한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주> 

 

 

[뉴스투데이=김한경 안보전문기자] 김승주 고려대학교 정보보호대학원 교수는 우리나라를 대표하는 최고의 보안 전문가로 현재 대통령 직속 국방혁신위원회 민간위원으로도 활동하고 있다. 그는 지난해 12월 20일 열린 국방혁신위원회 3차 회의에서 대통령께 “망분리 제도의 개선이 필요하다”고 제언함으로써, 방산업체가 당면한 인공지능(AI)·클라우드 활용 및 원격근무 문제에 대한 해결의 단초를 제공한 당사자다. 

 

당시 김 교수의 의견을 청취한 윤 대통령은 회의 석상에서 “망분리 제도 개선은 단순히 국방 분야뿐만 아니라 우리나라 전체에 큰 영향을 미치는 사안인 만큼 국가안보실이 중심이 돼 개선안을 마련하라”고 직접 지시했고, 이후 국가안보실을 중심으로 국가정보원, 국방부, 과학기술정보통신부, 금융위원회 등 관계부처와 학계 전문가들로 범부처 합동 태스크포스(TF)가 구성됐다.

 

이 TF에 참여하고 있는 김 교수는 지난달 28일 회의에서 “기존의 획일적인 보안정책에서 벗어나 데이터 중요도에 따라 적용되는 망분리 및 정보보호 관련 정책들을 차별화함으로써 데이터의 활용과 보안을 동시에 추구할 수 있도록 정책을 개선하는 것이 필요하다”고 제언했다. 이에 따라 TF는 현재 데이터의 안전한 활용을 위한 분류체계 마련에 논의를 집중하고 있으며, 국가정보원은 24일 망분리 정책을 17년 만에 대수술하겠다고 공식 발표했다. 

 

데이터 분류체계 마련을 시작으로 망분리 제도가 어떻게 개선되느냐에 따라 향후 방산보안 전반에 상당한 영향이 예상된다. 기자는 지난 23일 고려대학교 디지털정보처 내 업무 공간에서 김 교수와 만나 방산업체의 연구개발 환경과 관련한 망분리 제도 개선 방향과 방산 클라우드 도입, 컨트롤타워 역할, 사이버보안 위험관리체계(RMF) 등에 대한 의견을 들었다.

 

김 교수는 “망분리 제도 개선은 곧 정보보호제도 전반을 개선하라는 것”이라며 “이를 개선하려면 데이터 중요도에 따라 적용되는 정보보호 정책을 차등화시키는 것이 핵심”이라고 강조했다. 그러면서 “영국도 3년여에 걸쳐 데이터 분류체계를 6등급에서 3등급으로 간소화시키면서 비밀로 분류되는 데이터를 최소화해 활용도를 높였다”고 설명했다. 

 

한편, 김 교수는 지난해 국방혁신기술보안협회(K-SAEM)를 설립하고 협회장을 맡아 혁신기술 발전에 따른 국방 사이버보안 업무 정립을 위해 노력하고 있다. 군과 보안업체 간 교량 역할을 목적으로 설립된 이 협회는 특히 방산보안의 핵심이자 무기체계 연구개발 전 과정에 적용되는 RMF(Risk Management Framework)에 주안을 두고 다양한 업무를 추진해 나갈 것이라고 한다. 다음은 그와의 일문일답.

 

Q. 방산업체 연구원들이 망분리 환경으로 인해 무기체계 연구개발에 상당한 어려움을 겪고 있다. 효율적인 연구개발이 이뤄지려면 망분리 제도 개선이 어떤 방향으로 진행돼야 하나?    

 

A. 현재 우리나라는 국가정보원 주도하에 망분리 정책을 시행하고 있다. 망분리란 회사·기관의 내부 업무망을 인터넷과 분리·단절시킴으로써, 인터넷을 통한 외부로부터의 내부 침입을 원천 봉쇄하겠다는 것이다. 사실 이러한 망분리는 외국에서도 많이 사용하고 있는데, 문제는 우리나라의 망분리가 미국 등 선진국에 비해 지나치게 획일적이고 경직돼 있다는 것이다.

 

외국의 경우 각각의 데이터들을 그 중요도에 따라 상·중·하 등급으로 나눈 후 같은 등급의 데이터들은 한데 모아, 상급으로 분류되는 데이터가 저장된 전산시스템은 인터넷과 완전히 단절시키고 하급 데이터들이 모여 있는 시스템은 인터넷과 상시 연결이 되도록 했다. 이렇게 함으로써 데이터의 활용과 보안이라는 두 마리 토끼를 동시에 잡는 방식을 취하고 있다. 

 

반면 우리나라는 데이터의 보호에만 중점을 둔 나머지 내부 업무망에 있는 모든 시스템을 획일적으로 인터넷과 단절시킴으로써 AI 및 클라우드의 활용, 원격근무 등에 있어 막대한 지장을 초래하는 실정이다. 이번에 대통령님께 건의 드린 것은 이러한 국내 망분리 정책을 미국 등 선진국 수준으로 개선하자는 것이다.

 

Q. 데이터를 상·중·하 등급으로 분류하고 적절한 보안 수준에 따라 관리하면서 협업이 가능한 구조를 만들려면 방산 클라우드를 도입해야 한다는 주장이 나온다. 방산 클라우드를 도입하기 위해 해결해야 할 과제는? 

 

A. 국내에서 방산업체나 공공기관이 클라우드를 사용하려고 할 경우 ‘CSAP(Cloud Security Assurance Program)’라는 클라우드 보안인증을 받아야 한다. 그러나 국내 CSAP에서는 방산업체 및 공공기관용 클라우드 구축 시 내부적으로 망분리 설계를 하도록 요구하고 있어, 무늬만 클라우드인 시스템이 만들어질 수밖에 없다. 

 

이 경우 외국이나 국내 게임업체들이 사용하는 클라우드보다 활용성이 너무도 떨어지는 클라우드 시스템이 만들어지게 된다. 데이터 중요도에 따른 탄력적인 망분리 제도가 시작되면, 이러한 문제 또한 원만히 해결되지 않을까 생각한다.

 

Q. 방산보안의 관점에서 데이터 분류체계를 마련하려면 어떤 과정을 거쳐야 하며, 이 과정에서 업무 전반에 대한 컨트롤타워 역할은 어느 기관이 담당해야 하는가?

 

A. 옷장 안에 너무 많은 종류의 옷들이 뒤섞여 있는 경우 정리할 엄두가 안 나듯이, 지금 우리나라의 전자정부도 이와 같은 상태이다. 기존의 전자정부 시스템을 한꺼번에 (데이터 중요도에 따라 다르게 관리되는) 선진국형 전자정부 시스템으로 바꾸려면 데이터베이스부터 완전히 재설계해야 하므로 막대한 예산과 시간이 소요된다. 

 

따라서 현 정부의 중요 정책인 ‘AI과학기술강군 육성’ 및 ‘디지털플랫폼정부 구축’과 밀접히 관련된 시스템들부터 개선된 망분리 정책을 우선 적용하고, 이를 모범사례로 삼아 단계적으로 모든 정부 부처 및 국방 분야로 확산시키려는 전략을 펼쳐야 한다.

 

물론 이 과정에서 보수적 성향을 보유한 기존 보안담당자들의 저항이 있을 것은 자명하다. 아무래도 보안담당자들은 데이터의 활용보다는 보호(차단)에 더 관심이 많으니까 말이다. 이 경우 망분리 제도가 개선된다 하더라도 보안담당자들은 조직 내 데이터 대부분을 상급으로 분류하려 들 것이고 그러면 데이터의 활용은 여전히 요원해진다.

 

그러므로 영국처럼 보안분류 체계를 간소화하고, 상급이나 중급으로 분류되는 데이터는 최소화함으로써 활용 가능한 데이터의 수를 늘려야 한다. 일례로 혈액형과 관련된 데이터는 의료정보이긴 하나 굳이 높은 수준의 보안을 적용할 필요는 없지 않을까? 망분리 개선안이 완전히 정착되기 전까지 일정 기간 샌드박스 제도를 도입해 책임을 감면해주는 노력도 필요하다.

 

컨트롤타워 역할과 관련해서는 대통령께서 “망분리 제도의 개선은 단순히 국방 분야뿐만 아니라 우리나라 전체에 큰 영향을 미치는 사안인 만큼 국가안보실이 중심이 돼 개선안을 마련하라”고 지시하셨던 만큼, 국가안보실이 되어야 한다고 생각한다.

 

Q. 국방혁신기술보안협회장을 맡고 있는데, 무기체계 연구개발 전 과정에 적용되는 RMF가 왜 필요하며, 어떻게 적용해야 하는가?  

 

A. RMF(Risk Management Framework) 즉, 사이버보안 위험관리체계는 쉽게 말해 개발 또는 구매해 운영되는 모든 군 무기체계들이 설계 단계에서부터 사이버보안을 고려해 개발하고 이후 운영유지, 보수, 폐기단계까지 보안이 유지될 수 있도록 해킹에 안전한지를 평가하고 인증하는 제도이다.

 

2015년 4월 미국은 ‘국방부 사이버 전략(The Department of Defense Cyber Strategy)’을 통해 군에서 사용하는 일반적인 전산시스템뿐만 아니라 첨단 무기들까지도 해킹에 안전하도록 개발·운용돼야 함을 천명하였고, 이를 위해 RMF 제도를 만들었다, 미국은 RMF를 동맹국에까지 요구하고 있어 우리나라도 예외는 아니다. 

 

현재 미 국방부는 F-35의 비행 관련 데이터와 군사 기밀을 통합적으로 관리하고 있으며, 영국, 이탈리아, 노르웨이, 이스라엘, 일본, 호주 등 다른 F-35 운용 국가와도 서로 데이터를 주고받고 있다. 이는 곧 전 세계에서 한 곳만 해킹에 뚫려도 다른 국가의 F-35까지 영향을 받을 수 있다는 것인데, 이러한 이유로 최근 미국은 자국이 개발한 RMF를 F-35를 운용하는 다른 동맹국에까지 따르라고 요구하는 것이다.

 

우리나라의 경우, 2016년 5월부터 2017년 12월까지 고려대학교와 합동참모본부가 공동으로 수행한 ‘사이버보안 시험평가 방안 연구’ 및 ‘사이버보안 시험평가를 위한 국방획득체계 위험관리프레임워크 연구’ 과제를 통해 처음 RMF 연구를 시작했으며, 이를 발전시킨 ‘한국형 RMF(K-RMF)’를 방위사업청, 국군방첩사령부, 사이버작전사령부 주도하에 올 7월부터 시행할 예정이다.

 

성공적인 RMF 인증 획득을 위해서 몇 가지 팁을 알려 드리면, ▲제품(무기)을 만들 때 단순히 ‘시큐어 코딩(secure coding)’이나 ‘모의 해킹(penetration testing)’에만 의존할 것이 아니라 초기 요구사항 분석 및 설계 단계에서부터 사이버보안을 고려해 개발해야 하고, ▲이때 갖춰야 할 보안 수준(security level)은 해당 무기가 수행해야 할 임무(mission)의 중요도에 따라 결정돼야 하며, ▲제품 검수 시에는 단순히 통과(pass)·탈락(fail) 기반의 체크리스트에 의존할 것이 아니라 평가 과정에서 다소 미흡한 부분이 발견된다 하더라도 그것이 감내할만한 위험(risk) 수준이면 운용을 허가해야 하고, ▲이러한 위험도는 해당 제품이 폐기될 때까지 지속 측정·관리돼야 한다.

 

Q. 방산보안의 핵심인 RMF가 정착되려면 RMF 비용을 제대로 산정해 방산 원가에 반영돼야 하고 이에 대한 평가도 중요할 것 같은데? 

 

A. 앞서 언급했듯이 성공적인 RMF 인증 획득을 위해 방산업체들은 요구사항 수립 단계에서부터 설계, 구현, 운영, 폐기에 이르는 무기 개발 프로세스 전반에 걸쳐 사이버보안을 고려해야 한다. 즉, 국제적으로 통용되는 표준 방법론(일명 ‘위협 모델링’)을 통해 개발 무기에 적용될 사이버보안 관련 요구사항들을 체계적으로 도출해야 하고, 이 요구사항들을 설계에 반영 후 이를 검증해야 하며, 구현 및 운영에도 이 요구사항들이 제대로 지켜지고 있는지 계속 확인하고 입증해야 한다. 또한, 무기를 운영하는 과정 중에도 신규 보안취약점들이 운영 중인 시스템이나 무기에 위협을 가하지는 않는지 수시로 점검하고 대응해야 한다.

 

이러한 일련의 작업은 당연히 개발 비용의 증가를 수반하게 되는데, 이를 위해 RMF 비용을 제대로 산정해 방산 원가에 반영시키려는 노력이 필요하다. 이러한 방산업체의 목소리를 모아 정부에 전달코자 하는 것이 국방혁신기술보안협회(K-SAEM)의 설립 이유이기도 하다.

 

Q. 현재는 RMF에 관심이 있지만, 협회의 명칭처럼 국방혁신기술 전반에 주목하면서 보안 문제를 다룰 것으로 보이는데, 향후 어떤 분야에서 어떻게 활동을 펼칠 생각인가?

 

A. 우선은 올 7월부터 시행될 K-RMF가 중요하기 때문에 협회의 역량을 여기에 집중하고 있지만, 협회의 활동 범위가 RMF에만 국한된 것은 절대 아니다. 이미 미국은 RMF 제도를 AI, 위성 등으로 확대하고 있다. AI가 국가 및 국방 전반에 스며 들어감에 따라 해킹으로부터의 안전성 확보가 매우 중요해졌기 때문이다. 따라서 우리 협회도 향후 활동 및 협력 범위를 위성, AI, 로봇 등 국방 첨단기술 분야에서 사이버보안을 연구하는 기업·기관들로 확대해 나갈 예정이다.

 

---

◀ 김승주 프로필 ▶ 고려대 정보보호대학원 교수, 고려대 디지털정보처 처장(교무위원), 대통령 직속 국방혁신위원회 민간위원, (사)국방혁신기술보안협회장, 前 한국인터넷진흥원(KISA) 팀장, 前 육군사관학교 초빙교수, 前 대통령직속 4차산업혁명위원회 민간위원