경제
종합
산업별 보안: 방산(防産)

美록히드마틴, 사이버 보안 7단계로 나눠 방어력 높여

세계 전쟁에서 사이버전이 핵심 전략으로 떠오르고 있다.
이 흐름에 따라 사이버 보안 문제가 대두되면서 글로벌 방산 업체들의 연구도 한창이다.
한편, 미국의 록히드마틴은 해커의 공격을 7단계로 방어하는 '사이버 킬 체인'을 개발했다.

    입력 : 2017.09.13 08:50

    사이버 킬 체인(Cyber Kill Chain)

    미국 록히드마틴이 제작한 스텔스 무인정찰기 RQ-170이 이란에 포획되는 사건이 2011년 12월 발생했다. 이란은 아프가니스탄과 가까운 동부 국경 지역에서 비밀 정찰 활동을 벌이던 미국 중앙정보국(CIA)의 RQ-170을 컴퓨터로 해킹해 나포했다고 밝혔다. 이란 해커가 RQ-170의 통신 체계를 교란시켜 자국 공항에 착륙시킨 것으로 알려졌다. 미국 내에선 '미국 역사상 최악의 군사 기밀 유출 사건'이라며 원격 폭파시키지 못한 것에 대한 질책이 쏟아졌다.

    이란은 RQ-170을 분해해 역설계 방식으로 정찰·공격 등이 가능한 무인정찰기 개발에 나섰다. 5년 뒤인 2016년 10월 스텔스 기능을 갖춘 공격용 무인기 '사에게(Saegheh)' 개발에 성공했다.

    이란은 2011년 아프가니스탄과 가까운 동부 국경 지역에서 비밀 정찰 활동을 벌이던 미국 중앙정보국(CIA)의 스텔스 무인정찰기 'RQ-170'을 해킹해 포획했다. /록히드마틴

    글로벌 방산 업체들이 무기 개발과 동시에 사이버 보안 역량 강화에 나서고 있다. 기껏 무기를 개발해봤자 다른 나라가 그 기술을 복제하면 개발 효과가 없어지기 때문이다. 이런 흐름은 2010년 초부터 본격화됐다. 시장도 성장했다. 모건스탠리에 따르면 세계 사이버 보안 시장은 2016년 600억달러(약 67조4000억원)에 달했다. 2020년에는 그 규모가 두 배 이상 확대될 것으로 전망된다.

    더욱이 세계 전쟁에서 사이버전이 핵심 전략으로 떠오르면서 사이버 보안 문제가 더욱 중요해졌다. 특히 방산 업체는 주로 정부기관과 군에 전투기, 함대, 미사일 등의 무기를 판매한다. 이 과정에서 수많은 정부 기밀을 다룬다. 만약 방산 업체의 네트워크가 해커에 뚫려 기밀 정보가 적군에 넘어간다면 해당 국가의 안보는 큰 타격을 받을 수밖에 없다.

    이런 위기를 방지하기 위해 글로벌 방산 업체들은 사이버 보안 시스템을 개발·구축하고 있다. 록히드마틴은 '사이버 킬 체인(Cyber Kill Chain)'을 개발해 운영하고 있다. 사이버 킬 체인은 해커가 표적을 공격할 때 거쳐야 하는 과정을 7단계로 나눈 후 각 단계에서 공격을 탐지·차단·대응하는 방어 전략이다. 해킹하려는 네트워크 트래픽 전체가 아닌 단계별로 요소를 세분화해 방어력을 높일 수 있다는 장점이 있다.

    영국 BAE, 보안업체 실버스카이 인수

    '사이버 킬 체인'
    해커가 표적을 공격할 때
    거쳐야 하는 과정을
    7단계로 나눈 후
    각 단계에서 공격을
    탐지·차단·대응하는 방어 전략이다.

    해커의 공격은 크게 △표적에 대한 사전 조사와 정찰 △악성코드 무기화와 전달 △정보 탈취 △악성코드 설치 △표적 통제 △파일 삭제와 컴퓨터 파괴 등의 단계를 거친다.

    록히드마틴의 사이버 킬 체인이 평범한 이메일 한 통을 분석한다고 가정해보자. 이메일은 본문과 첨부파일로 나눌 수 있는데, 사이버 킬 체인은 우선 본문을 분석하고 첨부파일을 하나하나 떼어내 검사한다. 모든 분석 절차는 독립적으로 진행되기 때문에 분석 툴이 감당하지 못하는 경우는 거의 없다고 보면 된다.

    현재 록히드마틴은 자체 네트워크만 하루 200억 건 이상의 트래픽을 모니터링 및 분석하고 있다. 주고받는 이메일과 웹사이트 방문 등 디지털 기록을 남기는 모든 활동들이다. 모든 데이터는 1년 동안 저장하고, 악성코드로 의심되는 데이터는 무기한 보관한다. 또 해커들의 데이터베이스도 구축해 새로운 침입이 있을 경우 데이터베이스를 꺼내 활용한다.

    침입한 해커 역으로 해킹하는 기술도 개발

    록히드마틴 외에도 BAE시스템스, 레이시언 등 글로벌 방산 업체들도 사이버 보안 사업을 강화하고 있다. 전투기·함대 등을 개발하는 영국 BAE시스템스는 2014년 클라우드 기반 보안 솔루션 업체 실버스카이(SilverSky)를 2억3000만달러(약 2600억원)에 인수했다. 패트리어트 미사일로 유명한 레이시언은 금융 분야에 강점을 지닌 사이버 보안 솔루션 업체 웹센스(Websense)를 2015년 사들였다.

    과거 미국 국방부 컴퓨터를 해킹하며 유명세를 떨쳤던 크리스 롤란드(Chris Rouland)가 2008년 설립한 엔드게임(Endgame)의 사이버 보안 시스템도 돋보인다. 엔드게임은 네트워크 내 약점과 취약한 컴퓨터에 대한 방대한 데이터를 수집·분석해 이를 그래픽 정보로 표시하는 기술을 가지고 있다. 업계에선 '사이버 타깃 확인 프로그램'이라고 불린다. 이 프로그램은 인터넷에 연결된 모든 장비의 지도를 그리고, 그것이 어떤 하드웨어와 소프트웨어인지 확인이 가능하다. 동시에 어느 소프트웨어, 하드웨어가 바이러스에 감염돼 공격에 취약한지도 알려준다. 엔드게임의 주 고객은 미국 국가안보국(NSA)으로 러시아·중국·중동 지역의 정부기관·공공시설 등을 타깃으로 데이터를 만들고 있다.

    미국 사이버 보안 솔루션 업체 크라우드스트라이크(CrowdStrike)는 고객의 네트워크에 해커가 침입하면 그를 역으로 해킹하는 사이버 보안 시스템을 구축했다. 이 시스템은 침입하려는 해커에게 미끼를 던진다. 물론 미끼에는 중요한 내용이 없다. 해커를 지켜보기 위해 시간을 버는 것이다. 동시에 해커의 행동을 보고 무엇을 탐색하는지, 정보를 훔치기 위해 어떤 도구나 기술을 사용하는지 파악한다. 그러면 앞으로 그 해커가 다른 네트워크를 뚫기 위해 어떤 방법을 사용할지 예측할 수 있어 대응이 가능하다.

    그러나 기업 홀로 완벽한 사이버 보안 시스템을 구축할 수는 없다. 해당 정부와의 협력이 필수다. 국방 강국인 미국의 경우 국방부 산하에 국방안보기관(DSS·Defense Security Service)을 두고 정부·군과 계약해 국가 기밀을 취급하는 업체들의 보안 업무를 지원하고 있다. 이 조직은 2015년 기준 직원 수가 700여 명이며, 연간 예산은 4억2000만달러(약 4700억원) 수준이다. 록히드마틴은 미 국방부 사이버 보안의 최대 협력사로 통한다. BAE시스템스 역시 2013년 영국 정부와 사이버 보안 파트너십을 체결해 정부-민간 보안 시스템을 만들어나가고 있다.


    '사이버 킬 체인' 보안 시스템 한국군도 적용 계획

    한국 국방부가 올 2월 록히드마틴의 사이버 보안 시스템인 '사이버 킬 체인'을 군에 적용한다고 밝혔다. 우선 기본 계획을 올해 안으로 수립할 계획이다. 현행 국방 사이버 보안 체계를 분석하고 북한 사이버 위협 등 예상되는 공격 유형과 기술도 분석한다. 관련 선행 연구는 한국국방연구원(KIDA)이 맡았다.

    국방부 검찰단은 지난해 북한 해커가 국방부 인트라넷을 해킹해 군사 비밀 자료를 빼갔다고 밝혔다. /조선일보 DB

    KIDA는 사이버 킬 체인이 미 국방부 정보작전팀 대응 방안을 적용해 개발한 시스템인 만큼 충분히 한국군에 활용 가능하다고 했다. 록히드마틴은 해커의 공격에 대응할 수 있는 유형을 탐지·거부·교란·약화·기만·파괴 등 6가지로 구분했다. 각 대응 유형을 보면 탐지는 해커의 침투를 발견하는 것이고, 거부는 해커의 접근·사용을 차단하는 대응 기술이다. 교란은 공격을 위한 정보 흐름 방해, 약화는 공격 행위의 효과 감소, 기만은 정보를 조작해 해커의 잘못된 판단 유도, 파괴는 해커 또는 공격 관련 도구가 원래의 기능을 할 수 없도록 손상시키는 것이다.

    손태종 KIDA 박사는 "사이버 위협을 방어하는 위주의 시스템에 공격 개념을 추가해야 한다"며 "민간 상용 제품을 최대한 활용하되 필요시 정부 제품을 개발해 시스템에 반영해야 한다"고 말했다.

    이전 기사 다음 기사
    기사 목록 맨 위로