미국, RMF를 동맹국들에게까지도 요구...한국, RMF 도입 미룰 수 없는 상황
우리 군, RMF와 관련한 기술 및 인력 확보에 모든 역량 집중해야
1대당 가격이 1,200억원이 넘는 우리 군의 첫 번째 스텔스 전투기, ‘F-35’는 2021년까지 모두 40대가 도입될 예정이며, 군수 지원과 무장 비용까지 합하면 총사업비가 7조 3,400억원에 이른다.
F-35는 레이더에 잘 잡히지 않는 스텔스 성능 덕분에 은밀하게 상대를 폭격할 수 있는 것이 가장 큰 장점으로 알려져 있다. 그러나 그에 못지않은 특징은 비행하고 있는 지역의 전장 상황을 지휘부 및 동료들과 실시간으로 공유하면서 작전을 수행한다는 점이다. 현재 미 국방부는 F-35의 비행관련 데이터와 군사 기밀을 통합적으로 관리하고 있으며, 영국, 이탈리아, 노르웨이, 이스라엘, 일본, 호주 등 다른 F-35 운용 국가와도 서로 데이터를 주고받고 있다. 이는 곧 전 세계에서 한 곳만 해킹에 뚫려도 다른 국가의 F-35까지 영향을 받을 수 있다는 것이며, 바로 이러한 이유로 현재 미국은 자국이 개발한 국방 IT Risk Management Framework(RMF, 위험관리프레임워크)를 F-35를 운용하는 다른 동맹국들에게까지 따르라고 요구하고 있다.
RMF란 기존의 ‘제품 개발 프로세스’에 ‘정보보호(information security)’와 ‘위험관리(risk management)’의 개념을 결합한 것으로서, 한마디로 말하면 △제품(무기)을 만들 때 단순히 ‘시큐어 코딩(secure coding)’이나 ‘모의 해킹(penetration testing)’에만 의존할 것이 아니라 초기 요구사항 분석 및 설계 단계에서부터 보안성을 고려해 개발해야 하고, △이때 갖춰야 할 보안 수준(security level)은 해당 제품이 수행해야 할 임무(mission)의 중요도에 따라 결정돼야 하며, △제품 검수시에는 단순히 통과(pass)/탈락(fail) 기반의 체크리스트에 의존할 것이 아니라 평가 과정에서 다소 미흡한 부분이 발견된다 하더라도 그것이 감내할만한 위험(risk) 수준이면 운용을 허가해야 하고, △끝으로 이러한 위험도는 해당 제품이 폐기될 때까지 지속적으로 측정∙관리돼야 한다는 뜻이다. (그림 1 참조)
사실 이러한 개념이 나온 건 어제 오늘의 얘기가 아니다. 미국은 이미 1970년대 초반부터 모의 해킹만으로는 제품의 보안 품질을 향상 시킬 수 없다는 걸 인지하기 시작했다 (이 시대를 일컬어 ‘Penetrate and Patch Period’라고도 함). 이후 미국은 제품의 보안성을 높이기 위해서는 개발 프로세스 자체의 수준을 향상시켜야 함을 인식하고 이와 관련한 각종 표준을 제정하기 시작한다. 이렇게 만들어진 표준들은 초기에는 ‘DITSCAP(Department of Defense Information Technology Security Certification and Accreditation Process)’ 또는 ‘DIACAP(Department of Defense Information Assurance Certification and Accreditation Process)’이라고 불리다가 2013년부터 ‘RMF(Risk Management Framework)’ 또는 ‘RMF Assessment & Authorization Process’로 명명되기 시작했다. 이러한 일련의 변화를 거치면서 비용대비 효과성이 상당히 개선되었으며, 타 기관의 시험 평가 결과를 상호 인정하는 ‘상호 호혜성(reciprocity)’ 또한 높아졌고, 특히 제품 개발 프로세스와 정보보호, 위험관리간의 통합성이 더욱 강화되었다.
이후 2015년 4월에 미국은 ‘국방부 사이버 전략(The Department of Defense Cyber Strategy)’을 통해 군에서 사용하는 일반적인 전산 시스템뿐만이 아니라 첨단 무기들까지도 해킹에 안전하게끔 개발되고 운용돼야 함을 천명하였고, 앞서 언급했듯 현재 미국은 이를 위한 RMF를 동맹국들에게까지도 요구하고 있는 실정이다.
그러나 문제는 아직 우리 군이 이와 관련한 충분한 인력과 기술을 확보하지 못했다는 점이다. 그간 우리 군은 시큐어 코딩 및 모의 해킹, 보안 관제에만 지나치게 의존해 온 나머지 보안 요구사항 분석부터 설계, 구현, 운용 및 유지보수에 이르는 제품 생명주기의 전(全) 단계에 걸쳐 보안성 및 위험성을 고려해야 하는 RMF의 중요성에 대해서는 간과해 왔었다. 또한 그동안 사이버보안 장비의 개발 및 시험·평가에 있어서 대부분을 타 부처에 크게 의존해 왔기에 관련 인력 양성 및 기술 개발에는 다소 소극적이었다.
하지만 이제는 더 이상 RMF의 도입을 미룰 수 없는 상황에 온 것이 사실이다. 그나마 다행인 것은 2016년 5월~2017년 12월까지 합동참모본부의 지원 하에 수행된 “사이버보안 시험평가 방안 연구”와 “사이버보안 시험평가를 위한 국방획득체계 위험관리프레임워크 연구” 과제를 통해 우리 군이 어느 정도의 개선 방향은 설정해 놓고 있다는 점이다. 시작이 반이라고 하지 않았던가. 더 늦기 전에 우리 군은 관련 기술 및 인력 확보에 모든 역량을 집중해야 할 것이다.
[글. 고려대학교 고신뢰보안운영체제연구센터장 김승주 교수 (skim71@korea.ac.kr)]
★정보보안 대표 미디어 데일리시큐!★
[PASCON 2019 개최]
·하반기 최대 정보보안/개인정보보호 컨퍼런스 PASCON 2019
·7시간 보안교육 이수 및 2020년 대비 보안실무 교육
·공공,기업 개인정보보호 및 정보보안 실무자라면 누구나 무료 참석
-무료사전등록: 클릭
