과학기술정책 이슈에 대한 심층분석 정보
이슈분석
이슈분석
사이버공격억제전략 및 주요 추진 과제
- 국가 미국
- 주제분류 과학기술전략
- 발간일 2010-01-01
- 권호
미국 정부는 사이버안보 위협에 직면함에 따라, 다방면에 걸친 사이버공격 억제전략 수립과 정책적 방향을 도출하기 위해 사이버 공격의 핵심 이슈 발굴 및 주요 점검 사항을 도출. 보고서는 (1) 사이버 안보의 중요성과 사이버 위협 소개, (2) 사이버 위협에 대한 국가적 대응 전략 수립, (3) 주요 연구과제 도출 등의 내용을 담고 있음. 국내에서도 사이버안보 위협에 대응하는 종합적인 전략 수립의 필요성이 있음
------------------------------------------------------------------------
1. 개요
□ 미국 정부는 사이버안보 위협에 직면함에 따라, 다방면에 걸친 추진 전략 및 해결 방안을 모색
○ 사이버공격 억제전략 수립과 정책적 발전방향 도출을 위해 국가연구위원회(NRC)* 산하에 사이버공격 억제위원회를 설립
* National Research Council
□ 본 보고서는 미국 정보시스템과 네트워크의 사이버공격 예방을 위한 주요 이슈 및 정부 전략을 소개
○ 1단계로, 사이버공격의 핵심 이슈 발굴 및 주요 점검 사항 도출
- 2단계로 ’10년 6월 전문가 워크샵에서 동 보고서의 주요 안건을 검토한 후 국가연구위원회 보고서 작성 예정
○ 본 보고서는 크게 3개 분야로 구성
① 사이버 안보의 중요성과 사이버 위협 소개
② 사이버 위협에 대한 국가적 대응 전략 수립
③ 주요 연구 과제 도출
2. 사이버 안보의 중요성
□ 광범위한 사이버보안 및 사이버공격 억제 방안 마련 필요
○ 미국의 중요 정책 목표는 정보통신 시스템과 네트워크에 대한 사이버공격의 예방 및 억제
- 사이버공격에 대한 강력한 방어책 마련은 공격 가능성을 저감시키지만, 완벽한 방어는 사실상 불가능
- 사이버공격은 그 범주가 매우 광범위하고 점차 정교화되고 있어, 이에 대한 대응 방안 수립 필요성 증가
○ 사이버공격 억제를 위해 상대방을 위협하고, 필요시 그 위협을 실행에 옮길 수 있는 역량 필요
- ‘만약 당신이 나를 공격하면 나도 당신을 공격할 것’이란 메시지로 나를 공격하지 않도록 하는 억제 방안 마련 필요
3. 사이버 위협에 대한 국가적 대응 전략 수립
□ 과거의 소극적·수동적 보안 체계를 탈피하여, 전체 네트워크 차원의 통합적 보안관리 방안 마련 필요
○ 지금까지의 정보보호 체계는 보안 호스트 및 특정 보안 시스템에 국한되어 있어 사이버테러 방어에 한계를 노출
○ 사이버공격에 대응할 수 있는 견고한 시스템, 시설 복원기능, 적절한 대응을 위한 사용자 교육 등이 필요
□ 9단계의 사이버공격 억제체계 수립
○ 정보통신 시스템 및 네트워크에서의 적대적 행동에 대해 방어측면보다 억제측면에서 다양한 분석이 수행되어 왔음
○ 선행 연구보고서*에서 9단계로 공식화된 사이버공격 억제체계의 각 단계별 주요 특징 및 대응방안 검토
* ‘Section 2.2, Chapter 9. NRC, Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, 2009’
① 확신(Convince) 단계
② 적대(Adversaries) 단계
③ 위협적 행동(Actions that threaten U.S. vital interests) 단계
④ 신빙성 있는 위협(Credible threat) 단계
⑤ 이익 부정(Denying benefits) 단계
⑥ 도입 비용(Imposing costs) 단계
⑦ 규제 장려(Encouraging restraint) 단계
⑧ 용인되는 결과(Acceptable outcome) 단계
⑨ 사이버공격 억제 관찰(Observations about Cyberdeterrence) 단계
□ 특정행동 규제를 위한 국제법 수립
○ 사이버공격 억제를 위한 국제적 합의는 정책적 측면에서 매우 중요
- 사이버공격 가능성 축소, 공격발생시 피해규모 최소화, 국제 합법제도 수립에 있어 상호보완적이고 유용한 역할
- 특히, 국제적 합의를 통해 국가적 차원의 공격 빈도가 감소하므로, 사이버공격 저지·억제에 용이
※ 국가차원에서 사이버공격을 지원하거나, 자국내 개인 해커들의 공격을 허용하는 국가는 그에 대응하는 책임을 져야 함
- 미국 사이버안보 전략의 억제책은 국가차원의 해커들에게 중점을 두어야 함
○ 적국과 공모하여 사이버공격을 가한 시설에 대한 보복공격을 위해 선택 가능한 모든 방안에 대한 검토 필요
- 국제 합법제도와 행동 강령들은 새로운 형태의 무기 개발에 합의할 수도 있음
- 사이버전쟁도 핵 억제책과 마찬가지로, 적국에게 사이버무기를 개발하고 있음을 확인시켜 주면, 적국의 사이버 공격 억제 가능
□ 사이버보안 촉진을 위한 국내법 수립
○ 사이버범죄 처벌을 위한 법 제도 시행은 사이버보안을 촉진하고, 사이버보안에 대한 국가적 인식을 제고할 것임
○ 선행연구*에서 이미 사이버보안에 대한 주요 문제가 파악되었으나, 실천으로의 이행에는 실패
* NRC, Toward a Safer and More Secure Cyberspace, 2007
- 실패 이유는 사이버공격에 대한 피해 예측 미흡과 의사결정자들의 책임기피 때문
4. 주요 연구 과제 도출
○ 사이버공격 억제 위원회는 사이버전쟁 방지와 사이버 공격 억제를 위해 8개 분야 51개의 주요 연구 과제 도출
① 사이버공격 억제를 위한 이론 모형 분야(Theoretical Models for Cyberdeterrence)
② 사이버공격 억제와 선언적 정책 분야(Cyberdeterrence and Declaratory Policy)
③ 사이버공격 억제를 위한 운용 고려사항 분야(Operational Considerations in Cyberdeterrence)
④ 상호체제 및 합의된 규제 분야(Regimes of Reciprocal/ Consensual Limitations)
⑤ 큰 맥락에서의 사이버공격 억제 분야(Cyberdeterrence in a Larger Context)
⑥ 행동과 이에 대한 대응 분야(The Dynamics of Action/Reaction)
⑦ 행동의 단계적 확대 분야(Escalation Dynamics)
⑧ 부수적 이슈 분야(Collateral Issues)
5. 정책적 시사점
□ IT 네트워크를 통한 경제‧사회‧정치‧군사활동의 비중이 급격히 증가함에 따라, 사이버공격*의 빈도와 강도가 높아지고 이로 인한 피해규모도 증가
* 사이버공격(Cyberattack) : 인터넷을 통해 다른 컴퓨터에 불법 접속하여 상대방 국가나 기업에 손상을 입히려는 행동으로서, 정치적인 의도를 가짐
- 2009년 7월 발생한 DDoS(분산서비스거부공격) 침해 사고로 인한 금전적 피해가 최대 544억원에 달하며, 이는 2008년 자연재해로 인한 피해액(580억원)에 맞먹는 액수
□ 사이버공격 억제를 위한 국가 차원의 대응 전략 수립 필요
○ IT 강국에 걸맞는 사이버보안 체계 구축을 위해 종합적인 법적·제도적 기반 마련 및 중장기 전략 수립
- 사이버범죄 처벌을 위한 법‧제도 강화를 통해 사이버안보에 대한 국가적 인식 제고 및 사이버 보안 촉진 필요
※ 미국 : 「사이버보안 종합계획」('10.3) 수립, 「사이버보안강화법」 제정 추진
※ 일본 : 국가전반에 걸친 연도별 정보보호계획인 「Secure Japan」 수립
※ 영국 : 「사이버보안전략」('09.6) 수립 및 국가사이버보안센터 설립 추진
○ 범국가적 차원에서 사이버 보안을 총괄하고 사이버공격에 체계적이고 조직적으로 대응하는 컨트롤타워 구축
○ 사이버 위협에 대한 효과적 대응을 위해 국제 공조체제 구축 및 국제법 수립 참여
※ 중국, 북한 등은 사이버전(戰)을 위한 해커부대를 운영하고 있으므로, 이들 국가의 국가적 차원의 사이버공격 억제를 위한 국제공조 필요
○ 사이버공격 억제를 위한 국가적 차원의 주요 연구과제 도출 및 지원
- 국가연구개발사업에서 사이버보완과 관련한 중장기 로드맵을 수립하고, 관련 연구 분야의 체계적 지원·육성
* 도표 등과 관련된 상세 내용은 첨부파일을 참조하시길 바랍니다.
* * 본 자료는 교육과학기술부 과학기술기반과와 KISTI 정보분석본부, KISTEP 정책기획실 등에서 분석한 내용을 바탕으로 한 것입니다.
------------------------------------------------------------------------
1. 개요
□ 미국 정부는 사이버안보 위협에 직면함에 따라, 다방면에 걸친 추진 전략 및 해결 방안을 모색
○ 사이버공격 억제전략 수립과 정책적 발전방향 도출을 위해 국가연구위원회(NRC)* 산하에 사이버공격 억제위원회를 설립
* National Research Council
□ 본 보고서는 미국 정보시스템과 네트워크의 사이버공격 예방을 위한 주요 이슈 및 정부 전략을 소개
○ 1단계로, 사이버공격의 핵심 이슈 발굴 및 주요 점검 사항 도출
- 2단계로 ’10년 6월 전문가 워크샵에서 동 보고서의 주요 안건을 검토한 후 국가연구위원회 보고서 작성 예정
○ 본 보고서는 크게 3개 분야로 구성
① 사이버 안보의 중요성과 사이버 위협 소개
② 사이버 위협에 대한 국가적 대응 전략 수립
③ 주요 연구 과제 도출
|
[참고] 사이버보안 강화를 위한 미국의 주요 정책 추진 현황 |
2. 사이버 안보의 중요성
□ 광범위한 사이버보안 및 사이버공격 억제 방안 마련 필요
○ 미국의 중요 정책 목표는 정보통신 시스템과 네트워크에 대한 사이버공격의 예방 및 억제
- 사이버공격에 대한 강력한 방어책 마련은 공격 가능성을 저감시키지만, 완벽한 방어는 사실상 불가능
- 사이버공격은 그 범주가 매우 광범위하고 점차 정교화되고 있어, 이에 대한 대응 방안 수립 필요성 증가
○ 사이버공격 억제를 위해 상대방을 위협하고, 필요시 그 위협을 실행에 옮길 수 있는 역량 필요
- ‘만약 당신이 나를 공격하면 나도 당신을 공격할 것’이란 메시지로 나를 공격하지 않도록 하는 억제 방안 마련 필요
3. 사이버 위협에 대한 국가적 대응 전략 수립
□ 과거의 소극적·수동적 보안 체계를 탈피하여, 전체 네트워크 차원의 통합적 보안관리 방안 마련 필요
○ 지금까지의 정보보호 체계는 보안 호스트 및 특정 보안 시스템에 국한되어 있어 사이버테러 방어에 한계를 노출
○ 사이버공격에 대응할 수 있는 견고한 시스템, 시설 복원기능, 적절한 대응을 위한 사용자 교육 등이 필요
□ 9단계의 사이버공격 억제체계 수립
○ 정보통신 시스템 및 네트워크에서의 적대적 행동에 대해 방어측면보다 억제측면에서 다양한 분석이 수행되어 왔음
○ 선행 연구보고서*에서 9단계로 공식화된 사이버공격 억제체계의 각 단계별 주요 특징 및 대응방안 검토
* ‘Section 2.2, Chapter 9. NRC, Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities, 2009’
① 확신(Convince) 단계
② 적대(Adversaries) 단계
③ 위협적 행동(Actions that threaten U.S. vital interests) 단계
④ 신빙성 있는 위협(Credible threat) 단계
⑤ 이익 부정(Denying benefits) 단계
⑥ 도입 비용(Imposing costs) 단계
⑦ 규제 장려(Encouraging restraint) 단계
⑧ 용인되는 결과(Acceptable outcome) 단계
⑨ 사이버공격 억제 관찰(Observations about Cyberdeterrence) 단계
□ 특정행동 규제를 위한 국제법 수립
○ 사이버공격 억제를 위한 국제적 합의는 정책적 측면에서 매우 중요
- 사이버공격 가능성 축소, 공격발생시 피해규모 최소화, 국제 합법제도 수립에 있어 상호보완적이고 유용한 역할
- 특히, 국제적 합의를 통해 국가적 차원의 공격 빈도가 감소하므로, 사이버공격 저지·억제에 용이
※ 국가차원에서 사이버공격을 지원하거나, 자국내 개인 해커들의 공격을 허용하는 국가는 그에 대응하는 책임을 져야 함
- 미국 사이버안보 전략의 억제책은 국가차원의 해커들에게 중점을 두어야 함
○ 적국과 공모하여 사이버공격을 가한 시설에 대한 보복공격을 위해 선택 가능한 모든 방안에 대한 검토 필요
- 국제 합법제도와 행동 강령들은 새로운 형태의 무기 개발에 합의할 수도 있음
- 사이버전쟁도 핵 억제책과 마찬가지로, 적국에게 사이버무기를 개발하고 있음을 확인시켜 주면, 적국의 사이버 공격 억제 가능
□ 사이버보안 촉진을 위한 국내법 수립
○ 사이버범죄 처벌을 위한 법 제도 시행은 사이버보안을 촉진하고, 사이버보안에 대한 국가적 인식을 제고할 것임
○ 선행연구*에서 이미 사이버보안에 대한 주요 문제가 파악되었으나, 실천으로의 이행에는 실패
* NRC, Toward a Safer and More Secure Cyberspace, 2007
- 실패 이유는 사이버공격에 대한 피해 예측 미흡과 의사결정자들의 책임기피 때문
4. 주요 연구 과제 도출
○ 사이버공격 억제 위원회는 사이버전쟁 방지와 사이버 공격 억제를 위해 8개 분야 51개의 주요 연구 과제 도출
① 사이버공격 억제를 위한 이론 모형 분야(Theoretical Models for Cyberdeterrence)
② 사이버공격 억제와 선언적 정책 분야(Cyberdeterrence and Declaratory Policy)
③ 사이버공격 억제를 위한 운용 고려사항 분야(Operational Considerations in Cyberdeterrence)
④ 상호체제 및 합의된 규제 분야(Regimes of Reciprocal/ Consensual Limitations)
⑤ 큰 맥락에서의 사이버공격 억제 분야(Cyberdeterrence in a Larger Context)
⑥ 행동과 이에 대한 대응 분야(The Dynamics of Action/Reaction)
⑦ 행동의 단계적 확대 분야(Escalation Dynamics)
⑧ 부수적 이슈 분야(Collateral Issues)
5. 정책적 시사점
□ IT 네트워크를 통한 경제‧사회‧정치‧군사활동의 비중이 급격히 증가함에 따라, 사이버공격*의 빈도와 강도가 높아지고 이로 인한 피해규모도 증가
* 사이버공격(Cyberattack) : 인터넷을 통해 다른 컴퓨터에 불법 접속하여 상대방 국가나 기업에 손상을 입히려는 행동으로서, 정치적인 의도를 가짐
- 2009년 7월 발생한 DDoS(분산서비스거부공격) 침해 사고로 인한 금전적 피해가 최대 544억원에 달하며, 이는 2008년 자연재해로 인한 피해액(580억원)에 맞먹는 액수
□ 사이버공격 억제를 위한 국가 차원의 대응 전략 수립 필요
○ IT 강국에 걸맞는 사이버보안 체계 구축을 위해 종합적인 법적·제도적 기반 마련 및 중장기 전략 수립
- 사이버범죄 처벌을 위한 법‧제도 강화를 통해 사이버안보에 대한 국가적 인식 제고 및 사이버 보안 촉진 필요
※ 미국 : 「사이버보안 종합계획」('10.3) 수립, 「사이버보안강화법」 제정 추진
※ 일본 : 국가전반에 걸친 연도별 정보보호계획인 「Secure Japan」 수립
※ 영국 : 「사이버보안전략」('09.6) 수립 및 국가사이버보안센터 설립 추진
○ 범국가적 차원에서 사이버 보안을 총괄하고 사이버공격에 체계적이고 조직적으로 대응하는 컨트롤타워 구축
○ 사이버 위협에 대한 효과적 대응을 위해 국제 공조체제 구축 및 국제법 수립 참여
※ 중국, 북한 등은 사이버전(戰)을 위한 해커부대를 운영하고 있으므로, 이들 국가의 국가적 차원의 사이버공격 억제를 위한 국제공조 필요
○ 사이버공격 억제를 위한 국가적 차원의 주요 연구과제 도출 및 지원
- 국가연구개발사업에서 사이버보완과 관련한 중장기 로드맵을 수립하고, 관련 연구 분야의 체계적 지원·육성
* 도표 등과 관련된 상세 내용은 첨부파일을 참조하시길 바랍니다.
* * 본 자료는 교육과학기술부 과학기술기반과와 KISTI 정보분석본부, KISTEP 정책기획실 등에서 분석한 내용을 바탕으로 한 것입니다.
