> 
한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주>
[뉴스투데이=김한경 안보전문기자] 신동규 세종대 컴퓨터공학과 교수는 최근 5년간 SCI급 논문 39편, 연구재단 등재지 논문 32편, 등록 특허 11건의 연구실적을 보유한 학자로 국내에서 RMF(Risk Management Framework)에 관한 연구논문을 가장 많이 내놓은 전문가로 평가받고 있다. RMF란 정보기술을 수반하는 모든 국방체계의 수명주기 동안 보안위험을 관리하는 미국 국방부의 통합보안관리제도로 국립표준기술연구소(NIST)에서 개발했다.
미국은 2014년 개발된 RMF를 기존의 국방획득 프로세스에 의무적으로 적용해왔으며, 2019년 4월에는 미군 시스템과 연동하는 동맹국 무기·정보체계에 RMF 적용을 확대하는 정책을 발표했다. 동맹국 연동체계에 대한 보안성 검증 후 연결을 승인하겠다는 취지로 우리나라에도 한미연합작전에 필요한 연동체계에 RMF 적용을 요구했다. 이런 흐름의 일환으로 우리 군이 보유한 F-35A, 글로벌 호크 등에 RMF를 적용할 방침이라고 통보했다.
이에 따라 우리도 한국형 사이버보안제도인 K-RMF를 올해 7월부터 추진하고 있다. K-RMF는 “국방정보체계를 포함해 소프트웨어가 내장된 모든 무기체계의 사이버보안을 소요부터 폐기까지 위험평가에 기반해 체계적으로 검증하고 관리하는 제도”로 정의되며, ① 시스템 정보유형 분류, ② 보안통제항목 선정, ③ 보안통제항목 구현, ④ 보안통제항목 평가, ⑤ 시스템 인가, ⑥ 모니터링 등 6단계 수행절차로 진행된다.
신 교수는 그동안 RMF와 관련한 다양한 연구를 수행해오고 있어 누구보다도 정확히 이 분야를 이해하고 있는 것으로 알려졌다. 기자는 K-RMF의 추진상황에 관해 좀 더 알아보기 위해 지난 14일 신 교수의 연구실을 방문했다. 그는 “무기체계 연구개발에 K-RMF를 적용하려면 아직 연구해야 할 부분이 상당히 많다”면서 “K-RMF 자체 연구뿐만 아니라 시스템 인가를 위해 무기체계의 사이버보안 시험평가 능력을 구축하는 것이 급선무”라고 강조했다.
그는 “대부분 RMF 수행절차에 나오는 보안통제항목 평가와 무기체계의 사이버보안 시험평가를 혼동해 능력 구축에 관심이 미흡하다”면서 “보안통제항목 평가와 함께 무기체계의 사이버보안 시험평가가 이뤄진 후에야 비로소 ‘시스템 인가’가 가능하다”고 설명했다. 그러면서 “사이버보안 시험평가는 기능에 따른 시험평가를 하거나 무기체계에 대한 사이버 공격을 적절히 방어할 수 있는지로 평가한다”고 덧붙였다. 다음은 그와의 일문일답.
Q. 현재까지 진행된 K-RMF 연구 내용과 앞으로 필요한 연구는?
A. RMF 분야에서 RMF 규정 제정과 개발 부문의 연구가 진행됐고, 무기체계의 사이버보안 시험평가 분야 연구는 전혀 이뤄지지 않았는데 앞으로 이 분야 연구가 대단히 중요하다고 생각한다.
Q. 미국이 RMF 적용을 우리에게 요구한 이후 어떻게 추진됐고, 올해 7월부터 K-RMF를 본격 적용한다는 국방부 발표도 있었는데?
A. 국방부는 지난 4월 ‘국방 사이버보안 위험관리 지시’를 제정해 적용 중이다. 해당 지시는 국방 사이버보안 위험관리 제도인 K-RMF를 수행하는 조직, 절차, 규정, 기준, 대상을 정의하고 있다.
다만 무기체계는 지난 7월 1일 이후 장기에서 중기로 소요가 결정되거나 중기 신규로 소요제기되는 체계 중 전장관리정보체계에 우선 적용하며, 그 결과를 분석해 단계적으로 확대 적용하는 방안을 채택했다.
또한, 국방부는 현재 운용하는 체계 중 연합, 합동지휘통제체계 및 외국군과 연동하는 체계(AKJCCS, KJCCS, JFOS-K, MIMS-C), 지상·해상·공중지휘통제체계(ATCIS, KNCCS, AFCCS) 등은 K-RMF를 적용할 수 있도록 했다.
Q. 사이버보안 시험평가 능력을 구축하는 것이 급선무라고 강조했는데 어떻게 해야 하나?
A. 미국이 국방부 사이트에 공개한 내용(사이버보안 시험평가 가이드북-Cybersecurity Test and Evaluation Guidebook, Version 2.0 Change 1, 2020.)을 토대로 연구가 필요한 부분을 국방부와 방위사업청, 방첩사 등에서 계속 과제로 만들고 관련 보안기업들이 이 과제에 적극적으로 참여하도록 유도해야 한다.
Q. K-RMF는 그동안 방첩사가 주관해 왔는데 사이버보안 시험평가는 누가 맡아야 하나?
A. 현재 국군사이버작전사령부와 국군통신사령부가 담당하는 것으로 알고 있다. 그동안 사이버작전사가 수행해온 취약점 진단평가 기능과 국군통신사가 수행해온 상호운용성 시험에 정보보증 평가가 있으므로 나름대로 타당성이 있다.
아울러 국방과학연구소(ADD)에서 그동안 임무·기능별 사이버보안 평가나 사이버공격·방어와 관련한 연구가 상당수 이루어져 왔으므로 그 결과를 적용할 수도 있을 것으로 본다.
Q. 현재 상황에서 K-RMF 정립을 위해 가장 중요한 것은 무엇인가?
A. K-RMF도 무기체계 획득 과정의 일부이며 획득을 위해서는 K-RMF와 연결해 사이버보안 시험평가가 이루어져야 한다. K-RMF 수행절차의 5단계에서 시스템 인가를 하는데 이는 보안통제 항목의 구현 평가뿐만 아니라 사이버보안 시험평가를 통해 K-RMF가 적용된 무기체계가 임무 (Mission)에 맞게 작동하는지를 검증한 결과가 반영돼야 한다.
또한, RMF 표준에 따른 보안통제항목 선정과 구현을 위해서는 수작업만으로 불가능해 RMF 표준을 지원하는 별도의 도구가 필요하다. 미국 국방부의 경우 eMASS(Enterprise Mission Assurance Support Service)라는 RMF 업무 지원 도구를 제공하고 있는데 우리도 이와 유사한 도구를 개발해 제공해야 한다. 이와 관련, 방첩사에서 한국형 eMASS를 준비하는 것으로 알고 있다.
◀ 신동규 프로필 ▶ 세종대 컴퓨터공학과 교수, 국방부 CIO 자문위원, 국방전산정보원 자체평가위원, 한국인터넷정보학회 부회장, ‘국방과 보안’ 편집위원, 前 국방부 정책자문위원, 前 방위사업청 방산원가관리체계 인증 심의위원, 美 Texas A&M University 공학박사
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
