지난달 28일(현지시각) 미국과 이스라엘이 이란 공격에 앞서 이란 정부 기관과 군사 시설을 향해 사이버 공격을 가한 것으로 알려졌다. 여러 뉴스 웹사이트가 해킹됐고, 500만건 이상 다운로드된 기도 시간 알림 앱 '바데사바(BadeSaba)'에는 '심판의 시간이 왔다'는 메시지가 떴다. 이후 이란의 인터넷 연결이 평상시의 1% 수준으로 급감했다는 분석도 나왔다.
사이버전은 물리적 충돌과 달리 그 파장이 국경을 넘어 빠르게 확산할 수 있다. 3일 로이터통신에 따르면, 미 국토안보부(DHS)는 이란 연계 해커들이 미국 본토를 상대로 디페이스먼트나 디도스(DDoS) 같은 저강도 공격에 나설 가능성이 크다고 봤다. 디페이스먼트는 웹사이트 첫 화면을 바꿔 메시지를 노출하는 방식이고, 디도스는 대량 접속을 일으켜 서버를 마비시키는 공격이다.
그렇다면 어떤 조건에서 사이버 공격이 더 거세지고, 방어가 더 어려워질까. 지난해 11월 미국 콜게이트대 연구진은 국가 간 사이버전 전략을 게임이론으로 분석해 국제 학술지 '이코노믹 인콰이어리(Economic Inquiry)'에 발표했다.
게임이론은 상대가 어떻게 움직일지를 예상하면서 전략을 정하는 방식을 수학적으로 따져보는 방법이다. 바둑이나 체스처럼 상대의 수를 고려해 수를 두는 상황을 떠올리면 이해하기 쉽다.
연구진은 이를 바탕으로 국가 간 사이버전을 단순한 해킹 사건의 연속이 아니라, 공격자와 방어자가 서로의 선택을 예상하며 자원을 투입하는 전략 경쟁으로 봤다. 공격과 방어가 동시에 이뤄지고 이겨도 져도 이미 투입한 비용은 돌려받지 못한다는 점에서, '누가 더 힘이 센가'보다 '누가 더 효율적으로 비용을 쓰느냐'에 초점을 맞춘 것이다.
분석 결과, 사이버전은 한쪽이 압도적으로 강할 때보다 서로 해볼 만하다고 느낄 때 더 격해지는 것으로 나타났다. 연구진은 이를 양측의 실질 가치가 비슷한 상황으로 설명했다. 실질 가치는 군사력이나 경제력뿐 아니라, 공격에 성공했을 때 얻는 이익, 방어에 실패했을 때 입는 손실, 공격과 방어에 드는 비용, 네트워크 특성까지 함께 반영한 값이다.
연구진은 이 내용이 왜 최근 사이버전이 더 잦아졌는지를 설명하는 단서가 된다고 말했다. 전통적인 군사력에서는 강대국과 열세 국가 사이의 격차가 커 보여도, 사이버 공간에서는 비교적 적은 비용으로도 상대를 흔들 수 있다. 그래서 공격 능력이 조금만 높아져도, 열세에 있는 쪽이 '이건 시도해볼 만하다'고 판단할 수 있다는 것이다.
미국 사이버보안 업체 아노말리는 보고서를 통해 "미국의 군사 작전으로 이란의 재래식 전력이 약화되면, 사이버 공격이 주요 보복 수단으로 활용될 가능성이 높다"고 밝혔다.
연구진은 또 공격 경로가 많을수록 공격자가 유리해진다고 분석했다. 정부 앱, 언론 사이트, 군 관련 시스템, 민간 인프라처럼 공격자가 노릴 수 있는 통로가 많아질수록 공격 비용은 상대적으로 낮아지고, 반대로 방어자는 더 많은 지점을 동시에 지켜야 해 비용이 커진다.
그래서 연구진은 네트워크 구조 자체가 방어 전략이 될 수 있다고 봤다. 특히 하나의 중심 시스템이 여러 주변 시스템을 잇는 스타 네트워크 구조는 대체로 방어자에게 유리할 수 있다. 전체를 흔들 수 있는 직접 진입 경로 수를 줄일 수 있기 때문이다.
여기에는 중심 시스템을 충분히 강하게 지켜야 한다는 전제가 붙는다. 중앙 허브가 약하면 이 구조는 방패가 아니라, 오히려 전체를 뚫는 지름길이 될 수 있다.
다만 연구진은 "흔히 민간 기업이 각자 자기 시스템을 지키는 방어 체계에서는 서로 연결된 다른 시스템에 주는 이익까지 충분히 고려하지 못해 방어 투자가 부족해질 수 있다고 보지만, 그렇다고 정부가 중심이 되는 중앙집중형 통제가 늘 해답은 아니다"라며 "공공 방어 체계는 더 공격적인 대응을 불러올 수 있고, 중요도가 낮은 시스템까지 일괄적으로 적용하면 불필요하게 비용이 많이 들 수 있다"고 설명했다.
그러면서 "이번 결론은 특정 전쟁 사례를 직접 분석한 실증 결과가 아니라 이론 모형에서 나온 함의"라며 "왜 사이버전이 실제 전쟁에서 점점 더 중요해지는지, 또 디지털 방어 체계를 단순히 키우는 것만으로는 충분하지 않은지를 잘 보여준다"고 덧붙였다.
참고 자료
Economic Inquiry(2025), DOI: https://doi.org/10.1111/ecin.70027