보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

RMF(Risk Management Framework), K-방산에 날개 달 수 있을까

2024.06.04

149

01. 세계적으로 호평받는 K-방산, 그리고 이를 노리는 보안 위협

우리나라 방위산업 기술이 비약적으로 성장함에 따라 방산 수출이 경이적인 호조를 보이고 있는 요즈음, 이를 노리는 사이버 공격이 급증하고 있다. 국회 국방위원회에 따르면, ‘K-방산’ 수출 확대에 발맞춰 군을 겨냥한 해킹 공격이 매년 크게 늘어나는 추세를 보인다. 국방위원회 소속 이헌승 의원이 국방부로부터 제공받은 자료에 따르면 2017년 3,986건이던 군 인터넷망 공격이 2022년에는 126% 상승한 9,021건으로 조사됐다. 해킹을 시도해온 국가들의 수도 2017년 80개국에서 2022년 166개국으로 2배 이상 증가했다. 공격 유형은 홈페이지 침해 시도가 가장 많았고, 공격을 가장 많이 시도한 인터넷 프로토콜(IP)의 국가는 중국과 미국으로 드러났다.

[그림 1] 군 인터넷망 침해 시도 IP 주소가 위치한 국가 (출처: 국회 이헌승 의원실)

여기에 북한도 가세한다. 최근 북한의 대표적인 해킹 조직 라자루스, 안다리엘, 김수키 3곳이 국내 방산 기술 탈취를 목적으로 전방위적인 해킹 공격을 감행한 사실이 밝혀졌다. 이로 인해 국내 방산업체 10여 곳이 해킹당했고, 경우에 따라 1년 6개월 전부터 꽤 최근까지 공격이 지속된 것으로 드러났다. 또한 방산업체로의 직접 침투뿐만 아니라 상대적으로 보안이 취약한 협력업체나 유지 보수 업체를 표적으로 삼는 한층 지능적인 수법까지 동원됐다. 각자의 역할 분담이 뚜렷한 것으로 알려졌던 북한의 해킹 조직들이 이번에는 하나의 공동 목표를 가지고 총력전의 형태로 공격을 감행했다는 점에서, 국내 방산 기술 탈취를 위한 북한의 움직임은 더욱 심화될 것으로 예상된다.

이에 방산업계 안팎에서는, 높아지는 방산 기술의 수준만큼 보안 수준도 높아져야 한다는 목소리가 커지고 있다. 특히 현대의 무기체계는 첨단화됨에 따라 소프트웨어가 차지하는 비중이 크게 증가하였고, 네트워크화돼 타 체계와 연동되는 양상을 보이고 있으며, 또 수출까지 증가해 참여하는 협력업체가 크게 늘어났다. 이는 곧 해커들이 겨냥할 수 있는 공격 표면이 전에 비해 대폭 늘어났음을 의미한다. 자체 개발하는 기능엔 보안 기술이 적용되어야 하고, 외부에서 조달하는 부품에 대해서는 신뢰할 수 있는 방산 공급망이 구축되어야 한다. 무기체계 총 수명주기에 보안이라는 개념이 필수불가결한 요소로 떠올랐다는 의미다.

02. 물 들어올 때 노 저어라! K-방산의 경쟁력 높일 K-RMF

이와 같은 배경에서, 우리나라 국방부는 2019년부터 미국 RMF(Risk Management Framework)를 기반으로 한 한국형 RMF ‘K-RMF’ 개발에 착수했으며, 올 7월 실행을 예고했다.

RMF는 미국 국립표준기술연구소(NIST)에서 개발한 시스템 수명주기 접근 방식의 ‘위험관리 프레임워크’다. 위험관리에 대한 표준 및 절차를 규정하고 있는 연방 정부 지침으로서 복잡하고 정교한 위협, 진화하는 임무(비즈니스)의 기능, 변화하는 시스템과 조직 취약성 등이 있는 다양한 환경에서 위험을 보다 효과적으로 관리할 수 있도록 도와준다. RMF는 포괄적이고 유연한 체계이기 때문에 산업, 기술, 규모에 상관없이 활용될 수 있지만, 미국이 자국의 모든 무기체계에 의무 적용하는 모습을 보이면서 국방 분야의 사이버 보안 수준 향상을 위한 핵심 방법론 중 하나로 자리 잡았다.

다시 말해 RMF는 국방 분야에 도입되는 각종 체계 그중에서도 특히 무기체계 개발 전 단계에 보안 개념을 적용한 위험관리 프레임워크로, 무기체계의 기획부터 도입과 운용, 그리고 폐기까지 전체 수명주기에 발생 가능한 사이버 취약성 및 위협을 효율적으로 관리할 수 있도록 도와준다. 최근 미국이 함께 연합작전을 수행하는 국가에 이와 준하는 보안 수준을 요구하기 시작하면서 K-RMF 개발에 속도가 붙은 것으로 알려졌다. 이와 같은 맥락에서, RMF는 군이나 방산업체가 위험관리 프로세스를 더욱 체계적으로 적용할 수 있도록 도와주는 도구임과 동시에 무기체계에 대한 보안성을 평가할 수 있는 잣대의 역할을 함께 한다고도 할 수 있겠다.

RMF가 제안하는 위험관리 프로세스는 ▲준비(Prepare) ▲체계 보안분류 선정(Categorize) ▲보안 통제 항목 선정(Select) ▲보안 통제 항목 구현(Implement) ▲보안 통제 항목 평가(Assess) ▲승인(Authorize) ▲모니터링(Monitor)의 7가지 단계로 구성된다. 평가를 준비하고, 예상되는 위협이나 취약성 수준에 따라 체계를 분류하고, 분류에 맞춰 보안 통제 기준을 설정하고, 보안 통제를 구현하고, 보안 통제가 제대로 이루어지고 있는지를 평가해 이를 기초로 시스템 운영을 승인하게 되는 방식이다. 그 후에는 지속적인 모니터링을 통해 위험평가를 업데이트한다. 여기서 따르는 보안 통제 항목은 NIST SP 800-53을 가리키며, 준비 단계를 제외한 나머지 6단계는 해당 체계가 폐기될 때까지 반복적으로 수행되어야 한다.

[그림 2] 미국 국립표준기술연구소(NIST)가 규정한 RMF (출처: NIST)

K-RMF는 현행 국방부 사이버 보안 체계를 기반으로, 미국 RMF와 정보보호 관리체계 국제 표준 ISO27001을 종합 및 수정하여 완성된다. 미국 RMF의 경우 미국의 군 보안 규정을 따르고 있기 때문에 국내 사정에 맞게 현행 국군 보안 규정을 토대로 다듬는 과정이 필요하다. 이에 국방부는 국내 RMF 도입과 관련해 지난해 미국과의 협의를 마쳤으며 지휘통제 체계를 시작으로 RMF 적용 범위를 점차 넓혀나갈 계획이라고 밝혔다. 체크리스트를 활용해 지휘통제 체계를 처음 설계하는 단계부터 보안이 철저하게 이뤄지는지 점검할 예정이며, 체크리스트에는 시큐어 코딩 등 코드 개발 시 요구되는 보안 절차를 비롯해 각종 준수 사항이 포함될 것이라고 알려졌다.

03. K-방산의 사상누각을 막기 위해서는…

다만 RMF에 따라 위험관리를 수행한다고 하더라도 별도의 인증이 제공되는 것은 아니다. 미국 국방부(DoD)는 앞서 RMF와는 별개로, 국가와 계약하는 방산업체 및 협력업체에 대해 일정 수준의 사이버 보안 체계 인증을 의무화하는 CMMC(Cybersecurity Maturity Model Certification) 제도를 도입한 바 있다. CMMC는 사이버 보안 성숙도 수준을 3개 등급으로 구분해 인증을 받는 제도로, 이르면 오는 2025년부터 시행될 예정이다. 미 국방부와 계약하는 모든 업체는 반드시 CMMC를 획득해야 하며, 해당 인증을 받지 못하면 미국에 방산물자를 수출하거나 미국과 공동 개발 및 공동 생산 등 방산 협력이 불가능해진다. RMF가 내부용 보안 평가 및 승인을 위한 제도라고 한다면, CMMC는 대외용 인증 제도라고 할 수 있겠다.

[그림 3] CMMC 모델 2.0 (출처: DoD)

앞으로 국내 방산업체는 새로운 무기체계에 대한 시제품 개발 또는 선행 연구 시 K-RMF에 근거해 보안을 준수해야 하며, 수출 시에는 CMMC에 맞춰 인증 심사를 준비해야 한다. 이렇듯 늘어나는 보안 요구사항이 누군가에게는 새로운 사업의 기회가, 또 누군가에게는 부담이 될 수 있지만 이를 이해하여 신속하고 탄력적으로 대응할 수 있는 방안을 찾는 게 그 무엇보다 우선인 시점이다. 토대를 단단히 하지 않고 기둥을 쌓는 것은 사상누각(沙上樓閣)에 불과하다. K-방산이 수출 증가와 함께 한국의 미래 성장 동력으로 떠오른 가운데, 강화된 방산 보안 체계가 국내 방산업계 발전을 위한 견고한 반석이 되어줄 것임은 틀림없다.