IV. 무기체계 사이버보안 강화 방안
4.2.4. 무기체계 보안취약점 통합 데이터베이스 구축 및 운용
[그림 Ⅳ-3] 軍 취약점 정보 관리 절차
위협정보공유 확인한 취약점에 대한 정보가 침해대응시스템을 통해 상황실에 전파되면 첫 번째 단계에서 취약점을 접수하고, 전자결재시스템 메모보고 형식으 로 전 부대의 정보보호부서와 정보체계의 운영부서에 전파된다. 두 번째 단계를 통해 전파받은 해당 부대 정보보호부서에서 정보체계 운영부서 협조 후 취약점 을 보유한 장비에 대해 후속조치를 한다. 마지막 단계에서 조치결과에 대해 최초 전파된 메모보고에 의견을 적어 보고하는 절차로 수행한다. 그러나 취약점 식별 및 제거 절차 관련 취약점을 관리하는 데이터베이스가 없어 취약점 이력관리가 되지 않고 있다. 또한 취약점을 지닌 정보화 자산 식별은 해당 정보화 자산관리 자와 개발자만 확인 가능하기 때문에 신속한 자산 식별이 제한된다. 마지막으로 취약점 조치 관련 후속조치 방안 수립 및 시행을 위한 주체에 대한 선정이 신속 하지 못하다. 결국 이러한 문제점로 취약점 제거에 많은 시간이 소요되며 장기간 보안 취약점에 노출될 수밖에 없게 된다.
소프트웨어를 보호하기 위해서는 운영단계에서 취약점으로 발현 가능성이 높 은 보안약점을 개발 단계에서 제거할 필요가 있다. 이러한 활동을 지원하기 위해 중요 보안약점 목록과 같은 정보를 체계적으로 구축할 필요가 있다. 중요 보안약 점 목록은 특정 시점의 해킹 트렌드 또는 소프트웨어 개발 트렌드에 따라 달라 질 수 있으므로 지속적으로 갱신할 필요가 있으며 적용 도메인의 소프트웨어 운 용 방식 및 소프트웨어 개발 특징에 따라 달라질 수 있으므로 적용 도메인별로 중요 보안약점 목록을 식별할 필요가 있다.
2) 국내ㆍ외 소프트웨어 보안취약점 관리
현재 국내ㆍ외 기관에서 필요에 의해 다양한 약점 목록을 구축관리하고 있다.
대표적으로 자동차 업계의 HIS, HICPP, MISRA-C 등과 항공 업계의 JPL, BSSC C/C++, JSF Air Vehicle C++ 등이 있다. 이 외에도 MITRE에서 관리하 는 CWE, OWASP(the Open Web Application Security Project)에서 4년 주기로 발표하 는 Top 10 보안약점 목록, 마이크로소프트와 시만텍 등의 주요 업체 뿐만 아니 라 미 국방부와 국가안보국의 정보안전부 등이 참여하고 SANS 와 MITRE가 주 관하고 있는 CWE/SANS Top 25가 있다. 상용 보안약점 진단도구는 위에서 제 시한 다양한 약점 목록에 대한 진단 기능을 제공하고 있지만 이들 목록은 CWE 처럼 너무 포괄적이거나 MISRA-C, JPL처럼 특정 도메인 위주로 관리되고 있으 므로 이들과는 다른 특징을 가지는 무기체계 내장형 소프트웨어에 그대로 적용 하기에는 무리가 있다. 이와 같은 이유로 무기체계 내장형 소프트웨어에 적합한 보안약점목록을 정의할 필요가 있다. 무기체계 소프트웨어의 공통 특성을 기반으 로 무기체계 별로 중요 보안약점 도출 시 기본 자료로 활용할 수 있는 보안약점 목록을 우선 선정할 필요가 있는 것이다.
3) 무기체계 보안취약점 통합DB 운용 방안
무기체계 소프트웨어의 주요 라이브러리명을 확보하면 미국 NIST에서 관리하 는 NVD(NataionalVulnerability Database)에서 해당 라이브러리에서 발견된 보안 취약 점(CVE) 정보를 획득할 수 있다. 또한 해당 CVE와 관련된 보안약점(CWE) 정보도 확보할 수 있다.
무기체계 소프트웨어 개발 단계에서 보안약점의 사전 제거 여부는 무기체계의 안전한 운용에 크게 영향을 미칠 것으로 예상된다. 이와 같은 이유로 무기체계 내장형 소프트웨어에 적합한 보안약점 목록을 정의할 필요가 있다. 보안약점 목 록은 소프트웨어가 사용되는 환경 및 운용 방식, 유행하는 해킹의 형태, 소프트 웨어 개발 유형이 시간에 따라 달라질 수 있으므로 지속적인 갱신이 필수적이다 [42].
무기체계 통합DB를 신규 구축할 수 있지만 중요한 부분은 오히려 이를 악용 하여 무기체계를 공격하는 수단으로 활용되면 안된다. 철저하게 무기체계별 보안
관리자 및 운용자에 한해 해당 무기체계 취약점 정보만 접속할 수 있도록 열람 권한을 차등 부여해야 한다. 또한 무기체계의 특성상 운용상의 안정성 보장을 위 해 즉각적인 보안패치 적용은 제한될 것이다. 또한 장기간의 시간이 소요될 수 있는 바, 무기체계별 통합DB에 대한 입력 정보를 확인하고 적시적인 교체 여부 에 대해 감독이 필요할 것이다.
무엇보다 중요한 것은 무기체계별 체계적인 보안 취약점에 대한 이력 관리를 통해 해소 여부를 알 수 있을 것이다. 또한 장기적으로 해외 도입 및 국내 개발 무기체계의 신규 발생된 취약점에 대해 체계적으로 관리할 수 있는 효과적인 도 구로 사용될 수 있을 것이다.