2019-09-17 18:59 (화)
[K-ISI 2018] 김승주 교수 "한국형 SDL 개발과 보안공학 전문가 양성 시급"
상태바
[K-ISI 2018] 김승주 교수 "한국형 SDL 개발과 보안공학 전문가 양성 시급"
  • 길민권 기자
  • 승인 2018.09.17 15:06
이 기사를 공유합니다

"선진국, 사이버무기 개념 확대해 엄격한 평가 기준 적용...한국은 미흡한 상태"

▲ 김승주 고려대 교수. K-ISI 2018에서 '최신 첨단무기 해킹, 우리 군은 안전할까'를 주제로 강연중.
▲ 김승주 고려대 교수. K-ISI 2018에서 '최신 첨단무기 해킹, 우리 군은 안전할까'를 주제로 강연중.
"네트워크와 연결된 모든 무기가 사이버무기다. 군에서 사용되는 모든 장비와 무기들이 사이버무기에 포함된다. 따라서 사이버무기에 대한 철저한 보안검증이 필요하다. 하지만 우리와 선진국 간 테스트 기준에서 상당한 차이가 난다. 특히 미국은 무기체계에 대한 엄격한 사이버 시큐리티 테스트 프레임웍과 분석가들을 확보하고 있다. 이 부분에서 우리는 아직 미흡하다."

"테스트를 모의해킹에만 의존해선 안된다. 모의해킹은 어느 팀이 테스트 하냐에 따라 결과가 달라질 수 있다. 매번 모의해킹하고 수정하는데도 한계가 있다. 또 시큐어코딩을 적용했다고 해서 보안성을 담보할 수 없다. 우리만의 SDL(Security Development Lifecycle)을 개발해야 한다. 그리고 무기체계에 대한 개발 및 테스트 프로세스와 리스크 관리 체계를 만들어 가야 한다. 더불어 학계와 산업계에서 보안공학(시큐리티 엔지니어) 전문가 양성과 쓰릿모델링(Threat Modeling) 개발에 힘써야 한다." -김승주 고려대 교수(K-ISI 2018에서)-

데일리시큐 주최로 열린 국내 사이버위협 인텔리전스 정보 공유를 위한 컨퍼런스 'K-ISI 2018'에서 김승주 고려대학교 교수는 '최신 첨단무기 해킹, 우리 군은 안전할까'란 주제로 강연을 진행했다.

네트워크와 연결된 제품 개발 라이프사이클 전반에 SDL 개발 적용돼야

▲ 김승주 교수 K-ISI 2018 발표자료
▲ 김승주 교수 K-ISI 2018 발표자료
이날 김승주 교수는 미국과 유럽 그리고 한국의 무기체계에 대한 사이버시큐리티 검증에서 상당한 차이가 있다고 말하고 무기 뿐만 아니라 모든 네트워크와 연결된 제품 개발에서 라이프사이클 전반에 체계적인 프레임워크 즉 SDL(Security Development Lifecycle)이 개발, 적용되어야 한다고 강조했다.

김 교수는 "영국에서 2017년 6월 발표한 보고서에서 핵무기가 탑재된 핵잠수함이 해커에 의해 장악될 수 있는지 연구한 결과를 보면 군에서 말하는 '망분리해서 안전하다'라는 말은 틀린 말이라고 증명했다. 무기나 군 장비를 테스트한 결과 하나의 무기를 만들기 위해서 자국 뿐만 아니라 여러 나라 제품들을 혼합해 제작하게 되는데 이 과정에서 어떤 악성코드와 취약점이 존재할 수 있기 때문에 망분리 맹신에서 벗어나 모든 무기와 장비에 대한 엄격한 보안검증이 반드시 필요하다"고 말했다.

이어 "미국은 모든 네트워크가 연결된 무기와 장비에 대한 해킹 가능성 여부를 철저한 프로세스를 통해 검증한다. F-35 전투기도 미국은 사이버무기라고 말한다. 즉 대부분의 군사 무기들을 사이버무기에 포함시키고 있으며 이들 사이버무기에 대한 사이버시큐리티 테스트 및 평가 가이드북을 만들어 무기체계 테스트 프레임워크를 구축한 상태다. 하지만 우리는 아직 이런 부분에서 많이 부족하다. 이런 테스트 프레임워크는 미 국방부도 비밀로 하고 있기 때문에 가서 배울 수도 없다. 우리 자체적으로 사이버 시큐리티 분석 전문가(Cyber Security Analyst)를 양성하고 체계를 만들어 가야 한다"고 덧붙였다.

"보안은 프로세스...리스크 매니지먼트 기반 관리체계 만들어야"

▲ 김승주 교수 K-ISI 2018 발표자료
▲ 김승주 교수 K-ISI 2018 발표자료
한편 모의해킹과 시큐어코딩의 한계도 지적했다. 모의해킹에만 의존하면 안전한 제품이 나올 수 없다. 모의해킹 팀 능력에 따라 결과가 좌우되기 때문이다. 또 계속 수정하다 보면 시장 진입도 늦을 수 있다. 또 시큐어코딩 적용했다고 해서 '보안 내재화'를 했다고 말하면 안된다. 초기 설계단계부터 '시큐리티 바이 디자인(Security by Design)'되어야 한다는 것이다.

미국은 이미 1973년부터 무기체계에 대한 보안의 중심에 '보안제품'이 아닌 '프로세스'를 두고 리스크 매니지먼트에 기반한 관리체계를 만들어 왔다. 미 국방부는 89년부터 보안공학(시큐리티 엔지니어링)에 대해 깊이 연구하기 시작했고 전문가를 양성했으며 이들이 정부와 민간에 퍼져 모든 개발 단계에서 수학적으로 증명할 수 있는 보안 프로세스를 적용하고 있다. 우리는 아직 보안공학 전문가가 거의 없는 상태다.

보안공학은 엔지니어링(Engineering) 프로세스, 어슈어런스(Assurance) 프로세스, 리스크(Risk) 프로세스 등 3가지 프로세스가 축을 이룬다. 즉 소프트웨어 개발 단계 그리고 교구사항 분석 및 설계, 구현 과정에서 보안요소들이 깨지지 않고 잘 유지되고 있는지 마지막으로 어떤 리스크가 있다면 전체 시스템에 어떤 영향을 미치고 개선할 수 있는지 등을 정량적으로 분석해 내는 학문을 말한다. 모든 단계가 체인처럼 연결돼 제품 개발의 모든 생명주기가 수학적으로 증명되어야 한다.

▲ 김승주 교수 K-ISI 2018 발표자료
▲ 김승주 교수 K-ISI 2018 발표자료
이런 보안공학을 기반으로 미국 국방부는 사이버보안 시험·평가의 핵심인 'RMF(리스크 매니지먼트 프레임워크)' 프로세스를 정립했다. RMF는 1단계 시스템분류, 2단계 보안통제항목 선택, 3단계 보안통제항목 구현, 4단계 보안통제항목 평가, 5단계 시스템 인가, 6단계 보안통제항목 감시 등으로 분류하고 이 단계들이 잘 이행되고 있는지 지속적으로 모니터링하면서 무기나 장비 개발에 철저한 테스트 과정을 거친다. 이 과정을 통과해야 실전에 배치될 수가 있다.

또 미국은 '시큐어'라는 용어보다는 '어슈어런스(Assurance)'를 사용한다. 군 뿐만 아니라 연방정부 및 민간기업까지 확대되고 있다. 이런 트렌드에서 SDL(Security Development Lifecycle)이 만들어졌다. 모든 개발 프로세스를 표준화시킨 것이다.

"보안주체는 개발자가 되어야...보안팀은 개발자가 SDL 준수하도록 교육"

여기서 김 교수는 "우리도 SDL을 적용하고 있다고 하지만 실제 현장에 가보면 문제가 있다. 보안주체는 개발자가 되어야 한다. 요구사항 분석부터 설계와 구현 등 모든 단계에서 반드시 따라야 할 기준이 바로 SDL이다. 이를 개발자들이 할 수 있도록 해야 한다"며 "보안팀은 개발자들이 SDL을 준수할 수 있도록 교육하고 그들이 일하기 편하게 자동화 도구를 만들어 주는 업무를 해야 한다. 또 모의해킹을 도움을 주면 된다. 하지만 우리나라는 보안팀이 개발자들이 해야 할 SDL 업무를 하고 있다. 그래서 보안팀이 힘들어 지는 것이다. 개선되어야 할 부분이다"라고 지적했다.

"미국, 수학적으로 완벽한 보안검증 이루어진 무기만 실전 배치...우리는?"

이어 "이러한 SDL이 잘 적용됐는지 검증하는 것이 바로 CC(Common Criteria, 국제공통평가기준) 인증이다. CC인증은 EAL 숫자가 높을 수록 보안등급이 높다. 바로 SDL 프로세스를 엄격하게 준수했다는 것이다. 미국은 EAL6 등급 이상을 하이 어슈어런스 사이버 시스템이라고 인정하고 다만 미군의 사이버무기에는 EAL7 이상 즉 'End-to-End Proof' 단계인 모든 항목에서 수학적 증명이 가능한 제품만을 사용하도록 하고 있다. 수학적으로 완벽한 보안검증이 이루어진 무기 혹은 장비만 실전에 배치한다는 것"이라며 "유럽은 EAL7 등급을 넘어서는 단계를 연구하고 있다. 바로 Horizon 2020 프로젝트다. CC인증을 받은 여러 제품들이 모여 하나의 무기나 장비가 만들어질 때 이 제품이 안전한지 검증하는 것이다. 100조의 예산을 들여 2020년까지 연구 계획을 세워뒀다"고 설명했다.

우리 군의 무기체계에 대한 시험 및 평가 프로세스는 현재 어느 수준일까. SDL 정립과 시큐리티 엔지니어 양성에 시간이 걸리더라도 투자해야 한다. 한국 군에서 사용하는 무기와 장비들 상당수가 해외에서 생산된 부품들이 포함돼 있다. 또 수입된 첨단 무기들은 블랙박스 처리가 돼 있어 검사도 힘든 상황이다. 김 교수는 "우리 만의 SDL 프로세스를 만들어야 한다"고 강조한다. 이를 통해 전문가가 양성된다면 국내 보안산업 발전과 관련된 더 많은 일자리가 만들어질 것이라고 덧붙였다.

김승주 교수의 K-ISI 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★