[방산보안Q (6)] 류연승 명지대 방산안보학과 주임교수, “K-CMMC 인증 체계 구축, 데이터 중심 보안 체계로 혁신, 무기체계 보안 내재화에 주목해야”
김한경 안보전문기자 입력 : 2024.07.03 23:14 ㅣ 수정 : 2024.07.04 08:36
“방산 데이터 분류 성공하려면 국방부가 비공개대상 정보의 보호 체계 시급히 법령화해야”
한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주>
[뉴스투데이=김한경 안보전문기자] 류연승 명지대 대학원 방산안보학과 주임교수는 2014년부터 방산보안 분야를 연구해오며 방산안보학을 개척한 대표적인 중견 학자다. 그는 최근 방산보안의 3대 이슈로 ① K-CMMC 인증 체계 구축과 한미 상호인정협정 체결, ② 데이터 중심의 보안 체계로 혁신, ③ 무기체계 보안 내재화 등에 주목하고 있다. 기자는 지난 1일 류 교수가 주목하는 방산보안 이슈에 대한 얘기를 좀 더 듣기 위해 그의 연구실을 방문했다.
그에 따르면 미국 국방부 사업에 참여하려는 방산업체는 2025년 초 시행될 예정인 ‘사이버보안 성숙도 모델 인증(CMMC)’ 취득이 의무적이다. 우리 업체도 미국에 방산물자를 수출하거나 공동연구개발, MRO 사업 등을 하려면 CMMC 인증을 받아야 한다. 정부의 목표인 방산수출 4대 강국을 달성하려면 미국과의 방산 협력이 필수적인데, 이를 위해 국방상호조달협정(RDP) 체결과 함께 CMMC 상호인정협정 체결이 필수적이다.
류 교수는 2022년 K-CMMC 인증 체계 구축을 위한 과제로 방위사업청이 발주한 ‘방산기술보호 성숙도 모델 인증제도 연구’를 수행했다. 국내 최초로 CMMC 공인 컨설턴트(RP) 자격증도 취득한 그는 2023년 국방기술진흥연구소가 발주한 ‘방산중소기업 CMMC 인증획득 지원을 위한 전문교육’ 사업을 통해 11개 방산중소기업에 컨설팅을 수행했다.
류 교수는 지난 2월 ‘2024 K-방산혁신포럼’에서 ‘방산 데이터보안의 현황과 제도적 개선 방향’이란 주제로 발표에 나서 “국가 소유인 방산 데이터 중 비공개대상 정보의 관계 법령 간 부조화가 심각하다”고 지적하고, “방산 데이터를 중요도에 따라 명확히 분류한 후 제로 트러스트 같은 보안 체계를 통해 인터넷망에서 별도 취급할 수 있어야 한다”고 주장했다.
또한, 지난 4월 한국방위산업진흥회(이하 방진회)가 주최한 ‘방위산업 테크포럼’에서는 지난해 방진회로부터 수주한 ‘방산 통합 클라우드 시스템 구축방안 연구’란 과제의 연구 결과를 발표했다. 당시 류 교수팀은 클라우드 구축을 위한 법·제도 분야의 훈령 개정 등 조치방안과 시스템 분야의 개념모델 수립, 단기 및 중장기 목표모델 구축, 단계별 구축방안 등을 소상히 설명해 참석자들의 호평을 받았다.
이외에도 류 교수는 무기체계 보안 내재화를 위한 안티탬퍼 제도와 기술을 연구하고 있다. 지난해 LIG넥스원이 발주한 ‘안티탬퍼링 기술의 무기체계 적용 영향성 검증 연구’, 한국전자통신연구원(ETRI)이 발주한 ‘패키징 안티탬퍼링 기술 시험·검증 방법론 연구’와 올해 국가보안기술연구소가 발주한 ‘HW 기기의 안티탬퍼 기능 및 분석 기술 연구‘ 과제를 수행하고 있다. 지난해 8월에는 ‘2023 안티탬퍼 워크숍’도 개최했다. 다음은 그와의 일문일답.
Q. CMMC 인증과 관련해 현재 우리 정부는 어떻게 준비 중이며, 문제가 있다면?
A. CMMC는 규칙 제정이 마무리되는 대로 2025년 상반기에 시행될 것이 예상된다. 미국 국방부에서 올해 3월 발간한 ‘방위산업계 사이버보안 전략 2024(Defense Industrial Base Cybersecurity Strategy 2024)’에서도 CMMC에 대한 자세한 설명과 시행을 예고했다. 현재 미국 진출을 준비 중인 방산 대기업들은 정부의 지원 없이 업체 스스로 CMMC Level 2 인증을 취득하기 위해 바쁘게 움직이고 있다.
정부는 CMMC Level 1에 대해서는 지원 중인데, 국방기술품질원 방위산업기술보호센터에서 올해 10여개 업체에 CMMC Level 1 컨설팅을 지원하고 있다. 지난해에는 국방기술진흥연구소에서 11개 중소업체에 Level 1 교육 겸 컨설팅을 무료로 지원한 바 있다. 이와는 별도로 방산침해대응협의회에서 CMMC Level 1 매뉴얼을 개발해 내년 초 배포할 예정이다.
정부는 미국과 CMMC 상호인정협정(Mutual Recognition Arrangement)을 체결할 것이라고 하지만, 현재 우리나라에 CMMC와 동등한 사이버보안 제도 자체가 없어서 당장 미국과 상호인정협정을 체결하기는 어려울 것으로 생각된다. 지금이라도 미국 CMMC와 동등한 이른바 K-CMMC 제도 구축이 필요하다.
우리나라는 미국 CyberAB에서 승인받은 공인 컨설턴트(RP, RPA) 자격 취득과 공인 컨설팅 업체(RPO) 설립이 가능하다. 최근 국내에 RP, RPA 자격증 취득자가 많아지면서 민간에서는 CMMC 생태계가 시작되고 있다. 하지만 컨설턴트의 수준이 제각각인데, 향후 상호인정협정 체결을 위해서라도 일관성 있는 수준 구축이 필요하며, 이를 위해 정부가 무슨 일을 해야 할지 고민해야 한다.
Q. 정부는 데이터 중심의 보안 체계로 혁신하기 위해 데이터 분류에 초점을 맞추고 논의 중인 것으로 알고 있다. 방산 데이터 분류가 성공하려면 정부와 기업이 어떻게 해야 하나?
A. ‘국방과학기술혁신촉진법’에 국방 연구개발 성과물은 국가 소유라고 규정돼 있어 보호할 방산 데이터 대다수는 소유권이 국가에 있다. 따라서 방산 데이터는 공공기관의 데이터 분류 체계에 따라 분류하고 보호 체계를 구축하는 것이 필요하다. 공공기관의 데이터는 국가기밀, 비공개대상 정보, 공개 정보 등으로 분류되며 비공개대상 정보의 세부기준은 홈페이지에 공개하고 있다.
국가기밀은 대통령령인 ‘보안업무규정’에 의해 보호 체계가 규정되지만, 비공개대상 정보의 보호 체계를 규정한 법령은 아직 없다. 미국의 CUI(Controlled Unclassified Information)가 우리의 비공개대상 정보와 유사한데, 미국은 대통령령으로 CUI를 규정하고 별도의 보호 체계, 지침을 시행하고 있다. 미국 방산업체는 국방부 사업을 하려면 CUI를 보호하기 위해 CMMC 인증을 받아야 한다.
따라서 우리나라도 방산 데이터 분류가 성공하려면 국방부는 비공개대상 정보의 보호 체계를 시급히 법령화하고 방산 데이터를 이에 맞도록 분류하는 조치가 이뤄져야 한다. 방산기업은 정부가 마련할 분류 세부기준에 맞게 방산 데이터를 분류하면 된다.
Q. 방산 통합 클라우드 시스템 구축방안을 연구해 발표까지 잘 마쳤다. 이후 방진회가 어떻게 추진하고 있으며, 향후 방산 통합 클라우드 구축이 실현되려면 어떤 조치가 필요한가?
A. 방진회와 명지대는 방산 통합 클라우드에 대한 인식 제고를 위해 지난 4월 ‘방위산업 테크 포럼’을 개최했다. 국회 국방위원, 국방부 기획조정실장, 방위사업청장 등이 포럼 행사에 참석해 방산 클라우드의 필요성과 시급성에 대해 충분히 공감했으며, 사실상 정부의 담당 부서가 어디냐의 문제만 남았다고 판단된다.
관련 법령의 개정, 클라우드 구축을 위한 기술적 사항 등은 연구 결과에서 어느 정도 제시돼 있으므로 정부의 담당 부서를 빨리 정하고 구체적인 사항들을 추진해나가면 된다. 매우 시급한 사안임에도 추진 속도가 늦어지고 있다. 내년에는 시범구축을 통해 타당성을 검증하고, 문제점이 있는지 파악 개선한 후 속도감 있게 시행하면 좋겠다.
Q. 무기체계 보안 내재화를 위해 ‘안티탬퍼’ 기술의 중요성이 제기된다. 어떤 기술이며 우리는 지금 어느 수준에 있는가?
A. 안티탬퍼는 무기체계에 구현된 방산기술이 역공학을 통해 유출되지 않도록 방지 또는 지연시키는 기술이다. 미국은 2000년대 초반부터 무기체계의 중요한 구성품에 안티탬퍼를 적용하고 있다. 우리도 최근 방산수출이 대폭 증가하고 있어 그동안 개발한 방산기술이 수입국에서 유출되지 않도록 안티탬퍼를 적용하려고 준비 중이다.
하지만 미국과 비교하면 안티탬퍼 기초 연구가 매우 빈약한 수준인 데다, 무기체계 연구개발 과정에서 체계공학적 안티탬퍼 적용을 위한 표준 지침도 개발해야 한다. 현재 방위사업청은 큰 예산을 투입해 안티탬퍼 기술을 개발하고 있는데, 그 결과물을 모든 방산기업들이 같이 사용할 수 있는 기술로 개발해야 한다. 또한, 안티탬퍼 기술이 노출되지 않도록 비밀로 잘 보호해야 한다. 명지대 Anti-tamper 센터도 관심 있는 기관·업체와 협력하며 관련 기술을 연구하고 있다.
Q. 방산기술과 방산기밀 유출 사고는 계속 발생하지만, 실질적 개선이 이뤄지지 않는다는 지적이 나오는데.
A. 방산기술과 방산기밀 보호는 국가가 책임지고 예산을 투자해야 한다. 방산기술과 방산기밀 보호를 위한 정부 예산은 미미하고 관계기관이 흩어져 있어 효과적인 정책 수립과 시행이 어려운 실정이다. 방산기술 유출 수법은 갈수록 지능화·다양화되고 있고 특히 협력업체와 공급망을 통한 공격이 증가하고 있다. 하지만 방산보안은 여러 법령이 관련되고 관계기관도 여럿이어서 종합적으로 중장기적 전략과 정책을 다루지 못하는 것으로 보인다.
앞서 언급한 업무만 하더라도 여러 부서가 관련돼 있고 책임지려 하지 않는다. 지난해 9월 15개 방산업체를 회원사로 하는 방산침해대응협의회를 설립했는데 업체들이 회비를 걷어서 정책을 연구하고 있다. 정부는 전담기관을 두고 방위사업비의 일정 부분(1% 수준)을 사용하도록 법제화할 것을 제안한다. 중장기적인 정책을 꾸준히 연구하는 학계, 연구소 등 전문기관이 활성화될 수 있도록 정부는 민간 생태계도 지원해야 한다.