‘K-보안’ 미래 밝혔다…“망 분리·RMF·제로트러스트 도입 시급” 전문가들 입모아
[뉴스투데이=남지완 기자] 뉴스투데이가 23일 국방혁신기술보안협회와 함께 ‘AI 강군 육성을 위한 방산보안의 과제와 해법’을 주제로 ‘K-방산혁신포럼’을 개최했다.
국회의사당 의원회관 제1소회의실에서 열린 이날 포럼은 국방위원회 소속 안규백 더불어민주당 의원이 주최하고 뉴스투데이와 국방혁신기술보안협회가 공동 주관했으며 방위사업청(이하 방사청), 한국방위산업진흥회(이하 방진회) 등이 후원했다.
이번 포럼에서는 △망 분리 환경에서 비롯된 방산보안의 문제가 소프트웨어 중심의 미래 무기체계 연구개발에 심대한 악영향을 미치고 있다 △외부 소스를 활용해 코딩을 하는 것보다 더 중요한 것은 보안을 우선시 하는 것 등의 내용이 주요하게 다뤄졌다. 국내 최고의 보안전문가들이 모여 방산업체 보안환경을 진단하고 방산보안 해법을 모색하는 방향으로 논의가 오갔다.
포럼은 강남욱 뉴스투데이 대표이사의 개회사를 시작으로 안규백 더불어민주당 의원의 환영사, 강환석 방사청 차장과 최병로 방진회 부회장의 축사로 이어졌다. 이후 김승주 국방혁신기술보안협회장의 기조강연, 방산업체와 보안업체에서 활약하고 있는 보안전문가들의 주제발표와 종합토론 및 Q&A로 진행됐다.
■ 망 분리·RMF·제로트러스트 등 최신 보안 트렌드 소개 이어져
김승주 협회장은 기조강연을 통해 국내 망 분리 개선안의 기본 원칙을 설명한 후 바람직한 데이터 중요도 중심의 보안정책, 첨단무기 보안과 RMF(Risk Management Framework, 위험 관리 프레임워크), 모의해킹 기반 개발방식의 한계 등을 언급하면서 무기체계 연구개발에서 RMF 중심의 보안 혁신은 더 이상 우리가 거부할 수 없는 시대가 되고 있음을 강조했다.
주제발표에서 첫 번째 발표를 맡은 이승영 LIG넥스원 연구개발본부장은 ‘방산업체 연구개발 현장의 보안환경 진단’을 주제로 방산업체가 직면한 보안환경의 문제인 무기체계 연구개발 과정에 필수요소인 정보공유와 개발환경 구축, 업무의 연속성, 협력업체와의 협업 등을 심층 진단했다.
이 본부장은 “최신 기술 활용을 위해 정보공유가 필수적이며 업무효율을 개선키 위해 개발환경 또한 최신으로 이뤄져야 한다”며 “협력업체와의 정보 공유도 효율적으로 진행돼야 하며 테크기업과의 협력을 위한 개발환경도 필요하다”고 강조했다.
두 번째 발제자인 신종회 엔씨소프트 상무는 ‘망 분리 보안환경 개선을 위한 제로트러스트 적용사례’를 주제로 설명했다. 제로트러스트란 전체 시스템에서 안전한 영역이나 사용자가 전무하다는 것을 기본 전제로, 내부자 여부와 관계 없이 인증 절차 및 신원 확인 등을 철저히 검증하고 접속 권한을 부여한 뒤에도 접근 범위를 최소화하는 보안 방식을 말한다.
그는 망 분리로 인한 엔씨소프트의 불편한 업무환경에 '제로트러스트'를 단계적으로 도입하면서 정보등급에 따른 차등적인 보안정책, 사용자 행위 통제 방안, 사용자 이상 행위 분석 등 실제 적용을 통한 성공 사례를 언급했다.
신 상무는 “제로트러스트를 구현해야 글로벌 기관들의 환경·사회·지배구조(ESG) 평가에서 높은 점수를 획득할 수 있다”며 “망 분리의 한계를 보완하고자 제로트러스트를 구축해야 하며 단일 솔루션으로 문제를 해결하기 힘들 경우 컨소시엄 기반의 솔루션 도입을 고려해야 한다”고 설명했다.
마지막 발제자인 류연승 명지대 방산안보학과 교수는 ‘방산 데이터 보안의 현황과 제도적 개선 방향’을 주제로 발표를 진행했다.
그는 방산업체의 물리적 망 분리 및 데이터 보호 현황과 미국은 어떻게 하는지 살펴본 후, 방산 데이터 분류제도 개선과 데이터 중요도 기반 사이버보안 제도 구축 등 제도적 개선 방향과 함께 관련 법령의 개정 필요성도 제기했다.
■ 보안 강화하고 개발자 불편 최소화 위해 지속 논의 필요... 망 분리·RMF·제로트러스트의 융합도 고려해야
종합토론은 김한경 뉴스투데이 편집장이 좌장을 맡았으며 조준현 방위사업청 방위사업전략기획담당관, 강용석 한국항공우주산업(KAI) 정보보안최고책임자(CISO), 이형택 이노티움 대표, 최영철 SGA솔루션즈 대표 등이 참석했다.
조 담당관은 데이터 중심의 정부 망 분리 개선안에 대한 의견으로 온프레미스(On-Premise) 방식의 개발 활성화를 위한 인프라 구축 필요성을 제기했다.
온프레미스란 기업의 서버를 클라우드 같은 원격 환경에서 운영하는 방식이 아닌, 자체적으로 보유한 전산실 서버에 직접 설치해 운영하는 방식을 의미한다.
강용석 KAI CISO는 클라우드 기반의 보안환경 구성과 데이터 분류체계 정비 방향 등 방산보안 개선방안을 언급했다.
또 강 CISO는 “오픈 소스를 적극 활용해 최신 무기 체계를 개발하는 것도 중요하지만 철저한 보안을 기반으로 방산 사업을 진행하는 것이 무엇보다도 중요하다”고 강조했다.
이형택 이노티움 대표는 보안에 대한 예산·사람·인식이 부족한 방산 협력사에 적용 가능한 보안 해법을 설명했다. 자사의 보안 관련 제품인 ‘이노티움 데이터 보안 플랫폼’, ‘이노 스마트 플랫폼’ 등을 언급했다.
최영철 SGA솔루션즈 대표는 제로트로스트 아키텍처 표준 기반으로한 RMF 형태의 보안체계 구축을 강조했다.
종합토론이 마무리 된 후 질의응답이 이어졌다.
한 참가자는 “제로트러스트 개념을 도입한다면 방산업계 근무자들의 데이터 활용 불만을 잠재울 수 있는지 묻고 싶다”며 “이에 더해 중소기업이 자체적으로 RMF, 제로트러스트 등을 도입하는 것은 상당한 부담이 되는데 이에 대한 해법은 있는지 질문드린다”고 말했다.
이에 대해 조 방위사업전략기획담당관은 “현직자들이 보다 손쉽게 외부 정보를 활용해 연구개발을 하기 위해서는 관련 행정적 제한을 상당 부문 풀어야 한다”며 “이에 대한 논의는 꾸준히 하고 있다”고 답했다.
그러면서 “현재도 RMF, 제로트러스트 등을 도입하기 위한 논의는 진행되고 있다”며 “게다가 국가정보원을 중심으로 해서 재차 보안 관련 내용을 검토해야 한다. 이에 대한 팔로우 업이 진행된 후에야 중소기업들을 지원할 수 있는 정책을 검토할 것으로 예상한다”고 설명했다.