사이버공격은 국민의 필수품인 스마트폰과 사물인터넷(IoT)을 이용해 정보 탈취나 금융사기를 실행하지만 국가의 인프라인 원자력을 위협하고 통신과 교통과 전기 및 군사 무기를 마비시키는 사이버테러를 감행한다. 결국엔 눈에 보이지 않는 곳으로부터 사이버전쟁이 발생하고 물리적인 국가의 중요 인프라를 공격하여 마비시키고 파괴하며 국민의 안전을 위협하고 국가안보에 중대한 위험을 발생시킨다.
따라서 국가 사이버안보를 위해서는 지능형 사이버 위협 대응(Cyber Threat Intelligence)을 하여야 하며, 국가가 가지고 있는 인력과 조직과 네트워크의 역량을 결집하고 실시간 연결하여 콘트롤 타워를 형성하여야 한다. 또한 사이버공격과 방어정보 및 사이버취약점 정보를 보안프로토콜(security protocol)과 보안레벨로 공유하고 상시적인 조직으로 실시간 대응시스템을 갖추어야 한다.
이 방안 중 하나가 사이버 킬 체인(Cyber Kill Chain)이다. 따라서 사이버 킬 체인 전략을 준비하고 시스템의 구축을 시행하여 사이버테러와 사이버전쟁으로부터 실시간 사이버대응시스템을 갖추어야 한다.
사이버 킬 체인은, 군사 용어인 타격순환체계인 킬 체인(Kill Chain)에서 유래되었다. 킬 체인 전략은 날아오는 미사일을 격추시키는 것보다, 미사일을 발사하기 전에 미사일기지를 먼저 타격한다는 것이다. 따라서 킬 체인 전략은 탐지에서 타격까지 걸리는 시간을 얼마나 단축하느냐에 성패가 달렸다. 즉 ‘공격이 최선의 방어다’라는 전투의 원칙적인 방안을 사이버 세계에서 응용한 것이다.
사이버공격자의 공격 활동은 일반적으로 정찰(reconnaissance), 무기화 및 전달(weaponization and delivery), 악용과 설치(exploitation and installation), 명령과 제어(command and control), 탈출(exfiltration) 과정을 거친다.
사이버안보에서 록히드 마틴(Lockheed Martin)의 Intrusion Kill Chain 전략이 있다. 사이버공격을 단계별 프로세스로 분석하여 각 공격 단계에서 조직에게 가해지는 위협 요소들을 파악하고 공격자의 목적과 의도 활동을 분쇄하여 완화시켜서, 조직의 회복 탄력성을 확보하는 전략이다. 즉 사이버공격자의 입장에서 사이버공격의 활동을 파악하고 분석해서, 공격 단계 별로 공격목표에 가해지는 위협 요소를 제거하거나, 공격피해를 적게 만드는 것이다.
블랙햇 컨퍼런스 2016에서 신 말론(Sean Malone)은 내부 정찰, 내부 무기화 및 전달, 배포, 내부 악용 및 설치, 내부 명령과 제어, 내부 탈출을 거쳐, 내부 사이버 킬 체인의 각 단계에서 공격자가 선호하는 TTP(Tactics, Technique and Procedure)가 무엇인지 알아내어, 이에 대한 방어 TTP를 만들어야 한다고 한다. 또한 중요 인프라 및 사이버 네트워크 전반에 걸쳐 엔드 포인트(end point)에 보안 배치를 하는 전략도 구사되고 있다.
사이버 킬 체인은 국방에 우선 적용되어야 한다. 사이버전쟁은 평시와 전시의 구분이 모호하며, 국방 무기시스템은 사이버로 연결된 콘트롤 시스템을 보유하고 있다. 국방은 국가안보를 위한 최후의 보루이며, 사이버무기를 포함한 국방무기의 실전 운용과 실전 대응을 위해서 평시와 전시를 구분해서는 안된다.
박대우 국가사이버안보포럼 사무총장(호서대 벤처대학원 융합공학과 교수)
![[뉴욕증시] 엔비디아 10% 폭락에 나스닥지수 2% 급락](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=80&h=60&m=1&simg=2024042006032600384c35228d2f5175193150103.jpg)
