사이버 공격과 Jus in Bello

장신(CHANG Shin) 대한국제법학회 2015 國際法學會論叢 Vol.60 No.4

사이버 공격이란 무엇인가? 유감스럽게도 아직까지는 광의의 사이버 공격행위 중 극히 일부분만이 국제법과 국내법으로 규제되고 있다. 즉 사이버공격에 대응해야 한다는 당면과제를 해결하기 위한 국제사회의 조치와 행동이 매우 절실하고 또한 시급하다고 생각한다. 전쟁법의 맥락에서 사이버공격을 살펴보면, 대상이 되는 사이버공격이 ‘무력 공격’(armed attack)의 수준에 상당하는 공격행위가 되거나 또는 이미 진행 중인 무력충돌의 상태에서 일어나는 사이버 공격에 대하여만 그 적용을 논할 수 있을 것이다. 반면에 쉽게 판별될 수 있는 것은 아니지만, 무력공격의 수준에 이르지 않거나 또는 무력충돌과정에서 발생하지 않는 사이버 공격으로서 그 위법성이 확인된 경우에는 국제법상 위법성 조각사유인 대응조치(대항조치)의 행사를 고려할 수 있어야 할 것이다. 미국의 전문가는 “다른 국가에게 피해를 주거나 혼란을 야기할 목적으로 그 국가의 컴퓨터 또는 네트워크에 침투하여 그것을 불능화하거나 파괴하려는 고의적인 시도”라고 본다. 그에 반하여 상해협력기구는 “한 국가의 민간과 군사적 영역에서 그 안보와 안전성을 담보할 수 없는 정보와 통신기술과 수단을 사용하고자 하는 위협”이라고 본다. 이러한 견해에 대하여 사이버 공격을 그 ‘대상’이나 ‘수단’에 기초하여 정의함으로써 그 범위가 넓어지는 것을 지양하고자, 그 정의를 보다 축소하여 사이버 기술을 통한 위협이라는 ‘효과’(effects)에 집중하고자 한다. 즉, 사이버 공격이란 “정치적 목적 또는 국가 안보를 위해 존재하는 컴퓨터 네트워크의 기능을 저해하는 일체의 행동”이라고 정의하는 것이다. 그리고 마지막으로 무력충돌 과정에서 일어나는 사이버 공격에 대하여 jus in bello에서의 군사적 필요성, 비례성, 구별성, 중립성 원칙의 적용에 어떠한 문제가 있는지를 살펴보았다. What is the cyber attacks? Unfortunately it could be possible to address the new and serious threats posed by the cyber attacks under current international and domestic law, so a new and comprehensive legal framework at both levels is needed to more effectively apply cyber attacks. First this article offers a precise definition of cyber attacks, and then go to the three categories of cyber activities that fall within the definition, such as cyber attacks, cyber crimes, cyber warfares. U.S experts defines cyber war as “actions by a nation-state to penetrate another nation’s computers or networks for the purposes of causing damage or disruption.” and “deliberate attempt to disable or destroy another country’s computer networks.” On the contrary the Shanghai Cooperation Organization, a security cooperation group composed of China, Russia etc., has adopted a more expansive means-based approach to cyber attacks, like that ‘threats posed by possible use of new information and communication technologies and means for the purpose in compatible with ensuring international security and stability in both civil and military spheres’. Recommended definition in this article is “a cyber attacks consists of any action taken to undermine the functions of a computer network for a political or national security purpose.” It focuses to the ‘objective’ of the cyber attacks. In the last, this article examines the relationship between the cyber attacks and the principles of jus in bello, such as military necessity, proportionality, distinction, neutrality.

사이버 킬체인 기반 사이버 지휘통제체계 방어 및 공격 모델 연구

이정식 ( Jung-sik Lee ),조성영 ( Sung-young Cho ),오행록 ( Heang-rok Oh ),한명묵 ( Myung-mook Han ) 한국인터넷정보학회 2021 인터넷정보학회논문지 Vol.22 No.1

사이버 킬체인 (Cyber Kill Chain)은 기존의 군사적 용어인 킬체인 (Kill Chain)에서 유래한다. 킬체인은 “파괴를 요구하는 군사 표적을 탐지하는 것에서 파괴하는 것까지의 연속적이고 순환적인 처리 과정 또는 그것을 몇 개의 구분된 행위로 나눈 것”을 의미한다. 킬체인은 핵무기나 미사일과 같이 위치가 변화하고 위험성이 커서 즉각적인 대응을 요구하는 시한성 긴급 표적을 효과적으로 다루기 위해 기존의 작전절차를 발전시켰으며, 방어자가 파괴를 필요로 하는 핵무기나 미사일이 타격점에 도달하기까지의 여러 과정 중 한 단계라도 제 기능을 발휘하지 못하게 하여 공격자가 의도한 목적을 달성하지 못하도록 무력화하는 군사적 개념에서 시작되었다고 볼 수 있다. 이러한 사이버 킬체인의 기본 개념은 사이버 공격자가 수행하는 공격은 각 단계로 구성되어 있으며, 사이버 공격자는 각 단계가 성공적으로 수행되어야 공격 목표를 달성할 수 있으며, 이를 방어 관점에서 보았을 때 각 단계에서 세부적으로 대응 절차를 마련하여 대응하면 공격의 체인 (chain)이 끊어지므로 공격자의 공격을 무력화하거나 지연시킬 수 있다고 본다. 또한 공격 관점에서 보았을 때 각 단계에서 구체적인 대응 절차를 마련하면 공격의 체인이 성공하여 공격대상을 무력화시킬수 있다. 사이버 지휘통제체계는 방어와 공격에 모두 적용되는 체계로 방어시 적의 킬체인을 무력화하기 위한 방어 대응 방안을 제시하여야 하며 공격시에는 적을 무력화하기 위한 각 단계별 구체적인 절차를 제시하여야 한다. 따라서 본 논문은 사이버 지휘통제체계의 방어 및 공격 관점의 사이버 킬체인 모델을 제안하였으며, 또한 방어 측면의 사이버 지휘통제제계의 위협 분류/분석/예측 프레임워크를 제시하였다. Cyber Kill Chain is derived from Kill chain of traditional military terms. Kill chain means "a continuous and cyclical process from detection to destruction of military targets requiring destruction, or dividing it into several distinct actions." The kill chain has evolved the existing operational procedures to effectively deal with time-limited emergency targets that require immediate response due to changes in location and increased risk, such as nuclear weapons and missiles. It began with the military concept of incapacitating the attacker's intended purpose by preventing it from functioning at any one stage of the process of reaching it. Thus the basic concept of the cyber kill chain is that the attack performed by a cyber attacker consists of each stage, and the cyber attacker can achieve the attack goal only when each stage is successfully performed, and from a defense point of view, each stage is detailed. It is believed that if a response procedure is prepared and responded, the chain of attacks is broken, and the attack of the attacker can be neutralized or delayed. Also, from the point of view of an attack, if a specific response procedure is prepared at each stage, the chain of attacks can be successful and the target of the attack can be neutralized. The cyber command and control system is a system that is applied to both defense and attack, and should present defensive countermeasures and offensive countermeasures to neutralize the enemy's kill chain during defense, and each step-by-step procedure to neutralize the enemy when attacking. Therefore, thist paper proposed a cyber kill chain model from the perspective of defense and attack of the cyber command and control system, and also researched and presented the threat classification/analysis/prediction framework of the cyber command and control system from the defense aspect.

사이버공격 억지를 위한 적극적 방어개념의 국제법적 적법성

백상미(BAEK Sangme) 대한국제법학회 2018 國際法學會論叢 Vol.63 No.2

국가들이 사이버공격의 위험성을 인지한 이래 사이버공격의 국제법적 규율을 위한 국가들의 논의는 현재까지 활발하게 진행되고 있다. 이는 사이버공간에서 이루어지는 사이버공격이 물리적 공간에서의 활동과는 구별되는 특징을 가지고 있기 때문이다. 그러나 현재 국가들의 논의는 사이버공간의 특성을 반영하기보다는 사이버공간의 규율을 위해 새로운 체제 마련이 필요한지 현행 국제법을 그대로 적용할 수 있는지 여부에 집중되어 있다. 사이버공격은 대부분 공격자가 목표대상을 직접 공격하지 않고, 사전에 마련된 공격거점을 거쳐 공격을 실행하는 특성을 가지고 있다. 따라서 사이버공격의 경우 실제 공격자를 밝히는 귀속의 입증이 더욱 어렵고, 입증을 하는데에도 적지 않은 시간이 소요된다. 때문에 공격을 즉각적으로 억지하기 위해서는 귀속의 입증보다는 공격거점에 대한 조치가 우선적으로 필요하다. 현재 발생하고 있는 공격의 흐름을 차단시키거나 공격의 거점이 되는 서버 또는 시스템을 직접 셧다운시키는 등의 사이버공간상의 조치를 의미하는 적극적 방어는 바로 이러한 사이버공격의 특성을 반영하여 마련된 대응전략이다. 문제는 적극적 방어조치 시 그 대상이 되는 공격거점이 실제 공격자와는 관련이 없는 곳에 위치할 가능성이 높다는 점이다. 즉, 공격과는 진정한 관련성이 없는 제3국의 기반시설이나 민간 시스템이 공격거점인 경우가 대부분이기 때문에 조치의 강도 및 결과에 따라 국제법 위반의 문제가 발생할 수 있는 것이다. 특히 적극적 방어는 사전적 조치의 개념을 포함하고 있다. 따라서 위협이 목표시스템 내부에 접근하지 않고 외부 네트워크에서 탐지된 단계에서도 타국에 위치한 공격거점을 제어하거나 무력화시키는 조치를 취하게 되는 것이다. 이는 시기상 국제법이 허용하는 것보다 훨씬 앞선 시점에서 이루어지는 조치이며, 조치 그 자체로 대상 시스템에 손상을 초래할 수 있다는 점에서 국제법 위반의 문제가 발생할 수 있다. 적극적 방어조치가 사이버공격의 억지를 위한 현실적 필요성에도 불구하고 엄격한 기준을 바탕으로 국제법에 의해 규율되어야 하는 이유가 여기에 있다. 그러나 적극적 방어개념은 국가들이 국내적으로 마련하고 있는 안보전략 차원에서 언급되고 있을 뿐, 국제법 차원에서는 논의된 바가 없다. 이에 본 논문에서는 적극적 방어개념이 현행 국제법체제 내에서 허용될 수 있는지에 대해서 검토하였다. 이를 위해서 적극적 방어조치 시 그 시기 및 대상과 관련하여 발생할 수 있는 위법성의 문제가 자위권, 대응조치, 긴급피난과 같은 국제법상의 위법성 조각사유에 의해 정당화될 수 있는지에 중점을 두고 분석하였다. Since nation states perceived that cyber attacks could severely affect national security, they have discussed how to deal with the issue in international law. It is because there are differences between cyberspace and physical space. However, the focus of the discussion has been on whether the current international legal frameworks are sufficient for regulating cyber attacks or whether there is a need to adopt a new regime. Cyberspace transcends constraints of geography and physical location, and it guarantees anonymity. These are general features of cyberspace. In addition to these features, there is an essential characteristic of cyber attacks that has to be considered in order to draw up adequate response measures on the international law dimensions. It is the unique relationship between the attacker, a means of attack and the target. When the attacker plans to launch a cyber attack, the hacker normally creates attack points beforehand. Moreover, since the attacker can build several attack points in multiple places so that the attack can take various stages, it is extremely difficult to find the attacker in real time. Therefore, in order to deter cyber attacks in real time, what needs to be done is taking actions on the attack point rather than tackling the attribution matter. Active cyber defense is the strategy focuses on proactive threat detection and taking action on attack points in real time not on the attribution. What makes these measures significant is that the attack points targeted by the active defense measures are normally located in the place that has nothing to do with the attacker. It is particularly problematic when the attack points-botnets or C&C server-consist of critical infrastructure of a third party which has no relevance to the attacker. Furthermore, active defense measures can take place before the threat reaches the attack stage. These are the reasons why the legality of active defense measures should be re-examined in international law. The study especially analyses whether active defense measures can be legitimatized as circumstances precluding wrongfulness under international law: Self-defence, countermeasure and necessity. The study finds that current international law can not embrace all the measures of active defense.

북한의 대남 사이버공격에 대한 국제법적 검토와 이에 대한 한국의 대응전략

백상미(Sangme BAEK) 서울국제법연구원 2020 서울국제법연구 Vol.27 No.2

북한의 대남 사이버공격은 2009년 7월, 이른바 7 7 디도스 공격사태부터 시작해 2016년 국방망 해킹을 거쳐 최근의 국내 암호화폐 거래소 해킹까지 계속해서 이어지고 있다. 더욱이 북한은 기밀정보를 수집하고 데이터 및 시스템을 파괴하기 위해 명령제어 서버를 운용, 해당 악성코드를 정밀하게 제어하는 기법을 사용하는 등 그 공격 기법이 점점 정교해지고 있고, 이러한 공격 수준의 진화에 따라 피해의 수준과 범위도 확대되고 있어 주목을 요한다. 이에 따라 우리 정부는 북한의 고강도 사이버 공격에 대비해 실효적인 방어체계와 대응전략을 마련해야 한다. 북한의 사이버공격에 대해 우리 정부가 취할 수 있는 국제법상의 조치로는 자위권 발동, 대응조치, 개별적 제재, 보복(retorsion), 집단적 제재가 있다. 그러나 현재까지 무력공격에 해당하는 사이버공격이 무엇을 의미하는지, 무력사용금지원칙, 국내문제불간섭원칙 등의 국제법 원칙을 위반하는 사이버공격을 판단하는 기준이 불분명한 점과 사이버공간의 특성으로 인해 초래되는 문제점을 고려하면 실제 이들 개념을 적용해 대응을 하는 데는 어려움이 따를 것으로 보인다. 이외에 북한발 사이버공격에 대응할 수 있는 방법으로 공격 거점에 대해 실시간으로 조치를 취하는 적극적 방어조치를 들 수 있다. 이러한 방어조치는 사이버공격에 대한 직접적 억지라는 측면에서 실효적인 대응책이라고 할 수 있으나, 조치의 시기와 강도, 그리고 제3국 피해 가능성으로 인해 위법성 문제가 발생할 수 있다. 사이버공격에 대한 대응과 관련해 국제법 체계가 확립되어 있지 않기 때문에, 앞서 살펴본 조치들을 대응전략으로 실행하기 위해서는 우리 정부의 대내외적 노력이 필요하다. 대외적으로는 공격 거점이 위치한 제3국에의 적극적 방어조치 실행과 집단적 제재조치 부과를 위해 국제공조 강화에 힘쓰고, 대내적으로는 국내법제정비를 통해 타국발 사이버공격에 대한 조치의 법적 근거를 명확히 해야 한다. North Korea’s Cyberattack against South Korea was initiated since July 2009 with so called 7.7 DDos(Distribute Denial of Service) attack, followed by 2016 defense network hacking and continued to recent domestic cryptocurrency exchanges hacking. Furthermore, North Korea’s attack scheme such as collecting confidential data, operating Command & Control Server to destroy the data and system and employing controlling technique to relevant malware precisely has become sophisticated. Concerning that as this level of attacks evolves, the damage level and scope is extended from the financial institution, press to defense system, critical infrastructure, it needs attention. Considering this, Korean government should arrange the practical defense system and countermeasure strategy against North Korea’s high-level cyberattack. In responding North Korea’s cyberattack, the measures which Korean government can take within the international law are invocation of self-defense power, countermeasure, unilateral sanctions, retorsion, collective sanctions. However, regarding both that there is no consensus yet on what cyberattack corresponding to the armed attack means and what the criteria determining the cyberattack which violates the international law principle such as The Principle of Non-Use of Force, Principle of Non-intervention is and that the challenges deriving from the cyberspace characteristics, actually it seems to be difficult for applying these concepts to respond. Besides, active defense measure which is taking steps in real-time against the attack point can be the countermeasure to the cyberattack from North Korea. Proactive defense measures can be considered as effective in that detected cyberattack is contained directly, but, there may be illegality issues in terms of timing and intensity of the measures and in the sense that the relevant measures can do harm a third country where the attack point is located. Like this, as international law system regarding the cyberattack has not established yet, Korean government’s external and internal effort is required to implement above mentioned actions as the response measures. Accordingly, that Korean government externally needs to practice aggressive defense measures towards a third country where the attack point is positioned and to put forth exertions to the international cooperation for imposing collective sanctions, while internally needs to clarify the legal basis through domestic law arrangement for the countermeasures against the foreign countries’ cyberattack was suggested as a conclusion.

2018년 평창 동계올림픽과 사이버공격 - ‘2018 평창 동계올림픽 사이버안전본부’설치를 위한 개념적, 규범적 접근 -

최은하 원광대학교 경찰학연구소 2016 경찰학논총 Vol.11 No.1

일반적으로 ‘사이버공격’의 개념이 반드시 명확한 것은 아니나 그 보호대상 즉 평창올림픽의 성공적 개최라는 목적에서 적절한 범위의 사이버공격에 관한 대책을 마련할 수 있기 때문에 본 논문에서도 평창올림픽의 성공적 개최라는 특별목적을 위하여 - 사이버공격에 대한 좀 더 적극적인, 광의적 차원의 예방 개념적 설정을 하였다. ‘광의의 사이버공격’의 개념을 ‘협의의 사이버공격’과 사이버범죄를 행하기 위한 사이버상의 공격 이외에도 직접적인 사이버공격과 간접적인 사이버공격을 포함하는 차원에서 이를 재분류하였다. 그러나 현재의 2018 평창올림픽법과 기타 사이버공격관련 법령에는 평창올림픽에서의 사이버공격을 대비한 규정이 없다. 따라서 평창올림픽과 사이버공격에 관한 모든 규범적 관점은 원칙적으로 평창올림픽의 정상적 개최 및 원활한 운영을 유지하는 데에 그 초점을 맞추어야 할 필요가 있다. 이에 본 논문에서는 II 사이버공격과 평창올림픽에서 그 기본개념을 재검토하고, III 평창올림픽과 평창올림픽 사이버안전본부에서는 국가안전과 관계된 정보통신망 뿐만이 아니라 광의의 사이버공격에 대비한, 올림픽의 성공적 개최에 필요한 모든 공적, 사적 영역에서의 직・간접적인 사이버공격에 대한 방어대책이 예방적, 통합적으로 이루어지는 효과적인 비상체제 기구의 설치로서 콘트롤타워 즉, <평창올림픽 사이버안전본부>의 설치가 시급하다는 결론을 도출하였다. 향후 한시법, 특별법 또는 그 위임으로서 평창올림픽의 정상적 개최 및 원활한 운영을 위하여 사이버안전본부를 규정한다면, 그러한 평창올림픽 관계법령의 규범적 특징과 법령적용의 현실은 긍정적으로는 추후 일반법으로서 사이버테러방지법의 입법적 타당성을 충분히 제고할 수 있을 것으로 보기 때문이다. Regarding Pyeongchang Winter Olympics, for the special purpose of the successful hosting of the event, this paper seeks to make some policy suggestions for the prevention of cyber attacks in a more active way and in a broad sense based on conceptual and legal search. The broad concept of cyber attacks include attacks on cyber crime and cyber for carrying out the narrow sense cyber attacks. In addition, it was reclassified in terms of cyber attacks, including indirect and direct cyber attack. The current law on 2018 Pyeongchang Winter Olympics does not stipulate the prevention of cyber attacks in the Winter Olympic Games in Pyeongchang. The Article 3 of the enforcement ordinance of this law just stipulates that the counter-terrorism・ contingency planning committee has <the counter-terrorism・ contingency planning headquarters> in order to handle practical business matters. This absence of legislation appears to be based on the viewpoint that the presidential instructions of 'the national cyber security management regulation' are enough to cope with cyber attacks. However, to prepare prevention measures of direct and indirect cyber attacks in every private and public area required for the successful hosting of the Olympic Games by preparing for cyber attacks in a broad sense, there is a need to establish a more comprehensive organization for the emergency system. Therefore, it is urgent to set up a control tower, that is, <the headquarters for countermeasures against cyber attacks (terrors) in Pyeongchang Winter Olympics>. If a future regulatory Cyber Security Division, because the view of legislative validity of cyber-terrorism Act to be able to raise sufficient.

사이버 방어작전 프레임워크 기반의 공격그룹 분류 및 공격예측 기법

김완주(Wanju Kim),박창욱(Changwook Park),이수진(Soojin Lee),임재성(Jaesung Lim) 한국정보과학회 2014 정보과학회 컴퓨팅의 실제 논문지 Vol.20 No.6

최근 320 사이버테러, 625 사이버공격 등 대규모 피해를 유발하는 해킹공격이 지속적으로 발생하고 있다. 이러한 사이버 위협 환경에서 효과적인 방어계획을 수립하는 것은 매우 중요하다. 특히, 공격자는 누구이며, 어떠한 방법으로 공격을 진행하고, 무엇을 원하는지 파악하는 것은 방어계획을 수립하는 가장 중요한 요소이다. 따라서 본 논문에서는 공격 집단이 공격을 진행할 때 생성되는 다양한 디지털 단서와 공개출처정보(OSINT: Open Source Intelligence)를 이용하여 공격그룹을 분류하고 공격을 예측할 수 있는 사이버방어작전 프레임워크를 제안한다. 제안하는 프레임워크는 탐지, 디지털단서추출, 그룹분류, 주체분석, 예측, 대응의 6단계로 구성되며, OO기관에서 수집된 해킹메일에 대상으로 주요 공격그룹을 가시화 하였으며, 식별된 공격자를 추적하고 추가적인 공격이 예측 가능함을 보여주었다. 본 논문에서 제안한 사이버방어작전 프레임워크는 향후 발생 가능한 사이버공격에 대한 효과적인 대응에 기여할 것으로 기대한다. Recently, cyber-attacks such as 3·20 cyber terror, 6·25 cyber-attack, etc., causing large-scale damage keep on occurring. Under such cyber threat environment, it is very important to establish efficient defense plans. Especially, recognizing who the attackers are, how they attack, and what they want are the most important factors. Therefore, this paper suggests a cyber defense operation framework that can classify attack groups and predict potential cyber threats using various digital bread crumbs and Open Source Intelligence (OSINT) that are generated when the attack groups carry out their attacks. The suggested framework consists of six phases which are detection, extraction of digital bread crumbs, classification and analysis of attack groups, prediction, and reaction. Using APT(Advanced Persistent Threats) mails collected from OO Organization, the framework shows the positive result that it can classify the attack groups, track the classified attack groups, and predict additional potential cyber threats. The cyber defense operation framework proposed in this paper is expected to contribute efficient reactions to potential cyber threats in the future.

사이버 공격에 대한 전쟁법 적용의 한계와 효율적 대응방안

오일석(OH, Il Seok),김소정(KIM, So Jeong) 인하대학교 법학연구소 2014 法學硏究 Vol.17 No.2

사이버 공격은 무력사용으로서 그 범위, 기간, 집중성이 심각한 경우 유엔 헌장에서 규정한 자위권 행사의 대상이 되는 무력공격으로 간주될 수 있다. 이 경우 자위권 행사로서 국제 전쟁법상 비례성과 필요성의 원칙을 준수하여 사이버 전쟁을 수행할 수도 있다는 주장이 있다. 그러나 사이버 공격은 전통적 무력행사와의 동가치성이 인정되기 곤란하고, 무력행사에 대한 입증이 곤란하며, 특정 국가의 행위로 책임을 귀속시키기 곤란하다. 아울러 사이버 공격에 대응하여 재래식 무기를 사용하는 것은 명백성, 인도성, 필요성 및 비례성 원칙에서 한계가 있다. 한편 사이버 공격에 대한 사이버 전쟁은 선전포고, 국회 동의, 계엄법 등 국내 전쟁 관련 법규가 적용되어야 한다. 사이버 공격에 대하여 사이버 전쟁으로 대응하기 위해 국내 전쟁 관련 절차를 진행한다면, 국민의 기본권 제한은 물론, 국민 생활의 불안감 조성, 시장 불안정성의 증대 등을 야기할 수 있다. 사이버 공격에 대하여 사이버 전쟁이 아닌 최적 정책수단의 선택이 필요하다. 이를 위해서는 사이버 공격 위험에 관한 평가에 기반한 정책 수단을 발굴할 필요가 있다. 사이버 공격 위험 평가에 기반한 사이버 공격에 대한 위험 감소를 위해서는 위협이나 취약성의 감소나 제거는 물론 결과 발생의 방지가 핵심적으로 요구되는바, 사이버 공격에 대하여 사이버 전쟁으로 대응하는 것보다는 평상시 국가 안보 활동을 강화함으로써 이를 차단하거나 감시하고 예방함은 물론 탄력적으로 대응하는 것이 중요하다. 이와 같이 평상시 국가안보 활동의 하나로 사이버 공격에 효율적으로 대응하기 위해서는 평상시 국가?공공기관에 대한 사이버 안보 업무를 담당하는 국가정보원의 관련 활동을 강화할 필요가 있다. 특히 사이버 안보의 핵심시설인 정보통신기반에 대한 보호 활동이 보다 적극적으로 수행되도록 하여야 한다. 아울러 사이버 안보와 관련된 연구개발에 대한 지원과 정책적 뒷받침을 강화하여야 한다. 그러나 국가정보원을 중심으로 한 사이버 안보 활동에 관해서는 민주적 통제절차가 강화되어야 한다. 즉, 국회에의 보고, 승인, 감독 등 국회통제 절차를 강화함으로써, 사이버 안보 활동이 국민적 지지 하에, 중요한 국가적 과제로서 지속적으로 추진되도록 하여야 한다.

북한의 사이버 공격 역량의 진화:사이버 공격 사례 분석을 중심으로

정영애 사단법인 한국평화연구학회 2019 평화학연구 Vol.20 No.4

This paper analyzes North Korea’s cyberattack capability, which is evolving around North Korea’s cyberattack cases and aims to suggest strategy. The Kim Jong-un has declared a knowledge economy, actively promoted the reform of the scientific and technological system, fostered high-tech industries, expanded knowledge dissemination, and boosted the morale of scientific engineers. Kim Jong-un reinforces the CNC(Computer Numerical Control), is building communication networks, fostering and disseminating science and IT(Information Technology) technology. It means that Kim Jong-un supports politically the strengthening of cyberattack power and we should pay special attention to this part. Therefore, this paper analyzed the evolution and case of the cyberattack. First, North Korea’s cyberattack capability toward South Korea is continuously increasing and are managed systematically by hacking support organization. Second, North Korea has subdivided and specialized the organization by a direct cyberattack and foreign currency hacking. Third, North Korea is conducting multifaceted and convergent attacks by almost all early-stage and advanced ones. Fourth, North Korea is making cyber psychological warfare invigorated based on cyberattacks. In conclusion, this study proposes countermeasures against North Korean. 이 논문은 북한의 사이버 공격 사례를 중심으로 진화하는 북한의 사이버 공격 역량에 대해 분석하고, 정부차원의 사이버 공격에 대한 대응전략의 제언에 목적을 둔다. 김정은 정권은 집권 초기부터 지식경제를 천명하고, 과학기술체제의 개편과 첨단산업 육성, 지식 보급 확대, 과학기술자의 사기진작 등을 적극 추진하였다. 김정은은 첨단과학기술 분야에서 선대의 CNC화를 강화하고, 통신망구축과 IT산업 육성, 전자상거래, 전국 범위의 과학기술 지식의 보급 등을 추진하고 있다. 김정은 정권은 사이버전력을 정책적으로 지원하고 있다. 이에 북한 사이버 공격의 진화를 사례기반으로 분석하였다. 첫째, 북한의 사이버전력 조직은 지속적으로 증대되고 있으며, 대남 해킹지원 조직을 통해 조직적으로 관리하고 있다. 둘째, 북한은 직접적인 사이버 공격과 외화벌이 해킹 등으로 조직을 세분화하고 전문화하여 역량을 키워나가고 있다. 셋째, 북한은 초기단계와 고도화된 거의 모든 사이버 공격이 활용하여 다면적‧융합적인 공격을 수행하고 있다. 넷째, 북한은 사이버 공격에 기반을 둔 사이버 심리전을 활성화하고 있다. 이 연구는 북한의 사이버 공격 분석결과를 기초로 북한의 사이버 공격에 대응하기 위한 제언하였다.

북한의 대남 사이버공격에 대한 대비전략

엄응용,김효진 한국경찰연구학회 2018 한국경찰연구 Vol.17 No.2

이 논문은 북한의 대남 사이버공격의 대표적인 사례와 그 특성을 분석하여 향후 우리정부가 북한의 사이버공격에 대한 체계적이고 실효적인 정책을 수립ㆍ시행함에 있어서 고려하여야 할 기본적인 대비전략을 장ㆍ단기적인 관점에서 개략적으로 제시하는 데 그 목적이 있다. 이를 위하여 우선 논제인 북한의 대남 사이버공격 논의에 있어서 기본적 검토사항인 사이버공격과 관련 유사용어의 정의, 사이버공격의 본질적 속성, 사이버공격의 방법을 검토하여 본 논제의 대상과 범위에 대한 명확성을 확보하고자 하였으며, 이어서 북한의 대남 사이버공격의 대표적 사례와 그 특성을 분석하였고, 다음으로 북한의 사이버공격의 사례와 그 특성에 대한 분석을 토대로 북한의 대남 사이버공격에 대한 대비전략을 장ㆍ단기적 관점에서 개략적으로 제시하였으며, 결론 부문에서는 전술한 내용을 근거로 하여 종합적인 관점에서 향후 북한의 사이버공격에 대한 대비전략의 마련에 있어서 고려해야 할 주요 사항을 요약하여 기술하였다. 결론적으로 이 논문에서는 우리정부가 북한의 사이버공격의 가능성이 상존하고 있음을 인식하고 이에 대한 대비전략의 수립ㆍ시행함에서 있어서, 단기적인 실무적 차원에서 사이버보안 교육 및 홍보의 보완, 사이버공격 대응 모의훈련의 개선, 사이버보안민간단체와의 협력체제의 강화, 보안정보를 이용한 사이버공격대응, 관련 국가와의 공조의 강화 등을, 그리고 중ㆍ장기적인 법적ㆍ제도적 차원에서 사이버보안 관련 법제의 정비, 사이버공격 대응 지휘체계 및 총괄기구의 정비, 사이버 전문 인력 양성체제의 개선 등을 고려할 필요가 있음을 제시하였다. The purpose of this study is to analyze typical cases and characteristics of North Korea's cyber attacks toward South Korea, and roughly present in the short and long term viewpoint fundamental counter strategies to be considered by our government for establishing and enforcing systematic and effective policies against North Korea's cyber attacks in future. For such purpose, the concept of cyber attack and relevant similar terms that are fundamental theories in the discussion of North Korea's cyber attacks were defined, and the intrinsic characteristics and methods of cyber attack were examined in order to clarify the target and range of this subject. Next, typical cases and characteristics of North Korea's cyber attacks toward South Korea were analyzed. And then, counter strategies against North Korea's cyber attacks toward South Korea were presented roughly in the short and long term viewpoint based on the analysis of the cases and characteristics of North Korea's cyber attacks. In conclusion, major considerations for preparing counter strategies against North Korea's cyber attacks in future were summarized and outlined. Conclusionally, in this study I put forward that in establishing and enforcing counter strategies against North Korea's cyber attacks, our korean government should consider synthetically information protection educations and promotions, execution of preliminary exercises, reinforcement of cooperation systems with private sectors, reinforcement of international cooperation systems and responses to cyber attacks using security information etc in the short-term working-level, and the establishment of legislative grounds, reorganization of command structures and comprehensive organizations, and einforcement of cyber specialists cultivation systems etc, in the long-term institutional-level.

북한 사이버공격의 남북한 합의사항 위반 여부의 분석에 관한 연구

신영웅(Shin Young Yung) 한국공안행정학회 2020 한국공안행정학회보 Vol.29 No.4

북한은 1990년 냉전 이후 사이버공격의 역량 강화에 큰 노력을 기울여 왔다. 최근까지 약 7,000여 명의 사이버 전사를 양성하고, 전 국방비의 10-20%을 투입하여 사이버공격 역량을 강화한 결과 현재 세계 최고 수준의 사이버공격 강국이 되었다. 북한은 발전된 공격 능력으로 2000년 이후 한국에 대해 공식적으로확인된 것만 20여 회 이상의 사이버공격을 감행한 것으로 드러났다. 본 연구는 북한의 한국에 대한 사이버공격을 분석하여 동기, 목적, 수단, 방법, 결과가 무엇인지를 밝히고, 그 결과와 피해가 남북이 합의한 내용을 위반했는지를 살펴본다. 먼저 북한이 한국에 저지른 것으로 밝혀진 주요 사이버공격 중에서한수원 공격 등 7건을 선정하여 공격의 목적, 근원지, 수단과 방법, 결과의 네 가지 기준으로 분석한다. 그다음 그 결과를 남북이 합의한 정전협정 등 7가지 합의사항에 적용한 결과, 북한의 사이버공격은 남북이 합의한 적대행위 금지, 주권 침해금지, 불법침입 금지, 긴장 완화와 신뢰 분위기 조성 합의 등을 위반하였다. 한국은 북한에 재발 방지, 공동수사 등을 촉구하고, 나아가 북한과 사이버안전 협정체결을 통해 안전을 확보하며, 미국, 일본, 중국과의 사이버 협력 강화, UN GGE 등 사이버 국제협력 논의에 적극적으로 참여함은 물론 사이버공격을 받을 경우원점을 찾아내 즉각 대응할 수 있는 기술개발과 방어 능력을 배양해야 한다. North Korea has developed its cyber offensive capabilities starting in 1990, after Cold War period ended. It has expended considerable sums of money and mobilized young elite students to advance the means and methods of cyberattacks, using a tenth of national defense expenditures. As a result, North Korea has become one of the top countries in virtual aggressive competence. Given their enhanced cyberattack capabilities, North Korea has conducted at least 20 state-led cyberattacks (SLCAs) against South Korea since 2000. This study analyzes North Korea’s SLCAs against South Korea and examines the motives, means, methods, and results, ultimately determining whether the SCLA results violate agreements between the two Koreas. To this end, seven North Korean SLCAs are studied and compared according to their purposes, means, methods, and results, including the WannaCry attack, the Korea Hydro Nuclear Power (KHNP) attack, and the July 7 DDoS attacks as well as three private-led cyberattacks (PLCAs), in this case the i-web homepage producer company hacking incident and the Hyundai Capital hacking incident. The study focuses as well on factors affecting other countries, particularly the means, methods, and results of the attacks in that context. Next, the study examines major agreements between South and North Korea, specifically controversial issues regarding cyberattacks, such as the use of force, hostility, sovereignty, relaxation of tensions, and trust building. Then it contrasts the results of North Korea’s SLCAs with the agreements between the two Koreas, finding the North Korea’s SLCAs violate the prohibition of hostility, the condition of sovereignty, and are against the easing of tensions and trust building efforts as stated in the agreements, such as in the Korean Armistice Agreement of 1953, the South and North Joint Statement of 1974, the South and North Korea Basic and Attached Agreements of 1992, the June 15 South and North Agreement of 2000, the October 4 South and North Agreement of 2007, the Panmunjom Declaration of 2018, and the September 19 South and North Korea (Military) Agreement of 2018. Therefore, the study suggests that the South Korean government ask North Korea to stop the cyberattacks and to promise not to conduct cyberattacks again. Also, the study proposes that the Korean government establish a cybersecurity agreement with the North Korean government that includes a prohibition against cyberattacks on critical infrastructure, an application of current international norms to cyberspace, joint investigations and other provisions.