강압에서 침략으로: 양안 관계에서 중국의 사이버 활동 이론과 실행
편집자 주: 이 내용은 보고서 전문에서 발췌한 것입니다. 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
이 보고서는 대만을 중심으로 중국이 사이버 강압과 사이버 전쟁을 어떻게 개념화하고 실행하는지를 살펴봅니다. 대만 정부와 군, 인도 태평양 지역에서 활동하는 정부 및 군대, 중국의 군사 및 사이버 활동을 연구하는 연구자들이 가장 관심을 가질 만한 주제입니다. 이 보고서의 저자인 데빈 손과 조이 하버는 아낌없는 검토와 지원을 해준 제시카 드런과 조 맥레이놀즈에게 감사를 표합니다. 저자에 대한 정보는 보고서 말미에서 확인할 수 있습니다.
Executive Summary
중화인민공화국(PRC) 지도부는 대만(중화민국)이 중국에 속해 있다고 굳게 믿고 있습니다. 대만이 중국의 일부가 된 적이 없음에도 불구하고 중국 당국은 오랫동안 대만과의 '통일'을 추구해 왔으며, '통일'을 "중화민족의 모든 아들과 딸의 공동 열망", "중국의 부흥 실현에 필수 불가결", "중국 공산당의 역사적 사명"으로 묘사했습니다. 이러한 목표를 뒷받침하기 위해 중국은 강압적인 외교, 경제, 군사 활동을 포함하여 대만의 행동에 영향을 미치려고 지속적으로 시도해 왔습니다.
또한 중국 당국은 미국의 '분리주의 세력'과 '외부 간섭'에 반대하며 대만과의 평화적 '통일'을 위해 노력할 것이지만 "외부 세력의 간섭이나 분리주의 요소의 과격한 행동에 대해서는 언제든지 무력 사용 또는 기타 필요한 수단으로 대응할 준비가 되어 있다"고 강조했습니다. 이는 공허한 위협이 아닙니다. 인민해방군(PLA)은 오랫동안 대만에 대한 전면적인 상륙작전 준비를 우선시해 왔으며, 이러한 침략을 성공적으로 수행하는 데 필요한 역량을 적극적으로 추구하고 있습니다.
이 보고서는 대만 시나리오에 초점을 맞춰 중국 인민해방군과 중국의 다른 관련 행위자들이 사이버 강압과 사이버 전쟁을 어떻게 개념화하고 실행하는지를 평가합니다. 이 보고서는 일반적인 사이버 강압 이론과 양안 관계에서 중국의 사이버 강압 이론, 양안 분쟁 시나리오에서 중국의 사이버 전쟁 및 사이버 활동 이론을 분석합니다. 그런 다음 이 보고서는 중국의 네트워크 세력을 조사하고 네트워크 세력 개발, 네트워크 정찰, 네트워크 공격에 초점을 맞춰 평시 및 전시 사이버 활동을 준비하고 실행하는 중국의 노력을 조사합니다.
평시에는 중국이 네트워크 강압을 통해 친독립 활동의 중단을 강요하거나 대만의 독립을 향한 움직임을 저지할 가능성이 매우 높다는 사실을 발견했습니다. 전시 합동 상륙작전이나 대만에 대한 봉쇄 작전 중에 중국은 정보 우위를 점하기 위해 네트워크 전쟁을 벌일 것이 거의 확실하며, 주요 목표는 군사 및 민간 정보 시스템과 핵심 기반 시설입니다. 우리는 중국의 네트워크 전력 개발, 네트워크 정찰, 네트워크 공격 노력이 평시 사이버 강압과 전시 사이버 작전에도 동일하게 관련되어 있다고 판단합니다. 중국은 대학, 민간 기업, 해킹 대회, 사이버 훈련장 및 기타 수단을 활용하여 평시 및 전시 네트워크 작전에 사용할 무기와 인재를 개발하기 위해 범국가적인 노력을 기울이고 있습니다. 또한 중국과 연계된 사이버 위협 공격자들은 네트워크 정찰을 위해 네트워크 스캐닝, 피싱, 도메인 스푸핑, 제로 데이 및 기타 도구를 사용하여 정보를 수집하고 네트워크 공격에 대비하려는 의도를 보여 왔습니다. 또한 중국과 연계된 사이버 위협 공격자들은 이미 평시에도 대만을 대상으로 랜섬웨어, 분산 서비스 거부(DDoS), 훼손 공격을 수행했으며 공격자의 핵심 인프라를 공격하는 데 관심을 드러낸 바 있습니다.
주요 판단
- 중국은 사이버 역량을 대만 정부나 대중에게 친독립 활동을 중단하도록 강요하거나 대만 독립을 향한 움직임을 저지하기 위한 옵션으로 사이버 역량을 사용할 가능성이 매우 높습니다.
- 중국이 대만에 무력을 사용하기로 결정한다면, 사이버 역량은 합동 상륙작전이나 봉쇄 작전의 일환으로 정보 우위를 확보하는 데 사용될 것이 거의 확실합니다.
- 강압과 전쟁에 사용할 수 있는 중국의 네트워크 병력에는 군대, 민간 정부 기관의 직원, 기술 기업의 민간인, 그리고 '취미 활동가' 또는 애국적인 해커도 포함될 수 있습니다.
- 중국은 군사 및 민간 영역에서 발견되는 모든 범위의 사이버 공격 및 기술 네트워크 조사 도구를 강압과 전쟁에 적용할 수 있다고 거의 확실하게 보고 있습니다.
- 중국의 네트워크 무기 및 인재 개발 파이프라인에는 군용 무기 개발 및 훈련 프로그램, 민간 교육 프로그램 및 채용, 사이버 범위 구축을 위한 국가적 노력이 포함됩니다.
- 중국은 네트워크 사찰과 스파이 활동을 포함한 네트워크 정찰을 상시적인 투쟁의 한 형태로 간주하고 있으며, 그러한 활동을 수행할 수 있는 상당한 역량을 보유하고 있을 가능성이 매우 높습니다.
- 관찰된 사례에 따르면, 사이버 스파이 활동에 대한 중국의 접근 방식은 위협 행위자가 보다 구체적인 표적에 대한 데이터를 수집할 수 있는 중간급 및 고위급 통신 인프라를 우선적으로 표적으로 삼고 있습니다.
- 중국의 사이버 전쟁과 강압의 목표는 군사 및 민간 정보 시스템과 핵심 인프라의 기능을 방해, 손상 또는 파괴하고 대만의 의사 결정권자에게 충격을 주어 전투 의지를 약화시키는 것이 거의 확실합니다.
리소스
이 보고서는 사이버 강압과 전쟁에 대한 중국의 접근 방식에 대한 이론적 논의와 실제 중국의 사이버 역량에 대한 증거를 중심으로 구성되었습니다. 이 보고서의 이론적 부분은 군사과학원(AMS; 军事科学院)과 국방대학교(NDU; 国防大学)에서 발행한 권위 있는 인민해방군 교과서에서 많이 인용했습니다. 여기에는 2006년 발간된 NDU의 ' 캠페인의 과학 ', 2013년 발간된 AMS의 ' 군사 전략의 과학 '(이하 SMS 2013), 2017년 발간된 ' 군사 전략의 과학'(SMS 2017), 2020년 발간된 ' 군사 전략의 과학 '(SMS 2020)이 있습니다.
AMS와 NDU는 "중국의 양대 국방 연구소"로, 해외 전문가들은 이 두 기관의 다양한 군사전략학 교과서가 "전략적 차원에서 전쟁을 어떻게 계획하고 수행해야 하는지에 대한 인민군 고위 장교들의 핵심 교과서"라고 평가합니다. 2001년 판 AMS의 군사 전략 과학은 "[중앙군사위원회]를 포함한 인민해방군 고위 의사 결정권자와 중국의 미래 전략 기획자가 될 수 있는 장교들을 교육하는 데 사용"된 것으로 알려져 있습니다. 캠페인의 과학은 캠페인 이론을 가르치는 데 사용되는 중요한 교육 교재이기도 합니다. 이 편집본은 중국의 군사 교리에 대한 공식적인 설명은 아니지만, 일반적으로 다양한 교리 문제에 대한 중국 인민해방군의 진화하는 사고에 대한 통찰력을 제공하는 것으로 여겨집니다. 가능하면 중국 사이버 관련 군 및 민간 기관의 인력이 저술한 저널 논문을 분석하여 이러한 주요 PLA 책에 대한 독서를 보완합니다.
사이버 강압
이 섹션에서는 중국의 사이버 강압 이론과 중국이 평시에 대만에 대해 사이버 강압을 사용할 가능성에 대해 논의하며, 이는 중국이 대만의 독립 움직임에 대응하기 위해 사용할 가능성이 매우 높습니다. 강압은 대상의 행동을 변화시키기 위한 두 가지 행동 이론, 즉 억지와 강압으로 구성됩니다. 억제는 바람직하지 않은 행동을 막기 위해 처벌의 위협을 사용하고, 강제는 바람직한 행동(또는 바람직하지 않은 행동의 중단)을 유도하기 위해 처벌을 휘두릅니다. 강압은 외교적, 경제적, 군사적 등 다양한 형태로 나타날 수 있습니다. 국가는 사이버 수단을 통해서도 강압을 가할 수 있지만, 전문가들은 그 효과에 의문을 제기합니다.
중국의 네트워크 강압 이론
강압의 두 가지 요소인 강제와 억제는 중국어에서 웨이쉐 (威慑)라는 한 단어로 표현할 수 있습니다. 2001년판 『군사 전략의 과학』에서는 웨이셰를 "적으로 하여금 자신의 의지에 복종하고 적대적인 행동을 취하거나 적대감을 고조시키지 않도록 강요하기 위해 무력을 과시하거나 무력을 사용하겠다는 결의를 보여주는 국가 또는 정치 집단의 군사적 행위"로 정의하고 있습니다. SMS 2013은 덜 명시적이지만, 중국 인민해방군은 거의 확실하게 웨이셰 이론을 억지력만이 아니라 강제력도 허용하는 것으로 보고 있습니다. 그러나 중국 군사 문서와 정부가 발행한 국방 전략 백서의 공식 영문 번역본에서는 웨이셰를 '억지력'으로만 번역하고 있습니다. 아래에서는 명확성을 위해 웨이쉬를 사용합니다.
웨이셰는 평시 활동과 전시 활동이 모두 가능하지만, 전쟁 발발이나 위협 확대를 방지하는 것이 근본적인 목적이라는 점에서 주로 평시 활동으로 간주됩니다. 한 외국 인민해방군 전문가가 요약한 것처럼, 웨이셰는 "전쟁이 시작되기 전과 후에 모두 사용되며, 가급적이면 전쟁을 피하고 수평적 확대(다른 지역이나 전략적 방향으로)나 수직적 확대(특히 핵전쟁으로의 폭력 확대)를 피하기 위해 사용된다"고 설명합니다. SMS 2013은 웨이셰의 '기본 목표'를 '상대방의 공격 가능성을 억제', '상태를 유지' 또는 '자신을 위험에 빠뜨리는 활동을 중지'하는 것이라고 주장합니다. 결정적으로, '자신을 위험에 빠뜨리는 활동'(즉, 중국)에는 중국의 정치 안보 및 개발 이익에 대한 위협과 같은 전쟁 이외의 위협이 거의 확실하게 포함됩니다.
웨이셰는 또한 군사적 활동과 비군사적 활동을 모두 포함하는 명백한 정치적 목적의 활동입니다. SMS 2013은 웨이셰가 정치적 목표를 달성하는 것을 목표로 하며 정치에 종속되어 있고 외교, 정치, 군사, 경제, 과학 기술 및 기타 수단을 사용해야 한다고 강조합니다. 마찬가지로 SMS 2017은 "평시에 전략적 웨이셰의 주요 역할은 국가의 군사, 정치, 경제, 문화, 외교 및 기타 전략적 힘을 적용하여 정세에 영향을 미치는 것"이라고 설명합니다. 이는 웨이셰가 범정부적인 노력이며 민간 기관이 군이 취할 수 있는 모든 조치와 함께 '통합된 전체 웨이셰'(整体威慑)를 지원하기 위한 활동에 참여할 가능성이 매우 높다는 의미입니다.
중국 인민해방군과 중국 정부가 군사적이든 비군사적이든 웨이셰를 수행할 수 있는 구체적인 사안의 범위는 레코디드 퓨처가 검토한 어떤 문건에도 명시적으로 나열되어 있지 않습니다. 그러나 중국 국무원 정보판공실이 발간한 2019년 '신시대 중국 국방'이라는 제목의 백서에서는 아래와 같은 사항을 국방의 목표로 포괄적으로 제시하고 있습니다. 이는 전쟁 위협을 포함한 강압적 역량을 적용할 수 있는 비교적 포괄적인 목표의 목록을 나타낸다고 생각합니다.
- "대만 독립"을 반대하고 억제하기 위해
- 공격성 억제 및 저항
- 국가 정치 안보, 국민의 안전과 사회 안정을 지키기 위해
- '티베트 독립'과 '동투르키스탄'(즉, 독립된 신장) 건설과 같은 분리주의 운동 지지자들을 단속하기 위해
- 국가 주권, 단결, 영토 보전 및 안보 수호
- 중국의 해양 권익을 보호하기 위해
- 우주 공간, 전자기 공간 및 사이버 공간에서 중국의 안보 이익을 보호하기 위해
- 중국의 해외 이익을 보호하기 위해
- 국가의 지속 가능한 발전을 지원하기 위해
중국은 웨이셰를 많은 위협에 적용할 수 있는 전략적 개념으로 간주하는 것이 거의 확실하지만, 레코디드 퓨처가 검토한 대부분의 인민해방군 및 민간 문서에서는 사이버 강압 또는 네트워크 웨이셰 (网络威慑)를 적의 사이버 공격을 억제하거나 대응하기 위한 목적으로만 정의하고 있습니다. 예를 들어, SMS 2013은 네트워크 바이셰의 목표를 구체적으로 "적대적 국가" 또는 "테러 조직"의 "대규모 네트워크 공격"과 "심각한 사보타주"를 감히 감행하지 못하도록 막는 것이라고 명시하고 있습니다. 초점은 "교차 도메인을 사용하는 것이 아닌 현물" 웨이셰에 맞춰져 있습니다. 그러나 SMS 2017과 SMS 2020은 네트워크 전쟁이 정치, 외교, 경제 및 기타 영역에서의 투쟁과 통합되어 중국의 전반적인 전략적 목표에 부합해야 한다는 점도 강조합니다. 마찬가지로 중국의 대표적인 민간 정보기관인 국가안전부(MSS) 산하 기관인 중국정보안전 (中国信息安全)의 2019년 기사 등 일부 비공신력 출처에서도 네트워크 웨이셰가 다른 영역의 국가 목표 추구와 자연스럽게 통합되어 있음을 명시적으로 인정하고 있습니다; 国家安全部) - 네트워크 웨이셰가 다른 영역의 국가 목표 추구와 자연스럽게 통합된 "일종의 크로스 도메인 웨이셰 전략"임을 명시적으로 인정하고 있습니다.
네트워크 와이즈가 사이버 공간의 위협에 대응하는 것으로 제한된다고 하더라도 위협을 구성하는 요소의 범위는 상당히 넓을 수 있습니다. 중국의 국방 목표에는 "사이버 공간에서 국가의 안보 이익"을 수호하는 것이 포함됩니다. 중국 사이버 공간 관리국에서 2016년에 발표한 중국의 국가 사이버 공간 보안 전략은 중국이 직면한 '심각한 도전'을 논의하는 섹션에서 네트워크 와이즈가 해결할 수 있는 온라인 위협의 유형에 대한 통찰력을 제공합니다. 여기에는 중국의 정치 체제, 경제, 문화, 사회, 국방에 대한 위협이 포함됩니다.
양안 관계에서의 사이버 강압
중국은 대만 정부 또는 대만 정당의 행동에 영향을 미치기 위해 대만에 대한 사이버 강압을 수행할 수 있으며, 이는 친독립 활동의 중단을 강요하거나 대만 독립을 향한 움직임이 감지되는 것을 저지하기 위한 것입니다. 실제로 중국은 이미 대만에 대한 사이버 강압을 수행했을 가능성이 높지만, 중국의 사이버 활동 혐의에 대해 강압적 동기를 단정적으로 말하기는 어려운 경우가 많습니다.
사이버 강압 사례는 2022년 8월 낸시 펠로시 미국 하원의장이 대만을 방문했을 때 중국발로 추정되는 대규모 사이버 공격이 대만을 강타했을 때 발생했을 가능성이 높습니다. 사이버 보안 분석가들은 중국의 핵심 네트워크 세력(아래 중국의 네트워크 세력 섹션에서 자세히 설명)이 아닌 핵티비스트일 가능성이 높은 공격자들은 정부 웹사이트, 유틸리티 및 교통 웹사이트, 기차역 스크린과 같은 인프라, 세븐일레븐 편의점의 스크린을 디도스 공격 및 기타 사이버 공격으로 표적으로 삼은 것으로 알려졌습니다. 대만을 겨냥한 사이버 위협 활동은 펠로시의 방문 가능성이 공개적으로 보도된 지 10일 후인 7월 29일, 그리고 펠로시가 실제로 다른 의원들을 초청했다는 미국 의회 의원의 첫 번째 '공식' 확인이 나온 지 이틀 후인 7월 29일부터 증가하기 시작한 것으로 알려졌습니다. 언론은 오드리 탕 대만 디지털부 장관의 말을 인용해 "펠로시 의장이 도착하기 전후인 [8월 2일] 대만 정부 기관에 대한 사이버 공격 규모가 이전 일일 기록의 23배에 달하는 15,000기가비트를 넘어섰다"고 보도했습니다. 대만 당국은 이번 공격이 중국 정부의 소행이라고 직접적으로 밝히지는 않았지만, 정부 웹사이트에 대한 공격이 중국과 러시아의 IP 주소에서 시작되었다고 밝혔습니다. 이 공격은 대만의 사이버 보안 완화 조치로 인해 거의 피해를 입지 않은 것으로 알려졌습니다. 이러한 사이버 활동은 군사 훈련이나 미사일 시험과 같이 사이버가 아닌 다른 형태의 강압이 발생하기 쉬운 시기와 일치했습니다.
사이버 전쟁
이 섹션에서는 중국의 사이버 전쟁 이론과 중국이 분쟁 시나리오에서 대만에 대한 사이버 전쟁을 사용할 가능성을 분석합니다. 중국 군사 전략가들은 공격적인 사이버 행동을 매우 우선시하며, 인민해방군은 대만에 대한 합동 상륙작전이나 봉쇄 작전 중에 '컴퓨터 바이러스'와 '해커'와 같은 공격적인 사이버 수단을 사용하여 정보 우위를 추구할 것이 거의 확실하다는 것을 알 수 있습니다.
중국의 네트워크 전쟁 이론
2017년판과 2020년판 군사 전략 과학은 네트워크가 다차원 전장의 중심이 되었으며, 네트워크 공간에서의 작전은 예외 없이 전쟁 승리의 근간이 된다고 주장합니다. 네트워크 전쟁(网络战)과 네트워크 작전(网络作战)의 목표는 네트워크 정찰(网络侦查)을 통해 적의 정보 환경을 저하시키고, 이에 대비하며, 자국의 정보 환경을 방어하는 것입니다. 네트워크 영역에는 컴퓨터 및 인터넷 기반 군사 작전과 전자전 작전이 모두 포함되지만, 이 보고서는 전자전에 초점을 맞추고 있습니다. PLA 문서에서는 네트워크 도메인을 육상, 해상, 공중, 우주와 같은 다른 도메인과 함께 개념화하기도 하고, 더 넓은 정보 도메인의 구성 요소로 제시하기도 합니다.
다양한 버전의 SMS는 대체로 네트워크 전쟁의 특성에 대해 일관된 설명을 제시합니다. 여기에는 넓은 범위, 숨겨진 품질, 파괴적인 잠재력 등의 측면이 강조됩니다. 레코디드 퓨처가 검토한 다른 텍스트와 중국 분석가들의 광범위한 설문조사에 따르면 이러한 견해는 다양한 출처에서 일관되게 나타나는 경우가 많습니다.
- 광범위한 범위: 현대 생활에서 정보 네트워크가 어디에나 존재하고 군과 민간 네트워크가 서로 연결되어 있기 때문에 전장의 범위는 방대합니다.
- 숨겨진 품질: 네트워크 공격은 시간, 장소, 신원에 제한을 받지 않기 때문에 공격자의 속성이나 공격이 시작된 위치를 파악하는 것은 매우 어렵습니다.
- 파괴적인 잠재력: 네트워크 공격의 영향은 네트워크 공간의 범위가 매우 넓기 때문에 군사 및 민간 시스템 전반에 걸쳐 치명적일 수 있습니다.
특히 SMS 2017과 SMS 2020은 평화와 전쟁 사이의 모호한 경계를 강조하며 모든 국가의 네트워크가 평시에도 침투되고 있음을 지적합니다. 또한 걸프전 이후 2003년 이라크 전쟁 직전에 미국이 이라크를 대하는 태도, 상당한 정보 수집과 심리 작전, 이란의 핵 프로그램을 겨냥한 스턱스넷 멀웨어 사용 등을 예로 들며 사이버 전쟁이 활동의 개시와 중단이 아니라 피해의 수준과 범위의 확대와 축소를 통해 정의된다는 점을 강조합니다. 이러한 사례는 평시 사이버 작전이 전쟁의 전조로 작용할 수 있다는 점을 강조하는 데에도 사용됩니다. 다시 말해, 사이버 전쟁은 현대 전략의 끊임없는 요소입니다. 예정(叶征) 중국 정보화작전연구소(信息化作战研究所) 초대 소장은 중국의 네트워크 전쟁 부대는 네트워크 전쟁 작전을 수행하기 위해 끊임없이 준비해야 하며 '영구적인 동원 상태'에 있어야 한다고 주장하기도 했습니다.
중국 군사 전략가와 분석가들은 네트워크 전쟁의 공격과 방어 측면을 모두 논의하지만, SMS 2013에서는 방어가 최우선적으로 고려되어야 한다고 말하지만 공격 능력과 '선제공격'이 크게 우선시되고 있습니다. 네트워크 작전은 약소국(중국이 일부 영역에서 스스로 인식하는 것처럼)이 더 강하고 기술적으로 진보한 적(즉, 미국)에 효과적으로 대항할 수 있는 비대칭 무기로 간주됩니다. 선제공격의 목표는 정보 우위를 장악하여 분쟁의 '주도권'을 확보하는 것입니다. 즉, 중국은 선제공격을 통해 적의 정보 시스템이 효과적으로 작동할 수 있는 능력을 방해함으로써 적보다 우위를 점할 수 있으며, 전반적인 경쟁에서 우위를 점할 수 있습니다. 일부 중국 연구자들은 이 '공격의 이데올로기'가 2008년까지는 전략가들 사이에서 비교적 주류였지만, 그 이후에는 방어를 우선시하는 방향으로 바뀌었다고 주장합니다. 그러나 SMS 2017은 정보 우위를 점하기 위해서는 방어도 "적극적으로 시작한 공격 작전에 의존"해야 한다는 점을 계속 강조합니다.
양안 분쟁 시나리오에서의 사이버 활동
중국이 대만과의 '통일'을 위해 군사력을 사용하기로 결정했다면, 인민해방군은 합동 상륙작전이나 봉쇄 작전을 수행할 가능성이 매우 높습니다. PLA의 캠페인 문건에 따르면, 합동 상륙 작전은 대만 해협에서 해상과 공중을 장악하고 정보 영역에서 우위를 점하기 위한 것이 거의 확실합니다. 이 캠페인은 조기 경보 탐지 시스템, 활주로 및 격납고, 지휘 및 통신 시스템, 미사일 위치, 항구 등 대만의 방어를 교란하기 위한 주요 지점 타격도 거의 확실하게 사용할 것입니다. 다른 구성 요소에는 대만에 성공적으로 상륙한 상륙군을 지원하기 위해 대만의 해안 방어와 병참 작전에 침투하기 위한 신속하고 지속적이며 집중적인 공격이 거의 확실하게 포함될 것입니다. 합동 봉쇄 캠페인은 적의 항구와 항로를 봉쇄하고 해상에서 감시, 현장 조사, 나포, 공격을 수행하고 공중에서 감시, 추방, 요격, 공격을 수행함으로써 대만의 '해상-공중 통신로'를 차단하는 것을 거의 확실하게 목표로 합니다.
대만에 대한 중국의 합동 상륙작전 또는 봉쇄 작전은 정보 영역에서의 작전의 일부로 사이버 활동을 거의 확실하게 포함할 것입니다. 캠페인의 과학은 캠페인 정보전이 처음부터 끝까지 캠페인 작전 전체에 스며들어 적의 정보 탐지 소스, 정보 채널, 정보 처리 및 의사 결정 시스템을 표적으로 삼는다고 설명합니다. 이 교과서는 캠페인 정보전은 정보 공격과 정보 방어를 모두 포함하며, 전자는 물리적 파괴뿐만 아니라 네트워크, 전자기, 심리적 공격도 포함한다고 강조합니다. 네트워크 공격(주로 컴퓨터 바이러스와 해커를 통한)은 명령 및 제어 시스템을 포함하여 적의 컴퓨터와 컴퓨터 네트워크 시스템을 대상으로 하는 침입적이고 파괴적인 활동이라고 명시하고 있습니다.
합동 상륙작전이나 봉쇄 작전 중에 중국 인민해방군은 작전 초기 단계에서 정보 우위를 확보할 것이 거의 확실하며, 이는 캠페인의 과학이 공중과 해상 우위를 점하기 위한 필수 전제 조건으로 제시하는 것입니다. 합동 상륙작전에서 정보 우위를 점하려면 무엇보다도 네트워크 공격 및 기타 도구를 사용하여 적의 '정보 시스템의 정보 처리 및 의사 결정 센터', '정보 탐지 소스 및 정보 채널', '탐색 및 위치 파악 시스템', '통신 시스템', '조기 경보 탐지 시스템', '미사일 요격 시스템'을 저하시키는 정보 억제 작업을 수행해야 합니다. 합동 봉쇄 작전 중 정보 우위를 확보하려면 무엇보다도 '컴퓨터 네트워크 침투', '적 정보 보안 코드 해독', '정보 탈취', '컴퓨터 바이러스 침투', '적 네트워크 운영 프로세스 파괴', '적 지휘 및 정보 시스템 마비'를 목표로 하는 네트워크 기반 정보 공격을 포함한 정보 정찰을 수행해야 합니다.
준비 및 실행
이 섹션에서는 중국의 네트워크 세력 범위를 조사하고 중국이 네트워크 세력 개발, 네트워크 정찰, 네트워크 공격이라는 3가지 주요 유형의 사이버 활동을 어떻게 개념화하고 실행하는지 살펴봄으로써 이론과 실행 사이의 간극을 좁히고자 합니다. PLA의 문서에는 이 세 가지 범주의 활동이 평시 사이버 강압과 전시 사이버 작전 모두와 관련이 있음을 강력히 시사하고 있습니다. SMS 2020과 SMS 2017은 다른 영역의 군사적 투쟁과 달리 네트워크 영역의 투쟁은 전시에만 국한되지 않고 평시에도 정치, 경제, 군사, 문화, 과학 기술 투쟁에서 발견된다고 주장합니다. 이를 위해 웨이셰를 수행하고, 적을 위협하고, 전쟁을 제한하고, 전쟁을 준비하는 등 평화와 전쟁의 융합을 요구합니다. 이러한 증거와 관찰된 중국의 행동 패턴을 바탕으로 이 섹션에서 논의한 내용은 전쟁 전과 전쟁 중에 대만을 표적으로 삼을 수 있는 중국의 사이버 활동에 거의 확실하게 적용될 수 있습니다.
중국의 네트워크 군
중국의 네트워크 세력에는 군대, 정부, 비정부 기관이 포함되며, 이들 기관은 대만을 둘러싼 분쟁과 분쟁에 대한 대비에 참여할 가능성이 매우 높습니다. SMS 2013은 네트워크 운영을 위한 세 가지 유형의 힘을 식별합니다.
첫 번째는 전략지원부대 네트워크 시스템부(战略支援部队网络系统部) 및 기타 인민해방군 소속의 특수 훈련된 군부대인 네트워크 전쟁 전문 부대입니다. 네트워크 민병대는 또한 중국 군대 내에서 사이버 역량을 제공합니다.
두 번째는 군의 승인을 받아 네트워크 작전을 수행할 수 있는 '지역 강자'인 승인된 세력으로, 국가안전부(MSS) 및 공안부(MPS) 등이 있습니다.
셋째, 민간군은 "자발적으로 네트워크 공격과 방어를 수행"하거나 네트워크 작전에 동원될 수 있는 비정부 기관입니다. SMS 2017과 SMS 2020은 네트워크 전자기 부대에는 민간 기업의 직원과 "전문 기술을 가진 일부 취미 활동가"도 포함될 수 있다고 명시하고 있습니다. 2015년 AMS의 전투 이론 및 규정 연구부(作战理论和条令研究部) 소속 연구원은 이러한 전력 배치를 '작은 핵심'(小核心、大外围)이라고 설명했습니다, 큰 주변"(小核心、大外围)이라고 표현하며 네트워크 민병대, 네트워크 경찰, 애국적 해커, 민간 기업의 기술 인력이 중국의 군사력을 보완해야 한다고 주장했습니다.
특히, 이 섹션에서 언급된 단체들은 중국 국가안전부(MSS)가 수행하는 사이버 스파이 활동과 핵티비스트로 추정되는 자들이 수행하는 사이버 강압 등 중국에서 발생하는 평시 사이버 활동의 실제 사례에서 볼 수 있는 것과 동일합니다(아래 그림 1 참조).
그림 1: 2017년 한중 사드 분쟁 당시 자칭 애국적 해킹 그룹인 판다정보국이 수행한 디펜스 공격 (출처: 보안뉴스, 판다정보국)
네트워크 인력 개발
중국의 군대나 정보기관이 대만에 대해 또는 대만 분쟁에 대비하여 취할 수 있는 중요한 사이버 행동은 유능한 군대와 효과적인 사이버 무기의 가용성을 전제로 합니다. 대만을 겨냥한 새로 발견된 사이버 침입에 많은 관심을 기울이고 있지만, 인재와 무기 개발 파이프라인을 조사하여 중국의 사이버 역량, 군사력 및 정체성, 계획에 대한 교훈을 얻을 수 있습니다. 이 섹션에서는 권위 있는 출처와 실제 사례를 통해 중국의 네트워크 부대와 도구의 준비 상황을 간략하게 설명합니다.
군사 전략의 과학』의 여러 판에서는 기술 연구와 인재 양성의 관점에서 네트워크 전쟁 능력의 발전을 논의하지만, 후자에 대해 더 자세히 설명합니다. 네트워크 전쟁 무기와 관련하여 이 텍스트는 독자(아마도 인민해방군 장교 및 기타 관련 의사 결정권자)에게 "미리 계획"하고 기술의 "최전선 동향"을 연구하여 대비할 것을 촉구합니다. 개발해야 할 구체적인 유형의 기능은 "'트럼프 카드'[撒手锏] 수단"에 대한 요구 이상으로 논의되지 않았지만, 아래 네트워크 정찰 섹션에 나열된 것과 중국의 네트워크 공격 목표를 용이하게 하는 기능( 네트워크 공격 섹션에서 논의)이 후보가 될 가능성이 매우 높습니다.
이러한 교과서, 특히 SMS 2017과 SMS 2020은 인재 양성이라는 더 높은 수준의 관심사에 더 많은 시간을 할애합니다. 기술과 전술에 대한 높은 이해도를 갖춘 '고급 네트워크 대결 인재'를 양성해야 합니다. 1) 전쟁 계획을 준비하는 '고급 네트워크 지휘 인재', 2) 네트워크 대치 임무를 수행하는 '참모 인재', 3) 특수 기술과 네트워크 무기 개발 능력을 갖춘 '고급 전문 인재', 4) 작전 유지 및 보안을 담당하는 '네트워크 지원 인재' 등 4가지 유형의 네트워크 전쟁 인재를 구분하고 있습니다. 이 교과서에 따르면 중국의 네트워크 전쟁 부대는 전략에 집중하고 능동성, 유연성, 창의성을 강화해야 합니다.
국가 전체 솔루션
이 연구를 위해 검토한 군사 전략의 모든 판본은 네트워크 영역에서 투쟁을 준비하고 수행하는 데 있어 군-민 연계의 중요성을 강조합니다. SMS 2017과 SMS 2020은 정부 부처, 기업, 사회의 '전문 기술 인재'를 활용하여 인재를 양성하고 네트워크 전쟁과 관련된 연구를 수행할 것을 강조합니다.
실제로 SSF의 인재 개발 파이프라인은 주로 군사 기술 대학과 연구 기관에 의존하고 있으며, 민간 대학에서의 채용도 인재 확보의 중요한 수단으로 활용되고 있습니다. 네트워크 무기 개발은 인민해방군과 군 교육 기관이 민간 대학과 정보 기술 회사에 위탁하지만, "SSF의 정보 전쟁 프로그램의 방대한 규모 때문에 자체적으로만 제대로 유지할 수 있는 보다 통제되고 정규화된 인력이 필요하다"고 합니다.
중기부는 사내 역량도 중요하지만 외부 계약업체에 상대적으로 더 많이 의존하는 것으로 보입니다. 예를 들어, 하이난대학교 정보보안학과 교수는 하이난성 국가안전부 정보 담당자와 협력하여 APT40의 계약 해커를 모집하고 관리한 혐의를 받고 있습니다. 이 교수는 적어도 하나의 기술 전선 회사를 설립하는 데 도움을 주었고, 하이난 대학교 학생들 사이에서 실제 애플리케이션을 이용한 암호 해독 대회를 조율했으며, 채용된 해커들에게 급여 및 복리후생과 같은 관리 문제에 대한 연락 창구 역할을 한 것으로 알려졌습니다.
군사 및 정보 목적을 위한 중국의 네트워크 역량과 인재 개발을 지원하기 위한 군-민간 및 더 광범위한 정부-사회 협력을 살펴보면 수많은 실제 사례를 확인할 수 있습니다. 학계, 기업, 군대, 정부 간의 협력을 보여주는 이러한 사례 중 일부를 아래에 소개합니다. 위에서 설명한 SMS 2013의 중국 네트워크 세력 개념을 바탕으로 대만 전시 시나리오에서 이러한 모든 분야의 행위자들이 역할을 수행할 수 있습니다.
학계에서는 100,000 명의 상하이 정부 및 방위 기업 간부들이 "기밀 도난 및 방지비밀 도용" 기술을 교육부 네트워크 정보 보안 공학 연구 센터에서 구축한 교육 플랫폼을 통해 배우고 있습니다. 관리 및 서비스(网络信息安全管理监控与服务教育部工程研究中心)가 상하이교통대학(上海交通大学)에 구축한 교육 플랫폼을 통해 '기밀 도용 및 도난 방지' 기술을 배우고 있습니다. 이와는 별도로, 쓰촨성 몐양의 서남과학기술대학 네트워크 긴급 대응팀(SNERT; 西南科技大学校园网络应急响应小组)는 실제로 쓰촨성 몐양에 있는 네트워크 민병대로, 전장 근거리 통신망 구축, 적 시스템 서비스 및 권한 정찰, 정보 차단 등의 훈련을 다른 민병대를 위해 조직하는 민병대입니다.
기업 중에서는 기술 기업이 후원한 2018년 티안푸 컵 해킹 대회에서 2018년 11월부터 2019년 1월(애플이 수정 사항을 발표한 시점) 사이에 중국 정보 기관이 위구르족 커뮤니티 구성원을 감시하는 데 사용된 '연쇄 익스플로잇'이 아이폰에서 발견되기도 했습니다. 치후 360 테크놀로지 주식회사 (奇虎360科技有限公司)는 군사-민간 융합 프로그램에 깊이 관여하고 있는 사이버 보안 회사이자 톈푸컵 후원사 중 하나로, 베이징에 최소 한 명의 네트워크 보안 민병대를 두고 공격 및 방어 네트워크 운영 형태를 연구(필요한 경우 수행)하는 일을 부분적으로 담당하고 있습니다.
군과 정부의 노력으로 PLA 61419 부대는 2019년에 사이버 역량을 개발하기 위한 목적으로 McAfee Total Protection 및 BitDefender Total Security와 같은 여러 버전의 영어 안티바이러스 소프트웨어를 구매하려고 했습니다. 중국 국가 정보 보안 취약점 데이터베이스(CNNVD; 中国信息安全漏洞库)도 중국과 연계된 APT 그룹이 악용하는 위협이 높은 취약점의 공개를 늦추고 있는 것으로 보입니다. 이와 관련하여, 국가 규정은 기업 및 기타 단체가 발견된 취약점을 2일 이내에 정부에 보고하도록 요구함으로써 기회주의적 사이버 스파이 활동을 촉진할 수 있습니다. 이러한 규정이 제정된 이후 중국에 기반을 둔 위협 공격자들의 제로데이 취약점 사용이 증가한 것으로 알려졌습니다.
훈련 인프라: 사이버 훈련장
권위 있는 출처에서 논의되는 네트워크 무기 및 네트워크 전쟁 인재를 개발하는 구체적인 수단은 네트워크(사이버) 범위(网络靶场)의 사용입니다. 사이버 역량을 훈련하고 테스트하기 위한 가상 환경입니다. 네트워크 범위의 구축은 중국 정부의 중점 분야이며, 이는 국방 동원 자원으로 간주됩니다. SMS 2017과 SMS 2020에 따르면 방어적인 용도 외에도 새로운 네트워크 전쟁 무기와 방법을 검토하고 전술을 연구하며 네트워크 대결 훈련을 실시하는 등 공격적인 용도로도 사용되고 있습니다. 특히 '표적 정찰, 정보 탈취, 네트워크 침입, 정보 도용, 정보 또는 서비스 파괴, 기타 공격 방법'에 대한 시뮬레이션을 지원할 뿐만 아니라 다양한 공격의 '공격 효과'를 평가하는 데에도 활용할 수 있습니다.
2022년 7월 중국 인민해방군(PLA)으로 추정되는 신장군구(新疆军区)의 입찰은 적의 통신을 방해하고 다양한 운영 체제를 감염시키며 중요 인프라를 공격할 수 있는 네트워크 공격 및 방어 기술을 개발하는 데 사이버 범위가 어떻게 사용되고 있는지 보여주는 명확한 예입니다. 이 입찰은 팀 기반 전투 훈련을 지원하기 위한 '네트워크 공격 및 방어 훈련장(网络攻防靶场)'을 위한 것이었습니다. 명시된 요구 사항은 외국 군용 초단파 및 마이크로파 통신 장비의 통신 시스템, 신호 패턴 및 방해 전파 방지 방법을 시뮬레이션할 수 있는 기능이었습니다. 사이버 범위에는 4G 휴대폰의 통화 및 문자 실시간 정밀 감청, 트로이 목마 이식, 트래픽 하이재킹, 변조, 취약점 분석 등을 지원하는 '이동통신망 정찰 이식 소프트웨어'(移动通信网侦察植入软件)도 포함될 예정이었습니다. 이 범위는 운영 체제, 데이터베이스, 보안 장비를 포함한 약 200개의 가상 표적, 취약점 악용, 사이트 간 스크립팅, 권한 상승 등 약 100개의 일반적인 공격 벡터, 개념 증명(PoC) 기반 자동 공격, 민간 항공, 통신, 운송 분야의 표준 기업 구조와 같은 시뮬레이션 시나리오를 추가로 지원합니다.
네트워크 정찰
네트워크 침투가 평시 환경의 특징이라는 평가와 앞서 언급한 예정의 지속적인 준비와 동원에 대한 요구에 따라, 최신 버전의 군사 전략 과학은 사이버 공간을 통한 정보 수집이 평화 시 대치의 "가장 두드러진 형태"라고 주장합니다. 합동 상륙 작전, 합동 봉쇄 또는 두 가지 모두에 해당하는 대만 시나리오에 앞서 중국은 대만의 정부, 군대 및 기타 목표물로부터 최신 정보를 수집하려고 할 것입니다. 실제로 다양한 목적으로 대만의 네트워크에 대한 중국의 침투는 거의 지속적으로 이루어지고 있을 가능성이 높습니다. 2003년 초, 대만 정부 지도자들은 중국의 해커들이 23개의 트로이 목마를 이용해 10개의 기술 기업에 침투했으며, 이로부터 50개 이상의 기업과 30개의 정부 기관을 감염시켰다고 보고했습니다.
SMS 2013은 사이버를 이용한 정보 수집 또는 네트워크 정찰을 미래의 네트워크 공격 및 방어 작전을 준비하기 위한 목적으로 비파괴적 네트워크 익스플로잇을 사용하여 개인 정보를 수집하는 것으로 정의합니다. 네트워크 정찰은 네트워크 침투("네트워크 기밀 도용"[网络窃密]이라고 함)와 스파이, 제3자 판매자 및 기타 수단을 통한 물리적 정보 저장 장치의 검색("미디어 기밀 도용"[介质窃密]이라고 함)을 통해 적의 C4ISRK, 전자기 및 무기 제어 시스템을 정찰하는 것을 수반합니다. SMS 2017과 SMS 2020은 적의 네트워크 시스템(구조 및 구성[配置] 포함), 정보 능력, 중요 노드, 취약성, 전략 계획, 병력, 방법, 잠재적 행동 방침에 대한 정보의 필요성을 명시하여 수집 대상 정보에 대한 추가적인 통찰력을 제공합니다. 따라서 네트워크 정찰에는 적의 시스템에 대한 기술적 조사와 스파이 행위가 모두 포함되며, 그 자체가 네트워크 공격의 더 넓은 목적이기도 합니다. 이 섹션에서는 기술 정찰과 첩보 활동에 대해 설명합니다.
정찰 도구
SMS 2013은 목표는 다르지만 네트워크 공격과 방어의 방법은 기술 수준에서 네트워크 정찰과 동일하다고 강조합니다. 이 교재에서 인정한 구체적인 네트워크 정찰 전술에는 비밀번호 크래킹, 정보 가로채기, 로컬에 저장된 정보를 획득하기 위한 스파이웨어 사용 등이 있습니다. SMS 2017과 SMS 2020은 "바이러스, 트로이 목마, 해커 소프트웨어"를 사용하여 네트워크 정찰을 수행한다고 주장하면서 좀 더 모호하게 표현하고 있습니다.
중국 인민해방군 전쟁연구원(中国人民解放军事科学院战争研究院) 및 PLA 31003부대 소속 저자들이 2020년 발표한 논문입니다, (联合参谋部网络电子局, 합동참모부 네트워크 전자국)에 소속된 저자들은 20가지 이상의 "일반적인 네트워크 공격 방법"을 식별했습니다. 이 논문은 방어 지향적이지만 적 네트워크의 기술적 특징을 조사하기 위한 이러한 옵션에 대한 중국 주요 군사 기관의 인식을 반영한 것으로 보입니다. AMS와 관련된 다른 저자들은 네트워크 정찰을 위해 스니퍼와 취약성 스캐너를 포함한 동일한 도구 중 일부를 개발해야 한다고 명시적으로 주장했습니다. 2020년 백서에 수록된 방법은 다음과 같습니다:
- 전체 텍스트 및 계정 비밀번호를 포함한 네트워크 스니퍼(嗅探器)
- 위치, 취약성 및 서비스를 포함한 네트워크 스캐너(网络扫描)
- 핑거 및 LDAP 서비스를 포함한 정보 서비스 이용(信息服务利用)
- 사회 공학(社会工程)
- 다양한 방법을 통한 네트워크 차단(网络拦截)
- 네트워크 피싱(网络欺骗): IP 및 DNS 속임수, ARP 공격 및 이메일 피싱을 통한 공격
이론을 넘어 실제 세계에서 이러한 도구는 중국과 연계된 위협 행위자 그룹이 사용합니다. 미국 법무부(DoJ)가 2020년 발표한 기소장에 따르면, 여러 사이버 공격자(APT41 관련자 2명 포함)가 Acunetix 및 SQLMap과 같은 상용 네트워크 취약점 스캔 도구를 사용한 것으로 알려져 있습니다. 공소장은 APT41과 MSS를 느슨하게 연결하고 있습니다. TA413과 TAG-22(어스 루스카)도 마찬가지로 오픈 소스 도구인 FScan을 사용합니다. APT41과 관련된 공격자들은 기성 옵션을 사용하는 것 외에도 쿼리가 가능한 소셜 미디어 저장소인 SonarX와 휴대폰 문자 메시지를 가로채 분석하는 MESSAGETAP과 같은 맞춤형 소프트웨어와 멀웨어를 사용하여 공격 대상을 파악합니다.
중국의 전략적 이익과 네트워크 스캐닝 사이의 연관성을 조명한 레코디드 퓨처는 2018년 알래스카 정부 대표단의 중국 방문 직후 알래스카의 기업 및 기관에 1백만 개 이상의 연결을 시도한 칭화대학교의 IP 주소를 발견했습니다. 대표단의 목표는 잠재적인 알래스카-중국 가스 파이프라인을 협상하는 것이었으며, 알래스카 천연자원부, 알래스카 주 정부, 다양한 알래스카 통신 회사 등을 방문 대상에 포함시켰습니다. 대만에서는 법무부 수사국 사이버 보안 조사실(台湾法务部调查局网络安全调查办公室)의 부국장이 말했습니다, 류치아중(劉家宗)은 2020년에 중국의 '전방위적 침투'에 대해 경고했습니다. 그는 2018년부터 "중요한 정부 문서와 데이터"를 확보하기 위해 "최소 10개의 정부 기관과 약 6,000명의 공무원 이메일 계정"이 공격의 표적이 되었다고 주장했습니다.
위 목록에 있는 다른 전술들도 야생에서 관찰되었습니다. 예를 들어, 2020년 미국 대선 기간 동안 MSS와 연계된 레드브라보(APT31/지르코늄)는 "크리덴셜 피싱 이메일과 추적 링크가 포함된 이메일을 통해 [조 바이든과 도널드 트럼프] 캠페인 참모들의 개인 이메일을 표적으로 삼았다"고 합니다. TA423(APT40)은 사회 공학 전술을 사용하여 관찰되었으며, 예를 들어 'Australian Morning News'의 기자로 위장하고 '병가', '협조 요청' 등의 이메일 제목을 사용하는 것으로 나타났습니다. 더 넓게 보면, 지난 3년 동안 레드알파는 "국제인권연맹(FIDH), 국제앰네스티, 머케이터 중국 연구소(MERICS), 라디오 자유 아시아(RFA), 대만 미국 연구소(AIT) 등 수백 개의 도메인 스푸핑 조직을 등록하고 무기화"해왔습니다. 이러한 활동은 대만 및 기타 지역의 정보 출처에 대한 초기 접근 권한을 확보하기 위한 것일 가능성이 높습니다.
첩보 활동 모드
기술 정찰도 지원할 수 있는 중국의 사이버 스파이 활동에서 두드러진 추세는 위협 행위자가 보다 구체적인 표적으로 전환할 수 있는 중간 수준 및 상위 수준의 통신 인프라를 악용하는 것입니다. 예를 들어, APT41의 메시지탭은 네트워크 사업자의 단문 메시지 서비스 센터(SMSC) 서버에 설치되었습니다. 마찬가지로 중국에 기반을 둔 위협 공격자들은 전 세계의 관리형 서비스 제공업체(MSP), 클라우드 컴퓨팅 인프라, 가상 사설망(VPN) 제공업체를 표적으로 삼습니다. 미국 사이버보안 & 인프라 보안국의 2022년 6월 권고에 따르면, 중국 국가가 후원하는 위협 행위자들은 소호 라우터와 NAS(네트워크 연결 스토리지) 장치와 같은 네트워크 장치를 다른 조직을 향한 공격의 중간 지점으로 노리고 있다고 합니다. 이러한 공급망 중심의 사이버 스파이 활동의 비통신 유사 사례로는 고객 데이터 수집을 목적으로 하는 중국의 로펌 표적 공격이 있습니다.
위에서 설명한 추세의 극단적인 예는 Microsoft Exchange의 제로 데이 조합을 악용한 중국과 연계된 그룹에 의해 최소 30,000개의 조직이 침해된 사건입니다. 2021년 2월 말부터 Microsoft 고객의 이메일 서버에 액세스하기 위해 하루에 수천 건의 공격이 시작되었습니다. 처음에는 하나의 위협 활동 그룹(HAFNIUM)의 소행으로 추정되었지만, 패치가 공개되기 전에 APT27, Calypso, Websiic, Tick Group 등 중국에 기반을 둔 여러 알려진 그룹과 알려지지 않은 그룹도 취약점을 악용했습니다. Tick Group은 잠정적으로 PLA 61419 부대와 연계된 것으로 확인되었습니다. PLA와 연계된 것으로 알려진 톤토 팀은 패치가 발표된 후 취약점 체인을 익스플로잇하기 시작했습니다. 마이크로소프트 익스체인지 침입은 2018년 톈푸컵 이후에도 나타났던 것처럼, 조직이 수정 사항을 발표하기 전에 공개된 취약점을 서둘러 악용하는 중국의 정찰 활동의 또 다른 추세를 보여줍니다. 중국 인민해방군 및 국가안전부 관련 그룹을 포함한 여러 그룹이 마이크로소프트 익스체인지 취약점을 빠르게 악용한 것은 중국의 보안 장치 내에 공유 기능을 배포하는 '디지털 쿼터마스터' 생태계가 존재한다는 이론에 더욱 신빙성을 부여합니다.
네트워크 공격
중국이 대만 전시 시나리오에서 사이버 역량을 적용하기로 결정할 경우, 위에서 설명한 전력 구축, 무기 개발, 지속적인 네트워크 정찰 활동은 대만의 주요 정부, 군사, 민간 목표물에 대한 파괴적인 사이버 작전으로 정점을 찍을 것이 거의 확실합니다. 이 섹션에서는 중국의 권위 있는 소식통이 네트워크 공격의 개념과 표적 선정에 대해 어떻게 이해하고 있는지 살펴보고, 중국의 네트워크 세력이 어디를 공격할 수 있는지에 대한 교훈을 제공합니다.
공격 목표
네트워크 정찰 섹션에서 설명하는 정보 추출 외에도 여러 판의 군사 전략 과학에서는 네트워크 공격의 주요 목적을 적의 정보 시스템을 손상시키는 것으로 설명합니다. 네트워크 공격을 정보 공격의 한 유형으로 규정한 앞서 언급한 ' 사이언스 오브 캠페인'의 내용과 매우 유사한 표현으로, SMS 2013은 사보타주를 통해 시스템 기능을 저하시키는 것이 목표라고 주장합니다. SMS 2017과 SMS 2020도 마찬가지로 적의 지휘 및 통제, 통신, 무기 장비의 컴퓨터 시스템을 위한 네트워크를 파괴하고 마비시키는 것을 목표로 삼고 있습니다. 2015년 중국 정보 보안에 실린 기사에 따르면 공격의 심각도가 증가하는 3단계 공격이 있다고 합니다: '서비스 감소', '애플리케이션 손상', '시스템 마비'가 그것입니다.
네트워크 공격은 특히 분쟁 초기에 대만 시나리오에서 중국의 정보 우위 추구를 거의 확실하게 지원할 것이며, 그 목표는 대만이 전장을 정확하게 평가하고 위협에 효과적으로 자원을 동원할 수 있는 능력을 무력화하는 것입니다. 실제로 2001년판 에서는 네트워크 공격 등을 통해 적의 정보 흐름을 교란하여 "네트워크 전자기 공격으로 적의 재래식 전쟁 수행 능력을 무력화"하는 '전자 진주만' 시나리오를 이론화했습니다. 앞서 언급한 예 정은 "전쟁 초기 단계"에 네트워크 무기와 재래식 무기를 통합하여 "적의 통신망에 있는 연결고리"를 공격해야 한다고 주장했습니다.
전술적 수준에서 SMS 2013은 웜, 트로이목마, 논리 폭탄 사용, 적의 정보 자원과 네트워크에 과도한 부담을 주거나 변경, 적 네트워크에 잘못된 정보를 전송하는 것을 설명합니다. 후자의 경우, 캠페인의 과학에서는 명령 및 제어 지침을 변경하여 위치 및 항법 시스템에 '편차'를 일으키고 무기 시스템을 직접 표적으로 삼는 방법에 대해 설명합니다. SMS 2017과 SMS 2020은 네트워크 공격의 '주요 형태'를 바이러스를 사용하여 적의 시스템을 마비시키고, 데이터를 훔치고, 적의 정보 자료를 변조하고, 네트워크를 방해하고, 가짜 정보를 심는 것으로 정의합니다. 이 최신 교과서에는 '칩 무기(芯片武器)'라는 단어도 언급되어 있지만, 그 의미는 명확하지 않습니다. 앞서 언급한 AMS 전쟁 연구소 및 PLA 31003부대 소속 저자들의 방어 지향 논문과 같은 다른 출처에서는 악의적인 절차 및 스크립트(예: ShellCode) 사용, 인증 공격, 방화벽 및 UTM 서비스 등 방어 시스템의 취약점, 소프트웨어, 프로토콜 및 운영, 프로토콜 플러딩, DDoS 및 DNS DDoS 등 보다 구체적인 공격 방법 및 유형을 인정하고 있습니다.
정보 시스템을 저하시키거나 파괴하는 데 초점을 맞추고 있지만, 다양한 출처에서는 사이버 작전과 정보전의 심리적, 인지적 측면 간의 관계를 강조하면서 인식을 조작하는 사이버 능력의 역할에 대해서도 논의합니다. 예를 들어, 캠페인의 과학에서는 '특수 기술전'에 "적의 라디오 및 텔레비전 방송국에 조작된 방송과 이미지를 삽입"하는 행위가 포함된다고 규정하고 있습니다. 2016년에 AMS 소속의 한 저자도 적의 통신망에 침투하여 시민들에게 문자 메시지를 통해 선전물을 배포하고 황금 시간대 텔레비전을 통해 선전물을 방송하는 행위가 네트워크 와이즈의 예라고 주장한 바 있습니다. SMS 2017과 SMS 2020은 또한 2003년 이라크 전쟁 이전에 수천 명의 이라크 군인과 정부 요원이 미군으로부터 항복을 촉구하는 이메일을 받은 사례를 제기합니다." 사이버 작전과 심리적 영향 사이의 연관성은 표적 선정에 대한 논의에서 더욱 강조됩니다.
공격 대상
SMS 2017과 SMS 2020에 따르면 네트워크 전자기전은 "주로 상대방의 심리, 인지 영역, 의사 결정 시스템뿐만 아니라 중요하고 정치적으로 민감한 정보 인프라를 표적으로 삼는다"고 합니다. 목표는 적 지도자의 결정과 행동에 변화를 일으켜 분쟁의 '전반적인 상황'을 변화시키는 것입니다. 이 교과서에서는 지상, 공중, 우주 기반의 '인프라 네트워크 장비'는 물론 적군, 장비 시스템, 동원 대응 메커니즘, 전반적인 지원 시스템 등을 구체적인 목표로 명시하고 있습니다. 언급된 다른 대상으로는 '전략 경보 시스템'과 '군사 정보 시스템'이 있습니다.
적의 군사 목표에만 초점을 맞추는 것이 아니라 민간 핵심 인프라까지 확장합니다. SMS 2017과 SMS 2020은 네트워크 전쟁의 '주요 표적'에 국가 의사 결정권자뿐만 아니라 "에너지, 교통 및 기타 국가 정보 인프라의 정보 시스템"도 포함된다고 주장합니다. 이를 사이버 작전에 대한 의도적인 접근 방식이라고 주장하지는 않지만, SMS 2017과 SMS 2020은 네트워크 공격이 경제를 손상시키거나 붕괴시키고 정치, 경제, 사회적 혼란을 야기하며 "[적의] 전쟁 의지를 흔들 수 있다"고 관찰하고 있습니다.
다른 출처에서는 일부 형태의 중요 인프라를 대상으로 하는 제안을 더 명시적으로 제시하고 있습니다. 앞서 언급한 2016년 AMS 소속 저자의 글에서는 네트워크 와이셰의 한 형태로 "적의 주요 도시에서 단기간 대규모 정전"을 일으킬 것을 제안합니다. 또한, 중국 정부 기관과 국영 기업의 조달 활동과 인민해방군 및 기타 기관 소속 분석가들의 연구는 2015년 우크라이나 전력망에 대한 러시아의 사이버 공격과 후속 공격에 대해 적어도 방어적인 관심을 가지고 있음을 보여줍니다. 방위 계약업체 및 PLA 학술 기관과 연계된 중국의 일부 사이버 범위는 산업 제어 시스템도 시뮬레이션합니다.
위에서 언급한 소식통이 설명한 대로 중국의 네트워크 부대가 대만 전시 상황에서 성공적으로 역량을 발휘할 수 있다면, 대만은 통신망이 마비되고, 교통 및 에너지 네트워크(전력망 포함)가 중단되며, 정부 및 군 통신망이 크게 손상되거나 허위 정보로 조작되고, 시민과 전사들이 분쟁에 대한 사기를 저하시키는 선전에 노출될 가능성이 매우 높습니다.
공격 사고
실제 정찰 및 스파이 활동 사례에 비해 중국의 파괴적인 사이버 역량에 대한 구체적인 사례는 많지 않습니다. 이는 중국이 필요한 능력이 부족하다는 증거가 아니라 이 글을 쓰는 현재로서는 당국이 이를 사용하지 않기로 결정했다는 뜻입니다. 하지만 중국의 네트워크 세력은 실제로 여러 차례에 걸쳐 적의 핵심 인프라를 표적으로 삼은 적이 있습니다. 대만에서 발생한 사건을 포함한 몇 가지 사례를 아래에 간략히 소개합니다:
- 2020년 중반 중국과 인도의 국경 분쟁이 벌어지는 동안 RedEcho는 인도 전력망의 주요 요소인 인도 내 최소 4개의 지역 부하 발송 센터와 2개의 주 부하 발송 센터를 표적으로 삼았습니다. 또한 고압 송전 변전소와 석탄 화력발전소도 표적으로 삼았습니다. 이러한 활동은 향후 이 중요 인프라에 대한 잠재적인 공격을 지원하거나 중국의 역량을 알리기 위한 사전 포석의 한 형태일 가능성이 높습니다.
- 대만의 국영 에너지 회사인 CPC Corporation은 앞서 언급한 2020년 미국 법무부 기소장에 명시된 APT41의 공격자로부터 2020년 중반 랜섬웨어 공격을 받았으며, 이는 MSS와의 느슨한 연관성을 시사합니다. 이 공격은 2020년 대만 총통 선거에서 차이잉원 총통이 승리한 이후 발생했습니다. 랜섬웨어 공격은 일반적으로 금전적 동기가 있지만, 금전적 요구가 없었고 파괴적인 의도로 공격했다는 증거도 있습니다. 이 공격은 회사 파일을 암호화하고 삭제했으며, 그 결과 CPC 주유소에서 고객의 결제 옵션이 손상되었습니다. 러시아 및 이란과 연계된 것으로 보이는 사이버 위협 공격자들도 랜섬웨어로 위장한 파괴적인 멀웨어를 사용한 것으로 알려졌습니다.
- 2011년 말과 2012년 말에 중국과 연계된 불특정 다수의 위협 행위자들과 전 총참모부 제3부 소속 61398부대인 APT1이 13개의 미국 천연가스 파이프라인 운영업체에 침입하여 파이프라인 관리 시스템과 관련된 정보를 훔치는 데 성공했으며, 이는 "파이프라인을 물리적으로 손상시키거나 파이프라인 운영을 방해하는" 능력을 개발하기 위한 것으로 추정됩니다.
강압적 스펙트럼의 하단에 있는 대만과 한국이 정치적, 지정학적 문제를 놓고 대립하고 있는 상황에서 중국 기반 위협 행위자들은 외국 정부 및 비정부 조직의 기능을 훼손하고 저하시키기 위해 유사한 패턴의 사이버 공격을 가하고 있습니다. 대만의 경우, 낸시 펠로시의 2022년 8월 방문에 대한 중국의 대응은 위에서 설명한 대로 정부 및 공공장소에 대한 디도스 공격과 명예 훼손 공격을 동반했습니다. 이는 2017년 한국이 미국으로부터 고고도미사일방어(사드) 포대를 도입하기로 결정한 이후 벌어진 일과 매우 유사합니다. 한국 외교부는 이 결정 전후로 디도스 및 기타 사이버 공격과 해킹 시도가 급증했습니다. 사드 배치 부지 제공에 동의한 롯데그룹과 그 계열사 웹사이트도 디도스 및 디도스 공격으로 피해를 입었습니다. 당시 월스트리트 저널 기사에는 "한국 정부와 군, 방위 기업, 대기업[거의 롯데그룹]을 대상으로 한 다양한 공격의 배후에 톤토팀(PLA로 추정), APT10(국가안전기획부와 연관된 것으로 추정), 애국적 해커"가 있다고 주장한 FireEye의 대간첩 분석 책임자와의 인터뷰가 게재되었습니다. 대만에 대한 공격은 애국적인 해커의 소행일 가능성이 높은 것으로 평가되고 있습니다.
중국이 필리핀, 베트남과 남중국해에서 벌이고 있는 해양 및 영토 분쟁에서도 애국주의적 핵티비즘의 가능성이 관찰되고 있습니다.
그림 2: 2022년 8월 낸시 펠로시의 대만 방문에 대한 대응으로 공공 TV 화면에 대한 훼손 공격이 발생했습니다. 위: 대만 철도청 역의 스크린에는 이번 방문이 중국의 주권에 대한 "심각한 도전"이라고 선언하고 펠로시를 환영하는 사람들은 "국민의 심판을 받게 될 것"이라고 경고하고 있습니다. 하단: 세븐일레븐의 스크린에는 "워모너 펠로시는 대만에서 꺼져라"라고 적혀 있습니다(출처: 대만 뉴스).
전망
대만, 미국 및 기타 관련 국가의 사이버 보안 기관과 군사 계획 담당자는 중국의 네트워크 정찰에 대한 방어를 강화하고 평시와 전시 모두에서 공격에 대비할 것을 권장합니다. 대만을 겨냥한 평시 중국의 사이버 위협 활동에는 대만의 독립 움직임을 막기 위한 강압적인 노력이 포함될 가능성이 매우 높고, 전시 중국의 사이버 위협 활동에는 대만에 대한 광범위한 합동 상륙 또는 봉쇄 캠페인의 일환으로 정보 우위를 점하기 위한 사이버 전쟁 노력이 거의 확실하게 포함될 것입니다. 네트워크 정찰과 관련하여 사이버 보안 및 군사 계획자는 네트워크 스캐닝, 피싱, 도메인 스푸핑, 제로 데이 및 기타 도구를 사용하여 정보를 수집하고 향후 네트워크 공격에 대비하는 중국의 네트워크 정찰 작전에 대비해야 합니다. 네트워크 공격과 관련하여 기획자는 군 및 민간 정보 시스템과 중요 인프라의 기능을 방해, 손상 또는 파괴하는 것을 목표로 하는 위협에 대비해야 합니다. 사이버 보안 및 군사 기획자들은 중국의 네트워크 정찰 및 공격의 특성과 효과에 영향을 미칠 수 있는 중국의 네트워크 전력 및 무기 개발을 위한 국가 차원의 노력을 모니터링해야 합니다.
관련