Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

A Study on National Cyber Capability Assessment Methodology

국가 사이버 역량 평가 방법론 연구

  • Received : 2012.03.22
  • Accepted : 2012.10.09
  • Published : 2012.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

It is required for us to enhance the national cyber capability as the worldwide countries have been doing effort to strengthen their cyber capabilities. However, we are encountering the difficulty in estimating national cyber capability due to the absence of any cyber capability assessment methodology. This paper presents the national cyber capability assessment methodology which is used for settle up national cyber policy. We also introduce the result of five major nations(US, China, Japan, Russia, Korea)' cyber capability assessment using the proposed methodology. The methodology is developed using open data and includes three areas; base capability, attack capability and defense capability. The assessment result shows the in the order of US, China, Korea, Russia, Japan. As the analysis of that result, in order to enhance the our cyber capability, we recommend that first, cyber budget and human resources for the base capability should be more invested, second, the strategy for attack capability enhancement is strongly required and lastly, the patch ratio and security monitoring level should be upgraded.

세계 각국이 경쟁적으로 사이버 역량 강화를 위하여 다각적인 노력을 경주하고 있는 분위기에 따라 우리나라도 실질적인 국가 사이버 역량 제고의 필요성이 제기되고 있다. 하지만 한국은 사이버 역량 강화의 지표를 제시할 사이버 역량 평가 방법론이 존재하지 않아 실질적인 국가 사이버 역량 수준을 판단하기가 어려운 실정이다. 본 논문은 국가 사이버 역량 강화를 위한 정책 수립에 활용하기 위하여 체계적으로 분석 접근할 수 있는 국가 사이버 역량 평가 방법론을 개발하고 주요 5개국(미국 중국 일본 러시아 한국)의 사이버 역량을 평가하였다. 평가 방법론은 공개된 자료를 기반으로 기반 역량 공격 역량 방어 역량 세 가지 분야의 평가 항목에 따라 절대 평가 또는 상대 평가를 수행하여 평가 대상국별 역량 점수를 정량화함으로서 이해가 쉽도록 하였다. 종합 결과는 미국, 중국, 한국, 러시아, 일본 순으로 평가 되었으며, 평가 결과를 분석한 결과 한국의 사이버 역량 제고를 위하여 기반 역량 분야의 예산 인력에 대한 지속적인 투자, 공격 역량 수준 제고를 위한 전략 마련 및 방어 역량 분야의 패치 보급률 및 보안 관제 수준 제고가 필요함을 알 수 있었다.

Keywords

I. 서론

세계 강국들은 육·해·공·우주에 이어 제5의 전장으로 꼽히는 사이버 공간에서 사이버 전쟁 준비에 박차를 가하고 있으며, 특히 사이버 강대국으로 알려진 미국과 중국은 사이버 공격을 둘러싼 국가 간 신경전이날로 거세지고 있는 실정이다 〔1〕 . 이에 따라 국가 사이버 역량 강화의 필요성이 강조되고 있지만 〔2〕 , 역량 강화의 지표를 제시할 사이버 역량 평가 방법론이 존재하지 않아 실질적인 국가 사이버 역량 수준을 판단하기가 어렵다. 학자 또는 특정 개인의 정성적인 사이버 역량 평가는 역량 강화의 필요성을 주장할 수는 있지만 국가 차원의 총체적인 사이버 역량을 점검하기에는 부족할 수밖에 없다 〔3〕 . 세계 최초로 미국은 사이버 역량 평가 방법론을 개발하여 세계 국가들에 대한 평가를 수행함으로서 사이버 강대국다운 면모를 보여주고 있으면서도 평가 방법론은 공개하지 않고 있다. 본 논문은 국가 사이버 역량 강화를 위한 정책 수립에 활용하기 위하여 체계적으로 분석·접근할 수 있는 사이버 역량 평가 방법론을 개발하고 주요 5개국 (미국·중국·일본·러시아·한국)의 사이버 역량을 평가·분석한다. 본 논문의 구성은 다음과 같다. II장에서는 미국의 사이버 역량 평가 연구를 살펴보고, III장에서는 공개 자료 기반의 사이버 역량 평가 방법론 개발 내용을, Ⅳ장에서 주요 5개국에 대한 사이버 역량 평가 결과를 설명한다. 마지막으로 Ⅴ장에서 결론을 맺는다.

II. 관련 연구

2.1 Technolytics, 군 사이버 역량 평가(2009년)

Technolytics는 2009년 사이버 무기 및 첩보 활동을 하는 160여개 국가의 군 사이버 역량을 아래 세가지 분야별로 평가하고 측정 점수 합의 평균으로 종합 역량 등급을 산정하였다 〔4〕 .

• 사이버 역량 목적(Cyber Capabilities Intent): 목적 달성을 위한 목표와 (심리) 상태 (aim and state of mind for a purpose)

• 사이버 공격 역량(Offensive Cyber Capabilities): 전시 특수 목적을 달성하기 위한 능력(군 조직, 기술 우위, 준비도, 지속성)

• 사이버 정보수집 등급(Cyber Intelligence Rating): 새로운 사이버 영역에서의 정보 수집 적응력

160여개 국가 중 상위 10개국의 평가 결과는 [표 1]과 같으며 평가 활용 자료 및 평가 방법론은 공개하지 않고 있다. 단, 중국 사이버 군사력 〔5〕 , 러시아 사이버 군사력 〔6〕 , 이란 사이버 군사력 자료 〔7〕이 평가에 활용 된 것으로 추정된다.

[표 1] Technolytics 군 사이버 역량 평가(5점 만점)

2.2 Technolytics, 군 사이버 공격 역량 평가(2009년)

공개된 사이버 공격 사례를 바탕으로 군 사이버 공격 역량을 사이버 공격 경험(Cyber Attack1) Experience), 공격 역량 등급(Attack Vector Capabilities Rating), 사이버 정보수집 경험(Cyber Intelligence Experience) 분야별로 평가하고 측정 점수 합의 평균으로 종합 역량 등급을 산정하였다. 이란, 이스라엘의 경우 사이버 군 역량 순위가 낮지만 사이버 군 공격 역량 순위는 높은 것을 확인할 수 있다[표 2].

[표 2] Technolytics 군 사이버 공격 역량 평가(5점 만점)

2.3 Richard A. Clarke, 사이버 역량 평가(2010년)

Richard는 공격(Offense: 타 국가를 공격할 수있는 능력), 방어(Defense: 공격에 대한 저지 및 완화 능력), 의존(Dependence: 국가기반시설이 네트워크에 연결된 정도, 전산화가 덜 될수록 높음) 세 가지 범주에 대해 저자의 주관적인 판단에 의해 점수를 부여하고 각 분야의 점수를 총합하여 평가를 수행하였다 〔8〕 . Richard는 중국의 높은 방어 능력은 유사시 불필요한 네트워크를 단절시키는 계획 및 능력을 보유하였기 때문이며, 반면 미국은 네트워크가 개인 소유로 운영되어 국가가 단절시킬 계획 또는 능력이 없다고 판단하고 있다. 북한은 중국 보다 쉽고 효과적으로 사이버 공간 연결을 제한 할 수 있을 뿐만 아니라 사이버 공간에 연결된 시스템이 거의 없어서 방어 및 의존 점수가 높다. 저자는 미국 입장에서 사이버전격차(Cyberwar Gap2))를 해소하는 방법에 대해 공격 능력 향상은 사이버전 격차를 줄일 수 없으며 또한 네트워크에 대한 의존도를 줄이는 것도 불가하여, 사이버전 격차를 줄이고 사이버 역량을 강화하는 유일한 방법은 방어 능력을 향상 시키는 것이라고 주장한다 〔8〕 .

정량적으로 국가 사이버 역량 평가를 수행한 최초의 미국은 방법론 및 평가 활용 자료를 공개하지 않고 결과만을 공개하고 있다. 이는 사이버 강대국 위상을 계속 유지하고 자국의 사이버 안보 정책을 수립하기 위한 것으로 풀이된다. 우리나라도 사이버 역량 측정 및 평가를 통해 객관적이고 정량적인 자료를 토대로 국가 사이버 안보 정책이 수립 되어야 할 것이며, 이를 위한 사이버 역량 평가 방법론 연구가 필요하다 하겠다.

[표 3] Richard A. Clarke 사이버 역량 평가

[그림 1] 사이버 역량 평가 분야

III. 사이버 역량 평가 방법론 개발

사이버 역량은 사이버 공간에서 타 국가를 상대로 공격 및 방어를 수행할 수 있는 평·위기 시 관리 능력을 의미한다. 본 논문에서 국가 사이버 역량은 공개된 자료를 기반으로 기반 역량·공격 역량·방어 역량 세 가지 분야[그림 1]의 평가 항목에 따라 절대 평가 또는 상대 평가를 수행하여 평가 대상국별 역량 점수(10점 만점) 및 순위를 산정하였다. 이를 위해 본 장에서는 대분류(평가 분야), 중분류 및 평가 항목을 도출하고 현실적인 평가 가능여부를 검토하여 평가 항목을 선정하는 절차를 소개하고, 기반, 공격, 방어 역량의 평가 방법을 제안한다.

3.1 평가 항목 선정

3.1.1 단계 1: 대분류 도출

국력은 크게 경성 국력(Hard Power)과 연성 국력(Soft Power)로 나뉜다. 경성 국력의 요소는 학자들마다 다소 상이하지만 일반적으로 영토, 자원, 인구는 필수 요소로 인식되고 있다. 한편 연성 국력의 요소는 물리적으로 정량화하기 어려운 군사력, 외교력, 정치력, 경제력 등이 있다. 현대전을 치루기 위한 군사력은 핵·미사일과 재래식 전력 등 양적으로 측정 가능한 무기체계도 다양한 차별성을 보이고 있는 한편, 부대의 사기 및 지휘관의 자질 등 질적인 차이를 보이는 복잡한 요인들을 포함하고 있어 단순한 계산에 의해 측정하기 어렵다 〔9〕 . 따라서 국력 요소와 사이버 역량 요소를 비교해 봤을 때, 경성 국력은 사이버의 기반 역량으로, 군사력 핵심인 무기 중심의 연성 국력은 사이버상의 공격과 방어 역량으로 분류하였다[표 4].

[표 4] 국력과 사이버 역량

3.1.2 단계 2: 중분류 및 평가항목 선정

가. 기반 역량 중분류 및 평가 항목: 본 연구팀은 전통적인 국력의 필수 요소인 영토, 자원, 인구를 사이버상의 개념으로 분석(매핑)하여 아래와 같이 중분류 및 평가항목을 도출 하였다[표 5].

[표 5] 기반 역량 중분류 및 평가 항목

• 영토: 사이버상의 영토는 물리적으로 한정된 공간은 아니지만, 사이버 공간을 형성하기 위한 네트워크, 시스템이 기반시설에 해당됨

• 자원: 자원은 천연자원 등과 같이 국력에서 경제력 등으로 설명되며, 사이버 역량을 확보하기 위한 경제력으로 예산에 해당됨

• 인구: 인구는 국가를 구성하는 가장 중요한 구성요소이며, 사이버 역량에서도 가장 중요한 요소로서 인력의 규모와 조직이 이에 해당됨

• 기타: 과거 전통적인 요소들뿐만 아니라 현대에는 외교, 사이버 훈련 등의 요소들이 국가 사이버 역량에 중요한 요소로 인식되어 지고 있음

나. 공격 역량 중분류 및 평가 항목: 사이버 공격 무기는 임무·기능에 따라 정보 수집, 침투, 파괴·무력화로 분류하며, 각 분야별 평가 항목들은 아래 표와 같으며 현존하는 공격 사례들을 모두 설명할 수 있다[표 6].

[표 6] 공격 역량 중분류 및 평가 항목

다. 방어 역량 중분류 및 평가 항목: 사이버 역량 측정에서 방어의 개념은 국가 차원에서 민․관․군이 평상시 정보통신망을 안전하게 관리하도록 하는 사이버 위협 예방에서부터 탐지, 그리고 복구 대응까지의 종합적인 보안 체계를 의미, NCSC 국가 사이버안전업무 및 국가 사이버안보 마스터플랜의 내용과 같이 예방․탐지․대응 분야로 분류될 수 있다[표 7].

[표 7] 방어 역량 중분류 및 평가 항목

3.1.3 단계 3: 평가항목 검토

자료 수집 등의 현실적인 평가 가능성을 검토 후 최종 평가항목을 도출하였다[표 8].

[표 8] 평가항목 검토

3.2 사이버 역량 평가 방법론

3.2.1 기반 역량 평가 방법

기반 역량 평가는 신뢰할 만한 공개 자료를 기반으로 평가 항목별 [표 9]의 방법을 따른다. 평가에 활용 되는 자료는 기본적으로 신뢰 기관의 자료를 수집하였으며, 수집이 어려운 부분은 언론 보도 자료를 기반으로 하였다. 본 연구는 평가 방법론을 개발하는 것을 목표로 하는 것이며 연구팀의 자료 수집 능력 내에서 언론 자료까지를 신뢰 자료로 간주(가정)하였다. 신뢰 자료 수집은 지속적으로 여러 경로를 거쳐 지속적으로 보완되어야 할 것이다.

3.2.2 공격 역량 평가 방법

자료 수집의 어려움으로 인해 언론기사 등 공개 자료 및 전문가 집단의 상호 의견 교환에 의해 평가 항목 별 전문가 평가 후 최고점과 최저점을 제외한 평균을 계산하여 평가 한다[표 10].

[표 9] 기반 역량 평가 방법

[표 10] 공격 역량 평가 방법

3.2.3 방어 역량 평가 방법

방어 역량 평가는 신뢰할 만한 공개 자료를 기반으로 평가 항목별 [표 11]의 방법을 따른다.

[표 11] 방어 역량 평가 방법

IV. 주요국 사이버 역량 평가

본 장은 주요 5개국(미국, 중국, 일본, 러시아, 한국)의 사이버 현황을 조사하고 III장의 역량 평가 방법을 이용하여 각 국가의 사이버 역량을 평가하였으며, 평가 결과에 대한 분석 내용을 소개한다.

4.1 주요국 현황

[표 12] 미국 사이버 현황

[표 13] 중국 사이버 현황

[표 14] 일본 사이버 현황

[표 15] 러시아 사이버 현황

[표 16] 한국 사이버 현황

4.2 사이버 역량 평가

4.2.1 평가 결과

[그림 2]는 주요 5개국에 대한 사이버 역량 평가 결과를 보여준다. 공격 역량 평가는 전문가 7명(정보 보안 분야 경력 10년 이상, 자체 전문가 평가위원회 구성)이 평가를 실시하였으며, 평가 항목별 최고/최저 점수를 제외한 나머지 5명의 평가 결과 합의 평균으로 평가하였다.

[그림 2] 사이버 역량 평가 결과

4.2.2 한국의 사이버 역량 제고를 위한 제언

[그림 3]은 5개국에 대한 사이버 역량 평가 순위를 나타낸다. 평가 결과를 분석한 결과 한국의 사이버 역량 제고를 위해 다음과 같이 세 가지를 제안한다.

[그림 3] 사이버 역량 평가 순위

첫째, 기반 역량 분야의 예산·인력에 대한 지속적인 투자가 필요하다. 한국은 기반 역량 분야에서 네트워크 수준 및 시스템 수준에서 선진화된 기반을 구축했음에도 불구하고, 정보보호 예산과 인력의 절대 규모 수준에서 미국·중국을 넘어서기는 어려우나 지속적인 투자가 필요하다고 판단된다.

둘째, 공격 역량 수준 제고를 위한 전략 마련이 시급하다. 공격에 무게 중심을 둔 강대국 수준에 비해 한국은 방어에 치중을 하여 공격 역량이 낮은 실정이다. 군사력, 경제력, 기술력 측면에서 강대국인 미국은 기반, 공격, 방어 분야에서 모두 강한 사이버 역량을 보여준다. 한편, 미국과의 대립각을 세우고 있는 중국·러시아는 방어 역량은 약하지만 공격 역량에서 미국과 비슷한 수준을 보이고 있다. 이는 사이버 분쟁·전쟁에 있어서 비대칭 전력으로써 방어 보다는 공격에 무게 중심을 두고 있는 전략의 결과로 판단되며, 또한, 사이버 공격에 대한 대응 수단으로써 수동적 방어 보다는 선제적 공격 전략을 택한 미국을 견제하는 것으로도 해석된다.

셋째, 방어 역량 분야의 패치 보급률 및 보안 관제 수준 제고가 필요하다. 주변국의 사이버 공격에 빈번 하게 노출된 우리나라의 방어 역량은 그동안 많은 발전이 있어 왔지만, 패치 보급률과 보안 관제 수준 제고는 풀어야 할 숙제이다.

V. 결론

사이버공격을 둘러싼 국가 간 신경전이 거세짐에 따라 사이버 역량 강화의 필요성이 제기되고 있는 실정이다. 자신과 상대방의 상황에 대하여 잘 알고 있으면 백번 싸워도 위태로울 것이 없다는 지피지기 백전불태라는 말처럼 국가 사이버 공간을 수호하기 위해서는 주변국들의 사이버 역량을 평가·분석하는 것이 필수라고 할 수 있다. 본 논문에서는 사이버 역량 평가 방법론을 개발하고 동 방법론을 이용하여 주요 5개국(미국·중국·일본·러시아·한국)의 사이버 역량을 평가하였다. 사이버 역량 평가는 공개된 자료를 기반으로 기반·공격·방어 역량 분야의 평가항목에 따라 절대 평가 또는 상대 평가를 수행하였다. 미국, 중국에 이어 3위를 차지한 우리나라는 기반 역량 분야의 예산·인력에 대한 지속적인 투자와 방어 역량 분야의 패치 보급률 및 보안 관제 수준 제고가 필요하다고 분석되었다. 특히 우리나라는 외부로부터 공격을 많이 받는 경향이 있어서 방어 역량은 높게 측정 되었으나, 공격 역량이 부족하다고 평가되었다. 세계 각국이 사이버무기 개발 경쟁에 돌입한 시기에 우리나라도 방어 역량 뿐만 아니라 공격 역량을 강화하기 위한 전략 마련이 시급하다.

References

  1. 보안닷컴, "미 vs 중, 사이버 전쟁 신경전 고조," http://www.boannews.com, 2011.08.
  2. 디지털타임스, "사이버안보, 실질적 역량 확대해야," http://www.dt.co.kr, 2011.08.
  3. 대한뉴스, "북한의 사이버 역량 미 CIA 능가," http://www.dhns.kr, 2011.06.
  4. Technolytics, "Cyber Commander's eHandbook version 2.0," Technolytics, 2011.
  5. Defense Tech, "China's Cyber Forces," http://defensetech.org/2008/05/08/chin as-cyber-forces, 2008.05.
  6. Defense Tech, "Russia's Cyber Forces," http://defensetech.org/2008/05/27/russias-cyber-forces, 2008.05.
  7. Defense Tech, "Iranian Cyber Warfare Th reat Assessment," http://defensetech.org/2008/09/23/iranian-cyber-warfare-threat-assessment, 2008.09.
  8. Richard A. Clarke, "Cyber War: The Next Threat to National Security and What to Do About It," Copyrighted Material, 2010.
  9. 전현준, 김국신, 정영태, 최수영, 김진환, "북한의 국력 평가연구," 통일연구원, 2009.
  10. WEF, "The Global Information Technology Report 2010-2011," 2011.
  11. Economist Intelligence Unit, "Digital economy ranking 2010 Beyond e-readiness," IBM, 2010.