공급망 보안관리체계 수립

하다.[52] 방산기술 보호를 위해 관련부처 간의 긴밀한 협력 필요하며, 기술 유출 방지를 위한 대책이 필요하다.

3) 제품 수명주기별 위험요소 제거 방안

공급망 수명주기에 따른 잠재적 보안 위험은 [표 Ⅳ-4][51]과 같다.

[표 Ⅳ-4] 공급망 단계별 보안위험

생산단계 고려 사항은 신뢰 가능한 공급기업을 선정하고 위·변조 제품 도입 방지 및 불법적 기능 은닉을 최소화 해야 한다. 생산기업에 의한 자체검사를 하 거나 공식적인 검사기관에 의한 위·변조 검사를 시행한다.

도입단계의 경우 제품에 설치될 수 있는 도·감청장치를 탐지해야 되는데 불법 기능이 포함 될 경우 전력 소비량이 많은 특성을 이용하여 탐지할 수 있다. 또한 제품 도입 시 검수 절차를 강화해야 한다.

운영단계는 하드웨어 및 소프트웨어 보안패치, 업데이트 및 부품 교체 등 유지 보수 과정에서 발생할 수 있는 보안위험 예방이 필요하다.

무기체계 도입 시 검수, CC 인증 및 보안적합성 검증 제도를 통해 보안을 강 화한다.하고, 운용단계에서 시스템 유지보수를 위해 교체되는 하드웨어 제품과 부품에 대해서는 도입 단계와 비교하여 검수가 소홀한 경우가 있다. 하드웨어 제 품 장애 또는 기능개선을 위해 도입된 제품에 대해서도 도입단계와 동일한 수준 으로 검사를 강화해야 한다. 시스템 관리자는 장애 발생으로 제품이나 부품을 교 체하는 경우 제품에 대한 인증번호와 일련번호를 검증하고 제조사 정품 공급 여 부를 검수해야 한다. 유지보수기업은 제품교체 시 시스템관리자에게 사전 승인을 반드시 받아야 하며 도입된 제품과 동일한 제품과 버전으로 교체해야 한다.

단계 생산 도입 운용 폐기

위험 요소

Ÿ 위조부품 사용 Ÿ 불법부품 은닉 Ÿ 잠재된 취약점 Ÿ 악성코드 은닉

Ÿ 부실한 제품 검수

Ÿ 제품위조 / 변경

Ÿ 제품정보 변조 Ÿ 악성코드 / 부품 삽입

Ÿ 재생 / 위조 부품 사용 Ÿ 악성코드 / 부품 교체 Ÿ 외주인원 통제

소홀

Ÿ 보안 취약점 미조치

Ÿ 내용연수 초과 사용

Ÿ 임의 재사용 Ÿ 잔존 정보유출

폐기 단계의 경우 사업 종료 시 사업자료 및 저장자료의 외부 유출 차단을 위 해 외주 인원 보안통제 절차가 필요하다.

4) 공급망 보안관리 강화 방안

공급망 보안관리를 위해서는 공급망 위험에 대한 정확한 식별이 필요하다. 네 트워크 장비의 보안 이슈가 발생할 경우 일회성 점검을 하는 것이 아니라 체계 적이고 장기적인 계획에 의해 보안관리를 강화해야 한다. 이를 위해 공급망 보안 에 특화된 전문보안 기관 설립이 필요하다. 체계적으로 공급망에 의해 발생할 수 있는 보안위협에 대해 제공하고 적시적인 점검 지원과 보안관리를 통해 근본적 인 공급망 위험을 감소시켜야 한다.

軍 내부로 도입되는 무기체계 관련 제품에 대한 공급망 차원의 위협을 식별할 수 있는 제도를 마련해야 한다. 예를 들어 공급망 차원에서 스마트TV에 도청 기 능이 은밀히 내장시켰는데 軍의 통제구역 또는 무기체계 구성요소로 반입된다면 심각한 피해를 야기할 수 있다. 이를 방지하기 위해 무기체계 도입시 도청 탐지 활동이 병행 되어야 하며, 불시적인 점검 또한 필요하다.

안전한 무기체계 공급을 위해 방사청 차원의 공급망 업체 대상 위협 완화를 할 수 있는 프로세스를 마련해야 한다. 방산업체 및 유관기관 간 MOU 체결을 통해 공유 방법 및 범위 설정을 해야 한다. 자발적 참여 유도를 위해 위협 정보 제공 업체만 정보 공유를 실시하며, 정보제공 업체 동의가 없이 임의 공개행위를 금지해야 한다. 또한 방산업체 보안사고 또는 공급한 제품에서 중대한 보안취약 점을 식별한 경우 신속하게 납품한 기관 고지 의무화 및 협력업체 공유를 강화 해야 한다.[47]

무기체계에 포함된 저장매체의 경우 정비 시 외부 반출을 금지하고 필요시 적 절한 보안대책을 강구할 수 있도록 제도적으로 보안을 강화해야 한다. 또한 폐기 시에도 물리적으로 완전한 폐기가 될 수 있도록 엄격히 통제하여야 할 것이다.

4.4. 무기체계 전문인력 양성