[뉴스투데이=전소영 기자] 한국형 RMF(위험관리프레임워크)인 'K-RMF'가 발전하기 위해 △RMF 제도 적기 도입 및 한·미 간 협의체 구축 △관련 법령 및 규정 제(개)정 추진 △정부·출연연구소·방산업체의 사이버보안 조직 보강△ 정부·방산업체의 RMF 전문인력 양성 등이 필요하다는 지적이 나왔다.

'CMMC(사이버보안 성숙도 모델 인증)·RMF의 현주소와 향후 대비 방향’을 주제로 한 ‘2025 K-방산혁신포럼’ 이 24일 열린 가운데 이날 두 번째 세션 ‘RMF’ 주제발표자로 나선 정기석 방위사업청 수석전문관은 이같이 강조했다. 

‘RMF 발전 동향과 K-RMF의 현주소’를 발제한 그는 미국의 RMF 발전 동향과 K-RMF 수행 절차를 자세히 설명하고 K-RMF 제도가 조기에 정착할 수 있는 방안을 제시했다. 

RMF는 시스템 수명주기 접근 방식을 다룬 위험관리 프레임워크로 각종 무기체계의 기획 단계부터 도입, 폐기까지 모든 단계에 보안 위험을 관리하는 제도다.

관련업계에 따르면 4차산업혁명이 발전하면서 사이버공간에 대한 의존성이 커졌으며 무기체계도 사이버공격의 대상이 됐다. 이에 따라 무기체계에 대한 사이버공격이 해마다 늘어나면서 미국은

미국은 FIPS(연방정보처리표준)와 NIST(국립표준기술연구소)에서 공통된 정보보호 프레임워크를 만들기 위한 RMF를 개발했다. 이에 따라 미국 정부는 2015년부터 RMF 제도를 도입하고 있다.

또한 미국과 군사 등 연합작전을 펼치는 국가에 미국에 준하는 사이버보안을 요구하고 있다. 이러한 압박을 받는 국가에는 한국도 포함된다. 이는 미국이 RMF 기준에 부합해야 협력을 할 수 있다는 얘기다.  

최근 가장 큰 화두는 AI(인공지능) 시스템에서 RMF를 적용하는 것이다. 이를 통해 AI 시스템의 위험을 식별하고 관리하겠다는 얘기다.

정기석 수석전문관은 “기술의 무분별한 발전으로 감내해야 할 미래 혼란에 대비하고 기업과 조직이 모든 분야에서 AI 위험을 해결할 수 있도록 프로세스를 제공해야 한다"며 "이를 통해 국가와 기업에 대한 부정적 영향을 최소화할 수 있다"고 설명했다. 

이에 따라 한국은 미국 RMF를 기반으로 한 한국형 위험관리체계를 연구하고 발전시키는 단계에 있다. 

이는 미국이 동맹국에게 RMF 도입을 요구하면서 한국 군(軍)에 F-35A, 글로벌호크, AKJCCS 사업 RMF 적용방침을 통보했기 때문이다. 이에 따라 국내 각급 정부기관은 RMF 도입을 위한 T/F(태스크포스팀)을 운영하는 등 제도 도입에 박차를 가하고 있다. 

한국형 RMF는 △분류 △선정 △구현 △평가 △인가 △모니터링 등 6단계로 미국 RMF와 동일하게 프레임워크 단계별 핵심과업을 정했다.

이처럼 이른바 'K-RMF'이 도입되면서 방위사업청 통합사업팀(IPT)은 방위사업교육원을 통한 RMF 관련 직무 교육을 실시하는 등 K-RMF 적용에 따른 부작용을 최소화하고 있다.

정 수석전문관은 “RMF 제도 도입에 따른 시험평가 관련 평가와 인증을 거치다 보니 업 지연과 새로운 제도 도입에 따른 비용, 인력 추가 소요 등 어려움이 있다”며 “무기체계에 K-RMF를 적용할 때 그에 걸맞는 사업 여건을 보장하고 관련 기관이 도와야 한다”고 강조했다.

이에 따라 그는 K-RMF 제도가 조기에 정착할 수 있는 방안을 제시했다.

그는 “새로운 보안제도 도입에 따른 보안강화 등 긍정적인 사항을 관련 부서에서 적극 홍보해야 할 필요가 있다”며 “특히 RMF는 사이버전(戰) 비중이 늘어나는 데 따른 무기체계 보안 강화가 필수라는 점을 강조해야 한다”고 당부했다. 

그는 이어 “RMF 관련 기관 및 부서 전문가들이 사업착수 시점부터 참여해 의견을  제시해야 한다”며 “RMF 제도를 조기에 정착하기 위해 기술지원 조직을 운영하고 개발 참여기관에 대해 전문교육을 늘려야 한다"고 강조했다.