해외 주요국의 사이버안보강화 노력과 최신 담론 확인...시사점 제공

[보안뉴스=고려대 사이버국방연구센터] CyCon 2013은 기조연설 등 공통 세션과 전략·법·윤리 트랙과 기술 트랙으로 구분된 세부 세션으로 발표 및 토론이 이루어졌다. 여기에서는 CyCon 2013 공통 세션 및 세부 세션 중에서 주목할 만한 일부 발표를 소개하고 이 의미를 분석해보고자 한다.

1. 정보공유

처음으로 소개할 발표는 NATO정보통신국(NATO Communications and Information Agency)의 루크 댄듀란드가 발표한 ‘사이버 보안 향상을 위한 정보공유 방안’이다. 댄듀란드 연구원은 NATO정보통신국이 개발하고 있는 CDXI(Cyber Security Data Exchange and Collaboration Infrastructure)에 대해 소개했다.

사이버 정보공유는 많은 주체들이 필요성을 역설하여 왔으나 각 주체들은 복잡한 시스템에 적용이 어려우며, 대용량 데이터 처리의 어려움, 적시성 문제, 시스템 간 요구사항의 다변성 문제, 민감한 데이터 처리 문제, 자동화의 어려움, 직접적 이익과 같은 유인요소가 없는 등 현실적 문제로 인해 성공적으로 구현 및 활용되지 못했다.

NATO정보통신국은 CDXI를 구상함에 있어 정보공유 시스템이 갖는 문제를 식별하고, 이러한 제약요건을 해결하며 유인요인을 제시할 수 있도록 개발했다고 밝혔다. NATO정보통신국은 정보 공유를 원활하게 해주는 기반 시스템으로써 자동화된 정보 공유, 용이한 사이버 정보 생성과 교환 등을 목표로 CDXI를 설계했다. 또한, CDXI는 미국 MITRE 연구소의 ‘Making Security Measurable’, ITU-T의 ‘X.1500 CYBEX’, IETF의 ‘IODEF’ 등 여러 정보 공유와 관련된 표준을 만족하므로 다양한 시스템에서 호환이 가능하도록 설계됐다.

그 결과 CDXI는 다양한 시스템과 네트워크 상에 적용할 수 있는 소프트웨어 형태로써 현존하는 다양한 환경뿐만 아니라, 향후 개발되고 발전되는 환경에서도 적용할 수 있도록 설계됐다고 밝혔다. 이는 마치 IAAS, SAAS와 같은 클라우드 형태로 정보공유 체계를 구현함으로써 다양한 환경적 제약요인을 극복했다고 볼 수 있다.

NATO정보통신국은 CDXI만을 설계한 것이 아니라 민간 기업들과 같은 다양한 주체들의 참여를 유도하기 위해 해당 정보들을 거래할 수 있는 새로운 생태계 역시 제안했다. 마치 앱스토어와 같은 형태로써 CDXI에 참여한 주체들은 상호간 정보를 교환하거나 자신의 정보를 상품과 같이 판매함으로써 다른 주체들이 해당 정보를 활용하고, 정보를 공유한 주체들 역시 정보공유에 따른 인센티브를 얻을 수 있도록 구상했다.

사이버 정보공유는 최근 사이버안보 강화를 위하여 인력양성과 함께 가장 필요성이 강조되고 있는 요소이다. 앞서 소개한 키스 알렉산더 사령관의 기조연설에서도 정보공유의 필요성을 역설한 바 있으며, 프리즘(PRISM) 프로그램의 폭로를 통하여 美 국가안보국의 민간 정보공유와 이를 통한 감시가 밝혀진 바 있다. 우리나라 역시 최근 발표한 ‘국가 사이버안보 종합대책’에서 주요 대책의 하나로 2014년까지 ‘사이버 위협정보 공유시스템’을 개발하여 민간부문과의 정보공유와 협력을 강화하겠다고 밝혔다.

사이버 정보공유의 필요성은 증가하고 있으나 이와 관련된 인프라와 유인요인 없이는 현실적으로 이루어지기 쉽지 않다. NATO정보통신국의 CDXI는 이러한 제약요인을 해소하려는 노력을 했으며, 여러 주체들을 유인하기 위하여 교환 시스템, 마켓과 같은 새로운 생태계를 구축하고자 한다는 측면에서 의미를 부여할 수 있다.

2. 악성코드, 사이버무기 확산 통제방안

두 번째로 소개할 발표는 미국 육군사관학교 데이비드 레이몬드 등이 발표한 ‘부수적인 피해와 악성 소프트웨어 확산 제한을 위한 통제 프레임워크’이다. 탈린 매뉴얼과 다양한 국제 전쟁법은 부수적인 피해(Collateral Damage)를 최소화하기 위한 노력을 강조하고 있다. 하지만 사이버 공격은 네트워크의 특성과 익명성 등의 성격으로 정확히 목표만을 공격하여 부서적인 피해를 최소화하기 위한 공격이 어려운 것이 현실이다. 이 발표에서는 악성코드의 전파 사례를 분석하고 악성코드 전파를 통제하는 방식을 통하여 사이버 무기 역시 통제가 가능하다는 시사점을 제시했다.

코헨이 1983년 연구에서 컴퓨터 바이러스를 정의한 이후 20여 년간 바이러스 등 다양한 악성코드들이 출현하고 발전했으며, 이들은 이제 국가 차원의 무기로서의 지위를 얻고 있다고 밝혔다. 레이몬드는 멜리사 바이러스, 모리스 웜, 콘피커 웜부터 스턱스넷에 이르기까지 주요 악성코드를 소개했다. 이들은 50분 단위로 전파, 이메일 주소를 통한 전파, 특정 호스트를 제외한 전파, USB를 통한 전파와 활동 등의 방식을 채택했는데, 무작위적인 전파와 실행 외에도 목표 대상에만 전파하는 제한적인 전파와 실행 방식 역시 채택한 바 있다. 이는 USB를 통하여 전파되며 특정 시스템에서만 활동을 하는 스턱스넷과 특정 호스트의 파일 이름을 악성코드의 복호화 키로 사용한 가우스 등이 대표적이다.

코헨은 사이버무기 역시 이와 같이 해당 시스템의 특성에 따라 악성코드의 특정 상황에서만 전파, 특정 상황에서만 작동되는 방식을 차용할 경우 분명 부수적인 피해를 최소화하며 목표만을 공격하도록 통제가 가능하다고 주장했다. 또한, OSI 7계층과 작전 영역 등 각 요소별로 나누어 지휘 및 통제를 할 경우 용이하게 할 수 있다는 점과 이를 위한 프레임워크 역시 제시했다.

코헨의 발표는 악성코드 자체가 사이버 무기로 활용될 수 있는 상황에서 당연한 분석이라 치부할 수 있으나 기존의 악성코드가 어떻게 전파와 감염을 통제했는지를 분석하고 이를 바탕으로 사이버 무기의 적법한 활용을 위한 지휘·통제 방안을 제시했다는 점에서 의의가 있다. 향후 사이버 무기 활용에 있어 국제 전쟁법과 인도법 등에서 요구하는 요소들을 사이버 전쟁에서도 충분히 적용할 수 있다는 가능성을 제시한다고 평가할 수 있다.

3. 사이버 정보 분석과 상황인식

세 번째로 소개할 발표는 미국 육군사관학교 조지 콘티 교수가 발표한 ‘사이버 작전상황도 개발’과 조지메이슨대학 스캇 애플게이트가 발표한 ‘사이버 분쟁 분류방법’이다. 이 두 발표의 공통점은 사이버 위협, 취약점, 사건 등을 시각화를 통하여 효과적으로 분석하고 이를 공유하는 것을 목표로 한다는 점이다.

콘티 교수의 발표는 효과적인 상황 인식과 이에 따른 의사결정 제시를 위한 ‘사이버 작전상황도(Cyber Common Operation Picture)’의 필요성과 이를 위한 방안을 제시했다. 작전상황도는 작전 수행과 관련된 정보를 한 눈에 살펴볼 수 있도록 도식화한 자료로 상황인식을 위하여 매우 중요한 요소이다. 그는 사이버 작전의 경우 네트워크 환경의 복잡성과 다양한 변수들, 물리전과의 연계 등으로 인하여 작전상황도가 반드시 필요하다고 주장했다.

사이버 보안위협을 비롯하여 다양한 데이터, 시스템의 분석과 도식화를 위한 IBM의 Analyst’s Notebook, Palantir, ArcSight, Splunk, PixlCloud 등의 툴이 이미 존재하며 활용되고 있어 이러한 분석 툴을 차용하여 사이버 작전 상황도를 만들 수 있을 것이라고 분석했다. 또한, 빅데이터의 활용과 데이터의 도식화 기법 역시 국제적인 연구가 진행되고 있어 이 분야에 대한 밝은 전망을 제시했다.

콘티 교수는 사이버 작전상황도는 반드시 OODA 루프 모델을 통하여 적보다 빠르게 정보를 도식화하고 이를 통하여 상황인식과 의사결정으로 이어질 수 있어야 한다고 요건을 제시했다. 그는 이를 위하여 작전 계획, 전장 분석 등 다양한 군사 작전 요소와 네트워크, 포렌식 등 사이버 요소를 결합한 고려요소를 도출했으며, 이를 바탕으로 사이버 작전상황도의 설계와 발전 방안에 대한 제언을 밝혔다.

애플게이트의 발표 역시 효과적인 상황인식을 위하여 자료의 분류방법과 이를 효과적으로 인지하기 위한 도식화 기법에 대하여 발표했다. 그는 AVOIDIT 분류법과 하워드의 분류법 등을 분석하며 기존의 분류체계가 현재 사이버 환경에서의 한계를 도출하며 이를 해결하기 위한 새로운 분류법을 제시했다.

애플게이트가 제시한 기법은 Cyber Conflict Taxonomy로 행위(Action), 행위자(Actor), 대상 주체(Subject Entity), 사건(Event)의 기준을 통하여 사이버 이슈를 분석한다. 분석된 정보는 The Brain v.7, Protege v4.1 등 도식화 기법을 통하여 효과적으로 해당 이슈를 인지하고 이에 따라 대응할 수 있도록 지원한다고 주장했다. 그는 Operation ShadyRAT, 악성코드, 중국 등 키워드에 대하여 자신의 분류법과 도식화 모델이 기존 모델들에 비하여 효과적으로 분류하고 분석할 수 있는지 입증했다.

사이버 정보 분석은 밀리세컨드 단위로 오고가는 사이버 공격과 방어에 있어 효과적으로 상황을 인식하고 판단을 내리기 위한 도구로서 가치가 있다. 또한, 다양한 정보가 공유되고 효과적으로 분석되어 제시할 경우 충분히 공격자를 식별하여 사전적 예방조치, 사후 추적과 보복 등이 가능해짐에 따라 사이버 공격을 억제하는 역할을 할 것으로 기대할 수도 있다.

이번에 소개한 발표들은 각각 많은 시사점을 제공하고 있다. 정보공유는 현재 사이버 안보 강화를 위하여 가장 시급한 과제로 부상하고 있는 사이버 정보공유 방안의 설계 방안을 제시한다. 사이버 무기의 통제와 사이버 정보 분석은 탈린 매뉴얼이 사이버 전쟁, 사이버 무기의 향후 과제로 도출한 부수적 피해 방지와 사이버 공격 주체 식별 등을 해결하기 위한 단초를 제시한다.

우리나라 사이버안보의 수준과 위협 현황은 3.20 사이버테러와 6.25 사이버테러 등을 통하여 다시 한 번 입증됐다. 그 어느 나라보다 사이버 안보에 대한 역량 강화, 논의와 토론, 발전 방향 제시가 필요한 나라가 우리나라다. 하지만 CyCon을 통하여 전 세계 다양한 국가들은 사이버안보 강화를 위하여 최선의 노력을 다하고 있으며, 우리나라가 이러한 경쟁 속에서 결코 앞서지 않는다는 사실을 확인할 수 있었다.

국가 사이버안보 종합대책이 발표되고 사이버안보에 대해 재검토되고 있는 지금 세계 각국의 현황과 노력을 확인하고 우리 사이버안보의 발전방향을 모색해야 할 시점이다. CyCon은 해외 주요국의 사이버안보에 대한 노력과 최신 담론을 확인할 수 있는 주요한 정보교류의 장으로서 역할을 하고 있으며 우리에게 많은 시사점을 제공하고 있다. 우리나라도 이와 같은 국제 사이버안보 논의에서 뒤처지지 않도록 사이버안보에 대한 많은 관심과 노력이 필요할 것이다.