-
>
[방산 이슈 진단 (126)] CMMC·RMF 제대로 추진하려면 방산업체의 클라우드 활용 막아놓은 법령 개정 필요하다
김한경 안보전문기자
입력 : 2025.02.27 14:24
ㅣ 수정 : 2025.02.27 14:24
방사청 훈령인 ‘방위산업기술 보호지침’에 클라우드 활용한 업무자료 작성 및 저장 금지 명시
방위산업이 새로운 활로를 찾으면서 세계의 주목을 받고 있다. 방위사업청 또한 방위산업이 처한 현실을 극복하기 위해 지속적인 제도 개선과 함께 법규 제·개정을 추진 중이다. 그럼에도 방위사업 전반에 다양한 문제들이 작용해 산업 발전을 저해하고 있다. 뉴스투데이는 이런 문제들을 심층 진단하는 [방산 이슈 진단] 시리즈를 연재한다. <편집자 주>
[뉴스투데이=김한경 안보전문기자] 지난 24일 유용원·임종득 국민의힘 의원이 주최한 ‘2025 K-방산혁신포럼’이 ‘CMMC·RMF의 현주소와 향후 대비 방향’이란 주제로 국회의원회관 제1소회의실에서 개최됐다. 뉴스투데이와 국방혁신기술보안협회가 공동 주관한 이날 포럼에서는 미국 방산시장 진출에 필수 요건인 CMMC와 미래 무기체계 개발의 성패를 좌우하는 RMF에 관해 국내 최고의 전문가들이 모여 의미 있는 논의의 장을 펼쳤다.
CMMC(Cybersecurity Maturity Model Certification)란 미국 국방사업에 참여하는 모든 방산업체의 사이버보안 능력을 평가해 3단계 인증 등급을 부여하는 ‘사이버보안 성숙도 모델 인증’ 제도로 올해부터 적용될 예정이며, RMF(Risk Management Framework)는 무기체계 개발 및 운용 전 단계에 보안개념을 적용한 ‘사이버보안 위험관리체계’로 지난해 4월 12일부터 국방부에서 시행 중이다.
■ 망분리 문제 개선되고 있어 클라우드 활용 막아놓은 법령 개정만 남아
CMMC와 RMF가 제대로 추진되려면 클라우드를 사용할 수 있어야 한다. 하지만 우리나라는 방위사업청 훈령인 ‘방위산업기술 보호지침’에서 클라우드 사용을 막아놓은 상태다. 이 지침 30조(정보통신망 관리·운용) ①-1항에선 ‘관리대상 기술과 관련된 전산자료를 처리하고 생산하는 정보통신기기가 접속하는 정보통신망은 인터넷 등 외부망과 연결 차단’을, ⑦항에선 ‘클라우드 서비스 등을 활용한 업무자료의 작성 및 저장을 금지’하라고 명시돼 있다.
이날 포럼에서 김승주 고려대 정보보호대학원 교수(대통령 직속 국방혁신위원회 민간위원)는 “CMMC와 RMF는 빌트인 가구처럼 처음 제품을 설계할 때부터 보안을 내재화하라는 것인데, 현행 망분리 제도에서는 망이 끊어진 상태여서 클라우드를 사용할 수 없고, 클라우드를 사용하지 못하면 보안 내재화를 제대로 할 수 없다”고 지적했다. 국내 최고의 사이버보안 전문가인 그는 현행 망분리 제도의 문제를 대통령께 보고해 해결의 물꼬를 튼 인물이다.
망분리 문제를 정확히 이해한 대통령의 강력한 지시로 지난해부터 국가정보원이 제도 개선을 추진해 최근 ‘국가망 보안체계 가이드라인’이란 이름의 개선안을 내놓았다. 현재 시범적용 중이며 올해 7월부터 모든 정부 부처에 적용을 시작할 계획이다. 따라서 기존 망분리 제도의 문제는 개선되고 있는 상태여서, 이제 클라우드 활용을 막아놓은 현행 법령의 개정만 이뤄지면 CMMC 및 RMF의 걸림돌은 사라진다.
■ 2021년에도 국회 토론회 거쳐 클라우드 도입 추진했지만 진전된 것 없어
김 교수는 “관련 법령인 ‘방위산업기술 보호지침’ 30조의 일부 문구 개정을 통해 클라우드를 사용할 수 있게 해주고, 미국의 방산업체와 정부 기관이 마이크로소프트의 비밀 등급으로 지정된 클라우드를 이용하듯이 우리나라의 클라우드컴퓨팅서비스 보안인증제도도 비밀 보안등급까지 인증을 활성화함으로써 보안 내재화가 가능해지면 CMMC와 RMF가 안착할 수 있다”라고 대안을 제시했다.
사실 클라우드 사용 문제는 2021년 11월 24일 국회에서 열린 ‘방위산업 보안정책 토론회’에서 최초로 제기됐다. 당시 윤주경·강대식 의원이 주최하고 한국방위산업진흥회가 주관한 이 토론회에서 한희 고려대 교수는 미 국방부의 사례를 들면서 “현재의 분산된 망분리 구조를 단일 클라우드 기반의 정보시스템으로 통합하고, 클라우드 제공자가 정보보호를 책임지는 방향으로 방산보안의 패러다임을 전환해야 한다”고 주장했다.
이날 토론에 참여했던 최광희 한국인터넷진흥원(KISA) 디지털보안산업본부장은 “방위산업은 망 분리로 보호하기 어려운 산업구조이며, 클라우드를 도입하면 방산에 특화된 보안인증제도도 만들 수 있다”고 제안했으며, 박대규 방위사업청 국방기술보호국장도 “업계 의견을 수렴하고 비용, 책임, 관리 주체 등 여러 문제를 검토하겠다”고 말했다. 하지만 이후 정부 기관과 업체 간 소통은 이뤄지지 않았고 현재까지 진전된 것은 하나도 없다.
■ 국회에서 나서고 방사청이 법령 개정을 위한 실질적인 작업에 착수해야
CMMC 인증 컨설팅 업체이자 방산자료 유출방지 및 해킹방어에 탁월한 보안제품을 개발해온 ‘이노티움’의 이형택 대표는 “국가망 보안체계가 하루빨리 적용돼 방산업체가 연구개발 과정에 클라우드를 이용할 수 있도록 환경을 만들어주는 것이 가장 중요하다”고 주장했다. 이노티움 외에 TQMS, 에프원시큐리티 등 총 3개 업체가 국내에서 CMMC 인증 컨설팅이 가능한데, 이들도 모두 클라우드 사용이 우선시돼야 한다고 말한다.
이제 더는 늦출 수 없는 상황이다. 이번 포럼을 계기로 국회에서 유용원·임종득 의원이 나서고 방위사업청 국방기술보호국이 법령 개정을 위한 실질적인 작업에 착수해야 한다. 국가정보원과 방첩사령부도 이런 흐름에 힘을 보태야 한다. 법령 개정에 필요한 관련 자료들은 그동안 연구된 내용만으로도 차고 넘친다. 우리 방위산업이 새롭게 도약하려면 미국 방산시장 진출이 현실화돼야 하고, 그 시작은 클라우드를 활용한 CMMC·RMF의 안착에 달려 있다.
댓글 (0)
- 띄어 쓰기를 포함하여 250자 이내로 써주세요.
- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.
0
/250