[뉴스투데이=김승주 고려대 정보보호대학원 교수] 무기체계 소프트웨어의 비중 및 복잡성이 급격하게 증대되면서, 국방 분야 소프트웨어의 중요성이 점차 증가하는 상황이다. 실제로 F-35 전투기에 내장된 소프트웨어는 모두 2,470만 라인의 코드(LoC: Lines of Code)로 작성돼 있어, 이를 일반적인 소프트웨어들의 라인 수와 비교해보면 그 크기를 어렴풋이 가늠해볼 수 있다. 

■ 현대 무기체계, 소프트웨어 의존도 상당히 높아 사이버 공격에 취약

마이크로소프트 윈도우즈(Windows)의 경우 5,000만 라인의 코드로 이루어져 있고, 리눅스(Linux)는 1,800만 라인이다. 지금은 메타(Meta)로 이름을 바꾼 페이스북(Facebook)의 경우 6,200만 라인의 코드로 돼 있으며, 인스타그램(Instagram)과 아마존(Amazon)이 5,000만 라인, 트위터(Twitter)가 1,000만 라인, 유튜브(Youtube)가 8,000만 라인의 코드로 이루어져 있다.

그러나 이렇게 소프트웨어에 대한 의존도가 높아진다는 것은 현대 무기체계가 사이버 공격에 그만큼 더 취약해질 수 있음을 의미하기도 한다. 이러한 연유로 최근 주목받고 있는 것이 미국에서 개발한 ‘DoD RMF(Department of Defense Risk Management Framework, 국방부 위험관리 프레임워크)’와 ‘CMMC(Cybersecurity Maturity Model Certification, 사이버보안 성숙도 모델 인증)’ 평가‧인증 제도이다.

DoD RMF와 CMMC는 모두 정보 시스템 개발 초기(요구사항 분석 및 설계 단계)부터 보안을 고려해야 하며, 이를 통해 시스템 복잡성을 줄이고 신뢰성을 강화하는 것을 목표로 한다. 즉, 정부는 기업이 ‘보안 내재화(Security by Design)’ 또는 ‘DevSecOps’ 기반으로 제품을 개발했는지를 평가·인증하게 된다. 사실 이러한 보안 내재화 평가‧인증 제도가 DoD RMF와 CMMC가 처음은 아니다. 

■ 기밀 정보 다루면 RMF, 기밀이 아닌 정보 다루면 CMMC 평가·인증 따라야

이미 그 이전부터 ISO/IEC 국제표준인 CC(Common Criteria, 공통평가기준)가 존재했다. 하지만 RMF와 CMMC는 CC보다 지속적인 사후 모니터링(Monitor) 및 위험관리를 더 강화했으며, 또한 관련 법(FISMA: Federal Information Security Management Act)에 따라 미국 연방 정부 기관과 군의 정보 시스템들(예를 들어 군사 시스템, 국가 보안 시스템 등)은 이 제도를 준수해야만 한다.

그러나 DoD RMF와 CMMC는 적용 대상이 다르다. 모든 국방부 계약업체(DIB: Defense Industrial Base)의 정보 시스템들은 기본적으로 자신들이 취급하는 정보(Controlled Unclassified Information 및 Federal Contract Information)의 민감도 및 계약 요구사항에 따라 적절한 레벨의 CMMC 인증을 받아야 하며, 이는 주 계약업체뿐만 아니라 협력업체까지도 해당된다. 

반면, RMF는 방위산업체가 직접 연방 정부 기관 또는 군의 정보 시스템을 운영하거나 개발하는 경우, 혹은 무기체계나 국가 안보 시스템에 관련한 작업을 수행할 때 필수적이다. 또한, 방위산업체 자신의 정보 시스템이 기밀 정보(Classified Information)를 처리하는 경우에도 CMMC가 아닌 RMF를 따라야 한다. 

■ 모의 해킹 의존 벗어나 보안 내재화 기반의 선진 개발방식 도입 다행

요약하면, ▲기밀이 아닌 CUI(Controlled Unclassified Information) 및 FCI(Federal Contract Information)를 처리하는 국방부 계약업체의 정보 시스템들은 CMMC 제도를 준수해야 한다. 반면에 ▲기밀 정보를 다루는 연방 정부 기관 또는 군의 정보 시스템, ▲기밀 정보를 다루는 국방부 계약업체의 정보 시스템, ▲기밀 정보는 아니지만 CUI를 다루는 연방 정부 기관 또는 군의 정보 시스템 등은 RMF 평가‧인증 제도를 지켜야 한다.

우리 군도 지난해 4월 12일 ‘국방 사이버보안 위험관리 지시’를 발표하며 K-RMF 도입을 공식화했다. 현재 K-CMMC 제도 또한 준비 중인 것으로 안다. 다소 늦었지만 이를 통해 우리도 단순히 모의 해킹에만 의존하는 개발 방식(일명 Penetrate & Patch Approach)에서 벗어나, 보안 내재화 기반의 체계적인 선진 개발 방식을 국방 분야에 도입하게 된 것은 매우 다행스러운 일이다. 

늦게 시작한 만큼 관련 기술 개발 및 인력 양성, 신속한 제도 안착을 위해 우리 군은 모든 노력을 기울여 나가야 할 것이다. 하지만 RMF와 CMMC에 대한 기본 철학 및 근본적인 차이점을 명확히 인식함으로써, 두 제도가 조화롭게 공존할 수 있도록 하는 데도 힘써야 하겠다.

◀ 김승주 프로필 ▶ 고려대학교 정보보호대학원 교수 겸 디지털정보처 처장, 대통령 직속 국방혁신위원회 위원, 대통령 직속 국가인공지능위원회 위원, (사)국방혁신기술보안협회 협회장