[가트너 시큐리티 서밋 2025 참관기-12] 사이버 공격 억제 전략

위협 탐지 및 대응 체계 넘어서, 실제 공격자를 위협하고 단념 시킬 수 있다는 전략

#이 기고는 2025년 6월 9일~11일, 메릴랜드주 내셔널 하버 소재 Gaylord National Resort & Convention Center에서 개최된 ‘Gartner Security & Risk Management Summit 2025’에 참가한 파고네트웍스 권영목 대표와 임직원들이 보내온 참관기입니다. 가트너 서밋은 전 세계 CISO(최고정보보호책임자)와 보안 리더들을 대상으로 AI, 사이버 리스크, 회복력, 규제 준수 등 핵심 주제와 보안기술 트랜드에 집중한 최고 권위의 보안 행사입니다. 열두번째 참관기는 권영목 파고네트웍스 대표가 작성한 내용입니다.#

■사이버 공격 억제 (Cyber Deterrence) 전략

공격자가 시작조차 하기 전에, 공격 자체를 멈추게 하는 전략 즉, 사이버 공격 억제 (Cyber Deterrence) 전략 발표 내용은 상당히 흥미로운 세션이었습니다.

Will Candrick가트너 애널리스트는 사이버 방어 전략에 대한 새로운 접근 방식을 제시하였는데, 기존의 방어 및 탐지 조치를 여전히 수행하면서, 특별히 공격자가 공격하기 전에 그들의 행동을 바꾸거나 체념하도록 하는 방법론에 중점을 두고 세션 발표를 진행했습니다.

사실 공격자를 다시 공격하는 “해킹 백 (Hacking Back)” 과 같은 비실용적이고 불법적인 방법은 배제하였고, 그 대신 공격자들이 왜 공격을 하는 지와 관련된 핵심 동기를 살펴보고, 그 동기 자체를 약화시키거나 무력화시킬 수 있는 방법이 있고, 이로 인해서 공격자가 공격 자체를 수행하지 않도록 유도한다면, 이 자체가 엔터프라이즈 기업 또는 기관이 현실적으로 활용할 수 있는 또 다른 개념의 방어 개념이 아닌가라고 역설했습니다. 이런 개념을 “공격자가 시작조차 하기 전에, 공격 자체를 멈추게 하는 전략 즉, 사이버 공격 억제 (Cyber Deterrence) 전략” 이라고 합니다.

사이버 공격 억제 (Cyber Deterrence) 전략을 좀 더 쉽게 풀어보면, 공격자가 얻을 수 있는 이익 또는 수입원의 원천 근거를 방해하고, 그들이 사용하는 공격 기술을 공개적으로 노출시키고, 법적인 제제를 강화한다고 발표하고, 공격자들의 공격 비용이 계속 증가할 수밖에 없는 방법론을 사용한다면, 공격자들의 공격 행위 자체가 둔화되거나 멈추어질 수 있다는 것입니다.

즉, 사이버 억제 (cyber deterrence)는 공격자가 목표를 달성할 수 없다는 의구심을 심어주거나 결과에 대한 두려움을 느끼게 함으로써 조직을 공격의 표적으로 삼는 것을 단념시키는 사이버 방어 전략으로 정의됩니다

■사이버 공격 억제 (Cyber Deterrence) 일반적인 오해

•사이버 공격 억제 (Cyber Deterrence)는 “해킹 백 (Hacking Back)”의 의미가 아닙니다.

많은 사람들이 억제를 “해킹 백 (Hacking Back)” 이라고 생각할 수도 있지만, 실제로는 공격자를 단념시키는 다양한 전술을 포함합니다. “해킹 백 (Hacking Back)” 은 대부분의 조직에 현실적이지 않고, 공격자로 하여금 적대감을 유발할 수 있으며, 정확한 공격자 식별이 필요하기 때문에 비실용적입니다. 즉 “해킹 백 (Hacking Back)” 은 불법적인 요소를 포함할 수 있기 때문에, 이러한 행위에 의존하지 않고도 공격자의 활동을 억제하는 여려 전략을 포괄해야 합니다

•“능동적인 사전 예방(Proactive / Prevention) 이 사이버 공격 억제 (Cyber Deterrence)를 의미하는 것이 아닙니다.

사이버 보안에서 많이 사용되는 Proactive (능동적인) / Prevention (예방)의 의미는 이미 공격해 들어오고 있는 위협에 대한 능동적인 보호 및 능동적인 탐지 개선을 의미하는 경우가 많습니다. 즉, 공격 발생 전에 공격 자체를 억제하는 것을 의미하지는 않습니다. 대신 오늘 우리가 논의하는 또다른 사이버보안 프로그램이 공격 자체를 억제하는 방법론이 될 수 있음을 의미합니다.

•공격자는 무조건 끈질기고, 끊임없이 공격을 수행할 것이라는 전제조건은 틀렸습니다.

공격자는 무조건 끈질기다는 생각이 있지만, 사이버 범죄자 및 공격자도 결국은 사람이며 그들이 목표한 이익에 기반을 두고, 인센티브에 반응하며, 공격의 목표를 가장 빠르고 낮은 비용으로, 쉽게 달성하려는 특징이 있습니다. 즉, 사이버 범죄자 또는 공격자 본인들에게 부정적인 측면이 강한 요소가 많이 있다면, 결과적으로 공격은 수행되지 않을 확률이 상당히 높다는 부분을 인식해야만 합니다.

■사이버 보안의 범위를 확대시키는, 사이버 공격 억제(Cyber Deterrence)

사이버 공격 억제(Cyber Deterrence) 전략은 기존 체계적으로 진행해 오던 사이버 보안의 범위를 확대시켜 줍니다. 즉, 공격이 시작되기 전에 공격자의 행동을 변화시키는 역할을 합니다. 이는 보호(Protection), 탐지(Detection), 대응(Response), 복구(Recover)와 같은 기존의 사이버 보안 조치가 발동되기 전에 공격 자체를 수행하지 못하게 하도록 중점을 둡니다.

즉, 기존의 사이버 보안 프레임워크를 보완하는 역할을 해주는 것입니다. 기존 보안 프레임워크는 거버넌스, 식별, 보호, 탐지, 대응, 복구 부문을 주로 다루지만 사이버 공격 억제 자체를 포함하지 않는 경향이 대부분입니다. 사이버 공격 억제(Cyber Deterrence)는 기존 보안 프레임워크를 대체하려는 것이 아니라, 추가적으로 보완하는 기능의 역할을 수행하는 것이 목적입니다. 대부분의 기업 또는 기관에서 일반적인 사이버 보안 체계를 수립할 때 쉽게 접근하지 못했던 영역이지만, 그 개념 자체를 이해하고 나면 추가적인 보안 체계를 수립하도록 도와주는 실질적인 방법론으로 작동할 수 있습니다.

■가트너 PARC Framework–공격자의 핵심 동기

공격자도 사람으로서 대부분 합리적인 행위자이며, 그들에게 유리한 인센티브에 반응하기 때문에 가트너는 공격자의 목표와 공격 동기를 분석해서 공격을 억제하기 위해 사용할 수 있는 새로운 지표를 발표하였고, 이를 바탕으로 PARC 프레임웍을 소개하였고, 4가지 공격자 동기가 핵심 지표로 사용되고 있습니다. 즉, 이 지표를 이해하고 공격자의 동기를 약화시킬 수 있다면, 사이버 공격 억제 (Cyber Deterrence) 조치를 통해서 공격자가 최종 공격 행동을 바꾸도록 유도할 수 있다는 개념입니다.

▲공격자의 목적은 기업, 기관, 국가에 따라서 아래와 같이 나타납니다

-간첩 활동 (국가 정보 수집, 국방 기술 탈취)

-교란 활동 (시스템의 정상적인 기능 마비)

-사이버 전쟁 (국가 또는 특정 기관 사이의 사이버 공격 또는 정보 교란)

-데이터 유출 (국가, 기업, 기관의 중요 데이터 유출)

-호기심에 의한 해킹 (보안취약점 탐색 등의 행위에서, 현재는 사이버 공격의 의미로 확대)

-핵티비즘 (정치적, 사회적 동기로 인한 해킹 또는 침해 활동)

-갈취 (시스템 침입 후, 특정 행동 강요. 데이터 암호화 및 금전 요구 등)

-커뮤니티 동료 인식 (해킹 기술 인정 받고자 하는 잘못된 욕구)

-정치적 목적 (특정 정치 개입 및 정당을 위한 사이버 공격)

-복수 활동 (경쟁적인 이권 다툼, 해킹 백 등의 활동)

-언론 인지 활동 (공격자의 명성을 알리고, 자기 만족을 위한 행동)

-선거 개입 (선거 방해, 잘못된 정보 공유 및 조작, 부정 캠페인 등)

▲가트너 PARC Framework

가트너 PARC Framework는 공격자의 목적 달성을 위한 핵심 4가지 동기를 나타냅니다. 즉 공격자는 이 4가지 동기를 기반으로 긍정적 또는 부정적 결과에 따라서 반응하며, 공격자를 부정적으로 이끌 수 있다면 사이버 공격 행위를 하지 않을 것이라는 의미이고, 사이버 공격 억제 (Cyber Deterrence) 전략을 설계하는데 도움이 되는 프레임워크입니다. 즉, 공격자의 핵심 4가지 동기를 이해하는 것이 중요합니다.

-P (Profit) – 공격자는 가장 낮은 위험으로 재정적 이득을 극대화하고자 합니다

-A (Anonymity) – 공격자는 낮은 프로필을 유지하고 조사를 피하고자 합니다

-R (Repercussions) – 공격자는 공격 이후 존재가 발각되었을 때, 법적으로 또는 사이버 / 물리적 결과로부터 책임을 회피하려고 하며, 개인 차원 /그룹 차원 / 국가 차원에서 공격자 당사자인 자신들의 안전을 유지하고자 하는 성향이 강합니다

-C (Costs) – 공격자는 최저 비용으로 효율성을 추구하며 목적을 달성하려고 합니다

■사이버 공격 억제 (Cyber Deterrence) – 실행 1단계

공격자의 핵심 4가지 동기별로, 공격 억제 전술 개발

이제 사이버 공격 억제를 위한 실행 1단계를 살펴보겠습니다. 먼저 공격자의 핵심 4가지 동기별로, 공격자들이 부정적인 결론에 도달하도록 유도하기 위한 “억제 전술 개발”을 수행해야 합니다. 이 전술은 PARK 프레임워크를 기반으로 하며, 공격자가 수익을 창출하는 방식을 방해하고, 공격자와 그들의 기술을 노출하며, 공격자에게 공격 결과에 따른 책임을 강력하게 통지하거나, 공격자에게 직접 및 간접적인 비용을 부과하는 데 중점을 둡니다.

아래와 같이 핵심 4가지 동기별, 수행해야 할 억제 전술 샘플을 고려할 수 있습니다.

▲P (Profit) 동기에 대한, 억제 전술 (공격자의 수익 창출 방해)

-버그바운티 프로그램 구현 (화이트 해커들과 협업 체제 마련)

-랜섬웨어 지불 금지 정책 수립

-데이터 가치를 떨어뜨리기 위한 기만 기술 및 가짜 정보 활용

▲A (Anonymity) 동기에 대한, 억제 전술 (공격자의 익명성 해제)

-공격자 식별이 될 경우, 공개적으로 공격자 정보를 명시하고 비난하기

-공격자의 고유한 기술 및 식별자 노출

▲R (Repercussions) 동기에 대한, 억제 전술 (공격자에게 강력한 책임 부과)

-위협 인텔리전스 즉각 공개 (제로데이 포함)

-법 집행 기관과 협력하여, 공격자 식별 및 기소 등의 협력

-정부 기관과 협력하여, 공격자에 대한 직접적인 대응 조치 (해킹 백 / Hacking Back)

▲C (Costs) 동기에 대한, 억제 전술 (공격자에게 직접 또는 간접 비용 부과)

-허니팟, 디셉션 기술을 이용하여, 공격자를 지연시키고 목적에 달성하지 못하도록 좌절시키기

-기업이나 기관의 공격 자체를 포기하게 만들기

-보안 기업 또는 정부 기관과 협력하여, 공격자 인프라 테이크 다운시키기

-법 집행 기관과 협력하여, 랜섬웨어 지불금 회수

■사이버 공격 억제 (Cyber Deterrence) – 실행 2단계

억제에 가장 취약한 공격자 식별

기업 또는 기관을 공격하는 모든 유형의 공격자를 억제하는 것은 결코 쉬운 일이 아닙니다. 즉, 모든 공격자가 동등하게 억제될 수 있는 것은 아니며, 모든 억제 전술이 모든 공격자들에게 동등하면서 효과적으로 적용되지 않는다는 것을 의미합니다.

이를 위해 주요 위협 행위자를 나열하고 다음 세 가지 질문을 통해 각 행위자를 이해해야 합니다

▲이 위협 행위자를 이끄는 목표는 무엇인가?

▲그들이 추구하는 결과는 무엇인가?

▲그들이 다른 곳에서 목표를 달성할 수 있는가?

그리고, 질문에 대한 이해를 바탕으로 기업 또는 기관에서 억제할 수 있는 공격자를 식별해야 합니다.

■사이버 공격 억제 (Cyber Deterrence) – 실행 3단계

억제 전술을 특정 위협 시나리오와 일치시키기

억제 전술은 현실적인 위협 시나리오를 완화할 때만 효과적입니다. 각 기업 및 기관에 따라서 각 위협 시나리오에 따라서, 공격자 동기, 실행 가능한 억제 전술, 실행 계획 등을 미리 작성해 놓고 매뉴얼화 시켜 놓는 것을 권고합니다.

▲랜섬웨어 공격 - 신속하고 쉬운 랜섬웨어 지불을 목표로 하며, 랜섬웨어 지불 금지 정책 채택 및 정책 공표로 억제 가능

▲제로데이 익스플로잇을 사용하는 국가기반PII 공격 - 전략적 정보를 훔치는 것을 목표로 하며, 공격자가 사용한 기술을 신속하게 공개하여 익스플로잇 유효성을 낮게 만듦

▲블랙 마켓에 판매할 IP 데이터를 찾는 사이버 범죄자 - 훔친 데이터로 수익을 창출하는 것을 목표로 하며, 가짜 데이터가 있는 허니팟을 배치하여 공격자를 가짜 환경에 가두어 빠른 탐지를 수행하고, 공격자의 공격 기술을 공개함으로써 억제 가능

■사이버 공격 억제 (Cyber Deterrence) – 실행 4 단계

공격자들이 알 수 있도록, 기업 기관의 사이버 공격 억제 수단 홍보.

공격자의 사기를 저하시키기 위해 억제 프로그램을 홍보하는 것이 마지막 실행 단계입니다. 하지만 공격자를 적대시하거나, 도전하거나, 다른 방식으로 부추겨서는 절대 안 됩니다.

사이버 공격 억제는 공격이 시작되기 전에 공격자가 억제 조치가 실행되고 있다는 것을 알 때만 그들의 행동을 변화시키기 때문입니다. 이는 매우 미묘하게 균형 잡힌 방법론을 사용해야 합니다. 신중하게 선별된 메시지를 사용해서 아래와 같이 공개할 수 있습니다

▲홈페이지 또는 기업 연례 보안 보고서에 사이버 보안 정책 및 대응 절차 공개

▲공신력 있는 보안 인증(ISO / IEC 27001 / SOC 2 등) 획득 및 보안 수준 명확히 전달

▲위협에 대한 즉각적인 대응기록 발표 (예 – 지난 공격 시 공격자 법적 조치 완료)

▲PR 발표 보도 자료 활용

▲Cyber Security 정책 공개

▲심지어 해커 포럼과 같은 적절한 통신 채널을 통해 억제 내용을 전달

기업 및 기관의 억제 수단 홍보의 목표는 공격자가 조직을 표적으로 삼으면 목표를 달성할 수 없을 것이라는 의구심이나 결과에 대한 두려움을 심어주어, 공격 자체를 단념하도록 하는 것입니다.

일반 기업의 사이버시큐리티 전략에 “사이버 공격 억제(Cyber Deterrence)” 개념을 접목한다는 것이 결코 쉬운 과정은 아닙니다. 공격자가 기업을 공격하지 않도록 심리적, 기술적, 법적 장벽을 만들어 공격 의지를 꺾는 전략을 포함한다는 의미이기 때문입니다.

왜 이렇게 어려운 개념을 기업 또는 기관에 적용하려는 시도를 해야 하는 것일까요?

기업 및 기관이 사이버 공격 억제(Cyber Deterrence)를 적용한다는 것은 현재 꾸준히 투자하고 있는 위협 탐지 및 대응 체계를 넘어서, 실제 공격자를 위협하고 단념 시킬 수 있다는 전략입니다. 이는 기업 및 기관의 보안 성숙도를 높이는 것 뿐만 아니라, 공격자들에게 보안 메세지를 명확히 전달하고, 공격에 대한 사전 대응력을 통해서 기업의 리스크를 줄이고, 공격자들의 공격 시도 자체를 줄여 나갈 수 있는 사이버 방어의 진화된 접근법입니다.