핵심 OPSEC 원칙: 동적 워크플로 구획화 매뉴얼

*상태: 레벨 1 지침

대상: 모든 조직가 — 이것을 먼저 읽으십시오*

작전 보안(OPSEC)은 단순한 체크리스트가 아니라, 방어적인 태세를 적극적이고 지속적으로 유지하는 상태입니다. 이것은 어떤 데이터를 생성하고, 누가 그 데이터를 원하며, 그들이 그것으로 무엇을 할 수 있는지를 식별하여 민감한 정보를 보호하는 규율입니다. 이 매뉴얼은 모든 계층의 적대자에 맞서 연쇄적인 붕괴를 막기 위해 필요한 신분 구획화(compartmentalization), 정보 흐름 통제, 그리고 동적 워크플로 관리의 정확한 메커니즘을 설명합니다.

OPSEC의 황금률: 보안의 강도는 가장 약한 고리에 의해 결정됩니다. Signal 그룹 내에서 WhatsApp을 사용하는 단 한 사람, EXIF 데이터가 포함된 채 업로드된 단 한 장의 사진, 변호사에게 보낸 암호화되지 않은 단 한 통의 이메일 — 이 중 어느 하나라도 그 외에는 완벽한 작전 태세를 완전히 무너뜨릴 수 있습니다. OPSEC은 개인의 실천이 아니라 집단적인 실천입니다.

1. 5단계 OPSEC 프로세스

시민 운동에 맞게 조정한 미국 군대의 고전적인 OPSEC 프레임워크입니다:

중요 정보 식별 (Identify Critical Information): 적대자가 알게 될 경우 우리 조직에 해가 되는 정보는 무엇인가? 참가자 이름, 회의 장소, 계획된 행동의 날짜, 법적 전략, 재정 출처, 내부 갈등.
위협 분석 (Analyze Threats): 누가 우리의 중요 정보를 원하고 있는가? (위협 모델링 가이드 참조) 그들의 정보 수집 능력은 어떠한가?
취약점 분석 (Analyze Vulnerabilities): 우리의 중요 정보가 어디서 유출되는가? 소셜 미디어 게시물, 휴대폰 메타데이터, 신용카드 거래 내역, 엿들은 대화, 디지털 기기 데이터.
위험 평가 (Assess Risk): 각 취약점에 대해 ‘가능성 × 영향’을 계산합니다. 높음(HIGH) 및 치명적(CRITICAL) 위험에 우선순위를 둡니다.
대응책 적용 (Apply Countermeasures): 구체적이고 실행 가능한 보호 조치를 구현합니다. 이를 지속적으로 재평가합니다.

2. 신원 구획화 (“에어 갭” 원칙)

현대 OPSEC의 가장 기본적 규칙은 페르소나의 엄격하고 영구적인 분리입니다. 개인적인 신원(본명, 가족, 직장, 집 주소)은 작전용 신원(가명, 네트워크, 작전 활동)과 결코 교차해서는 안 됩니다. 단 한 번의 교차라도 사후 분석을 통해 악용될 수 있는 변하지 않는 연결 고리를 만듭니다.

2.1 하드웨어 분리

규칙: 개인 기기를 조직 운영에 사용하지 마십시오.

이유: 기기 식별자(IMEI, 일련 번호, MAC 주소, 광고 ID)는 영구적이며 고유합니다. Wi-Fi와 블루투스 라디오는 이러한 식별자를 수동적으로 방송합니다. 개인 휴대폰은 집, 직장, 체육관 근처의 셀 타워에 연결되어 정확한 생활 패턴(pattern-of-life) 지도를 만듭니다. 그 기기가 제한된 위치(시위 현장이나 비밀 회의 등)에 나타나면, 당신의 신원이 그 장소와 연결됩니다.

실행 방법:

“깨끗한” 작전용 기기(휴대폰, 노트북)는 실제 매장에서 추적할 수 없는 현금으로 구매하십시오. 온라인으로 주문하지 마십시오. 배송 기록이 집 주소와 연결됩니다.
이 기기들은 절대 집 Wi-Fi 네트워크에 연결해서는 안 됩니다. VPN을 설정하기 위해 잠시 연결하는 것조차도 기기의 위치 기록을 손상시킵니다.
작전용 기기를 개인 블루투스 액세서리(무선 이어폰, 키보드, 피트니스 트래커)와 페어링하지 마십시오.
активно 사용하지 않을 때는 작전용 기기를 패러데이 가방(Faraday bags)에 보관하십시오. 이는 수동적인 셀룰러 폴링, Stingray 데이터 캡처 및 무선 익스플로잇을 방지합니다.
집에 계속 꽂혀 있는 충전기로 집에서 작전용 기기를 충전하지 마십시오(스마트 멀티탭은 에너지 사용 패턴을 기록할 수 있습니다).

2.2 IP 주소 및 네트워크 분리

규칙: 작전 트래픽이 개인 트래픽과 동일한 IP 발자국을 공유하도록 두지 마십시오.

이유: 집 IP 주소는 본명과 청구서 주소로 ISP 계정에 등록되어 있습니다. 접속하는 모든 웹사이트, 서비스, 플랫폼은 이 IP를 기록합니다. 집 IP에서 단 한 번이라도 작전용 계정에 로그인하면, 해당 계정은 ISP 소환장 기록을 통해 귀하의 신원과 영구적으로 연결됩니다.

실행 방법:

모든 작전용 기기는 익명화 네트워크를 통해 독점적으로 라우팅해야 합니다. (낮은 익명성부터 높은 익명성 순서: VPN만 → VPN + Tor → Tor만 → Tails OS + Tor).
T2(경찰) 이상의 적대자에게 VPN 단독은 불충분합니다. VPN 제공업체가 소환될 수 있습니다. 강력한 노로그(no-log) 정책, 해외 관할권, 법적 요구에 저항한 이력이 입증된 제공업체를 사용하십시오(현재 Mullvad가 표준입니다).
Tor를 통해 수행할 수 없는 작전 활동의 경우, 거주지나 평소 자주 가는 장소에서 멀리 떨어진 공용 Wi-Fi를 사용하십시오. 장소를 주기적으로 교체하고, 같은 카페를 반복해서 가지 마십시오.
개인 IP에서 작전 계정에 로그인하지 마시고, 작전 기기/IP에서 개인 계정에 로그인하지 마십시오.

2.3 계정 및 신원 분리

규칙: 모든 작전 계정은 전적으로 작전 기기와 작전 IP를 통해서만 생성되고 유지되어야 합니다.

실행 방법:

Tor 또는 깨끗한 VPN을 통해 개인 복구 정보가 연결되지 않은, 프라이버시를 존중하는 이메일 제공업체(Proton Mail, Tutanota)를 사용하여 작전용 이메일 계정을 만듭니다.
본명, 위치 또는 기타 지속적인 식별자를 나타내지 않는 플랫폼별 고유한 사용자 이름을 사용하십시오.
여러 플랫폼에서 같은 사용자 이름을 재사용하지 마십시오. 재사용된 이름은 OSINT 도구를 통해 쉽게 교차 참조됩니다.
계정 복구를 위해 절대 실제 전화번호를 제공하지 마십시오. Tor 환경에서 VOIP 번호(JMP.chat 등)를 사용하거나 가능하면 전화 인증을 완전히 건너뛰십시오.
작전 계정을 개인 결제 수단과 연결하지 마십시오. 현금으로 구매한 기프트 카드로 자금을 조달한 가상 카드(privacy.com)나 모네로(Monero)를 사용하십시오.

2.4 행동 분리 (생활 패턴, Pattern-of-Life)

규칙: 작전 가명은 실제 신원과는 뚜렷하게 다른 “생활 패턴(PoL)”을 보여야 합니다.

이유: 직접적인 식별이 없더라도 행동 분석을 통해 익명성이 해제될 수 있습니다. 항상 미국 중부 시간 기준 오후 9시에서 오전 1시 사이에 온라인에 글을 올리고, 본명 계정이 침묵할 때 정확히 가명 계정이 활성화된다면, 이러한 상관관계는 통계적으로 매우 유의미합니다.

실행 방법:

글쓰기 스타일: 어휘를 변경하고, 고유한 시그니처 문구 사용을 피하며, 문법 패턴을 조정하십시오.
활동 타이밍: 개인 계정이 비활성화된 시간에만 작전 계정에 접속하지 마십시오. 의도적인 소음(노이즈)을 만드십시오.
주제 상관관계: 개인 계정에서 작전 주제에 대해 우회적으로라도 논의하지 마십시오. “자세히 말할 순 없지만 큰일이 일어나고 있어”와 같은 발언 자체가 정보 유출입니다.

3. 동적 워크플로 구획화

작전은 엄격한 알아야 할 필요성(need-to-know) 액세스 제어에 따라 독립적이고 중복되지 않는 ‘세포(cell)’로 나뉘어야 합니다. 이는 단순한 관료적 장애물이 아니라, 단일 보안 침해가 전체 조직을 파괴하는 것을 막는 근본적인 아키텍처입니다.

3.1 세포 구조 (The Cellular Structure)

구조: 물류, 통신, 법률, 아웃리치, 직접 행동 등 별개의 세포(Cell) 단위로 조직화하십시오. 한 세포의 구성원은 자신의 세포 내 구성원의 신원과 인접 세포와 연결되는 단 한 명의 지정된 연락책(liaison)만을 알아야 합니다.

이유: 물류 세포의 구성원이 체포되어 기기를 압수당할 경우, 추출된 정보는 오직 물류 세포만을 위험에 빠뜨립니다. 핵심 행동(Action) 세포는 온전하게 유지됩니다. 이 구조가 없다면 단 한 번의 체포가 전체 네트워크를 노출시킵니다.

실행 방법:

4~7명 규모의 세포가 최적입니다.
세포 간 연락책은 보안 교육을 가장 많이 받은 경험 많은 구성원이어야 합니다.
교차 세포 조정이 필요한 결정은 연락책을 통해서만 이루어지며, 절대로 일반 구성원 간의 직접 통신을 통해 이루어지지 않습니다.
문서화할 필요가 없는 것은 문서화하지 마십시오. 직접 만나 대화로 결정하고 기록 없이 실행할 수 있다면 그 방법을 선호하십시오.

3.2 ‘알아야 할 필요성’ 원칙 (The Need-to-Know Principle)

규칙: 그 누구도 특정 임무를 수행하는 데 필요한 것 이상의 정보를 받아서는 안 됩니다.

피해야 할 일반적인 위반 사항:

특정 작업을 위한 소그룹만 알아도 될 때 전체 참가자 목록 공유하기
소수에게만 해당하는 이메일 참조(CC)에 모든 사람 넣기
역할에 맞는 특정 채널이 아닌 전체 채널에 행동 세부 정보 게시하기
“그냥 모든 사람이 알게 하기 위해” 말로 정보 공유하기

실행 방법:

각 세포마다 별도의 Signal 그룹을 유지합니다. 전체 그룹에는 모두가 알아야 하는 정보만 제공됩니다.
법적 및 의료 정보(참가자 체포 기록, 건강 상태 등)는 지정된 법률/의료 코디네이터만이 보유해야 합니다.

3.3 정보 분류

모든 조직 정보에 간단한 분류 체계를 적용하십시오:

레벨	레이블	정의	취급 방법
0	공개 (Public)	의도적으로 게시됨; 누구나 알 수 있음	소셜 미디어, 전단지, 보도자료
1	내부 (Internal)	일반 구성원용; 민감하지 않음	일반 Signal 그룹, 내부 위키
2	민감 (Sensitive)	관련 세포에 국한됨; 노출 시 혼란 야기	세포별 Signal 그룹, 구두 소통
3	핵심 (Critical)	조직 보안의 핵심; 노출 시 막대한 피해	대면으로만 논의, 디지털 기록 금지

4. 방첩: 잠입자 탐지 및 관리

모든 대규모 시민 조직은 잠입의 가능성을 기정사실화해야 합니다. 이는 편집증이 아니며, COINTELPRO, 환경 단체 감시, BLM 지부 감시 등 정보공개청구(FOIA)를 통해 문서화된 역사적 사실입니다.

4.1 잠입 가능성을 시사하는 행동 지표

단일 지표만으로는 확정할 수 없습니다. 다음과 같은 여러 지표의 패턴이 보일 때 조사가 필요합니다:

심각한 형사 고발을 유발할 수 있는 전술로 지속적인 ‘에스컬레이션(고조)’을 부추기는 사람
자신의 역할과 관련 없는 작전 세부 사항, 타임라인 또는 참가자 신원에 대해 유난히 자세히 묻는 사람
검증 가능한 사회적 신뢰 네트워크 없이 혼자 도착한 사람 (아무도 그들을 독립적으로 보증할 수 없음)
보안 프로토콜을 거부하고, 프라이버시를 편집증이나 엘리트주의로 몰아가는 사람
밝혀진 배경과 일치하지 않는 설명할 수 없는 재정 자원을 가진 사람
즉시 권위 있는 위치를 차지하거나 민감한 정보에 접근하려고 하는 사람
잦은 결석이나 불명확한 변명을 하는 사람
핵심 조직가들 사이를 교묘하게 이간질하는 사람

4.2 보증 시스템 (The Vouching System)

실행 방법:

민감한 공간에 들어오는 새로운 참가자는 해당 인물의 신원과 과거를 독립적으로 확인할 수 있는 두 명의 기존 신뢰 구성원에 의한 ‘대면 보증’이 필요합니다.
보증에는 책임이 따릅니다. 당신이 보증한 사람이 정보원으로 밝혀지면, 당신의 판단력 또한 의심받게 됩니다.
신입 회원에 대해서는 수습 기간(Probationary period)을 두십시오. 신뢰가 확립될 때까지 공개 활동에는 전면 참여시키되 민감한 작전 논의 참여는 제한하십시오.
온라인에서만 아는 사람을 절대 보증하지 마십시오.

4.3 카나리아 함정 (정보 유출 의심 시)

특정 인물이 유출의 출처로 의심되지만 확증할 수 없는 경우, 통제된 정보 테스트를 사용하십시오:

치명적이지 않은 작전 정보에 대해 미세하게 다른 버전의 정보를 각 용의자에게 개별적으로 제공합니다.
특정 버전의 정보가 외부(경찰의 동향, 언론 보도 또는 적대자의 온라인 게시물)로 유출되는지 모니터링합니다.
외부로 드러난 정보 버전이 유출자를 식별합니다.
주의: 이 방법은 숙련된 리더십에 의해서만 실행되어야 합니다. 오탐지(False positive)는 신뢰를 파괴하고 무고한 회원을 위험에 빠뜨릴 수 있습니다.

4.4 잠입자를 확인했을 때

즉시 직면하여 추궁하지 마십시오. 추궁은 그들에게 힌트를 주어 핸들러(담당관)에게 경보를 울리게 하고, 감시를 강화하게 만듭니다.
피해 평가: 그들이 무엇에 접근했는가? 무엇이 손상되었을 가능성이 있는가?
즉시 법률 고문과 상담하십시오. 변호사는 추가적인 법적 위험을 초래하지 않으면서 상황을 진행하는 방법에 대해 조언할 수 있습니다.
상황이 평가되는 동안 조용히 그들의 정보 접근을 제한하십시오.
충분한 평가와 법률 상담 후, 공개 여부와 다음 단계에 대한 조직적 결정을 내립니다.

5. 안전한 대면 회의

대면 회의가 감시당하거나 대화 내용이 녹음된다면 디지털 보안은 무의미합니다.

5.1 장소 선정

민감한 논의를 위해 동일한 장소에서 반복적으로 만나지 마십시오. 장소를 바꾸십시오.
출입구에 감시 카메라가 있는 장소를 피하거나, 안면 인식 캡처를 우회할 수 있는 방식으로 출입하십시오.
사적인 거주지는 상업 시설(감시 카메라 없음, 잠재적 증인인 직원 없음)보다 일반적으로 더 안전합니다. 다만 가는 길에 차량 번호판이 찍히는 ALPR/CCTV 위험과 균형을 맞춰야 합니다.
야외 장소(공원, 숲)는 오디오 녹음을 방지하지만 다른 감시 위험(항공 관측, 장거리 지향성 마이크)을 초래합니다. 상황에 맞게 평가하십시오.
절대 차량 안에서 민감한 대화를 나누지 마십시오. 현대의 차량에는 원격으로 해킹될 수 있는 다중 마이크, 블루투스 라디오, 셀룰러 칩이 내장되어 있습니다.

5.2 민감한 회의에서의 기기 정책

휴대폰 전원을 끄고 패러데이 가방에 넣거나, 차량에 두고 오십시오. “비행기 모드”는 불충분합니다. 네트워크 연결은 비활성화하지만 모든 무선 장치를 끄는 것은 아니며, 해킹을 통해 다시 켜질 수 있습니다. 물리적 분리가 필수적입니다.
회의 시작 전, 낯선 전자 장비가 있는지 공간을 수색하십시오.
참가자들에게 스마트 워치, 피트니스 트래커, 스마트 홈 기기를 가져오지 말라고 지시하십시오.

5.3 오디오 대응책

문과 창문 근처에 배치된 백색 소음기(White noise machines)는 지향성 마이크나 유리 접촉 마이크의 효과를 극적으로 떨어뜨립니다.
창문 근처에서 민감한 대화를 하지 마십시오 (레이저 마이크는 꽤 먼 거리에서도 유리창의 진동을 읽어낼 수 있습니다).
평소 목소리 톤으로 말하십시오. 입을 가리고 속삭이는 것은 감시 카메라 영상에서 의심스럽게 보이며 정교한 오디오 캡처 장비를 이길 수 없습니다.

6. 디지털 위생의 기본

6.1 최소 발자국 원칙

각 작업을 수행하는 데 필요한 최소한의 데이터만 생성하십시오. 애초에 만들지 않은 데이터는 압수당하거나 유출될 수 없습니다.

조치가 끝난 후 작전 메시지 삭제 (Signal의 사라지는 메시지 사용)
민감한 회의에서 사진 촬영 금지
작전 파일에 대해 클라우드 동기화 사용 금지
작전용 기기에서 매 세션 종료 후 브라우저 방문 기록, 쿠키 및 로컬 스토리지 삭제
적극적으로 사용하지 않는 앱 제거

6.2 소프트웨어 업데이트

패치되지 않은 소프트웨어는 해커와 법 집행 기관의 디지털 포렌식 모두에서 가장 흔하게 악용되는 공격 표면입니다. 모든 기기에서 자동 업데이트를 켜십시오. 이전 버전의 소프트웨어를 실행하여 얻는 보안상 이점은 없습니다.

6.3 애플리케이션 권한 감사

매월 모든 기기에서 앱 권한 감사를 실시하십시오:

작동하는 데 필요하지 않은 모든 앱에서 위치 권한 철회
필요하지 않은 모든 앱에서 마이크 및 카메라 권한 철회
폭넓은 데이터 수집 이력이 문서화된 앱(Facebook, TikTok, 상업용 날씨 앱) 삭제

6.4 브라우저 보안

작전 브라우징에는 uBlock Origin이 설치된 Firefox를 사용하십시오. “향상된 추적 방지(Enhanced Tracking Protection)”를 엄격(Strict) 모드로 설정하십시오.
최대한의 익명성이 필요할 때는 Tor Browser를 사용하십시오.
민감한 작전 업무에 Chrome을 절대 사용하지 마십시오.
작전용 브라우징과 개인 브라우징에는 완전히 분리된 브라우저(또는 프로필)를 사용하십시오.

이 가이드는 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다.

← 목차로 돌아가기