일본 정부는 2022년 12월에 발표한 새로운 국가안전보장전략에서 '능동적 사이버 방어'를 명시하고, 공격자의 서버에 침입하는 등 공격자에 대한 대응 조치를 가능하게 했다. 하지만 아직까지도 능동적 사이버 방어에 대한 개요만 공개된 상황이다. 본 기사에서는 능동적 사이버 방어란 무엇이며, 동 조치의 효과 및 실효성에 대해 알아보고자 한다.

능동적 사이버 방어란?

능동적 사이버 방어는 일본 정부가 새롭게 도입하려는 사이버 보안 정책 중 하나로, 공격으로 인한 피해가 발생하기 전, 또는 피해가 확대되기 전에 공격자에 대한 대응 조치를 취하는 것을 말한다. 능동적 사이버 방어는 2022년 12월 정부가 각의 결정한 '방위 3문서'에서 도입이 명시됐다.

<일본 국가안보정책 관련 '방위 3문서'>

[자료: 니혼게이자이신문, KOTRA 도쿄 무역관 작성]

국가안보전략에서는 능동적 사이버 방어 도입 목적을 '무력 공격에 이르지는 않더라도, 국가, 중요 인프라 등에 대한 안보 우려를 야기하는 중대한 사이버 공격의 우려가 있을 경우에 이를 사전에 제거하고 이러한 사이버 공격이 발생했을 경우 피해 확대를 방지하기 위함'이라고 명시했다. 

일본 정부는 이런 방어 도입을 위한 필요 조치로 (1) 민간사업자와의 정보 공유 강화, (2) 공격자의 서버 등을 탐지하기 위한 통신사업자의 정보 제공, (3) 공격자의 서버 등에 대한 침입이나 무력화를 가능케 하는 권한 부여 등 3가지를 꼽고 있다.

공격받기 전에 상대를 '무력화'

능동적 사이버 방어가 큰 화두가 된 것은 국가안보전략에서 제시된 바와 같이 공격받기 전에 대응할 수 있기 때문이다. 방위가 원칙인 일본에서는 공격을 받기 전에 대응 조치를 취하는 것이 어렵다고 여겨 왔으며, 사이버 공격에 대해서는 ‘소극적 방어’가 일반적이었다. (소극적 방어는 피해를 본 후 원인이 된 취약점 등에 대응하는 것을 말한다.)

이에 반해 능동적 사이버 방어는 공격을 받기 전에 공격자의 서버 등에 침입해 무력화할 수 있도록 하는 구조이다.

<소극적 방어와 능동적 사이버 방어>

[자료: 닛케이Xtech]

NTT의 M 보안 전문가는 "능동적 사이버 방어는 발동 조건을 ‘무력 공격에 이르지 않더라도’로 규정한 점을 높이 평가한다. 무력 공격에 해당하지 않더라도 심각한 피해를 입힐 수 있는 사이버 공격은 능동적 사이버 방어로 대응할 수 있기 때문이다"라며 긍정적인 평가를 했다.

능동적 사이버 방어의 구조

방위 3문서에 따르면, 능동적 사이버 방어는 우선 통신사를 포함한 민간기업 및 관공서로부터 공격자 관련 위협 정보를 수집한다. 그 정보를 바탕으로 내각사이버보안센터(NISC)을 개편한 조직이 사령탑이 돼, 자위대 등 실행부대가 공격자에 대한 대응조치를 실시하는 형태가 될 것으로 예상된다.

능동적 사이버 방어의 핵심은 공격을 사전에 무력화하는 것이다. 구체적인 방법으로는 공격자가 사용하는 서버(C2서버)를 사용할 수 없도록 하는 것이 있다. 공격자와 C2서버 간 통신을 차단하거나, C2서버에 침입해 설정을 변경하거나 데이터를 삭제해 서버 기능을 정지시키는 방법 등이 예상된다.

<대응 조치 예>

[자료: 닛케이Xtech]

일반 기업에 미치는 영향은?

능동적 사이버 방어는 대상을 국외서버로 한정하지 않기 때문에, 일본 국내 기업의 서버가 공격자의 서버로 오인될 경우 이 또한 무력화 대상이 되지 않을까 우려하는 목소리가 있다.  

하지만 그런 걱정은 하지 않아도 된다는 것이 전문가들의 공통된 의견이다. 능동적 사이버 방어는 대화할 여지가 없는 상대에 대한 최후의 수단이기 때문이다. 일반 기업이 운영하는 서버의 경우 능동적 사이버 방어 실행 부대가 공격 징후를 감지하더라도 갑자기 공격적인 조치를 취할 가능성은 극히 낮으며, 공격자의 서버로 오인돼 공격받을 가능성도 거의 없다고 볼 수 있다.

시사점

현재 능동적 사이버 방어에 대해 밝혀진 것은 방위3문서의 내용뿐이다. 일본의 현행법상 능동적 사이버 방어는 아직 전기통신사업법, 부정접속금지법, 자위대법 등에 저촉될 우려가 있어 실현될 수가 없다. 따라서 법 개정 또는 법 해석을 논의할 필요가 있다. 이러한 법 정비는 내년도 정기국회로 미뤄질 전망이다. 정부와 여당에서 공식적인 논의가 시작되지 않았기 때문인데, 국가안보전략을 수립한 지 11개월이 지났음에도 아직 전문가회의조차 설치하지 못한 상황이다. 이런 점 때문에 일본 언론에서는 일본의 사이버 보안에 대한 경계심이나 위기감이 약하다는 지적이 나오고 있다.

사실 많은 전문가들은 능동적 사이버 방어 대응책의 효과가 그리 크지 않다고 보고 있다. 서버를 정지시켜 일시적으로 공격 능력을 낮추더라도 공격자가 다른 서버를 준비하는 등 체제를 정비해 재공격할 가능성이 높기 때문이다. 특히 국가 등의 지원을 받는 공격자는 얼마든지 비용을 들일 수 있기 때문에, 서버의 일부를 무력화시켜도 이후 공격을 포기하지 않는다. 그렇다고 하더라도 공격을 중단시키면 공격자는 최종 목표 달성에 어려워지기 때문에 이러한 대응책이 완전히 무의미하다고는 할 수 없다.

최근의 무력 충돌은 사이버 공격을 동반하는 경우가 많다. 통신망이나 인프라 등의 기능을 방해해 전황을 유리하게 끌고 가는 '하이브리드전'이 현대전의 수단이 되고 있다. 미국의 전 정부 고위관료가 "미일 동맹의 가장 큰 약점은 사이버 방어"라고 말했을 정도로 사이버 방어 분야에 취약한 모습을 보이고 있는 일본이 앞으로 능동적 사이버 방어라는 카드를 어떻게 운용해 나갈 것인지 그 귀추가 주목된다.

자료: 방위성, 내각관방, 닛케이신문, 닛케이XTech, KOTRA 도쿄 무역관 자료 종합