러시아-우크라이나 사이버전 사례로 보는 사이버전 동향과 핵심기술 발전방향

[출처: 국방기술진흥연구소 디팀스위클리 네이버포스트]

최근 러시아와 우크라이나의 전쟁에서 다양한 첨단기술과 전략·전술이 전장에 등장하며 전쟁의 패러다임이 변화하고 있음을 보이고 있으며, 사이버 영역에서도 종래와는 다른 형식의 사이버전이 치열하게 진행되었다.
본고에서는 러시아-우크라이나 사이버전 사례를 사회 인프라망 공격, 정보탈취, 사이버심리전 세 개 항목으로 나누어 알아보고, 사이버전 관련 국내 핵심기술 개발동향과 러-우 전쟁으로부터 식별된 최신 사이버 위협을 대비하기 위한 핵심기술 발전방향을 제시하고자 한다.

장 욱
국방기술진흥연구소 무인·지능화기술팀
연구원

 

 

1. 서 론

 최근 발발한 러시아-우크라이나 전쟁은 다양한 첨단기술과 새로운 전술교리들이 등장하며 이전의 전쟁들과 매우 다른 양상을 보여주고 있다.

 첨단기술 중 전장에서 눈에 띄는 성과를 보인 것은 드론 기술로 드론 등 각종 무인기가 군사작전에 본격적으로 도입되며 감시정찰, 시설파괴 등 여러 임무들이 사람이 수행하던 때보다 더욱 높은 효율을 보여주었다. 특히 자폭드론의 경우 탱크, 군인 등 이동하는 표적을 정밀하게 타격할 수 있고, 복잡한 준비과정을 요하지 않으며, 전자전 장비 등 적절한 대응수단 없이는 대처하기 어려워 러시아와 우크라이나 양측에서 핵심 전력으로 운용하고 있다.

 전쟁의 방식 또한 크게 변화하였다. 이번 전쟁에서 새롭게 등장한 모자이크전은 많은 전문가들이 약소국인 우크라이나가 강대국인 러시아를 상대로 전쟁을 장기화 할 수 있었던 동력 중 하나로 꼽고 있다. 모자이크전은 압도적인 정보 우위를 바탕으로 모자이크 조각처럼 나눠진 전투부대들이 실시간으로 전투상황을 공유하여 각 부대가 상호보완함으로써 전장상황에 가장 최적화된 전투를 수행하는 방법이다. 모자이크전의 수행을 위해선 빠르게 변화하는 전장상황을 파악할 수 있어야 하고, 상황에 맞는 작전판단을 적절하고 신속하게 결정해야 하며, 이러한 결정을 각지에 흩어진 부대들에게 실시간으로 전달할 수 있는 고성능의 네트워크 기술이 필요하다.

그림 1 모자이크전 운용 개념도(출처 : DARPA Tiles Together a Vision of Mosaic Warfare)

 이외에도 개전초 러시아가 사이버공격을 통하여 우크라이나 통신망을 무력화하려 시도하였으나 우크라이나는 스타링크를 이용한 직접 위성접속 기술로 극복하였고, 가짜영상과 메시지 전파를 이용한 러시아의 심리전은 SNS 환경을 이용한 우크라이나의 적극적인 대처로 큰 효과를 거두지 못하고 되려 우크라이나의 반격으로 러시아의 전쟁심리가 위축되는 등 고전적 전장으론 볼 수 없던 양상이 다수 드러났다.
 
 이처럼 축적된 네트워크 기술은 앞서의 사례들과 같이 전쟁 패러다임의 변화를 가져왔으나, 한편으로는 사이버전장이라는 새로운 전장의 문을 여는 계기가 되었다.

 사이버공간에서의 사이버전 역사는 오래 전부터 이어져왔다. 러시아는 1998년 코소보전에서 북대서양조약기구(NATO) 및 FBI의 서버를 무력화시켰으며 2007년 에스토니아의 금융 및 행정 시스템에 대해 공격을 수행하여 대규모의 경제적 피해를 발생시켰고, 2008년에는 조지아의 인터넷망을 공격하여 외부 세계와 단절된 조지아를 신속히 무력점거하는 등 사이버전을 적극적으로 수행하였다.

 전산망에 대한 공격사례 외에도 사이버전은 다양한 형태로 이루어졌다. 2010년 이란 핵 개발 프로그램의 핵심인 부셰르 원자력발전소와 나탄즈 핵시설에 스턱스넷(Stuxnet) 악성코드가 침투하여 1000여개의 원심분리기를 파괴하였으며, 2011년에는 이란 상공을 정찰하던 RQ-170 ‘센티넬’ 무인 정찰기가 재밍 및 GPS 스푸핑을 통한 사이버공격으로 나포되어 이란 무인기 사에게(Sa'egheh) 개발의 단초가 되기도 하였다.

그림 2 사에게-2 무인기(출처 : Fars News Agency)

 산업기반시설과 드론에 대한 공격 사례와 같이 사이버위협은 네트워크 기술의 고도화와 함께 종류와 위험성이 꾸준히 늘어나고 있으며, 최근 러시아-우크라이나 전쟁 간에도 신종 사이버위협을 활용한 사이버전 사례가 다수 보고되었다.

 본고에서는 러시아-우크라이나 전쟁 간 발생한 사이버전 사례로 최신 사이버위협의 종류와 위험성을 알아보고, 사이버전 관련 핵심기술을 통해 우리 군의 미래 사이버전장 대비 현황을 제시한 후 앞으로의 핵심기술 발전방향을 제언하고자 한다.

 

 

2. 러시아-우크라이나전에서의 사이버전

 사이버전은 종래의 전쟁 형태와 다른 특징을 갖는다. 기존의 전통적 전쟁들과 달리 사이버전은 저비용으로 이루어지며, 공격 과정과 결과가 은밀하고 즉각적으로 이루어져 실시간 대응이 어렵다. 또한 추가되는 시스템과 기존 시스템의 업데이트로 새로운 공격 기법이 생성되는 등 공격 방법 및 경로가 매우 변칙적이며, 정보탈취에서 자산 및 인명피해까지 다양한 피해가 발생할 수 있다.

표 1 전통적 전쟁과 사이버전의 차이점(출처 : 한국국방연구원 주간국방논단 제1431호 일부 수정)

 근 2년간 이루어진 러시아-우크라이나의 사이버전에서 확인된 사이버위협은 확인된 것만 수백건이 넘는 것으로 추정되며, 대규모 정전이 일어나거나 군 시설이 파괴되는 등 큰 피해가 발생하기도 하였다. 본 장에서는 전쟁 간 발생한 사이버위협의 형태를 ①사회 인프라 공격 ②정보탈취 ③사이버심리전 세 영역으로 나누어 기술할 것이다.
 
 2.1. 사회 인프라 공격
 러시아는 전쟁 간 우크라이나의 전력망, 철도망, 통신망 등 사회 인프라의 무력화를 목적으로 지속적인 사이버 공격을 수행하였다. 시설 공격을 위한 악성코드는 시스템의 철저한 파괴를 목적으로 하여 다른 악성코드들에 비해 대처와 복구가 까다로운데, 이러한 파괴형 악성코드를 와이퍼(Wiper) 악성코드라고 부른다.

그림 3 와이퍼 악성코드 개요

 러시아는 정찰총국 산하의 해커집단 샌드웜(Sandworm)을 이용하여 우크라이나에 여러 와이퍼 악성코드 공격을 수행하였다. 우크라이나를 대상으로 러시아는 전쟁 이전에도 사이버 공격을 수행하였는데, 2015년 러시아-우크라이나 간 크림반도 분쟁 시 러시아의 와이퍼 악성코드를 이용한 사이버 공격으로 우크라이나 수도 키이우 인근에 대규모 정전이 일어나 큰 피해가 발생하였다.

 이러한 사례는 사이버 위협이 물리적 수단을 동원하지 않고도 원격지에서 효과적인 공격 수단으로 사용될 수 있음을 시사한다. 본 항목에서는 러시아가 우크라이나의 인프라 시설을 대상으로 수행한 사이버 공격 사례들을 다룰 것이다.
 
 ① WhisperGate
 2022년 1월 우크라이나 정부기관을 포함한 여러 기관의 시스템이 위스퍼게이트(WhisperGate) 악성코드에 피해를 입은 것으로 보고되었다. 위스퍼게이트 악성코드 공격은 두 단계로 구분되는데 1단계에서는 MBR(Master Boot Record)을 삭제하거나 변조하여 운영체제를 무력화하는 것으로 사용자가 재부팅 시 PC를 부팅하지 못하게 하고, 2단계에서는 여러 악성코드를 추가 유입시켜 특정 파일들을 변형함으로써 시스템 복구에 성공해도 변형된 파일을 사용하지 못하게 만든다. 이러한 형태는 랜섬웨어(Ransomeware)와 유사하지만 랜섬웨어가 거래를 위해 파일을 복구할 수단을 남겨두는 것과 달리 위스퍼게이트는 시스템 파괴를 목표로 하여 복구를 생각하지 않고 파일을 변조하여 더욱 치명적이다.
 
 ② HermeticWiper
 위스퍼게이트에 이어 2022년 2월 헤르메틱와이퍼(HermeticWiper)가 등장하였다. 러시아는 우크라이나의 금융, 군수, 정부 사이트를 대상으로 대규모 DDoS(Distributed Denial of Service, 분산 서비스 거부 공격) 공격과 함께 헤르메틱와이퍼 악성코드를 배포하였다. 헤르메틱와이퍼 악성코드는 위스퍼게이트와 같이 MBR을 변조하여 재부팅 할 수 없도록 만들고, 드라이브의 파일 시스템 구조인 MFT(Master File Table)를 변조 및 암호화하여 철저하게 데이터를 파괴한다. 헤르메틱와이퍼는 해외 보안업체 시만텍(Symantec)의 보고에 따르면 2021년 11월 작성된 것으로 보고되는데, 이는 사이버전 준비가 실제 전쟁 발발 전부터 되어있었음을 의미한다.
 
 ③ AcidRain
 애시드레인(AcidRain) 악성코드는 모뎀과 라우터 등 네트워크 장비의 위성 통신 데이터를 삭제하도록 설계된 악성코드이다. 애시드레인 악성코드는 장치 파일명을 검색하여 일괄 삭제하는 방식으로 동작하여 공격자가 위성에 익숙하지 않거나 다른 장치에도 적용할 목적으로 제작한 악성코드로 추측된다. 해당 악성코드는 미국 통신 기업 Viasat에서 운용하는 인터넷망 및 라우터 등에 침입 후 KA-SAT 위성을 마비시켜 우크라이나와 유럽 일대에 통신 및 GPS 장애를 일으켰으며, 통신망 마비 이후 러시아는 실제 침공을 개시하였다.
 
 ④ DoubleZero
 더블제로(DoubleZero) 악성코드는 이전의 위스퍼게이트와 헤르메틱와이퍼와 같이 시스템 파괴를 주 목적으로 하는 악성코드이다. 더블제로 악성코드는 특정 대상자를 상대로 피싱 메일을 발송하여 침입을 시도하는 스피어피싱(Spearfishing) 메일을 통해 유포되었다. 공격 대상자가 위장 메일을 열어 파일을 실행하면 악성코드는 탐지를 피하기 위해 윈도우 기본 프로세스인 CSRSS(Client Server Runtime SubSystem)로 위장하여 실행되며, 파일 시스템 권한 탈취, 파괴 대상 폴더 목록화, 접근 제어 권한 탈취 등을 지속적으로 수행한다. 시스템 복구를 막기 위해 권한 탈취 등 악성행위를 모두 완료한 악성코드는 목록화한 폴더 내의 내용물을 파괴한 후 시스템을 자가종료시켜 시스템을 복구 불가능한 상태로 만든다.
 
 ⑤ Industroyer2, CaddyWiper, ORCSHRED, SOLOSHRED, AWFULSHRED
 2015년 크림반도 분쟁 당시 우크라이나의 전력망 네트워크가 인더스트로이어(Industroyer) 악성코드의 영향으로 장애를 겪어 두차례의 대규모 정전이 발생하였으며 배후로 러시아가 지목되었다. 뒤이어 전쟁이 본격화된 2022년 4월 경 변전소 등 전력시설을 대상으로 사이버 공격이 발생하였는데, 과거 전력망을 공격한 악성코드 인더스트로이어와 비슷하게 윈도우 기반 ICS(Industrial Control System)를 공격하는 악성코드 인더스트로이어2(Industroyer2)와 캐디와이퍼(CaddyWiper)가 식별되었고, 리눅스(Linux)와 솔라리스(Solaris) 시스템 기반 ICS를 공격하는 오크슈레드(ORCSHRED), 솔로슈레드(SOLOSHRED), 오풀슈레드(AWFULSHRED) 3종의 악성코드가 식별되었다.
 
 ⑥ SwiftSlicer
 해외 보안업체 이셋(ESET)에 따르면 러시아 해킹그룹 샌드웜이 스위프트슬라이서(SwiftSlicer) 악성코드를 사용하기 시작하였다고 보고하였다. 스위프트슬라이서는 파일의 모든 섀도우 볼륨 복사본(시스템 복원을 위한 백업 기능)을 파괴하고 무작위 4,096 바이트 크기의 데이터를 생성 후 다른 데이터를 덮어씌워 자료를 파괴하는 공격을 수행한다. 스위프트슬라이서는 그룹 정책 객체를 통해 네트워크 상의 컴퓨터들로 배포되었는데, 이는 악성코드가 이미 시스템 내에 침투되어 있었을 뿐 아니라 높은 보안 수준을 갖는 액티브 디렉토리(Active Directory) 침투에 성공했음을 의미한다.
 
 ⑦ RoarBAT
 우크라이나 컴퓨터 비상대응팀(CERT-UA)은 러시아 해킹그룹 샌드웜이 로어뱃(RoarBAT) 악성코드를 사용하여 우크라이나 국영 네트워크를 공격하였다고 발표하였다. 로어뱃 악성코드는 압축 프로그램 WinRAR가 실행될 때 '-df' 명령줄 옵션을 사용하게 하여 압축파일과 원본파일을 삭제하는 방식으로 동작한다. 로어뱃은 리눅스 시스템에서도 동작하도록 설계되었으며, WinRAR와 같은 유명프로그램을 이용하는 것으로 보안 소프트웨어의 탐지를 회피하는 치밀함이 특징이다.
 
 러시아는 우크라이나를 침략하기 전후로 사이버공격을 통한 행정, 전력, 통신 시스템 마비를 지속적이고 계획적으로 수행하였다. 주목할 점으로는 [표 2]와 같이 신종 와이퍼 악성코드가 매우 빠른 속도로 등장하였으며, 전력시설의 파괴부터 위성 마비까지 다양한 목적으로 제작되었다.

표 2 사회 인프라 시설에 대한 사이버위협 사례

 2.2. 정보탈취
 사이버 공간에 저장되는 정보의 양이 기하급수적으로 증가하며, 해킹 등 사이버위협을 통한 정보탈취 시도도 계속하여 발생하고 있다.

 사이버전의 대상이 되는 정보는 군사정보를 담은 기밀 문서, 메일 및 메시지 등 전산으로 저장되고 교환되는 데이터들부터 CCTV나 통화망의 녹화, 통화기록 등 실시간으로 수집되는 정보까지 다양하며, 현재는 스마트폰과 태블릿 등 보급된 첨단장비를 통한 통신내용과 영상정보, 기기에 저장된 작전정보 등 더 많은 정보자산들이 탈취 대상이 되어 정보탈취의 심각성이 커지고 있다. 본 항목에서는 러시아-우크라이나 전쟁 간 사이버위협 행위를 통한 정보탈취 사례를 알아볼 것이다.
 
 ① 지속적인 피싱행위 시도
 우크라이나 사이버 비상대응팀은 러시아가 민간인, 군인, 정치인 등 무작위 인원을 대상으로 피싱 메일을 유포하고 일부 산업기반시설과 관련된 인원에 대해서는 스피어 피싱을 하여 정보탈취를 시도하였다고 보고하였다. 2022년 3월 인도 소재 기관 세 곳의 이메일 계정을 이용한 피싱 행위가 확인되었으며, 4월에는 유럽 연합을 사칭한 피싱 메일을, 7월에는 우크라이나 국립 사이버 아카데미를 사칭한 피싱 메일을 유포하는 등 다양한 형태로 이루어졌다. 피싱 행위는 메일을 통해서뿐 아니라 윈도우 업데이트 파일로 위장하거나 거짓 웹사이트를 만들어 방문자를 감염시키는 등 다양한 형태로 이루어졌으며, 공격자는 피싱으로 탈취한 정보를 와이퍼 악성코드의 유포나 추가 정보탈취를 위한 악성코드를 유포 수단으로 사용하였다.
 
 ② 다양한 악성코드를 이용한 정보탈취 시도
 정보탈취를 위한 목적의 악성코드는 그 종류가 매우 많고 다양한 것으로 알려져있다. 2022년 2월 악성코드를 다운로드시키는 세인트봇(SaintBot)과 함께 문서 탈취 악성코드인 아웃스틸(OutSteel) 악성코드가 유포되었으며, 그림플랜트(GRIMPLANT), 그라프스틸(GRAPHSTEEL), G집로더(GzipLoader), 아이스드아이디(IcedID), 랜섬웨어 등 수많은 변조 악성코드들을 이용한 공격이 수행되었다. 이러한 탈취형 악성코드들은 스틸러 멀웨어(Stealer Malware)로 불리며 데이터유출, 크레덴셜 탈취, 클립보드와 스크린샷 유출 등 목적에 따라 다양한 유형으로 제작되었으며, 이미지파일, 소프트웨어 업데이트, 엑셀과 파워포인트와 같은 문서 등으로 위장하여 식별하기 어렵도록 진화하였다.
 
 ③ 정보 우위를 획득하기 위한 지속적인 사이버전 수행
 2023년 12월 우크라이나 대형 통신사의 시스템이 무력화되어 통신망이 마비되었다. 해당 건에 대해 우크라이나 보안서비스국(Security Service of Ukraine, SSU)은 러시아 해커들의 공작이라고 밝혔으며, 해커들은 2022년 5월 개전 초부터 잠복하며 계속하여 우크라이나 통신망을 경유하는 개인정보, 휴대폰 위치, 메시지 등을 수집해왔다고 한다.
또한 러시아는 우크라이나 전국의 웹캠, IP 카메라 등 네트워크를 통해 동작하는 IoT 기기들을 해킹하여 정보자산으로 활용하였다. SSU는 러시아 군이 키이우 시내에 위치한 민간 IP 카메라 두 대를 해킹하였고, 이를 통해 우크라이나의 대공 방어시설 위치를 파악한 러시아가 해당 위치로 미사일을 발사하였다고 발표하였다.

 러시아는 우크라이나의 군 정보자산에 직접적인 정보 탈취도 시도하였다. 파이브 아이즈 국가(호주, 캐나다, 뉴질랜드, 영국, 미국으로 이뤄진 상호첩보동맹, FVEY)들의 정보부서들은 러시아가 인페이머스치즐(Infamous Chisel) 악성코드로 우크라이나군이 운용하는 안드로이드 테블릿에 침투하였다고 보고하였다. 영국 국립 사이버 보안 센터(UK National Cyber Security Centre, NCSC)의 보고서에 따르면, 해당 악성코드는 유용한 정보 및 파일을 지속적으로 탐색하고 기기를 원격 제어하는 기능까지도 보유한 것으로 확인된다.
 
 러시아는 지속적인 피싱 행위와 대형 통신사의 통신망 잠복, IoT 기기 해킹 등 여러 방법으로 정보전을 수행하였다. 특히 민간과 군의 IoT 기기 해킹 사례는 앞으로의 전장에서 고려해야 할 보안위협 요소들이 다양해지고 있음을 의미한다.
 
 2.3. 사이버심리전
 과거 월남전에서 미국은 압도적인 전력을 보유하고 있음에도 불구하고 병력을 철수해야 했으며, 원인 중 하나로 언론이 월남전의 전황을 그대로 보도하여 미국 내 반전여론이 확산된 것이 꼽힌다. 해당 사례는 병력의 양과 질 등 물리적 요인만이 아니라 심리적 요인 또한 전장에 미치는 영향이 지대하다는 것을 의미한다.

 러시아는 우크라이나와의 전쟁 간 정치적 정당성 확보와 우호적 전쟁여론의 조성, 국제사회의 동조를 위해 많은 노력을 기울였으며, 우크라이나 또한 국내 정세 안정, 국제여론에 호소를 위해 여러 심리전 활동을 수행하였다. 본 항목에서는 러시아-우크라이나 전쟁 간 사이버심리전 사례를 알아볼 것이다.
 
 ① 전쟁 이전
 2014년 크림반도 분쟁에서 러시아는 우크라이나가 극우 극단주의자들에 의해 분단되었으며, 다시 러시아의 영향권에 들어와야 한다는 프로파간다를 SNS와 내부 스파이 및 지지자를 통해 유포하여 친러 분위기를 조성하였다. 그 결과 크림반도 자치 공화국은 러시아와의 합병을 압도적으로 지지하였으며, 크림반도 내 우크라이나군과 경찰은 러시아에 대항하지 않고 되려 망명하는 모습을 보였다.

 이후 러시아는 2022년 본격적인 전쟁이 발발하기 전까지 침공의 정당성을 얻기 위해 다양한 심리전을 수행하였다. 이번 침공의 원인이 미국과 NATO의 러시아에 대한 위협에 있다는 주장을 펼치는 한편, 우크라이나가 우크라이나 내부의 러시아를 지지하는 사람들을 학살하는 것으로 러시아를 도발하였다고 주장하였다. 이러한 과정에서 러시아는 주장의 신빙성을 얻기 위해 NATO산 또는 우크라이나산 무기에 러시아어를 사용하는 우크라이나인들이 학살되는 가짜영상을 제작하고 유포하였다.

 침공의 원인이 우크라이나에 있다는 러시아의 주장에 반박하기 위해 우크라이나는 SNS를 적극적으로 활용했다. 텔레그램, 인스타그램, 틱톡 등의 SNS를 이용하여 러시아의 주장을 정면으로 반박하였으며, 이번 분쟁이 단순히 NATO와 러시아의 분쟁이 아닌 우크라이나의 주권 침해와 민주주의 제도에 대한 공격임을 강조하며 세계 각국의 지지를 호소하였다.
 
 ② 러시아의 사이버심리전
 러시아는 개전 이후로도 가짜 영상과 메시지를 이용한 심리전을 지속적으로 펼쳤다. 2022년 3월 우크라이나 방송국 Ukraine 24가 해킹되어 대통령 명의로 전투를 중지하고 무기를 포기하라는 메시지가 지속적으로 송출되었다. 방송국을 대상으로 한 사이버공격은 지속적으로 이루어졌는데, 우크라이나 국영 채널이 러시아 국가를 재생하거나 러시아 선전 채널 Izvestia를 방송하고, 젤렌스키 대통령이 도망쳤다는 내용이나 항복 문서에 서명했다는 내용의 가짜 영상을 송출하기도 하였다.

 이밖에도 가스관이나 화학공장 폭파 등 러시아가 선전하는 영상, 우크라이나 군이 민간인을 방패막이로 삼고 핵폭탄과 생화학 무기를 생산 중이라는 가짜 정보를 퍼뜨려 자국 내 전쟁에 대한 지지도를 높이고 국제 여론의 동의를 얻으려 사이버심리전을 수행하였다.
 
 ③ 우크라이나의 사이버심리전
 크림반도 분쟁 당시 러시아의 심리전에 속수무책으로 당했던 우크라이나는 이번 전쟁에서 적극적으로 대처하는 모습을 보였다. 러시아가 언론사와 방송국 등 관영매체를 주로 이용하여 심리전을 수행한 것과 달리 우크라이나는 글로벌 SNS 매체를 통해 실시간으로 러시아의 가짜정보를 적극 반박하였으며, 실제 전장의 모습을 실시간으로 세계에 중계하며 세계 각국의 지원을 호소하였다.

 또한 우크라이나는 무인기로 러시아의 탱크를 파괴하는 영상을 올려 우크라이나 군과 민간의 사기를 높이고 러시아 징집병들의 인터뷰 영상이나 민간인을 공격하는 러시아 군을 촬영한 영상을 유포하여 러시아의 사기를 떨어뜨리기도 하였다. 우크라이나는 이러한 과정에서 AI안면인식 기술로 러시아 군인 8천여명의 안면 정보를 수집 후 텔레그램에 올려 징집된 가족을 찾던 이들에게 신병을 전달하는 것으로 러시아 내부의 여론을 악화시키고, 아군 전투기가 러시아 전투기를 격추시키는 조작 영상으로 가상의 영웅을 만드는 등 사이버심리전에 신기술을 적극 이용하였다.

 이처럼 양측은 사기 진작과, 전쟁의 당위성 확보 등 여러 목적으로 사이버심리전을 수행하였다. 과거의 경우 전문 기자나 방송국의 보도를 통해 전장 상황과 입장이 전달되었으나, 현재는 개인 통신장비의 고도화와 SNS의 생활화로 적나라한 전장의 상황이 개개인에게 쉽고 빠르게 전달되었다. 그 결과 크림반도 분쟁시와 달리 러시아와 우크라이나 분쟁이 세계 각국에 실시간으로 알려지며 러시아는 우크라이나가 아닌 세계와 대치하게 되었고, 이는 전쟁의 장기화에 큰 영향음 주었다.

 2.4. 러시아-우크라이나전 중 사이버전이 갖는 의의
 러시아와 우크라이나의 사이버전은 목적과 방법에 따라 다양한 형태로 이루어졌으며, 주요 시사점은 다음과 같다.

 첫째, 악성코드를 이용한 사이버 위협이 더블제로나 헤르메틱과 같이 오랜기간 잠복하여도 탐지가 어렵도록 은밀해지고, 시스템 복구가 불가하도록 철저히 파괴하는 형태로 제작되어 더욱 위협적으로 진화하고 있으며, 애시드레인이나 인더스트로이어의 사례처럼 위성, 발전소와 같은 산업기반시설을 공격하는 악성코드가 등장하며 국가 안보에 중대한 피해를 입힐 수 있는 사이버 위협이 등장하고 있다.
 새롭게 등장한 와이퍼 악성코드들은 대상 시스템을 파괴하기 위해 윈도우 기본 프로세스, 업데이트 파일, WinRAR 압축파일, PDF 등으로 위장하여 정체를 식별하기 어려워지고 있으며, 네트워크 상의 다른 시스템의 추가 감염을 유도하고 시스템과 자료를 철저히 파괴하기 위해 높은 권한을 탈취하는 등 위협적으로 진화하고 있다. 또한, 위스퍼게이트에서 헤르메틱와이퍼 등장까지 불과 한달이 걸린 것과 같이 신종 악성코드가 등장하는 속도가 매우 빨라지고 있는데, 이러한 특징들은 앞으로 사이버 위협으로부터 시스템을 보호하기가 더욱 까다로워질 것을 의미한다.

 둘째, 안드로이드 태블릿이나 IP카메라와 같은 무선 IoT 기기들이 새로운 사이버위협의 대상이 되고 있어 보안 대책이 필요하다.
 우크라이나 군이 운용하는 안드로이드 태블릿을 겨냥하여 제작된 인페이머스치즐 악성코드와 같이 무선 IoT 장비들의 도입은 새로운 보안 위협 요소이며, 특히 안드로이드와 같이 공개된 상용 OS가 군 무기체계에 적용되는 경우 적의 사이버 위협에 더욱 취약할 것으로 예상된다.

 셋째, 텔레그램, 인스타그램, 틱톡 등 SNS를 이용한 우크라이나의 사이버심리전은 약소국인 우크라이나가 러시아에 맞서는 힘이 되었다.
 우크라이나는 SNS를 통해 전세계를 대상으로 전장상황을 중계하며 러시아의 침공 행위를 규탄하고 적극적 지지를 호소하였는데, 이로써 강대국의 지원을 얻은 우크라이나는 러시아를 상대로 전쟁을 장기화 할 수 있었다.

 이번 전쟁에서의 사이버전 형태와 결과는 이전의 고전적 전장에서 볼 수 없던 다양한 형태로 나타났으며, 각각의 사건들이 큰 영향을 미치며 사이버전의 중요성을 부각하였다.
다음 장에서는 이번 전쟁에서의 사이버전 사례와 우리나라의 사이버전 핵심기술 개발동향을 토대로 핵심기술의 발전방향을 제언할 것이다.

 

 

3. 사이버전에 대비하는 핵심기술 개발동향 및 발전방향

 앞서 살펴본 바와 같이 사이버위협의 형태와 결과는 다양한 모습으로 드러났다.
악성코드는 더욱 위협적으로 변모하였고, 전장에 도입된 무선통신기기는 새로운 보안 위협 요소가 되었으며, 사이버심리전은 이전의 전장에서는 볼 수 없던 새로운 유형으로 여러 파급 효과를 보여주었다.
본 장에서는 러시아-우크라이나전에서의 사이버전 사례와 사이버전 관련 핵심기술의 개발동향을 토대로 핵심기술 발전방향을 제언할 것이다.
 
 3.1. 국내 사이버전 핵심기술 개발동향
 사이버위협으로부터 아군의 사이버 자산을 보호하기 위한 사이버전 관련 핵심기술은 지속적으로 개발되어왔다. [표3]에 제시된 지금까지의 사이버전 핵심기술은 아군 사이버자산을 관제하며 빅데이터를 기반으로 사이버 위협을 탐지하고 대응하는 방향으로 초점이 맞추어져 있다.

 그러나 빅데이터 기반의 사이버 위협 탐지는 알려지지 않은 악성코드를 탐지하기 어려우며, 높은 은밀성의 신종 사이버위협이 매우 빠르게 출현하고 있어 악성행위 탐지 기반의 자산 보호는 한계가 있다.
 이러한 상황을 반영하여 현재 개발중인 사이버전 핵심기술은 사이버위협을 탐지하고 대응하는 것이 아닌 아군 네트워크의 기밀성을 높여 공격자의 침입을 원천 봉쇄하고, 자료를 분산 저장하거나 네트워크를 신속히 분리·단절하여 피해 확산을 최소화하는 방향으로 개발하고 있다.
 현재 개발중인 사이버전 핵심기술 과제는 다음과 같다.

표 3 국내 사이버전 핵심기술 개발현향

① 초지능형 사이버 지휘통제 및 능동방어 기술(무기체계 패키지, ’21~’26)
 초지능형 사이버 지휘통제 및 능동방어 기술은 총 4개 과제로 이루어진 패키지 과제로 군의 사이버 네트워크를 보호하기 위한 사이버 방호기술들을 개발하고 있으며, 각 기술들은 다음과 같다.
 - 네트워크 영역 별로 네트워크의 이상징후를 인공지능으로 실시간 감시하여 사이버위협 상황을 조기 식별하고, 노드 차단을 통해 피해의 확산을 방지하며 신뢰연결 기반의 네트워크 관리 기술을 적용하여 비인가자의 침입을 예방
 - 빅데이터와 인공지능 기반으로 새롭게 생성되는 악성코드 등의 사이버 위협정보를 자동 수집 및 분석하여 새로 식별되는 사이버 위협으로부터 아군 자산을 보호
 - MTD(Moving Target Defense) 기반으로 IP를 기만하여 공격자가 내부 네트워크구조를 파악하지 못하게하여 침입을 방지하고, 자료를 분산 저장하여 아군 자산을 보호
 - 인공지능 기반으로 사이버 공격 및 방어 훈련 환경을 구축하고 훈련 결과를 평가하여 사이버 공방에 대비하기 위한 사이버 전문인력을 양성하는 기술
 - 인공지능 기술이 도입된 체계의 인공지능이 적의 사이버 공격으로 오염되는 경우에 대비하여 인공지능에 대한 사이버 위협을 탐지하고 차단하는 기술
 본 과제는 사이버 위협으로부터 아군 체계를 보호하기 위해 인공지능, 빅데이터 기술 등 최신 기술을 적극 활용하고 있으며, 공격자의 침입을 원천적으로 차단하고 피해가 발생했을 시 피해 규모를 최소화하는 방향으로 기술을 개발중에 있다.
 
 ② 허니팟 기반 공격패턴 DNA 추출 사이버게놈 기술(시험개발, ’22~’26)
 허니팟 기반 공격패턴 DNA 추출 사이버게놈 기술 과제는 공격자로부터 네트워크를 보호하기 위해 허니팟 기반 네트워크를 구성하여 공격 행위를 방해하고, 다종의 악성코드들을 수집 및 분석하여 구조적 특징들을 DNA로 저장하는 것으로 밝혀지지 않은 악성코드들도 기존 악성코드들과의 유사도 분석을 통하여 식별 및 대응하는 기술이다.

 악성코드들의 침입 방법과 위장 방식이 매우 빠르게 변화하고, 고도화되고 있는 현재 본 과제에서 개발하는 기술은 밝혀지지 않은 위협들에 대해 대응할 수 있을것으로 예상되고 있다.

 
 3.2. 핵심기술 발전방향 제언
 앞서 살펴본 러시아-우크라이나 전쟁 간 식별된 사이버전 사례와 현재의 사이버전 핵심기술 개발동향을 토대로 제언하는 핵심기술의 발전방향은 아래와 같다.

 첫째, 손실된 시스템을 신속히 복구할 수 있는 사이버회복력(CyberResiliance) 기술이 필요하다. 악성코드가 매우 빠른 속도로 진화하고 있고, 최근에는 AI기술을 이용한 악성코드 생성 기법이 떠오르며 사이버 위협으로부터 시스템을 보호하기가 더욱 어려워지고 있다. 따라서 사이버 위협을 회피하고 차단하는 기술을 확보하는 한편, 사이버 공격으로 시스템이 침해받는 상황을 대비하여 신속히 본래 기능을 복구할 수 있는 사이버회복력 기술이 필요하다.

 둘째, 안드로이드 태블릿이나 드론 등 무선 IoT 기기가 적극 도입될 것으로 예상되는 첨단 무기체계의 네트워크를 보호하기 위한 기술이 필요하다. 무선 장비들은 유선장비와 달리 침투 경로가 열려있으며, 특히 안드로이드 등 상용 OS 기반의 기술들은 보안 취약점이 쉽게 노출될 수 있는 우려가 있다. 따라서 군 환경과 무기체계에 특화된 보안성 높은 네트워크 프로토콜 기술 등 무기체계 운용 환경에 특화된 사이버 보안 기술이 필요하다.

 셋째, SNS로 인한 파급력이 전장에 미치는 영향이 증대됨에 따라 실제 작전환경에서 전쟁 전반에 걸친 심리적 영향을 분석할 수 있는 전투실험분석기술이 필요하다. 이번 전쟁에서 사이버심리전은 전장 내적으로는 양측 군의 사기를 크게 좌우하였으며, 전장 외적으로는 군사지원과 경제제재, 정치적 리스크를 만드는 등 여러 파급효과를 보여주었다. 이러한 현상으로부터 정확한 전쟁모의와 분석을 위해 군 자원에 한정하지 않고 전력, 통신, 교통 등 사회적 요소와 사이버심리전으로 인한 심리 영향까지 고려한 전투실험 분석기술이 필요할 것으로 판단된다.

 

 

4. 결론

 본고에서는 러시아-우크라이나전에서 발생한 다양한 사이버전 사례를 사회 인프라 공격, 정보탈취, 사이버심리전 항목으로 나누어 각각의 사이버위협 및 공방을 살펴보고, 사이버전과 관련하여 추진중인 핵심기술 개발현황과 핵심기술 발전방향을 제시하였다.

 각 사례들로부터 사이버 위협은 매우 빠른 속도로 진화하고, 가상에서 일어나는 현상으로 비대칭적이고 즉각적이며, 목적에 따라 세계적인 파급효과도 낼 수 있다는 특징을 확인하였다. 따라서 사이버위협으로 피해를 입은 시스템을 신속히 복구하는 기술, 드론 등 무선장비 기반의 첨단 무기체계에 특화된 사이버 보안 기술, 사이버심리전의 영향성을 추가로 분석할 수 있는 전투실험분석기술의 필요성을 제언하였다.

* 해당 글의 이미지는, 이미지별 출처를 밝혔으며, 저작권 관련 문제 시 삭제하겠습니다.



참고문헌
1. DARPA Tiles Together a Vision of Mosaic Warfare
2. 윤상용, RQ-170 센티넬 다목적 무인항공기, 조선일보, 2020.
3. 손태종, 김영봉, 국방 사이버전 수행 발전방향, 주간국방논단 제1431호, 한국국방연구원, 2012.
4. Cyber Attacks in Times of Conflict, cyberconflicts.cyberpeaceinstitute.org/threats/timeline
5. 와이퍼 악성코드 시스템 파괴 방식과 대응, 소만사, 2022.
6. The War in Ukraine from a Space Cybersecurity Perspective, ESPI short report, ESPI, Austria, 2022.
7. Infamous Chisel, Malware Analysis Report, National Cyber Security Centre, England, 2023.
8. 윤정현, 정보심리전의 진화 양상과 대응 방안, INSS전략보고, 국가안보전략연구원, 2022.
9. 허니팟 기반 공격패턴 DNA 추출 사이버게놈 기술, 과제수행 자료, LIG시스템
10. 2023년 사이버 보안 위협 분석 및 2024년 전망 발표, 과학기술정보통신부 보도자료, 2023.

* 자료의 지식재산권 보호를 위해 본 포스트에 게시된 자료의 무단복제·전재를 금합니다. 
* 본 자료에 게재된 내용은 국방기술진흥연구소의 공식적인 견해가 아니며, 필자의 개인 의견임을 알려드립니다. 

 

[출처: 국방기술진흥연구소 디팀스위클리 네이버포스트]