정보기술(IT)보안 전문가들은 “다음 전쟁의 주무대는 인터넷 가상공간이 될 것”이라고 경고한다. 실제로 지난 21일 전세계 인터넷을 연결하는 미국의 13개 서버 컴퓨터 네트워크가 사상 최대의 사이버 공격을 받아 이 중 9개 컴퓨터가 1시간 동안 정상적으로 작동하지 못하는 사고가 발생한 후 이러한 우려가 더욱 증폭되고 있다. 현재 미국 연방수사국(FBI)과 백악관이 이를 조사하고 있지만 아직 그 원인을 밝혀내지 못하고 있다. IT컨설팅 회사 가트너는 최근 미국 해전대학과 공동으로 모의전쟁게임을 통해 이러한 사이버 테러의 위험을 조기에 찾아내 이에 대처할 수 있는 방안을 제시해 관심을 끌고 있다. 보고서(‘Digital Pearl Harbor’ War Game Explores ‘Cyberterrorism’)의 주요 내용을 소개한다. 편집자
2002년 7월 24일부터 26일까지 미국 가트너와 해전대학은 미국 경제와 국가 인프라에 악영향을 미칠 수 있는 사이버 테러 가능성을 파악하기 위한 ‘디지털 진주만’이라는 이름의 모의전쟁게임을 개최했다.
통신과 인터넷, 전력 및 금융 등의 분야에서 가트너 경영 프로그램에 참여하고 있는 회원사 직원 100여명이 최악의 피해를 입힐 수 있는 일련의 사이버 테러 공격을 궁리해냈다. 게이머들은 방어보다는 주로 사이버 테러를 위한 이론적인 시나리오를 구축하는 데 초점을 맞췄다. 이러한 일련의 게임을 통해 사이버 테러를 방어하기 위한 몇가지 원칙을 발견했다.
△기업들은 내부로부터의 공격과 같은 위협을 배제한 채 해킹과 같은 특정 위협에 대비할 계획만 세울 경우 문제에 봉착할 수 있다. △기업들은 잠재적으로 더욱 폭넓은 테러 공격에 도움이 될 수 있는 사소한 문제들까지도 파악해야 한다. △대부분은 아니더라도 게이머들에 의해 파악된 많은 취약점들을 기업의 바람직한 사이버 보안 관행, 합리적인 직원 신뢰성 판단 기준 및 개선된 공급자(벤더) 소프트웨어 품질관리를 통해 보강할 수 있다.
디지털 진주만 전쟁 게임에서 테러리스트들은 사이버 공간에만 존재하는 주요 시설을 파괴하는 것만으로 미국 경제와 일반인들의 일상 생활에 상당한 혼란을 야기할 수 있는 가능성을 조사했다(미국 정부는 해전대학과의 공동 R&D 협약에 따라 이 작업에 대한 저작권을 갖고 있다).
테러리스트들은 이번 시험에서 미국 정부 및 공공기관 웹사이트들의 정보관리가 허술하다는 점을 확인했다.
테러리스트들은 또 전력 공급 또는 통신을 위한 통제시스템과 같은 고립된 인프라를 공격하기가 상대적으로 어려웠지만, 이는 동시에 이들 기관이 사이버 테러 공격을 감지하는 것을 어렵게 만들고 있다는 사실도 확인했다.
이들에 비해 IT 네트워킹 및 금융 서비스 체계에 대한 공격은 발생 가능성이 매우 높지만 이에 대한 보안 예방조처만 취하면 쉽게 막을 수 있었다.
또 이번 게임을 통해 사이버 테러를 방어하기 위해 미국 정부만이 제공할 수 있는 중앙에서의 조정역할이 필요한 것으로 드러났다. 그러나 아쉽게도 미국 정부는 임박한 사이버 공격을 알려주는 초기징후를 분석해 실시간으로 대응할 수 있는 능력이 부족했다.
◇가시성과 신뢰=게이머들은 4개 그룹으로 나뉘어 진행한 게임에서 사이버 테러리스트들은 일반인들이 넋을 잃을 정도의 참담한 테러가 일어났음을 보여주고자 한다고 상상했다. 공격목표가 대중에게 잘 알려져 있고 이 테러를 통해 미국의 효과적 대처능력에 대한 불신을 조장함으로써 시민들의 사기를 크게 떨어뜨릴 수 있어야 했다.
예를 들면 통신시스템에 대한 공격은 단순히 장비를 손상시킬 뿐만 아니라 위기를 극복함에 있어 사람들의 통신능력을 훼손시킬 것이다. 단적으로 사이버 테러 공격은 기술적 이슈일 뿐만 아니라 전략적 이슈이기도 하다.
◇위협에 대한 개방적 생각=게이머들은 테러리스트를 알카에다와 같은 과격단체로 생각했다. 하지만 이들이 작성한 시나리오에서 내부인 또는 회사에 불만을 품고 있는 이전 직원이나 대 테러전에 대해 천성하지 않은 다른 국가의 유사한 시스템에서 일하는 전문가들도 모두 위협이 될 수 있다는 가정을 세웠다.
국가 기간산업에 종사하면서 테러리스트들에게 협박이나 기만 또는 매수를 당하거나 동정심을 갖고 있는 직원들은 외부의 해커보다 훨씬 심각한 피해를 야기할 수 있다. 따라서 기업들은 내부의 위협 가능성을 배제한 체 외부 위협에 대해서만 대책을 세울 경우 심각한 문제에 봉착할 수 있다.
전문 테러리스트들은 영리하고 정보력을 갖고 있으며 여러가지 선택 가능성을 갖고 있다. 이들은 기업의 취약점을 찾아 이를 집중 공격한다. 또한 인내심이라는 무기를 갖고 있다.
미 정부의 최고 IT보안 담당자임과 동시에 미국이 직면한 새로운 보안위기를 2001년 12월 ‘디지털 진주만’이라는 문구로 표현한 리처드 클라크의 조언을 경청할 필요가 있다.
그는 기업들에 말한다. “위협요소가 무엇일까 추측하려 하지 말라. 테러리스트들이 이용할 수 있는 자사의 취약점이 무엇인지 찾아내어 고쳐야 한다.” 게임은 이러한 취약점을 표면으로 끌어내기 위한 도구로 이해할 수 있다.
◇사이버테러리즘은 상승작용을 한다=게이머들이 개발한 시나리오에서 디지털 진주만은 결코 일회성 사건으로 일어나지는 않았다.
오히려 테러리스트는 인터넷을 통한 사이버 공격, 인프라의 코어에 소프트웨어가 손상된 장치 설치, 핵심설비에 대한 물리적 공격과 같은 몇가지 서로 다른 종류의 공격을 가장 효과적으로 조합함으로써 시너지 효과를 노릴 것이다. 또 디지털 테러에서는 전쟁게임용으로 사용된 4개 핵심 인프라와 같은 여러개의 서로 다른 지역에 대한 공격들도 결합할 가능성이 크다.
한가지 시나리오에서는 테러리스트들이 인터넷을 제어함으로써 국가 금융시스템의 심장부에서 이뤄지는 트랜잭션에 대해 더욱 효과적인 공격을 수행할 수 있다고 묘사했다. 이에 대한 대응방법으로 기업들은 네트워크의 구멍을 찾아 막는 것 이상의 무언가를 해야 한다.
이들 기업은 더욱 포괄적인 관점을 필요로 한다. 이는 심지어 사소한 문제라도 광범위한 공격에 기여할 수 있는 잠재력을 갖고 있다는 것을 의미한다. 몇개의 신용카드 번호 도난이나 서툰 트랜잭션은 어떤 기업에는 불편 그 이상의 아무 의미도 없겠지만 또 다른 어떤 회사에서는 금융시스템에 대한 공격 징후가 될 수도 있다.
◇기업 혼자서는 핵심 인프라를 보호할 수 없다=대부분은 아니더라도 게이머들에 의해 파악된 많은 취약점들을 기업의 바람직한 사이버 보안 관행, 합리적인 직원 신뢰성 판단 기준 및 개선된 벤더 소프트웨어 품질관리를 통해 보강할 수 있다. 하지만 게이머들이 개발한 시나리오에서는 테러리스트들의 공격범위가 일개 기업이 혼자서는 방어할 수 없을 정도로 광범위한 것으로 가정했다.
미국은 디지털 진주만에 대한 아무런 대비가 되어 있지 못하다. 냉전 기간중에 설치된 방위체계를 검토해보자.
△북미대공방어사령부는 임박한 공격에 대해 국민들에게 경고하기 위한 조기경보체제를 제공했다. △미 공군은 침입하는 폭격기들을 막기 위해 초음속 전투기와 핵심산업 현장 주변에 배치한 나이키 지대공 미사일 기지를 이용했다. △전략공군사령부는 장거리 폭격기와 지상이나 바다에서 발사할 수 있는 핵미사일체계의 운영을 통해 보복위협을 가함으로써 공격의지를 사전에 분쇄시켰다. 게이머들은 대조를 통해 사이버 테러리즘에 대한 방어원칙이 정립되어 있지 않음을 보여주었다. △조기 전자경보시스템과 기타 경보시스템이 갖춰져 있지 않다. △주요 인프라에 대해 임박한 공격을 차단하거나 대응할 수 있는 조직적인 대응체계가 없다. △테러리스트에 보복하기 위한 아무런 수단이 없다.
◇결론=디지털 진주만 게임은 잠재적인 취약점을 찾아내고 자사에 대한 사이버 테러 방어 관련 교훈을 얻을 수 있는 참가자 네트워크를 구축하는 데 효과적인 수단으로 입증되었다. 또 시나리오 작성과 시험을 통한 협력은 참가자들간의 정보장벽을 무너뜨리고 응집력을 키웠으며, 게임 후에 미국 정부와 민간 기업들이 사이버 테러뿐만 아니라 다른 비교적 파괴력이 작은 사이버 공격에 대한 것까지 방어능력을 향상시킬 네트워크 구축을 촉진하는 효과를 거뒀다.