버 방어작전을 수행하는 부대는 적극방어 작전팀을 편성하여 C4I 체계를 운용하는 단위부대 또는 서버를 운용하는 단위급 부대별로 파견하여 해당 지역 내 네트워크와 서버 및 단말기의 로그를 수집하고 분석하여 적의 위협을 식별한다.

본 시나리오의 C4I 체계내 숨겨진 사이버위협도 해당 체계를 운용하는 단위부대로 적극방어팀을 파견하여 내부의 네트워크 트래픽 모니터링을 통해 미인지된 주기적 비콘 식호를 식별하고, 해당 신호를 발생시키는 소프트웨어를 찾아낸다. 이후 해당 소프트웨어를 분석하여 내부에 숨겨진 악성코드를 제거한다. 또한, 해당 비콘신호를 수집하는 서버를 분석하여 추가적으로 감염된 단말 또는 서버를 식별할 수 있다. 나아가 해당 수집서버에 접근한 이력을 분석하여 내부의 공격자도 찾아 낼 수 있을 것이다.

4.2 기존 대응방식과의 비교분석

본 절에서는 기존의 CERT 및 보안운영센터(SOC)에서 수행하는 대응체계와 미군의 사이버전 교리 및 제안하는 선제적·적극적 사이버 방어작전 프레임워크를 비교 분석한다. 세부 비교항목은 방어전략, 작전영역, 방어작전 대상체계에 대한 직접접근 가능여부, 무력화 등 공세적활동이 포함여부 이다. 전체적인 방어작전 대응방식은 <표 3>에서 종합적으로 보여준다.

<표 3> 방어작전 대응방식 비교

먼저 방어전략 측면에서 민간의 CERT 및 보안운영센터의 대응전략은 침해식별 및 대응의 수동적 전략으로 운용된다. 물론 사전 사이버 보안성 강화를 위한 위협헌팅 등 의 활동이 포함되고 있으나 이는 사이버방어활동과는 차이가 있어 비교에 포함하지는 않는다. 미군은 공세적 사이버전략을 적극 수용하고 있으며, 제안하는 프레임워크 역시 국가사이버안보 기본 계획의 공세적 사이버방어활동을 구현할 수 있도록 제시하였다.

작전영역 측면에서는 민간은 내부체계에 대한 방어만을 다루고 있다. 일부 외부영역에서의 정보수집활동은 CTI(Cyber Threat Intelligence)라는 형태로 이루어지고 있으나, 이는 보안업체들이 수동적으로 수집 및 가공된 정보를 획득하는 활동으로 직접 외부에서 정보수집활동 등을 수집하지는 않으므로 작전영역은 내부로 한정된다. 미군은 내·외부 모든 영역에서 작전활동을 수행한다. 다만, 외부의 활동은 헌트포워드작전 등 인가된 영역에서의 작전으로 한정적으로 수행한다. 제안하는 프레임워크는 외부영역에서 정보감시 정찰작전 및 무력화 작전을 구체적이고 명시적으로 포함하고 있다.

또한, 방어대상체계에 대한 직접접근하여 수행하는 작전형태는 민간에는 없으며, 미군의 경우 원정사이버 작전이 제시되어 있으나 아직 정식 교리에 포함되지는 않고 있다. 제안하는 프레임워크는 적극방어작전의 형태로 제시하고 있다.

마지막으로 공세적 활동의 포함 유무이다. 민간영역에서의 사이버 방어작전에서는 공격 등 공세적 활동이 전혀 반영되어 있지 않고 있다. 최근에는 해킹백 등의 도입 필요성이 제기되고 있으나 현실화 되고 있지는 않다. 미군의 경우 교리에 방어적 사이버작전에 대응활동(DCO-RA)을 포함하여 공격을 명시적으로 포함하고 있다. 제안하는 프레임워크는 공격자의 기반 체계에 대한 정보감시정찰 및 무력화 등 공세적 활동이 포함되어 있다.

4.3 고려사항

선제적·적극적 사이버 방어작전의 원활한 수행을 위해서는 사전 충분한 논의가 필요한 사항들이 있다. 본 절에서는 고려사항을 먼저 논의하고 그에 맞는 대응방안을 제시한다.

먼저 선제적 방어작전이다. 정보감시정찰작전활동과 무력화작전으로 구성되는 선제적 방어작전은 국방 영역 외부에서 수행되는 활동이다. 즉, 선제적 방어작전은 회색 또는 적색영역에서 작전을 수행함을 의미하며, 군사작전을 수행함에 있어 국내외 법제 및 규범과의 충돌이 불가피하다. 특히, 외부 경유지 침투, 적시스템 무력화 등 공세적 성격의 작전 수행은 자칫 국제법상 주권침해 논란을 불러일으킬 수 있다. 다만, 최근에는 피해자 입장에서 자신의 탈취당한 정보를 회수하거나 적의 공격을 무력화하는 것은 위법성 조각사유가 될 수 있다는 견해도 있다[30].

그러나 원활한 작전 수행을 위한 법적 기반이 마련되지 않는다면 향후 합법적 작전수행이었는지에 대한 논란이 제기될 수 있어 불필요한 논란을 방지하기 위해 법적 기반을 마련할 필요가 있다. 따라서 국가 차원에서 가칭 “국가사이버안보법” 등의 법률 제정 시 군사작전에 한정하여 선제적 방어작전 수행을 보장할 수 있도록 법적 권한과 책임을 명시해야 할 것이다. 또한, 국방부 차원에서는 그러한 법적 기반하에 교전 규칙(ROE, Rules of Engagement)이나 교범 또는 작전지침에 작전수행절차를 명확하게 포함하는 것이 필요하다.

작전교리 및 조직적 측면의 고려사항은 다음과 같다. 우선 본 연구를 통해 제안하는 작전활동은 현재 한국군 교리나 작전수행지침에는 포함되어 있지 않아, 작전에 직접 적용할 수 없다. 따라서 선제적·적극적 방어작전 수행을 위해 필요한 정보감시정찰, 무력화, 위협분석, 적극방어, 조사분석 활동을 교범 또는 지침에 포함시켜야 한다. 또한 무력화작전 활동은 3장에서 기술한 바와 같이 사이버 공격작전과 유사한 작전활동이므로 임무를 어느 조직에 할당할지를 결정하고, 임무가 할당된 조직은 제안하는 작전활동 수행에 필요한 최적의 형태로 재편할 필요가 있다.

다음으로 실제 작전이 수행된다면 작전의 공조 측면도 반드시 고려해야 한다. 정보감시정찰작전및 무력화작전은 군 내부에서 다양한 정보·작전을 수행하는 부대 간에 임무 영역 충돌이 발생할 수 있다. 군 외부적으로도 국정원, 경찰, 한국인터넷진흥원 및 민간 보안업체 등과 회색영역(인터넷)에서의 활동이 충돌할 수 있다. 따라서 전체 작전 진행 상황을 원활하게 공유하고 조정 및 통제하기 위해서는 국가안보실 내 국가사이버위기관리단이 컨트롤타워가 되는 방안도 검토할 필요가 있다.

적극방어작전을 수행하는 과정에서는 사이버작전 부대와 정보체계 운용 부대 간의 협조 문제가 발생할 수 있다. 그러나 단순히 두 부대 간 협조만으로는 해결할 수 없는 사안이 발생할 가능성도 배제할 수 없다. 따라서 부대 간의 협조 문제는 합참 차원에서 작전수행절차를 면밀하게 검토하여 제시하고, 실제 상황 발생 시 적절한 조정·통제를 시행해야 한다.

5. 결론

본 연구에서는 최근 심화되고 있는 사이버위협 환경하에서 사이버공간 우세를 달성하기 위해 그동안의 수동적인 사이버 방어작전 대응전략에서 벗어나 선제적이고 적극적인 사이버방어작전 수행으로의 전환 방안을 제시하였다.

제시하는 사이버 방어작전 수행 방안은 공격자들의 공격기법 고도와 및 국가사이버안보전략의 변화에 대응하면서, 미군의 작전교리와 수행절차 및 해킹백 등 최근 논의되고 있는 최신 기술들이 군의 작전활동에 반영될 수 있도록 하였다. 구체적으로 선제적 사이버 방어작전 수행을 위한 정보감시정찰 및 무력화작전 수행 개념을 제시하였다. 적극적 사이버 방어작전 수행을 위해서는 위협분석, 적극방어 및 조사분석작전을 구체적인 작전활동으로 정의하고 그 수행 개념을 제시하였다.

향후 연구에서는 본 연구를 통해 제시된 사이버 방어작전 수행 프레임워크의 실질적인 적용을 위해 법·제도, 작전교리, 조직 및 작전체계 등에 대해 심도깊은 분석을 통해 발전방향을 제시하고 한다.

결론적으로 전 세계 사이버안보 추세는 선제적이고 적극적인 방향으로 대응전략이 전환되고 있으며, 우리의 사이버 군사작전도 요구되는 변화의 방향으로 진화 되어야 한다. 따라서 향후 4장 3절의 고려사항을 통해 제시한 사항들이 조속하게 해결되고 구체화되어 한국군의 전반적인 사이버 방어작전수행 능력이 한차원 높아지길 기대한다.