⊙ 네트워크에 접속 못하면 사이버전을 수행할 수 없다.
⊙ 검증된 기술을 정책으로 통제하면 시기를 놓친다.
⊙ Red Team 운영으로 사이버 대비태세 군기확립 !
⊙ 사이버전은 인간능력 전쟁으로 해결책은 공부밖에 없다.

■  네트워크에 접속 못하면 사이버전을 수행할 수 없다.

해커라는 이름이 등장한 것은 컴퓨터 네트워크(인터넷)의 등장으로 부터 시작되었다. 아무리 능력있는 해커라도 네트워크에 접속하지 못하면 아무것도 할 수 없다.

사이버전 준비 NO 1은 네트워크에 대한 접속을 통제하는 것이다. 
사이버전 준비 NO 1은 네트워크에 대한 접속을 통제하는 것이다. 

사이버전을 이야기할때 이미 네트워크에 접속한 상태를 논하면 잘못된 것이다. 접속부터 차단하면 아무 문제가 없다. 그래서 망분리등이 논의되었던 것이다. 그러나 이제는 망분리보다 더 좋은 기술이 등장했다. 바로 제로트러스트개념이다.

내/외부의 모든 접속을 늘 체크하는 개념이다. 이미 기술은 개발되으나 기술 사용을 주저하는 것이 문제다. 
내/외부의 모든 접속을 늘 체크하는 개념이다. 이미 기술은 개발되으나 기술 사용을 주저하는 것이 문제다. 

대한민국 사이버문제점은 기술사용에 대한것을 정책적으로 결정하는 것이다. 기술은 기술자영역에 맡기면된다. 좋은 기술이냐 ? 아니냐 ?를 검증하는데 시간을 낭비하는 동안에 해커들의 활동은 더욱 여유롭게 되는 것이다. 

미 국방부는 2024년 8월을 제로트러스트 정착을 목표로 달려가고 있다. 우리는 아직도 실증을 요구하는 수준에 머물러 있다는 것이 아쉬운 점이다. 

■  검증된 기술을 정책으로 통제하면 시기를 놓친다. 

할당된 예산 규모를 보면 정부의 관심이 어느정도인것을 객관적으로 알 수있다.  2024년 과기부에서 발표한 예산(18조 5천억) 중 제로트러스트 실증 분야(62억)에 대한것을 알아보면 정부가 사이버보안에 대한 관심이 어느정도인가를 알 수 있다. 

과기정통부 예산은 당초 정부안 18조 2,899억원 대비 2,726억원 증가한 것이다. 과기정통부는 2024년도 예산을 ① 핵심 전략기술의 확보, ② 국제 협력‧해외 진출 지원, ③ 과학기술‧디지털 인재 양성, ④ 디지털 확산, ⑤ 출연연 및 지역혁신 역량 제고 등 5대 분야에 중점 투자할 계획이며 제로트러스트 신보안체계 실증확산 사업에 62억원이 배정됐다 출처 : 데일리시큐(https://www.dailysecu.com)이다.
과기정통부 예산은 당초 정부안 18조 2,899억원 대비 2,726억원 증가한 것이다. 과기정통부는 2024년도 예산을 ① 핵심 전략기술의 확보, ② 국제 협력‧해외 진출 지원, ③ 과학기술‧디지털 인재 양성, ④ 디지털 확산, ⑤ 출연연 및 지역혁신 역량 제고 등 5대 분야에 중점 투자할 계획이며 제로트러스트 신보안체계 실증확산 사업에 62억원이 배정됐다 출처 : 데일리시큐(https://www.dailysecu.com)이다.

북한해킹 공격으로 피해사례를 분석해 보면 대부분이 매우 어려운 침투과정을 통해해킹이 된것이 아니라 가장 기본적인 규칙을 준수하지 않은것이 대부분이다. 이것은 해킹 당했을때 개인 및 조직에 대한 신상필벌체계가 정립되지 않고 있다는 대표적인 증거로서 군대로 보면 군기가 빠졌다고 할 수 있다. 

■  Red Team 운영으로 사이버 대비태세 군기확립 !

수백건의 해킹공격에 대해 책임을 진 사례가 없기때문에 아무도 긴장하지 않고 있다. 따라서 해킹으로 인한 피해가 발생되면 반드시 책임을 물어야 한다. 그래야 긴장하여 대비를 철저하게 할 것이다. 군기가 바로서야 전투력이 발휘되는것 처럼....

​메기 한마리가 수많은 청어들을 싱싱하게 만드는 효과를 만든다.
​메기 한마리가 수많은 청어들을 싱싱하게 만드는 효과를 만든다.

빠른 군기확립의 사례는 메기효과다. 메기 효과는 과거 유럽 어부들이 청어를 싱싱하게 운송하기 위해 청어 수조에 천적인 메기를 넣었다는 데서 유래한 말입니다. 청어들이 메기의 습격을 피하기 위해 부지런히 움직였기 때문에 싱싱함을 유지할 수 있었다는 겁니다. 즉, 가혹한 환경과 위협 요인이 발전의 원동력이 된다는 개념이다. 

Red TEAM을 이용해서 조직 및 개인의 사이버 보안 평가를 실시하여 취약점을 보완한다.
Red TEAM을 이용해서 조직 및 개인의 사이버 보안 평가를 실시하여 취약점을 보완한다.

사이버분야에 메기효과처럼 등장한 개념이 Red Team이다. 우수한 해킹능력을 구비한 Red Team을 이용해서 각 조직에대한 사이버 준비태세를 점검하여 미리 취약분야를 보완하는 것이 북한 해킹공격에 대비하는 방법이라고 할 수 있다. 

이렇게 Red Team의 사이버 공격을 통해 개인 및 조직은 사이버 대응능력을 향상시킴으로 북한의 해킹 공격에도 대응할 수 있는 능력을 확보할 수 있다. 

■  사이버전은 인간능력 전쟁으로 해결책은 공부밖에 없다. 

정부가 추진하고 있는 사이버 안보전략은 너무 개괄적이다. 좀더 실행 가능한 구체적인 내용이 필요하다.
정부가 추진하고 있는 사이버 안보전략은 너무 개괄적이다. 좀더 실행 가능한 구체적인 내용이 필요하다.

정부는 국가사이버안보 전략서를 발간해서 사이버분야를 강조하였다. 문제는 아무리 좋은 정책과 전략이 있더라도 실행을 담당해야할 체계적인 조직이 없다면 이 역시 구호로 끝난다. 좀더 구체적인 방법, 조직, 예산, 계획 등을 체계적으로 준비해서 지속적이면서 강력하게 추진을 해야한다. 

특히 기초가 튼튼해야 응용능력을 발휘할 수 있으므로 가장 기본적인 컴퓨터 네트워크(인터넷)에 대한 원리교육으로 부터 인공지능(AI)을 포함한 새롭게 등장하는 기술들에 대한 지속적인 지식과 경험을 습득하는 것이다. 이렇게 하기위해서는 IT기술에 대한 Master Plan이 수립되어 체계적이면서 지속적인 추진이 필수 적이다.  

아직도 대한민국은 사이버안보에 대한 Master Plan이 보이지 않고 누가 이 모든것을 책임지고 추진하고 있는지 확인이 되지 않고 있는 실정이다. 한마디로 주인이 없다고 할 수 있다. 주인이 있다면 그 사람이 바로 이런 요구를 해결해야할 책임자다. 

책임자가 결정되었다면 사이버전 수행과 관련된 충분한 지식과 경험을 체득할 수 있도록 교육시설과 환경, 교리, 교관준비를 해야만 북한의 위협에서 벋어날 수 있다.

현재 국가 사이버안보에 대한 임무를 수행하고 있는 곳은 국정원과 국가 사이버안보센터다.  
현재 국가 사이버안보에 대한 임무를 수행하고 있는 곳은 국정원과 국가 사이버안보센터다.  

책임자는 누구일까 ? 사이버안보센터 일까 ? 국정원장 일까 ? 국방장관인가 ?

현 제도에서 국정원장이 책임자라고 하면 국정원장은 사이버전쟁이 일어나면 수행할 조직은 있는가 ? 없다면 수행할 수 있는 조직이 있는 자에게 임무를 줘야할 것이다. 이런것이 정해지지 않고 있기 때문에 대한민국의 사이버전 수행능력은 방황하고 있고, 대응책도 미흡하고, 북한 해킹의 피해사례만 계속해서 국민에게 알리고 있다. 

미래 전쟁은 인간능력이 좌우하는 전쟁이다. 인간 능력을 향상 시킬 수 있는 것은 오직 교육밖에 없다. 능력을 향상시키는 것은 오직 공부다. 문제는 공부하는 습관은 하루아침에 이뤄지지 않는다 오직 상급자가 솔선수범할때 공부하는 습관이 형성된다. 

정부는 빨리 명확한 책임자를 선정하여 임무를 주고 책임과 권한을 줘야할 것이다.

키워드

#사이버 #국정원장 #사이버안보센터 #책임자 #권한 #군기 #네트워크 #NAC #네트워크접속통제 #공부 #솔선수범 #상급자 #국방장관 #Red Team #메기효과 #국가사이버안보전략 #인간능력전쟁
저작권자 © 공정뉴스 무단전재 및 재배포 금지