비대칭성 전략의 등장, 루크트라 전투
보안병법2: 고대 그리스 팔랑스 전투
보안 관련 온갖 격언 중 가장 중요한 것 딱 하나만 고르라면 단언컨대,
“보안은 쇠사슬이고, 그 사슬은 가장 약한 고리만큼 약하다.”
이거다. 그야말로 보안의 핵심이자 본질이라 할 수 있다. 하지만 문제도 있다. 문장이 다소 추상적이다 보니 그에 따른 해법 추출도 어째 좀 추상적으로 흘러가 실제로 큰 도움이 안 되는 경우가 흔하다. 대개의 경우,
개별 PC 보안, 시스템 보안, 네트워크 보안 등 정보보안의 여러 범주를 각각 하나의 고리라고 치고 개중 가장 약해 보이는 녀석을 하나 골라 관심과 비용을 몰아준다. 그런 식으로 가장 약한 고리를 고치면 전체 사슬이 튼튼해질까?
두 가지 오류가 있다. 첫째, 어느 고리가 가장 약한지를 최근 사건사고 동향 보고서 등에 의존해 판단한다. 하지만 동향은 동향일 뿐, 개별 사건은 모두 다 각각 다른 상황 다른 조건에서 소위 ‘케이스 바이 케이스’로 일어난다. 성급한 일반화에 따른 오류. 둘째, 애초에 잘못된 상식이 만연하다. 취약점 그리고 대응책에 대한 상식 오류가 심각한 수준인데도 이에 대한 경고 및 계몽은 부실하다.
이는 근본적으로 보안침해 대응전략을 1:1 ‘대칭성’을 전제로 짜기 때문이다. 적이 노리는 나의 자원을 10개라 치고, 적의 공격 또한 10개라 치고, 10개의 접점 중에서 어느 지점이 위험한지를 최근 동향, 즉 ‘평균’에 따라 방어력을 분산하고 대응한다는 작전이다. 그러나,
누가 적의 정체를 아는가? 아무도 모른다!
그러니 대칭성 전략 따위가 통할 리가 없다. 흔한 보편성 신화라 할 수 있다. 보안 전장은 이미 비대칭성 전황으로 짜여지고 있다. 적의 정체는 완전 오리무중이라 도대체 갈피를 잡을 수 없다. 어디를 치고 들어올지도 모른다. 결국 모든 곳이 약점이고 위험성은 전체 전선에 걸쳐 균일하다고 봐야 하니 대칭성을 전제로 짠 전략은 무용지물이 되고 마는 것.
그럼 비대칭성 전략 구사에 대해 예를 들어 알아보자. 역시 막연하다 싶은 감이 없잖아 많긴 하나 아주 의미 없지는 않은 반성이 되리라 기대한다. “보안은 쇠사슬이고, 그 사슬은 가장 약한 고리만큼 약하다.” 이 격언으로부터 애매한 추상성을 조금은 걷어낼 수 있으리라 기대한다.
대칭성 전략, 그리스 팔랑스
그리스 시절 전쟁의 주력은 장창병이었다. 장창이 주축이었던 건 전혀 뜻밖의 일이 아니다. 창이 칼보다 다루기 까다롭고 사고가 많이 일어나 위험하고 무엇보다 칼 쪽이 보다 예쁜 그림이 뽑히기 때문에 영화에 칼이 자주 등장할 뿐, 총 이전에 창은 늘 최고의 무기였다. 칼을 든 장갑보병은 장창병 부대의 후방과 부대 사이사이에 보호자 역할로 배치되었다.
장창병은 오른손에 창을 들고 왼손에 든 방패로 자기 몸 2/3를 방어한다. 나머지 1/3은 자기 오른쪽에 선 창병의 방패로 방어한다. 따라서 가장 오른쪽에 선 창병은 적의 공격으로부터 1/3 노출된 상태라 방어에 취약하다.
제2열 장창병은 자신의 장창을 선두 제1열 장창병의 어깨 위에 걸친다. 제2열의 창은 선두열의 공격을 2중으로 두텁게 하는 효과, 그리고 후열과 더불어 전열 붕괴 시 대기열로서 기능한다.
전 부대가 횡대로 서서 복수의 열을 이루니 위에서 내려다볼 때 사각형 모양의, 즉 방진 대형이었다. 그 기본 단위 하나가 ‘Phalanx’, 사각형 밀집부대 팔랑스다. 각 팔랑스는 마치 하나의 덩어리처럼 함께 움직였다. 그리고 무기 특성상 좌우 회전 이동이 어려우니 팔랑스-전투는 거의 전진 이동으로만 이루어졌다.
앞서 말했듯 장창병 부대는 무장 특성상 우측 방어가 약하다. 따라서 전투력의 높고 낮은 등급에 따라 우측으로부터 A등급-B등급-C등급으로 배치하고, 장갑보병과 기병이 창병 부대의 우측에 서서 방어를 보강했다.
전투가 벌어지면, 양쪽 군대는 완전한 대칭 형태로 배치된다. 작은 팔랑스가 모인 거대한 사각형인 전체 대형이 적을 향해 일직선으로 전진하고, 선두열부터 차례차례 희생되다가 결국 전체 병력수의 차이로 승패가 결정되는 식의 무모한 인해전술 소모전이었다.
전투 도중 각 팔랑스의 움직임을 살펴보면, 전투력이 높은 우측의 A등급 부대가 전투력이 낮은 적의 C등급 부대를 먼저 제거하고, 사각형 형태를 유지한 채 회전하여 전투력이 얼추 비슷한 B등급끼리의 전투를 측면 지원하는 식으로 전개되었다.
비대칭성 전략의 등장, 루크트라 전투
그러다가 BC 371년, 루크트라 전투. 스파르타 11000명 : 테베 6000명.
테베로서는 절대 이길 수 없는 싸움이었다.
테베의 지휘자 에파미논다스는 거의 2배에 가까운 병력수의 열세를 극복하기 위해 그리스 전통의 전투 대형을 포기하고 새로운 전략을 짰다.
우선 A등급 부대를 2겹으로 쌓아 전투력을 증강해 좌익에 배치하고, 그 수만큼 줄어든 나머지 병력을 반으로 쪼개 길게 늘여 전열을 새로 짰다. 상대적으로 얇아지고 약해진 우측 부대를 엄호하기 위해 장갑보병과 기병을 집중 배치하여 방어를 보강했다.
전투가 벌어지자, 각 팔랑스의 전진 속도 또한 전과 달랐다. 좌측 부대부터 순서대로 이동을 시작하되, 상대적으로 약한 우측 4개 부대는 거의 이동하지 않음으로써 적과의 교전을 아예 피한다. 천하제일 병법가 손자도 그리 말했다. “적을 알고 나를 알아야 한다. 알고 보니 못 이기겠다 싶으면 안 싸우면 그만이다.”
처음 보는 전략에 당황한 적의 좌측 A등급 부대가 전열을 무너뜨리고 막 달려오는 틈을 노려 2중으로 강화된 동급 부대로 먼저 격파한다. 이때 손실된 A등급 병력은 B등급 부대로 보강하며 적 진영으로 좌에서 우 방향으로 차례차례 부순다. 계속해서 병력 손실분을 후속 부대로 채우며 전투 내내 우세 상태를 유지했다.
그리고, 스파르타 11000명 : 테베 6000명, 테베가 이겼다.
전체 전쟁은 소단위 전투의 합이다. 이 전략에서 중요한 것은 처음부터 끝까지 모든 전투에서의 우세를 유지한다는 점이다.
자 그럼,
“보안은 쇠사슬이고, 그 사슬은 가장 약한 고리만큼 약하다.”
이 문장에 위 전투 상황과 각 변수를 대입해 보자. 테베 쪽에 보안팀을 대입해 보고 또 반대로 해커를 대입해 보고. 특히 해커를 대입해 볼 때 최근 동향이 보다 명쾌하게 읽히는 듯해 좀 답답하긴 하나. 역시나 막연하다고 느낄 수도 있겠지만, 뜻하는 바가 아주 없지는 않다.
거듭 강조하는 바, 대칭성 전략은 한계에 이르렀고 비대칭성 전략을 모색해야 하는 때가 이미 닥쳤다.