[뉴스투데이=유한일 기자] 방산 분야 전문가들은 한국산 무기체계 보안강화를 위한 '한국형(K)-RMF(Risk Management Framework·위험관리프레임워크)’이 성공적으로 개발되고 도입할 수 있도록 정부와 군(軍), 기업이 협력하는 체계가 필수적이라고 입을 모았다.

이와 함께 RMF 제도 전문가 양성 뿐 아니라 중소 방산기업을 포함한 국내 방산업계의 전문성 강화와 비용·기간 부담 완화를 지원할 필요성도 제기됐다. 

24일 서울 여의도 국회의사당 제1소회의실에서 ‘CMMC(사이버보안 성숙도 모델 인증)·RMF의 현주소와 향후 대비 방향’을 주제로 열린 ‘2025 K-방산혁신포럼’에서 RMF 섹션 토론자들은 이 같은 의견을 제시했다.  이날 토론은 신동규 세종대 교수가 좌장을 맡고 박춘석 국방혁신기술보안협회 사무총장과 신영섭 LIG넥스원 팀장이 참여했다. 

RMF는 무기 체계 기획부터 도입, 폐기까지 모든 단계에 대한 보안 위협을 관리하는 제도다. 미국 국방부는 2015년부터 RMF 제도를 도입했으며 연합 군사작전을 수행하는 동맹국에도 미국에 준하는 사이버 보안 수준을 요구하고 있다. 

먼저 토론자들은 ‘K-RMF’ 생태계 조성을 위한 전문가 양성 필요성에 공감했다. 특히 이 과정에서 기업 규모 별로 차이가 나는 RMF 대응 수준을 맞춰야 한다는 목소리도 나왔다.

개별 기업 노력 뿐만 아니라 민·관·군이 ‘원팀(One-Team)’으로 시너지를 내야 한다는 게 전문가들의 공통된 의견이다. 

박 사무총장은 “우리 국방부는 2026년부터 RMF를 도입하겠다고 했지만 당장 눈앞에 다가오지 않는 현실”이라며 “협회 회원사를 대상으로 조사하면 RMF와 관련한 팀을 구축하거나  연구하고 있는 건 일부 대기업 정도 밖에 없다”고 지적했다. 

그는 이어 “민간업체들도 당장 RMF를 구현해야 하는데 중소기업은 관련 교육을 받기 위한 비용 부담이 큰 게 현실”이라며 “'K-방산'이 지속적인 성장을 하려면 정보보호가 꼭 필요하며 가장 중요한 건 RMF와 관련해 정부 차원의 적극적인 지원과 민·관·군 협의체 구성”이라고 강조했다. 

토론에서는 ‘K-RMF’를 준비 중인 방산기업의 애로사항도 쏟아졌다. 새로운 제도 도입에 따른 비용적·절차적 부담이 가중될 수밖에 없다는 뜻이다. 

신 팀장은 “2023년부터 ‘K-RMF’ 관련 태스크포스(TF)를 꾸렸는데 직접 무기 체계를 개발하면서 가장 걱정됐던 부분은 개발 비용과 일정”이라며 “그동안 K-RMF 외에 많은 규정이 계속 제정·개정되면서 추가 항목이 생기고 있는데 무기 체계에 정상적으로 녹아들지 않는 상황이 생길 수 있다”고 말했다. 

그는 이어 “위험관리 프로세스 구축은 새로운 ‘K-RMF’라는 프로세스가 들어왔을 때 서로 충돌하지 않고 잘 돌아갈 수 있는 시스템을 구축하는 게 중요하다”며 “체계 개발을 하다보면 규정상 상호 간 충돌하는 부분이 있는데 심각한 상황이 빚어져 요구사항을 변경해야 할 때 적용할 우선 순위나 기준선이 필요하다”고 주문했다. 

그는 “현행 사이버보안 위험관리 지시에 따르면 운용시험평가 기간 중 보안평가를 실시하도록 돼 있는데 굉장히 빡빡한 일정으로 진행된다"며 "여기에 ‘K-RMF’에 대한 보안평가가 추가되면 시험평가 기간에 영향을 미칠 수밖에 없다”고 지적했다.  이는 체계 규모나 적용 대상 시스템을 고려한 별도의 보안평가 일정이 반영돼야 한다는 얘기다.