전기전자/정보통신

Nikkei Computer_2023.9.28 포커스 (p42~47)

안보의 새로운 전략, ‘능동적 사이버 방어’
공격자의 서버에 침입하는 대응

일본 정부는 2022년 12월, 새로운 국가 안보 전략을 발표했다. 그 일환인 ‘능동적 사이버 방어’가 당시 큰 화제가 되었다. 공격자의 서버에 침입하는 대응을 가능하도록 하고 있기 때문이다. 이것은 일본의 사이버 방어 상식을 뒤집는 것이었다. 하지만 올 9월 시점에서 밝혀진 것은 그 개요뿐이다. 그래서 이번 포커스에서는 공식 문서 및 전문가의 인터뷰를 바탕으로 그 정체를 파헤쳐본다.

-- 능동적 사이버 방어란 무엇인가? --
능동적 사이버 방어란 일본 정부가 새롭게 도입하는 사이버 보안 정책 중 하나로, 공격에 의한 피해가 발생하기 전, 혹은 피해가 확대되기 전에 공격자에 대해 대항 조치를 강구하는 것을 가리킨다.

능동적 사이버 방어는 2022년 12월에 정부가 각의 결정을 한 3개의 방위 문서에 도입이 명기되어 있다. 3개의 방위 문서는 국가안보정책에 관한 국가안보전략, 국가방위전략, 방위력정비계획 등 3개 문서를 말한다.

국가안보전략은 국가안보에 관한 최상위 정책 문서로, 외교·방위의 기본방침을 규정하고 있다. 국가방위전략은 방위의 목표를 설정하고, 이를 달성하기 위한 방법을 제시하고 있다. 방위력정비계획은 방위비 총액과 구체적인 장비의 규모 등을 규정하고 있다.

국가안보전략에서는 능동적 사이버방어를 도입하는 목적에 대해 '무력 공격에 이르지는 않지만, 국가, 주요 인프라 등에 대한 안보상의 우려를 발생시키는 중대한 사이버공격 위험이 있는 경우, 이를 미연에 배제하고 이러한 사이버공격이 발생했을 경우의 피해 확대를 방지하기 위해서'라고 명기되어 있다.

그리고 정부 차원에서 필요한 조치를 3가지 들고 있다. 구체적으로는 (가)민간 사업자와의 정보 공유 등의 강화 (나)공격자의 서버 등을 검지하는 것을 목적으로 한 통신 사업자로부터의 정보 제공 (다)공격자의 서버 등으로의 침입이나 무해화(無害化)를 가능하게 하는 권한 부여 등이다.

-- 공격을 받기 전에 상대방을 무해화 --
능동적 사이버 방어가 큰 화제가 된 것은 국가안보전략에 제시된 것처럼 공격받기 전의 대응을 가능하도록 하고 있기 때문이다. 게이오기주쿠대학(慶応義塾大学) 대학원 정책·미디어연구과의 쯔치야(土屋) 교수는 “이번에 발표된 국가안보전략을 보고 놀랐다. 실현할 수 있게 된다면 일본의 사이버 보안에 있어서의 큰 전진이다”라고 말한다.

안보에 있어 전수방위가 원칙인 일본에서는 공격을 받기 전에 대항 조치를 취하는 것은 곤란하다고 여겨져 왔기 때문에 사이버 공격에 대해서는 이른바 소극적 방어가 일반적이었다. 여기서 소극적 방어란 피해를 입고 나서 그 원인이 된 취약성 등에 대응하는 것을 가리킨다.

반면 능동적 사이버 방어에서는 공격을 받기 전에 공격자의 서버 등에 침입해 무해화하는 것이 가능하다.

NTT 기술기획부문의 마츠바라(松原) 사이버 보안 전략가는 능동적 사이버 방어에 대해 그 발동 조건이 ‘무력 공격에 이르지는 않지만’이라는 점을 평가한다. 이로 인해 무력공격에 해당하지 않는 경우에도 중대한 피해를 일으킬 가능성이 있는 사이버공격에 대해서는 능동적 사이버 방어의 대상이 된다.

그 하나의 사례로 꼽히는 것은 2021년 5월, 미국 최대 석유파이프라인 업체인 콜로니얼 파이프라인을 강타한 사이버 공격이다. 그 발단은 1개 사에 대한 사이버 공격이었지만, 주유소 재고 소진 등 물리적 피해가 공급망을 통해 도미노식으로 확산되었다.

“이 사건이 발생하기 전까지는 사이버 공격이 국가나 경제의 안보에 큰 영향을 준다고 생각되지 않았다”(마쓰바라 사이버 보안 전략가). 능동적 사이버 방어를 통해 사전에 대항 조치를 강구함으로써 이러한 피해를 경감할 수 있을 가능성이 있다.

능동적 사이버 방어에 대해 현시점에서 밝혀진 것은 3개의 방위 문서의 내용뿐이다. 내각사이버보안센터(NISC) 담당자는 본지의 문의에 대해 “3개의 방위 문서에 적혀 있는 내용이 전부이다. 그 외에는 대답할 수 없다”라고 밝히고 있다.

-- 액티브 사이버 디펜스인가? --
능동적 사이버 방어는 ‘액티브 사이버 디펜스’라고 불리는 경우도 많지만, 실제로는 후자 쪽의 정의가 더 넓어 동일하다고는 말할 수 없다.

액티브 사이버 디펜스라는 말은 미국 국방부가 2011년에 발표한 사이버 전략문서에서 처음 등장했다. 이 문서에서는 미국 국방부의 시스템을 지키기 위한 사이버 보안 전략을 액티브 사이버 디펜스라고 불렀다.

당시에는 위협 정보를 광범위하게 수집해 공격자의 움직임을 검지한 뒤 가급적 빨리 시스템의 취약성을 수정한다는 의미였다. JPCERT 코디네이션센터의 사사키(佐木) 위협 분석가는 “지금은 당연한 보안 대책이지만, 당시에는 미흡한 측면이 있어 새롭게 개정해 전략으로 규정한 것으로 보인다”라고 한다. 당초 액티브 사이버 디펜스에는 능동적 사이버 방어와 같은 사전 대응은 전혀 포함되지 않았다.

전략으로 내놓으려면 ‘당연한 보안 대책’이라고 부를 수는 없었다. 그래서 이전부터 사용되고 있던 군사용어이며, 적극적인 방위체제를 나타내는 ‘액티브 디펜스’와 비슷한 액티브 사이버 디펜스라는 용어가 탄생했을 것이라고 사사키 위협 분석가는 추측한다.

이후 액티브 사이버 디펜스라는 말은 보안제품의 마케팅 등에 쓰이게 되면서 정의가 불분명해졌다. “현재는 조직이나 사람에 따라 정의가 다르다”(코마자와 종합법률사무소의 다카하시(高橋) 변호사). 원래의 의미로 사용되는 경우도 있는가 하면, 공격을 받기 전의 대항 조치를 가리키는 경우도 있다.

또한 방위성이 공개하고 있는 국가안보전략의 비공식 번역본에서는 능동적 사이버 방어를 'active cyber defense'라고 번역하고 있다. 다카하시 변호사는 "일본 정부는 '능동적 사이버 방어=액티브 사이버 방어'로 정의하고 있을 것"이라고 지적한다.

-- 어떤 구조가 될 것인가? --
능동적 사이버 방어에 대해 올 9월 시점에서 밝혀진 것은 전략(방침)이며, 구체적인 전술(구현 방법)은 공표되지 않았다. 상세한 것에 대해 몇 가지 방위성에 문의한 결과, ‘구체적인 대응 내용에 대해서는 안보상의 필요성과 현행 법령과의 관계 등을 종합적으로 감안해 내각 관방이 중심이 되어 검토를 진행하고 있는 중이다’라고 문서로 답변할 뿐이었다.

3개의 방위 문서를 읽어보면, 전술을 어느 정도 예상할 수는 있다. 구체적으로는, 통신사업자를 포함한 민간기업 및 관공서로부터 공격자에 관한 위협 정보를 수집. 그 정보를 바탕으로 NISC를 개편한 조직이 사령탑이 되고 자위대 등의 실행부대가 공격자에 대한 대항 조치를 실시하는 등의 구조가 예상된다.

지금까지도 민관 간에 위협 정보는 공유되고 있다.

-- 억지 효과는 없다 --
궁금한 것은 대항 조치의 효과이다. C&C(Command and Control, 지휘통제) 서버를 무력화 당한 공격자는 이후의 공격을 포기할까? 사사키 위협 분석가는 “억지 효과는 거의 없을 것이다”라고 단언한다.

C&C 서버를 정지시켜 일시적으로 공격 능력을 저감할 수 있어도 공격자는 다른 C&C 서버를 준비해 체제를 재정비하고 다시 공격을 가할 것이다. 특히 국가 등이 지원한 공격자는 얼마든지 비용을 들 수 있기 때문에 C&C 서버 일부가 무력화되더라도 공격을 포기하지 않을 것이다.

그럼에도 사사키 위협 분석가는 “단, 공격을 중단시키면 공격자는 최종 목표를 달성하기 어려워진다. 공격의 무력화는 결코 무의미한 일이 아니다”라고 말한다.

능동적 사이버 방어와 비슷한 수준의 조치가 가능한 국가의 상당수는 대항 조치는 일시적 조치일 뿐 억지 효과는 없다는 것이 공통적 인식인 것 같다. 예를 들어, 미국 대선 전인 2020년 10월, 봇넷을 형성하는 말웨어의 일종인 '트릭봇(Trickbot)'을 미국 사이버군이 무해화했다는 보도가 있었다.

공식 성명은 나오지 않아 자세한 내용은 불분명하지만, 트릭봇에 의한 선거 방해를 막기 위해 미연에 무해화했을 가능성이 높다. 이때 일시적으로는 공격을 멈출 수 있었지만 트릭봇의 인프라는 파괴할 수 없었고, 이후 트릭봇은 1년 넘게 활동을 계속했다. “미국 사이버군은 대통령 선거 중에만 멈출 수 있으면 된다고 생각했을 가능성이 높다”(사사키 위협 분석가).

-- 일반 기업에게도 영향이 있을까? --
능동적 사이버 방어 대상에는 국외 서버는 포함되지 않는다. 이 때문에 국내 기업의 서버가 공격자의 발판이 되거나 공격자의 서버로 오인될 경우 무해화 대상이 될 가능성이 있을 수 있지 않을까?

그럴 염려는 없다는 것이 전문가들의 일치된 의견이다. 능동적 사이버 방어는 대화의 여지가 없는 상대에 대한 최종 수단이기 때문이다.

국내 기업이 운용하는 서버의 경우, 능동적 사이버 방어 실행부대가 공격의 징조를 탐지하더라도 갑자기 공격적인 조치를 취할 가능성은 극히 낮다. 공격자의 서버로 오인되어 공격받을 우려도 거의 없다.

국내 서버가 발판이 되고 있다는 것을 감지할 경우, 그 서버의 관리자를 찾아 연락을 취하고 대응을 협의한 후 서버 정지를 위한 작업을 진행할 것이다. 능동적 사이버 방어를 도입하기 전의 대응과 같다.

또한, 최근에는 국내 서버가 C&C 서버가 되는 케이스는 줄어들고 있다고 사사키 위협 분석가는 지적한다. 2010년대에는 국내 정규 서버가 공격자에게 해킹되는 사례가 빈번했다. 이후 빠른 단계에서 경찰 등에 의해 악용되고 있는 서버를 압류하는 체제가 갖춰지면서 국내 C&C 서버는 감소했다.

-- 법적으로 가능한가? --
능동적 사이버 방어는 현행법 하에서는 실현이 불가능하다. 법 개정 또는 법 해석 논의가 필요하다. 능동적 사이버 방어 실현은 ‘전기통신사업법’, ‘부정접속금지법’, ‘형법’, ‘자위대법’ 등에 저촉될 수 있기 때문이다.

전기통신사업법 제4조에는 헌법으로 규정된 ‘통신의 비밀’에 근거해 ‘전기통신사업자의 취급 중에 관련된 통신의 비밀은 침범해서는 안 된다’라고 명기되어 있다. 이 법률에 따라 통신사업자 등은 정부에 공격자 정보를 제공할 수 없다.

부정접속금지법에서는 본인의 승낙 없이 시스템에 접속하는 것을 금지하고 있다. 이에 따라 능동적 사이버방어 실행부대는 공격자 서버에 접근할 수 없다.

또한 공격자 서버 무해화 등에는 특별한 프로그램이 이용될 가능성이 있다. 이러한 프로그램은 일반적으로는 말웨어로 분류되는 경우가 많다. 이 때문에 이러한 프로그램 작성은 형법의 부정 지령 전자적 기록 작성죄(바이러스 작성죄)에 저촉된다.

자위대가 실행부대를 맡을 경우, 자위대법에도 저촉된다. 현행 자위대법에서는 방위성이나 자위대 이외의 시스템 방호는 임무에 포함되어 있지 않다. 이상과 같이 능동적 사이버 방어의 실현에는 관련 법률의 개정이나 해석 정리가 필요하다.

-- 위법성이 조각(阻却)되는 경우 있어 --
현재도 법 개정이나 법 해석에 의해 위법성이 조각되는 경우가 있다. 그 중 하나가 스팸 메일 대책이다. 통신 사업자의 대부분은 송신 도메인 인증이라고 하는 기술을 이용해 메일의 송신원을 체크하고, 문제가 있는 경우에는 라벨링 등의 조치를 강구한다. 이 행위 자체는 전기통신사업법 제4조에 저촉되지만, 스팸메일로 인한 서비스 지연 등을 막기 위한 정당 업무 행위로 인정되어 위법성이 조각되었다.

과거에 실시된 민관 제휴의 말웨어 대책 프로젝트 ‘사이버 클린 센터’의 활동(2006~2011년)과 ‘ACTIVE’(2013~2017년)에서도 위법성이 조각되었다. 이것들은 프로젝트의 사무국이 말웨어 감염 PC의 IP 주소를 수집. 이것을 기반으로 통신 사업자가 해당되는 계약자를 특정해, 주의 환기한다고 하는 대응이다. 통신사업자의 행위는 전기통신사업법에 저촉되지만, 감염의 PC 위험을 피하기 위한 긴급 대응으로 판단되어 위법성이 조각되었다.

정보통신연구기구(NICT)의 ‘NOTICE’로 불리는 프로젝트도 마찬가지이다. 이것은 인터넷에 존재하는 취약한 IoT 기기를 찾아내는 프로젝트이다. NICT가 IoT 기기에 실제로 접속해 적절한 액세스 제어(패스워드 등)를 실시하고 있는지 등을 조사한다. 이에 대해 국립연구개발법인정보통신연구기구법(NICT법)을 개정해 NOTICE가 NICT의 정당 업무 행위라고 규정했다.

다카하시 변호사는 각각의 법률을 개정하는 것보다 실행부대에 법적 근거를 마련해주는 것이 바람직하다고 지적한다. 자위대가 실행부대가 될 경우에는 자위대법 등 조직의 직무를 규정하는 법률에 능동적 사이버 방어를 가능하게 하는 항목을 추가하는 등의 방법을 생각할 수 있다고 한다.

 -- 끝 --

Copyright © 2020 [Nikkei Computer] / Nikkei Business Publications, Inc. All rights reserved.

[목차]

■ IT가 위험하다
• “GPU 서버 확보 안 된다”, 국내 LLM 개발사들의 비명

■ 특집
• 2027년 문제, 어떻게 해결해야 하나?
 -- SAP 유저에게 기한 임박
• S/4HANA인가? 아닌가? 빨리 결단을 내려야
• 3대 관문 어떻게 뛰어넘나? 유저 기업의 고민
• 탈 SAP에 ‘제3자의 유지보수’, 기간계의 최적의 해답이란?

■ 특집
• NTT데이터, 그 급속한 매출 확대의 이면
 -- 국내 IT 탑 자리 탈취에서 보인 다른 세계
• 해외 수익률이 과제, 국내에선 인력부족도
• 간부들이 인도에 집결, 선택과 집중을 추진하다
• 사장의 주도하는 대책으로 국내 사업 재시동
• 전략 투자에 320억엔, PoC로 다음 전략을 찾는다
• 인터뷰 – 혼마(本間) NTT데이터그룹 사장
• 세계 톱5를 향해 3사 제휴 강화, 풀스택의 강점을 세계로 확산시킨다

■ 포커스
• 안보의 새로운 전략인 능동적 사이버 방어

■ 뉴스 & 리포트
• DX 사업 매출 배증을 내건 NEC, 컨설팅 강화와 기초연구 투자가 열쇠
• 랜섬웨어 공격 피해 30% 증가, 특정 기업 노리는 ‘침입형’이 맹위
• 정부의 2024년도 개산요구, 디지털 관련에 1.3조엔
• JPCERT/CC가 NISC에 쓴 소리, 사이버 공격 시의 정보 공유를 경시
• 아사히맥주가 생성 AI로 문서 요약, 기술 문서 검색 및 공유를 용이하게
• 구글이 'Vertex AI' 확충, LLM과 사내 데이터를 접속 가능하게
• 다이세이건설이 '작업소 대시보드,' 현장을 통한 DX 추진
• 위신을 건 세계 슈퍼컴퓨터 경쟁, 2엑사 FLOPS 이상의 2기종 등장

■ 데이터는 말한다
• 20% 이상이 생성 AI를 '업무에 매일 사용', 활용하는 층이 다수파로

■ 케이스 스터디
•［SOLIZE］
  SaaS 버전 'SAP S/4 HANA' 도입, 버전업을 견디는 체제가 열쇠

■ CIO가 도전
나가세(長瀨) 사이버 에이전트 전무 집행 임원 기술 담당

■ 생성 AI로 사업 방향 전환, 시스템 개발의 변혁을 선도

■ 작동하지 않는 컴퓨터
• 백도어의 존재를 7년간 몰라, 인터넷 접속이 8개월간 차단되는 사태로

■ 연재
• 디자인 퍼스트 개발 실천법
  DX 시스템에 디자인은 필수, 기존의 방법으로는 개발할 수 없다
• DX 성공의 열쇠가 되는 커뮤니케이션 기술
 질문의 방식이 정보 수집을 바꾼다, 실패 사례에서 스킬 검증
• 성장하지 못하는 사원이 배운다, 디지털 비즈니스의 창성술(創成術)
  경쟁이 격화되고 있는 벽장용 수납 케이스, 소비자의 목소리를 반영한 상품 개발이란?
• 사장의 의문에 답하는 IT 전문가의 대화 기술
  기술 기대도 순위에서 로봇이 상위, AI는 하위로

■ 키워드
• SBOM（Software Bill of Materials）

■ 오피니언
• 극언정론(極言正論)
  아름다운 코드를 작성할 수 있어도 미래가 없어, 엔지니어와 생성 AI가 공존하는 길
• 모바일의 일도양단
  스마트폰 할인 ‘일률적으로 4만엔’을 수정, 총무성이 심도 있는 논의와 설명을
• 나카타(中田)의 GAFA 깊이 읽기
  환각 방지 그라운딩, 생성 AI의 취약점을 해소할 수 있을까
• 오오모리(大森)의 프로그래밍으로 가자
  보급이 추진되는 화상 생성 AI, 동인지(同人誌)에 어떻게 영향을 미칠까?
• 가츠무라(勝村)의 ‘오늘도 누군가를 노린다’
  회의 중의 키보드 음에서 키를 특정, 암호가 도난 당하는 위협

 -- 끝 --