1. 서론
오늘날 정보통신 분야의 발전에 따라 사이버공간 인식이 확대되었다. 특히, 국방 분야에서 사이버공간이 육·해· 공·우주에 이어 제 5전장 영역으로 인식되면서 한․미 합 동작전교범에도 사이버작전이 자리를 잡게 되었다. 또한 사이버 작전환경에서 군사작전 수행 시에도 지휘관의 의사결정에 따라 전쟁의 승패 또는 우세가 결정될 수 있다 [1,2]. 따라서 의사결정의 합리성과 객관성을 높이기 위해 작전 절차와 요소를 참고하여 사이버공간 상에서 취할 수 있는 작전요소를 정량화하고 최적의 방책을 제공할 필요가 있다.
본 연구의 2절에서는 물리적 작전의 계획수립절차 및 표적순환주기를 참조하여 사이버작전 수행의 방책 수립을 위한 체계를 적립하기 위하여 관련 자료 및 국내외 교범 등을 조사한다. 또한 본 논문에서 제안하고자 하는 사이버 작전요소 분류 및 방책 평가방안을 검증하기 위한 사례로서 공격 그래프와 스턱스넷 공격에 대하여 서술한다.
3절에서는 사이버 작전요소의 개념을 정의하고 사이버 작전의 방책이 되는 작전요소의 조합(COES, Cyber Operational Elements Set)을 구성하기 위해 표적개발 과정에서 식별한 작전요소를 육하원칙(5W1H Method) 에 기반하여 분류하는 방안을 제시한다. 수립한 다양한 방책 중 공격자의 의도에 적합한 방책을 선정하기 위해 육하원칙 요소별로 정량적인 평가를 진행하여 방책 점수와 우선순위를 결정하는 방안을 제시한다. 마지막으로 사이버 지휘통제 실시간 의사결정 지원 체계(CCCRTDMSS)를 제시하여 작전요소를 식별, 종합, 추천하는 과정을 거쳐 방책을 수립하는 프로세스를 보여준다.
4절에서는 3절에서 제안한 사이버 작전요소 분류 방 안 및 정량적 방책 평가 방안을 스턱스넷(STUXNET) 사례를 적용하여 최선의 방책 점수와 우선순위를 도출한다. 이를 위해 스턱스넷 사례기반 공격그래프를 분석하여 관련 작전요소들을 식별하고 제안한 사이버 작전요소 분류 방안을 적용하여 사이버 작전요소 조합과 방책 샘플 데이터를 구성한다. 마지막으로 구성한 방책 샘플들을 제안한 평가방안을 적용하여 점수 및 우선순위를 구하고 최적의 방책을 선정한다.
2. 관련연구
2.1 합동계획수립절차(JPP, Joint Planning Process)
2.1.1 합동계획수립절차(JPP) 개요
합동계획수립절차(JPP)는 물리적인 군사작전에서 상황을 이해하고 지휘관이 요망하는 최종상태를 구성하여 해당 상태를 달성하기 위한 효과적인 방법을 설계하는 기술이다 [3]. JPP 프로세스는 임무를 분석하고 실행 가능한 방책을 수립, 분석 및 비교하여 최선의 방책을 선정하고 이를 기초로 계획 또는 명령을 생산하기 위한 일련의 논리적인 단계로 구성된 체계적이고 분석적인 절차를 가진다.
2.1.2 JPP 단계별 세부 수행 절차
합동계획수립절차(JPP) 프로세스는 그림 1과 같이 계획 착수, 임무분석, 방책수립, 방책분석, 방책비교, 방책승인, 계획 및 명령 작성의 7개의 단계를 거쳐 진행된다 [4].
(그림 1) 합동계획수립절차 프로세스
(Figure 1) The Joint Planning Process
첫 번째 단계인 계획착수(Initiation) 단계에서는 지휘관, 계획 팀 및 참모(Staff)가 상황을 이해하고 지휘관 초기 계획 지침을 생성할 수 있도록 명령, 지침, 정보 및 기타 정보들을 검토 및 분석한다.
임무 분석(Mission Analysis) 단계에서는 정보환경의 물리적, 정보적, 인지적 차원에 관한 적절한 관점을 식별한다. 임무 및 지휘관 의도를 분석하기 위해 명시, 추정, 필수과업을 결정하고 알려진 사실과 가정, 현 상황을 결정하며 합동작전과 관련된 제한, 금지사항을 식별해 최종상태 및 정보작전목표, 효과를 결정한다
방책 수립(COA Development) 단계에서 기획자는 임무 기술서, 지휘관의 의도 및 계획 지침을 사용하여 여러 COA를 개발한다.
방책분석(COA analysis) 단계에서 작전참모는 작전 환 경하의 합동정보태세 준비과정을 통해 적 방책의 식별 및 아군 방책과 비교를 통해 워 게임(War game)을 실시한 다. 각각의 방책을 분석하여 핵심 결심지점 제시 및 작전과 관련된 고가치 표적을 식별하여 정보작전을 위한 지휘관 중요정보 요구 건의와 우선정보요구 제출을 통해 참모평가를 수정한다.
방책비교(COA Comparison) 단계는 참모요원들이 각 방책의 장점과 단점을 분석하고 평가를 진행하는 것으로 우선임무 및 과업에 기초하여 각각의 방책을 비교한다. 작전요구와 정보관련 능력의 유용성에 관하여 각 방책의 비교를 통해 우선순위를 설정한다.
방책승인(COA Approval) 단계에서는 작전 참모가 임무 완수를 위해 작전이 어떻게 기여할 수 있는지에 관한 명확한 건의를 지휘관에게 제공해야 한다. 그 후 작전참모는 결정된 COA를 작전개념으로 전환할 경우 지휘관이 고려해야 할 추가 지침을 제공한다.
마지막 단계인 계획 및 명령 작성(Plan or Order Development)단계는 방책이 승인된 후 작전 참모는 작전 계획 또는 작전명령의 별첨 문서 형식으로 발전시켜 승인된 방책으로부터 과업을 세밀하게 구분한다. 또한 정보 관련 능력의 미흡한 부분과 해결방안을 식별하여 정밀한 자료를 시간에 맞게 정상적으로 제출한다.
2.1.3 물리적 작전 계획수립절차(JPP)와 사이버작전 계획수립절차(JCPP) 비교
본 연구에서 다루는 사이버작전에 대한 방책 수립과 평가를 위한 기준, 고려사항 등을 파악하기 위하여 그림 2와 같이 물리적 작전과 사이버 작전의 계획수립절차의 비교해 보았다.
(그림 2) 물리적 작전 및 사이버작전 계획수립절차 비교
(Figure 2) Comparison of JPP and JCPP
JCPP는 사이버작전 상에서 적 의도를 파악하고 좌절 시키기 위해 표적에 대한 우선순위를 부여하고 최선의 방책을 찾아 공격하는 절차이며, 실전에 선택하여 사용 가능한 다양한 시나리오와 방책들이 준비되어야 한다. 또한 공세적 작전 수행을 위해 임무 분석부터 방책 비교 단계까지 자동화 또는 생략이 가능한 체계로 구성된다. 그리고 시간적 단축을 위해 결과에 대한 평가 시뮬레이션이 자동화된 MOE(Measure of Effectiveness)를 산정해 방책을 비교한다. 여기서 MOE는 사이버 작전의 계획수립 시 방책을 평가하는 과정으로써, 사전에 예상되는 결과를 비교하기 위해 최대한 실전에 가까운 조건을 설정하여 평가 및 선정하는 것이 중요하다. 또한 MOE는 작전 수행 조건이 100% 만족한다는 가정하에 방책이 제대로 수립되었는지 평가하는 점수이다.
따라서 본 연구에서는 작전요소 조합(COES)으로 구성한 방책의 총 점수를 MOE로 가정하였다.
2.2 표적처리순환주기(JTC, Joint Targeting Cycle)
2.2.1 표적처리순환주기(JTC) 개요
작전계획장교는 적의 표적체계에 대한 효과달성 능력 을 평가할 때 표적처리순환주기(JTC, Joint Targeting Cycle)를 적용한다 [5]. 해당 프로세스는 지휘관이 목표물에 대한 기능을 선택하고, 채택한 후 결과를 평가하는 데 있어 지침이 되는 절차이다. JTC는 그림 3과 같이 ‘작전’과 ‘정보’ 두 조직 간의 접점을 용이하게 하는 총 6단계로 구성된다. ‘정보’ 프로세스는 표적개발 절차를 통해 기능 및 취약성을 포함한 잠재적 표적을 식별하게 되고 ‘작전’에서는 능력분석 단계에서 표적에 영향을 미칠 수 있는 군사적 수단을 제공하게 된다. 작전계획자는 표적체계에 대한 잠재 영향을 평가할 때, 고유한 모델과 데이터를 사용하며, 군사 과학기술을 동원하여 무기결정을 지원하는데 활용한다.
(그림 3) 표적처리순환주기(JTC) 절차
(Figure 3) Joint Targetting Cycle(JTC) Process
2.2.2 표적처리순환주기(JTC)와 JPP 상관관계
물리적 작전과 사이버작전 간 관계형성, 고려사항 점검 및 사이버작전상 의사결정의 기준설정을 위하여 그림 4와 같이 작전계획수립절차(JPP)와 표적처리순환주기 (JTC)를 비교하고 상관관계를 분석하였다.
(그림 4) JTC와 JPP의 상관관계
(Figure 4) Correlation between JTC and JPP
JPP와 JTC는 각각 작전계획장교의 입장과 표적 장교의 입장에서 바라본 프로세스로써 작전 수행에 있어 최선의 방책을 도출한다는 동일한 목표를 가진다. 지휘관의 목표에 적합한 무기를 추천하고 추천된 무기의 효과 평가를 통해 최선의 방책을 도출한다. 이 과정에서 JTC는 합동무기효과교범(JMEM)이라는 수치적 해석기법이 적용된 도구를 활용한다
2.3 합동무기효과메뉴얼(JMEM/JWS, Joint Munitions Effectiveness Manual / Joint Weaponeering System)
2.3.1 합동무기효과메뉴얼(JMEM) 개요
1963년 Close Air Support Board의 육군-공군 패널들은 당시 공대지 재래식 폭탄에 관한 데이터들이 총체적으로 부정확하고 현실과 Gap이 너무 커 오폭의 위험이 크다는 문제를 제기해왔다. Close Air Support Board는 부정확한 데이터를 개선하기 위해 포괄적인 표적목록과 표적 공격에 사용하는 공대지 폭탄의 성능 데이터가 담긴 공식 매뉴얼을 제시할 것을 요청하였다. 1969년 미 합동참모본부는 해당 권고 사항을 받아들여 공대지 폭탄에 대한 합동무기효과교범(JMEM, Joint Munitions Effectiveness Manual)을 만들었다 [6].
AIAA(American Institute of Aeronautics and Astronautics)에서는 각종 무기체계의 효과도 평가와 관련된 기초자료 및 표준화된 기법이 수록된 무기체계효과자료(JMEM)와 무기유형별 분석 도구를 제공하여 군의 분석능력 함양에 기여하는 교재를 제공하고 있다 [7]. 해당 교재를 통해 무장의 피해 메커니즘, 요구 피해 정도, 요망 피해 수준 등 작전 계획수립과정 및 공중 공격 등에 필요한 정량적 요소들의 파악이 가능하다. 이러한 JMEM과 같은 수치적 해석 기법이 발전함으로써 자동화된 최적의 무기 배정 프로그램(JWS, Joint Weaponeering System)을 개발할 수 있었고 이를 이용하여 합동기능에 최적화된 무기배정 및 ATO작성에 과학적 접근 기법을 적용할 수 있었다.
2.3.2 합동무기효과메뉴얼(JMEM) 절차
JMEM은 사람이 식별한 표적을 입력받아 무기추천 단계에서 피해요구도, 피해확률, 전력 등을 산출하고, 최적 임무부대가 무엇인지, 최적의 시기는 언제인지 등을 도출한다. 도출되는 요소들은 무기, 요망피해수준, 효율성, 발사조건 등 표적 제거 산출에 직결되는 데이터로 구성되며 모두 합리적인 근거에 의해 정량적으로 계산되어 산출된 값들로 구성된다. 그림 5는 표적처리순환주기(JTC)에서 JMEM/JWS의 역할과 필요한 작전요소들을 보여준다.
(그림 5) 합동무기효과메뉴얼(JMEM) 프로세스
(Figure 5) Joint Munitions Effectiveness Manual Process
2.4 공격그래프(Attack Graph)
2.4.1 공격그래프 개요
방어 및 공격 작전을 수행하기 위해서는 공격자가 표적 네트워크에 침입하여 서비스를 방해할 수 있는 경로를 연구하는 것이 중요하다. 공격 그래프는 공격자가 각 단계에서 필요한 권한을 얻으면서 네트워크 호스트의 취약성을 악용하여 원하는 대상 호스트에 도달할 수 있는 가능한 방법을 보여준다 [8].
2.4.2 공격그래프의 구성
공격 그래프 생성의 첫 번째 단계는 네트워크 구성요소의 연결성을 분석하는 ‘도달 가능성 분석’ 과정을 거친다. 대상 네트워크 토폴로지, 네트워크 호스트에서 실행되는 애플리케이션, 네트워크에 대한 액세스 제어 규칙 및 호스트 간의 신뢰 관계에 대한 정보를 전부 파악한 후 공격 그래프를 모델링 해야 한다. 네트워크의 구성 정보의 정확성과 완전성은 생성된 공격 그래프의 정확성에 직접적인 영향을 미친다. 네트워크의 정보를 모두 파악한 후 공격 그래프를 모델링 하기 때문에 그림 6과 같이 그래프에서 그려지는 각 노드(Node)와 선(Edge)들은 끊임없이 연결되어 있다.
(그림 6) 공격그래프의 구성 예시
(Figure 6) Attack Graph Example
2.5 스턱스넷(STUXNET) 공격
2.5.1 스턱스넷 공격 개요
이란 SCADA 파괴 및 무력화한 스턱스넷(STUXNET) 공격은 2007년부터 2012년 사이에 이뤄진 일련의 사이버 공격으로 이란의 나탄즈(Natanz) 핵시설에 위치한 원심분리기가 파손된 사건에서 비롯되었다. 스턱스넷은 국가 및 산업의 중요 기반시설의 공정을 감시 및 제어하는 SCADA(Supervisory Control And Data Acquisition) 시스템을 대상으로 한 극도록 정교하고 군사적 수준의 첫 사이버 무기로 지칭되는 웜(Worm)공격이다 [9,10]. 해당 공격은 공정설비와 연결된 프로그램이 가능한 논리 제어 장치(PLC; Programmable Logic Controller) 상의 코드에 대한 악의적 변경을 통해 제어권을 획득한다. 현재는 스턱스넷의 대부분의 코드는 공개된 상태며 그 작동 원리 및 기능 또한 공개된 상태이다.
2.5.2 스턱스넷 공격 원리
스턱스넷은 산업 기반시설의 물리적 부분을 통제하기 위해 주로 PLCs(Programmable Logic Controllers) 하드웨어를 사용한다. PLCs를 감염시켜 PLC 코드블록을 변조하고 변조 코드는 은닉시켜 Step7이 호출될 경우 감춰진 변조 코드 블록이 실행되도록 하였다. 이 때 신뢰할 만한 기업들의 인증서를 활용하여 자동감지시스템에서 노출되는 것을 방지하고 공극(Air GaP) 극복을 위해 이 동 저장 매체인 USB를 공격에 활용하였다. 또한 스턱스넷 제작자는 중요 시스템과 인프라에 대해 공극 전략을 활용하기 위해 악성코드 내에 네트워크 접속 없이도 시스템 간 전파에 활용할 수 있는 취약점을 포함하였다.
스턱스넷은 웜의 전파를 위해 ① 윈도우 쉘 LNK 취약점, ② 윈도우 서버 서비스 NetPathCanonicalize() 취약점, ③ 윈도우 프린터 스풀러 서비스 취약점, ④ 공유 네 트워크 서비스 취약점, ⑤ 지멘스 SIMANTIC WinCC 기본 패스워드 취약점, ⑥~⑧ 지멘스 SIMANTIC Step7 인젝션을 위한 세 가지의 공격 방식의 총 8가지의 방식을 사용한다. 그림 7은 스턱스넷 공격에 사용되는 웜의 버전 별 사용 가능한 취약점을 매핑하여 보여준다 [11].
(그림 7) 스턱스넷 버전별 취약점 목록
(Figure 7) List of vulnerabilities by Stuxnet version
3. 사이버 작전요소 분류 및 방책 평가 방안
본 절에서는 사이버 작전요소의 개념을 정의하고 사이버 작전의 방책이 되는 작전요소의 조합을 도출하기 위해 식별한 작전요소를 육하원칙(5W1H Method)에 기반하여 분류한 후 수립한 다양한 방책 중에서 공격자의 의도에 적합한 방책을 선정하기 위해 육하원칙 요소별로 정량적인 평가를 진행하여 방책 점수와 우선순위를 결정하는 방안을 제시한다. 그리고 식별된 표적을 분석하여 적합한 사이버 작전 요소들을 종합 및 추천하는 사이버 지휘통제 실시간 의사결정 지원체계(CCCRT-DMSS, Cyber Command Control Real Time-Decision Making Support System)를 제시한다.
3.1 사이버 작전요소 개념 및 정의
사이버작전은 사이버공간 상에서 군사적 목적을 달성하기 위해 사이버 관련 능력을 운용하는 작전이다. 사이버 작전의의 형태는 크게 방어적 사이버작전, 공세적 사이버 작전, 네트워크 작전으로 나뉘어지며 이에 필요한 인적, 물리적, 논리적 계층의 환경적 요소는 모두 작전요소로 활용된다[12]. 즉, 사이버 작전요소는 사이버작전 수행에 필요한 인적, 물리적, 논리적 계층에 존재하며 작전환경을 구성하는 모든 요소들로 정의할 수 있다.
3.2 사이버 작전요소 분류 방안
표적개발 과정에서 식별된 사이버 작전요소는 분류 과정을 거침으로써 사이버 작전요소에 대한 데이터관리 및 방책의 효과평가를 위한 시뮬레이션 접근에 용이해진다. 따라서 본 연구에서는 방책 수립 시 작전요소의 누락을 방지하고 신속하고 명확한 작전요소 조합의 구성을 위해 Who(누가), Where(어디에서), What(무엇을), How(어떻 게), When(언제), Why(왜)의 육하원칙(5W1H Method) 을 기준으로 사이버 작전요소를 분류한다.
Who(누가)에 해당하는 작전요소는 사이버공간상 페르소나 계층에 존재하는 개인, 팀, 그룹 등과 같은 사이버 작전을 수행할 수 있는 인적 요소로 분류된다.
Where(어디에서)에 해당하는 작전요소는 공격 목표가 되는 표적 자체와 공격 지점과 표적 사이의 노드들 즉, 단말기와 같은 네트워크상 물리적 위치정보를 포함하는 요소들로 정의된다.
What(무엇을)에 해당하는 작전요소는 표적(무엇을)과 작전요소의 무기나 지원해주는 요소들(무엇으로)로 구성되며, 공격자의 목표에 맞는 취약점이 매핑된 사이버 공 격체계나 사이버 공격 모듈 등의 사이버 무기 집합이 포함된다.
How(어떻게)에 해당하는 작전요소는 표적까지 접근 할 수 있는 다양한 경로들로, 해당 작전요소들 중 적의 취약점을 가장 잘 이용하면서, 가장 노출 위험이 적은 방법을 찾는 것이 중요하다.
When(언제)에 해당하는 작전요소는 사이버 작전을 수행하는 날짜 및 시간, 조건, 상황 등의 정보를 포함하는 요소들로 구성된다.
마지막으로 Why(왜)의 경우, 선정된 작전요소 조합이 사용되어야 하는 근거에 해당하며, 방책의 효과평가 (MOE) 점수로 결정된다. 여기서 MOE는 사이버 작전의 기준, 목표에 따라 동적으로 바뀔 수 있다.
육하원칙을 기반으로 분류된 사이버 작전요소들은 각 요소들이 가지는 고유특성, 차원요소, 연동요소를 작성하였으며 이는 방책의 기준에 따라 동적으로 변환될 수 있다. 먼저 작전요소의 고유특성(Attribute:field)은 작전요소가 갖는 속성들로 컬럼이 구성된다. 표 1은 작전요소 별 고유특성을 도출한 예시를 보여준다.
(표 1) 고유특성(Attribute:field) 정의
(Table 1) Attribute:field Definition
차원요소(Demansion:View)는 사이버공간의 계층, 전술수준, 6대 합동기능 등 6하원칙보다 상위의 관점(다차 원)에서 작전요소를 분석하고자 할 때 사용할 수 있다. 표 2는 각 차원요소별 정의되는 값들을 보여준다. 본 논문에서는 단순화를 위해 차원요소는 적용하지 않았다.
(표 2) 차원요소(Demansion:View) 정의
(Table 2) Demansion:View Definition
연동요소(Linkage)는 작전요소들 간 서로 연관되거나 취약점과 같은 작전요소 사이의 관계를 표현하기 위한 컬럼이다. 예를 들어 노트북, 서버, 워크스테이션과 같이 네트워크상, 노드들 간 연결성이 있을 경우 또는 각 노드와 노드들 간의 경로에 있는 취약점들 또한 연동요소로 포함될 수 있다.
최종적인 사이버 작전요소 분류 방안을 기준으로 만든 분류 테이블의 구성 예시는 그림 8과 같다.
(그림 8) 사이버 작전요소 분류 테이블 구성의 예
(Figure 8) Cyber Operational Elements Classification Table Sample
3.3 방책(COA) 점수 부여 및 평가 방안
3.3절의 분류 방안을 통해 분류된 작전요소들은 공격자의 요구에 맞게 육하원칙별로 추천 과정을 거쳐 하나의 사이버 작전요소 조합을 구성한다. 이렇게 만든 사이버 작전요소 조합을 토대로 사이버공격 방책을 수립할 수 있다. 하지만 공격자가 요망하는 효과가 동일하더라도 사이버 작전요소 조합과 방책은 다양하게 도출될 수 있다. 따라서 수립된 방책 중 사이버 작전의 공격 성공률, 효율성 등을 고려한 정량적인 방책 평가를 실시한 후 우선 순위를 선정하는 과정이 필요하다. 이는 육하원칙의 왜 (Why)에 해당하는 부분으로 방책 효과평가(MOE)를 통 해 지휘관 및 공격자가 목표에 근접한 최선의 방책을 추 천할 수 있다. 그림 9는 표적식별 과정부터 방책 효과평가까지의 수행절차 예시를 보여준다.
(그림 9) 방책(COA) 수립 및 평가 과정 예
(Figure 9) COA establishment and evaluation example
본 연구에서는 도출된 방책들을 정량적으로 평가하여 방책의 우선순위 및 최선의 방책을 도출하기 위한 방안을 보여준다. 각 요소에 대한 효과평가지표 및 점수부여 체계는 다음과 같다.
Who(누가)에 해당하는 작전요소의 평가를 위해 인적 요소들에 대한 공격효과 능력치(기만, 위조, 변조, 약화, 와해, 파괴), 직급에 따른 근무경력(요원급, 능숙급, 숙련급, 전문급, 팀장급 이상)에 대한 지표를 만들었다. 능력치 점수는 각각의 능력치에 대하여 동일하게 2점을 부여하였다. 근무경력 점수는 각 직급별로 직급이 올라감에 따라 2점씩 추가점수를 부여하였다. Who 작전요소에 대한 능력치 및 근무경력 효과평가지표는 표 3과 같다. 해 당 지표는 본 연구의 실험을 위하여 임의로 정한 지표로써, 작전요소의 특성, 성격에 따라 향후 좀 더 객관적인 지표개발이 필요하다.
(표 3) Who 작전요소 효과평가지표
(Table 3) Who : Operational Elements evaluation index
사이버작전에 참여하는 인력에 대하여 각 능력치 점수와 근무경력 점수를 합산하여 작전요소에 대한 점수를 부여한다. 최종 Who에 대한 점수는 참여 인력의 점수의 합으로 결정된다.
Where(어디에서)의 작전요소는 공격 루트에 포함되는 단말기들이 가지는 취약점(CVE)을 나열하고 각각의 취약점에 대한 CVSS 점수를 합산하여 작전요소에 대한 점수를 부여한다. 최종 Where에 대한 점수는 모든 작전요소의 CVSS 점수 합으로 결정된다.
What(무엇을)의 작전요소는 실제 사이버 작전의 무기나 모듈이 사용하는 취약점(CVE)의 CVSS 점수 합계로 작전요소에 대한 점수가 정해지며, 각 작전요소 점수의 합 연산을 통하여 최종적인 What 점수가 부여된다.
How(어떻게)의 작전요소는 표적까지의 도달하기 위한 경로상에 존재하는 취약점들의 점수로 환산한다. 방책에서 사용되는 경로(Path) 즉, 취약점의 CVSS점수와 해당 취약점이 선택된 횟수의 곱연산을 통하여 작전요소별 점수를 부여하고 최종적인 작전요소 점수들의 합계를 통하여 How 점수를 부여한다.
When(언제)의 작전요소는 사이버 작전의 수행 시간에 대한 요소로써 다음 표 4와 같은 기준에 따라 점수를 부여한다. 공격자의 입장에서 평일보다 휴일, 업무시간보다 업무 외 시간에 공격을 선호한다는 가정을 기반으로 하여 작성하였다. 해당 지표는 본 연구의 실험을 위하여 임의로 정한 지표로써 추후 조건, 또는 상황에 대해 분류하여 점수를 부여한다면 더 복잡한 When의 작전요소를 정량화할 수 있다.
(표 4) When 작전요소 평가 지표
(Table 4) When : Operational Elements evaluation index
최종 방책 점수는 5W1H 기준별로 도출된 점수의 합계를 통하여 도출한다. 하지만 단순 합연산만을 적용해 도출할 경우 방책에 포함되는 작전요소의 Scaling이나 개수에 따라 방책 순위가 높게 결정되는 오류가 발생될 수 있다. 이러한 문제를 해결하기 위하여 단순 합연산으 로 도출된 COA Score를 5W1H의 모든 작전 요소가 가질 수 있는 최대 방책 점수(COA Max Score) 값으로 나누어 정규화(Normalization)한다.
3.4 사이버 지휘통제 실시간 의사결정 지원 체계 (CCCRT-DMSS)
표적개발 과정에서 식별된 작전요소들을 3.2절에서 제안한 방법으로 분류하고, 분류된 작전요소들을 조합하여 방책을 수립한 후 3.4절의 평가방안에 따라 방책 점수 환산 및 우선순위 도출을 하는 일련의 과정을 하나의 체계로 구성한 것이 사이버 지휘통제 실시간 의사결정 지원 체계(CCCRT-DMSS)이다. CCCRT-DMSS는 2.2절에서 설명한 JMEM/JWS을 기반으로 구성한 체계이며 그림 10과 같이 표적개발, 작전요소 종합평가, 임무팀 지정, 임무분석의 4단계 절차로 구성된다. 표적개발 과정을 포함한다는 점에서 물리적 작전의 JMEM/JWS 프로세스와는 차이가 있다. 이는 물리적 공간의 표적에 비해 사이버공간의 표적은 작전요원 즉 사람이 직접 누락 없이 식별하는 것이 불가하여 프로그램화(자동화)할 필요가 있기 때문이다.
(그림 10) 사이버 지휘통제 실시간 의사결정 지원체계 (CCCRT-DMSS)
(Figure 10) Cyber Command&Control Real-Time Decision Making Support System (CCCRT-DMSS)
CCCRT-DMSS의 표적식별 단계는 중요지점, 취약점, 우선순위 등을 계산해 공격 목표가 되는 표적을 식별한다. 작전요소 종합평가에서는 식별된 표적의 유형에 맞게 사이버 작전의 화력 무기인 사이버 작전요소들을 추출한다. 이렇게 추출된 작전요소들은 표적에 대한 임무 수행에 직접, 간접적 영향력이 있어야 하며 이는 정량적으로 측정 가능한 요소로 구성된다. 임무팀지정 및 임무분석 단계에서는 작전요소 종합평가 과정에서 도출된 작전요소들을 기준으로 Who(누가), When(언제), Where(어디에서), What(무엇을), How(어떻게), Why(왜) 수행해야 하는지에 대한 정보를 포함하는 사이버 작전요소 조합이 만들어지며, 이는 곧 사이버작전 수행을 위한 하나의 방책이 된다.
4. 스턱스넷(STUXNET) 사례를 적용한 정량적 방책 평가
4.1 스턱스넷 사례기반 공격 그래프 분석
그림 11의 공격 그래프는 스턱스넷 사이버 공격이 일어날 수 있는 경우 중 일부가 모델링 되어 있는 공격 그래프의 하나의 예로서, 인적 자원 관련 모델을 사용하여 웜(Worm Virus)제작자로 시작하여 사이버 공격을 성공할 확률 또는 내부직원이 전시회에서 받은 USB 스틱을 꽂는 경우(Air-Gap 침투), 그에 따라 스턱스넷 내부 서버로 웜이 침투하여 최종적으로 표적인 산업공정을 타격할 수 있는 경우를 모델링 하고 있다. [13].
(그림 11) 스턱스넷 사례기반 공격그래프
(Figure 11) STUXNET case-based Attack graph
스턱스넷 사이버 공격은 Air-Gap을 극복하기 위해 USB 드라이브에 상당한 부분을 의지한다. 해당 USB 공격기술은 표적으로의 접근경로 및 통제 권한 등을 사이트의 네트워크로 가져오기 위ㅆ습해서만 사용되었을 것이다. 일반적으로 스턱스넷은 USB 플래시 드라이브 및 기타 이동식 미디어를 통해 사이트 간 천천히 은밀하게 전파한다. 그림 12의 그래프와 같이 웜 제작자가 조력자에게 USB를 전달하고 그 USB를 내부직원에게 전달하여 최종적으로 내부직원이 스턱스넷의 단말기에 USB를 삽입하여 autorun.inf가 활성화되며 USB안에 설치되어있는 웜을 스턱스넷 도입부에 침투시킬 수 있다.
(그림 12) 스턱스넷 사례기반 공격그래프 #1 (Air-Gap 극복)
(Figure 12) STUXNET case-based Attack graph #1 (Overcoming Air-Gap)
그림 13은 단말기부터 CAS서버까지의 공격그래프를 보여준다. 웜이 주입된 3개의 단말기(노트북, 직원 워크 스테이션, 외장 드라이브)에서 ECN 서버로 프린터 서버 취약점, 네트워크 공유, 서버 서비스 취약점, 쉘 LNK 취약점 등의 취약점을 활용하여 웜을 전송한다. 그 후 로그 관리자 워크스테이션 혹은 직접적으로 CAS 서버 (WinCC 중앙 보관 서버)로 WinCC Exploit 기술 등을 활용해 침투하거나 조력자가 CAS 서버에 원격 서버 취약점을 활용하여 직접 웜을 투입할 수 있다. 패치되지 않은 컴퓨터를 통해 웜을 전파하기 위해서 “Conficker” RPC 취약점 또한 사용되었다.
(그림 13) 스턱스넷 사례기반 공격그래프 #2 (단말기~CAS 서버)
(Figure 13) STUXNET case-based Attack graph #2 (Terminal device ~ CAS server)
그림 14는 CAS서버에서 표적이 되는 산업공정까지의 공격그래프를 보여준다. CAS 서버에서 웹 Nav(Navigation) 서버로 WinCC 취약점, 네트워크 공유 취약점, 프린터 서버 취약점, 서버 서비스 취약점을 활용하여 웜을 전달한 후 웹 Nav 서버에서 OS(Operator System) 서버, WinCC 서버, 개발 서버 중 하나로 웜을 전달한다. 웜을 전달받은 서버는 같은 Level에 있는 서버들에게 네트워크 공유를 통하여 웜을 서로 전파한다. 그 후, S7-417 Safety PLCs로 전달한 후 I/O modification을 통해 최종적으로 표적인 산업공정에 웜을 전달하여 공격한다.
(그림 14) 스턱스넷 사례기반 공격그래프 #3 (CAS 서버 ~ 산업공정)
(Figure 14) STUXNET case-based Attack graph #3 (CAS server ~ Industrial process)
4.2 스턱스넷(STUXNET) 사례기반 실험 데이터 구성
4.2.1 스턱스넷(STUXNET) 작전요소 식별 및 분류
스턱스넷 사례기반 공격그래프를 참조하여 사이버 공격을 위한 산업공정 시설의 네트워크 토폴로지를 만들었다. 그림 15에서 보여지는 바와 같이 Enterprise Control Network, Perimeter Network, Process Control Network, Control System Network으로 구성되며 Employ Workstation, Laptop, Printer Server와 같은 단말기는 여러 개의 노드가 존재할 수 있다는 가정하에 2~5개 정도로 구성하였다.
(그림 15) 스턱스넷 네트워크 토폴로지
(Figure 15) STUXNET Network Topology
스턱스넷 사례기반 공격 그래프와 네트워크 토폴로지를 기준으로 작전요소를 식별하고 OS, 버전정보, 어플리 케이션정보, 취약점 등 요소별 세부사항을 그림 16의 표와 같이 정리하였다. 식별된 스턱스넷 작전요소를 토대로 3절에서 제안한 육하원칙 기반 사이버 작전요소 분류 방 안을 적용하여 그림 17과 같이 스턱스넷 작전요소 분류 테이블을 만들었다.
(그림 16) 스턱스넷 작전요소 구성사항 일부
(Figure 16) STUXNET Operational Elements Configuration Example
(그림 17) 스턱스넷 작전요소 분류 테이블 일부
(Figure 17) STUXNET Operational Elements Classification Table Sample
4.2.2 스턱스넷(STUXNET) COES 및 COA 도출
4.2.1절에서 분류한 작전요소에 따라 스턱스넷 공격 시나리오의 방책 평가를 위해 사이버 작전요소 조합과 방 책을 구성하였다. 육하원칙(5W1H) 분류 기준에 따라 만들어진 작전요소들의 조합을 통하여 방책을 구성한다. 표 5는 하나의 작전요소 조합 예시를 보여준다.
(표 5) 스턱스넷 공격 작전요소 조합(COES) #1
(Table 5) STUXNET Attack Operational Elements Set #1
작전요소 조합(COES) #1을 토대로 그림 18과 같이 하나의 스턱스넷 공격 방책(COA) #1을 구성하였다. 방책 #1은 Worm 제작자로부터 시작하여 Target이 되는 산업공정을 윈도우 쉘 LNK 취약점, 공유 네트워크 서비스 및 윈도우 서버 서비스 NetPathCanonicalize() 취약점을 활용한 공격방식을 보여준다.
(그림 18) 스턱스넷 공격 방책 #1
(Figure 18) STUXNET Attack Course Of Action #1
다른 두 개의 방책 역시 방책 #1과 동일한 방법으로 평가에 사용될 작전요소 조합과 방책의 샘플을 도출하였다. 표 6 및 그림 19에서 보여주는 공격 방책 #2는 Worm 제 작자로부터 S7 프로젝트 파일이 포함된 Email을 전송하여 Step 7 인젝션 취약점, 공유 네트워크 서비스 취약점, 윈도우 쉘 LNK 취약점을 활용해 S7-315 PLCs를 이용해 산업공정 시스템을 공격하는 방법이다.
(표 6) 스턱스넷 공격 작전요소 조합(COES) #2
(Table 6) STUXNET Attack Operational Elements Set #2
(그림 19) 스턱스넷 공격 방책 #2
(Figure 19) STUXNET Attack Course Of Action #2
공격 방책 #3는 Worm 제작자로부터 Target이 되는 산업공정까지 Step7 인젝션 취약점, 윈도우 프린터 스풀러 서비스 취약점, 윈도우 서버 서비스 NetPathCanonicalize(), WinCC 기본 패스워드 취약점 등을 활용하여 공격하는 절차를 표 7 및 그림 20에서 보여준다.
(표 7) 스턱스넷 공격 작전요소 조합(COES) #3
(Table 7) STUXNET Attack Operational Elements Set #3
(그림 20) 스턱스넷 공격 방책 #3
(Figure 20) STUXNET Attack Course Of Action #3
4.3 실험 결과
3.3절의 정량적 방책 평가 및 우선순위 부여 방안을 4.2절에서 구성한 방책 시나리오를 토대로 방책 선정을 위한 평가를 진행하였다. 표 8은 방책 #1에 대한 정량적 평가를 마친 결과 데이터의 일부를 보여준다. 육하원칙의 Who, Where, What, How, When 에 대한 Score의 합 연산을 통해 얻어진 값인 300.7가 방책 #1의 COA Score가 되며 최종적인 방책 평가 점수는 COA Max Score를 통하여 정규화를 마친 결과인 0.74가 도출되었다.
(표 8) 방책 #1 정량적 평가 결과 데이터 일부
(Table 8) Part of COA #1 quantitative evaluation result data
방책 #1과 동일한 방법으로 방책 #2와 방책 #3 점수를 도출한 결과 각각 0.68점, 0.7점이 방책 점수로 산정되었다. 최종적으로 세 가지 방책의 우선순위는 방책 #1 > 방책 #3 > 방책 #2의 순서가 되며 세 가지 방책 중 최선의 방책은 방책 #1로 선정됨을 알 수 있다. 표 9는 세 가지 방책에 대한 평가 결과 및 우선순위를 보여준다.
(표 9) 스턱스넷 공격 방책 정량적 평가 결과
(Table 9) STUXNET COA quantitative evaluation results
5. 결론
본 연구의 목적은 사이버 작전의 무기추천과정에서 식별된 작전요소들을 분류하는 방안을 통해 방책을 수립하고 방책의 정량적 평가가 가능하다는 방향성을 제시하는 것이다. 이에 사이버작전 수행의 방책 수립을 위하여 물리적 작전과 관련된 자료 및 국내외 교범 조사하였고 이 조사결과를 통하여 물리적 작전과 사이버작전의 수행절 차를 비교하였다.
사이버작전 환경에서 방책을 수립하기 위해 사이버 작전요소를 식별, 추천, 조합하여 방책을 평가하기 위한 체계인 CCCRT-DMSS를 제시하였다.
본 연구에서는 작전요소 조합의 구성을 위해 육하원칙을 기준으로 작전요소를 분류하였으며, 이를 검증하기 위해 스턱스넷(STUXNET) 사례기반 공격그래프를 분석하여 몇 가지 작전요소를 식별하고 제안한 분류방안을 적용해 분류 테이블을 만들었다. 분류한 사이버 작전요소 들을 기반으로 사이버 작전요소 조합을 만들고 각 조합을 통하여 스턱스넷 공격 방책 샘플들을 수립하였다. 또 한 수립한 공격 방책 중 최적의 방책을 선정하기 위해 육하원칙별로 점수를 환산하고 합 연산과 정규화를 통해 방책 점수를 도출하였다. 마지막으로 도출된 방책 점수를 통하여 우선순위를 결정한 후 최적의 방책을 선정하였다
본 연구에서의 제시한 방책 평가는 각 육하원칙 요소별 단순 합 연산만을 하였고 원리적 성격의 가상 데이터로 도출한 결과로써 방책 간의 평가 점수 차이가 크지 않아 분별력이 약한 단점이 있다. 따라서 이에 대한 개선이 필요하며, 이는 육하원칙 요소별 가중치, 또는 이를 상회 하는 다차원의 가중치를 부여하는 방안 등을 추가로 연구함으로써 개선할 예정이다.
References
- K. Muhammer, et al. Cyber operation planning and operational design. Cyber-Security and Digital Forensics, 2016, pp. 21-29.
- U.S Army, Field Manual 3-12 Cyberspace and Electronic Warfare Operations, April 2017. https://irp.fas.org/doddir/army/fm3-12.pdf
- Joint Chiefs of Staff, Joint Publication 3-0 Joint Operation, pp. II-5, October 2018,. https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_0ch1.pdf
- Joint Chiefs of Staff, Joint Publication 5-0 Joint Planning, December, 2020. https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp5_0.pdf
- Joint Chiefs of Staff, "Joint Publication 3-60 Joint Targeting," June, 2020.
- G. Mark A., M. Horta. "Cyber joint munitions effectiveness manual (JMEM)," American Intelligence Journal, 31.1: 73-81, 2013. https://www.researchgate.net/publication/281543466_Cyber_joint_munitions_effectiveness_manual_JMEM
- D. Morris R. "Weaponeering: conventional weapon system effectiveness. Reston, VA: American Institute of Aeronautics and Astronautics", American, 2004.
- M. S. Barik, A. Sengupta, and C. Mazumdar, ''Attack graph generation and analysis techniques,'' Defence Sci. J., vol. 66, p. 559, Nov. 2016. https://core.ac.uk/download/pdf/333722844.pdf https://doi.org/10.14429/dsj.66.10795
- Symantec, "W32.Stuxnet Dossier version 1.3 시만텍 스턱스넷 상세 분석 보고서", Nov, 2010.
- IBM Security, "스턱스넷(Stuxnet) 상세 분석 보고서," 6 Dec, 2010.
- M. Geoff, et al. Stuxnet 0.5: The missing link. Symantec Report 26, 2013.
- Joint Chiefs of Staff, "Joint Publication 3-12 Cyberspace Operation", pp. II-3, June, 2018.
- E. Byres, A. Jinter, J. Langill. How Stuxnet spreads-A study of infection paths in best practice systems. Tofino Security, white paper, 2011.