시민 단체를 위한 고급 위협 모델링
| *상태: 레벨 2 지침 | 대상: 작전 계획자 및 보안 팀* |
위협 모델링은 편집증이 아닙니다. 이것은 작전 환경에 대한 계산되고 객관적인 평가입니다. 이 프레임워크는 기업 보안 방법론(STRIDE, PASTA, DREAD)을 비국가 행위자, 활동가 및 시민 단체에 맞게 구체적이고 정량화된 실행 가능한 모델로 조정합니다.
핵심 규칙: 당신이 실제로 직면한 적보다 더 높은 수준의 적을 대비하지 마십시오. 보안을 과도하게 설계하면 작전이 마비되고, 참여자가 지치며, 잠재적인 지지자들을 고립시킵니다. 보안을 과소 설계하면 사람들이 체포되거나, 신상이 털리거나, 피해를 입게 됩니다. 정확하게 조정하십시오.
1. 적 프로파일링: 위협 계층 (The Threat Tiers)
효과적인 방어를 위해서는 적의 능력, 예산, 법적 권한 및 정치적 제약을 이해해야 합니다. 각 계층마다 질적으로 다른 방어 태세가 필요합니다.
T1: 소음 (신상털이범, 트롤, 괴롭힘 네트워크)
- 예시: 극우 포럼 (4chan, 텔레그램 채널), 맞불 시위 그룹, 스토커, 기회주의적 괴롭힘 가해자.
- 능력:
- 공개 출처 정보(OSINT): 구글 검색 기법(Google dorking), 역이미지 검색, 링크드인/페이스북 스크래핑, 데이터 브로커 수집
- 사회 공학 (피싱 전화, 가짜 계정)
- 공개 행사에 물리적으로 참석
- 플랫폼 수준 공격: 대규모 계정 신고, 리뷰 테러(review bombing)
- 스와팅(Swatting: 무장 경찰을 타겟의 위치로 출동시키는 허위 신고)
- 한계: 법적 권한 없음, 자금 보장 안됨, 일반적으로 기술적 수준이 낮음, 민사 소송 대상, 역(Counter)-OSINT에 취약함.
- 주요 대응책: 데이터 브로커 옵트아웃, 익명/가명 공개 활동, 비공개 소셜 계정, 철저한 정보 위생, 커뮤니티 조기 경보 네트워크.
T2: 지역 법 집행 기관 (경찰, 보안관, 지역 융합 센터)
- 예시: 지방 경찰, 카운티 보안관, 합동테러대책반(JTTF), DEA, 지역 융합 센터.
- 능력:
- 체포 및 구금 권한
- 물리적 감시 (미행, 고정 관측소)
- 기지국 시뮬레이터 (CSS/IMSI 캐처, “Stingrays”): 지리적 반경 내의 IMEI/IMSI 번호 캡처 및 암호화되지 않은 SMS 가로채기
- 자동 번호판 판독기 (ALPRs): 실시간 및 소급적 위치 추적
- 안면 인식 데이터베이스 (종종 낮은 정확도 임계값과 인종적 편향성 보유)
- 상업용 데이터 브로커 접근: 위치 데이터, 소셜 그래프, 구매 내역
- 국내 기술 기업(Google, Apple, Meta, Verizon 등)에 대한 영장 청구 권한
- 활동가 커뮤니티에 잠입한 비밀 정보원
- 국가 범죄 정보 센터(NCIC) 데이터베이스 조회
- 기지국 덤프 요청: 특정 시간대에 셀 타워에 연결된 모든 기기 기록 확보
- 한계: 관료적 마찰, 지휘 계통, 예산 제약, 지리적 관할권 한계, 민권 소송 위험, 대중의 책임 요구 (바디캠, 정보공개청구).
- 주요 대응책: 암호화 통신 (Signal), 기기 잠금, 반감시 훈련, 얼굴 가리기, 법률 참관인(Legal observer) 네트워크, 권리 알기(Know-your-rights) 훈련, 패러데이 가방, 시위 현장에 개인 기기 지참 금지.
T3: 기업 정보 기관 (사설 보안 업체, 산업 그룹)
- 예시: Pinkerton (현 Securitas), Kroll, Guidepost Solutions, 산업계가 자금을 지원하는 위협 인텔리전스 회사.
- 능력:
- 기업이나 산업 협회의 지원을 받는 막대한 재정
- 지속적인 신분을 가진 전문가 수준의 정보원을 통한 잠입
- 고급 OSINT 도구 (Palantir, Maltego, ShadowDragon 등)
- 자금 흐름 및 비영리 단체 문서 감시
- 조직을 파산시키고 침묵시키기 위한 전략적 봉쇄 소송(SLAPP)
- 비번 경찰관 고용 또는 경찰과의 조율
- 언론 조작 및 허위 정보 캠페인
- 조직가의 고용주, 가족, 지인에 대한 신원 조사
- 한계: 직접적인 체포 권한 없음 (경찰을 개입시켜야 함), 민사 책임 및 부정적 PR에 대한 노출, 침투 발각 위험 (요원이 포섭될 수 있음), 선을 넘을 경우 RICO(조직범죄법) 및 음모법의 적용을 받음.
- 주요 대응책: ‘알아야 할 필요성(Need-to-know)’ 기반의 세포(Cellular) 구조, 재정 위생, 법적 실체 분리, 방첩 프로토콜, 민사 소송을 대비한 모든 협박 시도 문서화.
T4: 연방 국가 수준 정보 기관 (FBI, DHS, NSA, 군 정보 기관)
- 예시: FBI COINTELPRO 후속 부서, DHS 위협 평가 팀, NSA 수집 프로그램, DEA 도청, 연방 정부 보조금을 받는 주 융합 센터.
- 능력:
- 지정된 타겟에 대한 사실상 무제한의 예산
- 국가 안보 서한 (NSLs): 사법 심사 없이 발행되는 묵비 의무(gag order)가 포함된 비밀 소환장
- 외국인 접촉자 및 그들과 연관된 국내인을 대상으로 하는 FISA 감시 영장
- NSA 메타데이터 수집: 대규모 통화 기록, 이메일 헤더, 위치 데이터
- 제로데이 기기 익스플로잇 (Pegasus, Triangulation급): 완전히 패치된 전화기의 원격 해킹
- “블랙 백(Black bag)” 비밀 작전: 물리적 침입, 기기 조작
- 조율된 기소: 감시 활동을 바탕으로 형사 고발 조작
- 국경 수색 권한: 미국 내 모든 입국항에서 기기 무영장 수색
- 무기한 주요 참고인 구금
- 파이브 아이즈(Five Eyes) 파트너와의 국제 정보 공유
- 한계: 배치에 매우 높은 기준 요구(막대한 리소스 필요); ACLU, EFF 등의 강력한 시민 자유 소송으로 일부 프로그램 제한; 순수 국내 활동가 표적 시 정치적 노출 위험; 내부 고발자 존재.
- 현실적 적용 가능성: 조직이 중요 인프라를 직접 방해하거나, 적대적인 국제 자금을 지원받거나, 공식적으로 국내 테러 위협으로 지정되지 않는 한, 지속적인 전담 T4 표적이 될 가능성은 낮습니다. 부수적인 수집 및 융합 센터의 데이터 공유가 더 가능성 높습니다.
- 주요 대응책: 민감한 업무를 위한 Tails OS 및 에어갭 기기, 모든 것에 종단간 암호화 통신 사용, 작전 데이터에 클라우드 서비스 사용 금지, 물리적 구획화, 합법적인 조직 구조, 방패로서의 공개적 투명성.
2. 5×5 위험 평가 매트릭스
위험(Risk)은 가능성(Likelihood) × 영향(Impact)으로 정의됩니다. 보안 리소스를 할당하기 전에 이 매트릭스를 사용하여 각 위협 요소를 평가하십시오.
가능성 척도 (Likelihood Scale 1–5): | 점수 | 레이블 | 설명 | |——-|——-|————-| | 1 | 매우 드묾 (Rare) | 유사한 그룹에 거의 일어난 적 없음 | | 2 | 가능성 낮음 (Unlikely) | 가끔 발생했지만 최근에는 없음 | | 3 | 발생 가능 (Possible) | 이 도시의 유사한 그룹에 일어난 적 있음 | | 4 | 가능성 높음 (Likely) | 우리 그룹이나 가까운 계열사에 일어난 적 있음 | | 5 | 거의 확실함 (Almost Certain) | 활발하게 일어나고 있거나 임박할 것으로 예상됨 |
영향 척도 (Impact Scale 1–5): | 점수 | 레이블 | 설명 | |——-|——-|————-| | 1 | 무시할 만함 (Negligible) | 사소한 불편, 몇 시간 내 복구 가능 | | 2 | 경미함 (Minor) | 짧은 혼란, 지속적인 피해 없음 | | 3 | 보통 (Moderate) | 심각한 혼란, 단기 구금, 일부 정보 유출 | | 4 | 심각함 (Severe) | 핵심 조직가 체포, 주요 정보 손상 | | 5 | 치명적임 (Critical) | 조직 붕괴, 장기 투옥, 물리적 피해 |
위험 점수 = 가능성 × 영향 (범위: 1–25)
| 점수 범위 | 우선순위 | 필요 조치 |
|---|---|---|
| 20–25 | 치명적 (CRITICAL) | 즉시 모든 대응책 실행 |
| 12–19 | 높음 (HIGH) | 우선순위 지정; 48시간 내 실행 |
| 6–11 | 중간 (MEDIUM) | 일정 수립; 다음 행동 전 실행 |
| 1–5 | 낮음 (LOW) | 모니터링; 문서화; 기회에 따라 완화하거나 감수 |
3. 위협 모델링 작업 예시
예시 A: 지역 세입자 조합 (T1/T2 위협 환경)
대규모 임대 관리 회사를 상대로 월세 파업 조직 중.
| 위협 벡터 | 가능성 | 영향 | 점수 | 우선순위 |
|---|---|---|---|---|
| 리드 조직가의 신상 털기 | 4 | 3 | 12 | 높음 (HIGH) |
| 임대인의 사설 탐정 고용 | 3 | 2 | 6 | 중간 (MEDIUM) |
| 경찰의 공개 회의 참관 | 2 | 2 | 4 | 낮음 (LOW) |
| 보복성 퇴거 조치 | 4 | 4 | 16 | 높음 (HIGH) |
| WhatsApp 그룹 내 침투 | 3 | 3 | 9 | 중간 (MEDIUM) |
주요 대응책: WhatsApp 대신 Signal 사용, 가명 공개 대변인 활동, 데이터 브로커 정보 삭제, 모든 공개 회의에 법률 참관인 배치.
예시 B: 연방 법 집행 기관을 취재하는 언론인 (T2/T4 위협 환경)
이민 단속 작전에 대한 취재.
| 위협 벡터 | 가능성 | 영향 | 점수 | 우선순위 |
|---|---|---|---|---|
| 메타데이터를 통한 정보원 식별 | 4 | 5 | 20 | 치명적 (CRITICAL) |
| 국경에서 기기 압수 | 3 | 4 | 12 | 높음 (HIGH) |
| 통신 기록에 대한 영장 | 3 | 4 | 12 | 높음 (HIGH) |
| 타겟 지정 디지털 침입(해킹) | 2 | 5 | 10 | 중간 (MEDIUM) |
| 정보원 만남 시 물리적 감시 | 2 | 4 | 8 | 중간 (MEDIUM) |
주요 대응책: 사라지는 메시지를 적용한 Signal 사용, 정보 수집용 SecureDrop 운영, 민감한 문서 처리를 위한 Tails OS 사용, 국경 통과 시 기기 암호화, 전담 변호사 유지.
4. STRIDE 위협 프레임워크 (수정됨)
STRIDE는 공격 벡터를 식별하기 위한 구조화된 방법론입니다. 조직의 특정 자산에 대해 각 범주를 평가하십시오.
| 범주 | 정의 | 활동가 예시 | 대응책 |
|---|---|---|---|
| Spoofing (스푸핑) | 적이 신뢰할 수 있는 신분으로 위장 | 가짜 “동맹”이 Signal 그룹에 가입 | 검증 프로토콜, 대면 신뢰 구축 |
| Tampering (변조) | 승인 없이 데이터나 시스템이 수정됨 | 증거 조작, 통신 내용 변경 | 암호화 서명, 보관 연속성(Chain of Custody) |
| Repudiation (부인) | 책임 없이 수행된 행동 | 정보원이 유출 사실 부인; 법적 분쟁 | 안전한 타임스탬프 기록, 증인 문서화 |
| Information Disclosure (정보 유출) | 민감한 정보 노출 | OSINT로 조직가의 집 주소 노출 | 데이터 최소화, 엄격한 ‘알아야 할 필요성’ 원칙 |
| Denial of Service (서비스 거부) | 운영 차질 및 중단 | 플랫폼 밴(Ban), 웹사이트 DDoS 공격 | 이중화된 통신 채널, 오프라인 기능 유지 |
| Elevation of Privilege (권한 상승) | 무단 접근 권한 획득 | 계정 해킹, 기기 절도 | 강력한 인증(2FA), 기기 암호화 |
5. 지속적인 위협 평가 프로토콜
위협 모델링은 일회성 연습이 아닙니다. 중대한 사건 발생 후 반드시 재평가하십시오.
즉시 재평가해야 하는 경우:
- 멤버가 체포되거나, 구금되거나, 기기를 압수당했을 때
- 도시 내 법 집행 기관에 새로운 기술이 배치되었을 때 (예: 새 카메라 네트워크, 안면 인식 도입 계약)
- 알려진 정보원이나 잠입자가 식별되었을 때
- 조직이 이례적인 법적 또는 언론의 주목을 받을 때
- 멤버가 법 집행 기관으로부터 접근을 받거나 정보원 제의를 받았다고 보고할 때
- 정치적 환경의 중대한 고조 (새로운 법안, 탄압 강화)
정기 검토 주기: 최소한 분기별로 전체 위협 모델링 세션을 실시하거나, 대규모 기획 행동 직전에 실시하십시오.
이 가이드는 커뮤니티에 의해 유지 관리되며, 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다. 법적인 문제에 대해서는 면허를 소지한 변호사와 상담하십시오.