[뉴스투데이=금교영 기자] 'K-방산'이 글로벌 방산시장, 특히 미국 시장을 공략하려면 사이버보안 기술을 갖춰야 하며 이를 위해 CMMC(사이버보안 성숙도 모델 인증)와 RMF(위험관리프레임워크) 경쟁력을 강화하기 위한 '민·관·군' 협력체계가 절실하다는 지적이 나왔다.

 

'2025 K-방산혁신포럼'이 24일 서울 여의도 국회의원회관 제1소회의실에서 CMMC·RMF의 현주소와 향후 대비 방향을 주제로 열렸다.

 

이날 포럼은 유용원·임종득 국민의힘 국회의원이 주최하고 뉴스투데이와 국방혁신기술보안협회가 공동 주관하며 방위사업청(이하 방사청), 한국방위산업진흥회, 방위산업공제조합, 한국안보협업연구소 등이 후원했다.

 

강남욱 뉴스투데이 대표 개회사로 시작된 포럼은 CMMC와 RMF 두 개 세션으로 나눠 진행됐다. 

 

첫번째 CMMC 세션은 서청정 명지대 CMMC 센터장이 '미국 CMMC 최신동향 및 한국의 대응 전략'을, 최시철 에프원시큐리티 이사가 '정보보호 컨설팅 관점의 CMMC'을 주제로 발표했으며 종합토론이 이어졌다. 

 

두번째 RMF 세션은 정기석 방사청 수석전문관이 'RMF 발전 동향과 K-RMF의 현주소'를 , 김성기 선문대 IT교육학부 교수가 'RMF의 향후 대비 방향'을 주제로 발표했고 이어 종합토론이 진행됐다.

 

■ CMMC, 사이버 보안 능력 인증…정부 주도 노력 필요

 

25일 관련업계에 따르면 CMMC는 미국 국방사업에 참여하는 방산업체의 사이버보안 능력을 평가하는 제도다. 이 제도는 모든 방산업체를 대상으로 3단계 인증 등급을 부여하며 올해부터 적용된다.

 

첫번째 주제 발표를 맡은 서청정 명지대 방산안보연구소 CMMC센터장은 변화하는 CMMC 관련 규정을 지속적으로 업데이트하고 미국이 요구하는 규격에 맞추는 것이 중요하다고 설명했다. 

 

서청정 센터장은 “CMMC 평가 기준에서 많은 점수를 차지하는 암호화 부분에서 규격을 맞추지 못해 인증에 실패하는 경우가 많다”며 “미국 제도인 만큼 요청하는 내용을 정확하게 갖출 필요가 있다”고 강조했다.

 

또한 이 과정에서 정부 주도의 각종 지원이 필요하다는 점도 나왔다.

 

서 센터장은 세부적으로 CMMC 인증 비용 지원 및 준비 관련 투자에 대한 세금 공제나 감면과 같은 재정적 지원, 보안 기술 솔루션과 컨설팅 제공 등 기술적 지원, 평가 및 모닝터링 체계 구축 등을 마련해야 한다고 제안했다. 

 

이어 '정보보호 컨설팅 관점의 CMMC'를 발표한 최시철 에프원시큐리티 이사 또한 CMMC 인증이 발전하기 위해 정부 차원에서 컨설팅 품질을 관리하는 등 정부 역할을 주문했다.

 

최시철 이사는 “미국이 인증하는 컨설팅 수행기업과 컨설턴트가 되기 위해 한·미 정부 간 협의체를 추진해 전담기관인 정부 부처와 전문 기업을 지정해 인증 취득이 수월하도록 도와야 한다”고 말했다.

 

 

토론 참석자들도 CMMC 대응을 위해 정부 차원의 지원이 필수적이라고 입을 모았다. 

 

CMMC 종합토론은 류연승 명지대학교 교수가 좌장을 맡고 서청정 명지대 CMMC 센터장, 최시철 에프원시큐리티 이사, 최영종 국방기술품질원 방산기술보호센터장, 염상훈 한화시스템 전 보안팀장, 문보형 KAI 기술보호팀장이 참여했다.

 

최영종 센터장은 “도널드 트럼프 미국 행정부 2기의 대외무역 정책 변화를 예의 주시해야 한다”면서 “한국형 CMMC(K-DC) 제도적 안정화 및 CMMC 컨설팅을 위해 국회가 입법화하는 등 제도적 지원이 필요하다”며 정부의 역할을 촉구했다.

 

최 센터장은 “방산기업 스스로 미국 CMMC 점검기준 해석의 오류 방지 등 자체 역량을 갖추고 자체 생태계를 확보하는 노력도 병행해야 한다”고 주장했다.

 

염상훈 한화시스템 전 보안팀장은 한미 간 암호체계 차이가 CMMC를 방해하는 가장 큰 문제 중 하나라며 이를 해결하기 위해 정부의 역할이 요구된다고 조언했다.

 

염상훈 전 팀장은 “CMMC 인증을 받기 위해 미국 연방정보처리표준(FIPS) 140에 따라야 하고 암호모듈은 적합성검증 프로그램인 CMVP에서 정한 안전한 알고리즘을 따라야 한다”며 “문제는 한국의 K-CMVP 인증을 받은 시스템을 구축한 국내 방산업체는 CMMC 인증을 통과할 수 없다는 점”이라고 지적했다. 

 

염 전 팀장은 이어 “이 문제는 정부 차원에서 미국 정부와 상호 인증 프로그램을 인정하는 것으로 합의를 이뤄내지 못하면 소요 비용 및 시간을 업체가 감당하기 어렵다”고 우려했다.

 

문보형 KAI 기술보호팀장은 “CMMC 추진은 현재 시작 단계이나 미 국방부 계약 업체가 모두 받아야 하는 강제사항이 돼 우리나라 방산업체가 일부 과도한 요구사항에 휘둘릴 수도 있다”라며 “정부기관 특히 방위사업청, 국방기술품질원에서 미 정부와 CMMC 인증 추진 가이드라인을 협의해 최소한의 기준을 마련해야 한다”고 당부했다. 

 

문 팀장은 이어 “CMMC와 같은 불확실성, 고비용성 인증에 따른 부담을 업체가 모두 떠안지 않도록 정부기관 차원의 많은 도움을 바란다”고 덧붙였다.

 

■ 한국산 무기체계 보안 강화 위해 'K-RMF' 필수…민·관·군 힘 모아야

 

두번째 세션은 RMF 관련 주제발표와 토론으로 진행됐다. 특히 한국형 'K-RMF' 도입 및 발전을 위한 방안이 중점 논의됐다. 

 

RMF는 무기체계 개발 및 운용 모든 단계에 보안개념을 적용한 사이버보안 위험관리체계다. 국방부는 지난해 4월 12일부터 이를 시행 중이다.

 

첫번째 주제발표자로 나선 정기석 방사청 수석전문관은 한미 정부간 협의를 통한 제도 발전, 사이버보안 조직 보강, 정부 및 방산업체의 RMF 전문인력 양성 필요성을 주장했다.

 

정 수석전문관은 “미국의 한미 연동체계에 따른 RMF 적용 요구에 따라 한국형 RMF 도입을 분류-선정-구현-평가-인가-모니터링 등 6단계 수행 절차에 따라 추진하고 있다”며 “방사청은 K-RMF 적용에 따른 사업에 미치는 영향성을 최소화하기 위해 노력하고 있다”고 설명했다.

 

그러나 “새로운 보안제도 적용에 따른 통합사업팀 업무 부담 가중되고 RMF 도입 초기 단계로 직원 전문지식이 부족하다는 어려움이 있다”며 “무기체계에 K-RMF를 적용하면 이에 걸맞는 개발관련 일정, 비용, 인력 등 사업 여건을 보장해야 한다”고 주장했다.

 

정 수석전문관은 “한국형 K-RMF 제도 개발에 따른 조기 정착 노력이 필요하다”며 “관련 법령과 규정의 지속적인 제(개)정 추진은 물론 정부·출연연구소·방산업체에 사이버보안 조직을 보강할 필요도 있다”고 부연했다.

 

이어 “관·군 등 정부와 업체·대학 등 민간 교육기관을 통해 RMF 관련 전문 교육을 확대하고 인력 양성에도 관심을 가져야 한다”고 덧붙였다. 

 

김성기 선문대 IT교육학부 교수는 'RMF의 향후 대비 방향'을 주제로 발표하면서 국방 혁신 기술 획득을 위한 사이버보안 교육의 필요성과 RMF 실무자 인력양성 등을 강조했다. 

 

김성기 교수는 RMF 도입을 위한 과제로 △국방혁신기술 신속 획득체계와 RMF 통합 △RMF 직무 능력 단위 요소 개발 및 직무 역량 평가모델 개발 △RMF 실무자 인력양성 교육프로그램 개발 △국방사이버보안 전문가 자격인정 시험제도 개발 등을 제안했다.

 

특히 김 교수는 “RMF, CMMC, 공급망 보안, 우주 보안, 국방 AI(인공지능) 보안 등 다양한 국방혁신기술을 위한 보안전문가 인력 양성이 시급하다”며 “RMF 산업 생태계 조성을 위한 민군 협의체 구성과 정부지원이 긴요하다”고 말했다. 

 

 

주제발표 후 이어진 토론에서도 민·관·군 협력이 강조됐다. RMF세션 토론은 좌장 신동규 세종대 교수를 중심으로 박춘석 국방혁신기술보안협회 사무총장과 신영섭 LIG넥스원 팀장의 발언으로 진행됐다.

 

박춘석 사무총장은 “K-RMF가 발전하기 위해 민·관·군 협의체를 구성해 운영해야 한다”며 “정부가 사업관리와 보안 기술 표준화를, 민간은 기술 및 방산 공급망 보안 강화를, 군은 무기체계에 K-RMF를 적용하고 사업관리를 하며 민간에 필요한 요구사항을 공유하는 방식”이라고 소개했다. 

 

그는 “국방부는 지난해부터 RMF를 도입했다고 하지만 협회 회원사를 대상으로 조사해보면 일부 대기업 정도만 RMF 관련 팀을 가지고 있거나 연구하고 있는 상황”이라고 꼬집었다. 

 

그는 이어 “미국을 참고해 한국형 K-RMF 생태계를 만들려면 민·관·군 협의체 중심 전문가 양성, 중소기업 지원, 글로벌 표준 연계까지 전방위적으로 접근해야 한다”고 강조했다. 

 

신영섭 LIG넥스원 팀장은 새로운 제도 도입에 따른 비용·절차 부담 등을 지적하며 이를 고려한 기준이 필요하다고 주문했다. 

 

신 팀장은 “2023년부터 ‘K-RMF’ 관련 태스크포스(TF)를 꾸렸는데 그동안 K-RMF 외에 많은 규정이 계속 제·개정돼 추가 항목이 생겨 이러한 변화가  무기 체계에 정상적으로 녹아들지 않는 상황이 생길 수 있다”고 우려했다. 

 

이에 “위험관리 체계는 새로운 K-RMF 프로세스가 들어와도 서로 충돌하지 않는 것이 중요하다”며 “규정상 상호 충돌에 따른 요구사항이 바뀌면 이를 적용할 우선순위나 기준선이 마련돼야 한다”고 주장했다.

 

한편 이날 포럼은 200명 이상이 사전에 참가신청을 하는 등 방산 및 보안업계에서 상당한 관심을 보였으며, 발표와 토론이 4시간 가까이 진행됐음에도 임종득 의원과 정규헌 방사청 우주지휘통신부장을 비롯해 많은 참석자들이 끝까지 좌석을 지키며 진지하게 토론에 참여했다.