IV. 무기체계 사이버보안 강화 방안
4.1. 무기체계 사이버보안 강화방안 요약
Ⅳ. 무기체계 사이버 보안 강화 방안
대해 적극적으로 대처함으로써 사이버 공격에 따른 피해 가능성을 최대한 낮추 는 방안으로 무기체계 보안산업이라는 영역을 육성하여 보다 강력한 무기체계 사이버 보안영역을 구축하는데 이바지하고 있다.
본 논문에서는 현재의 폐쇄적인 軍의 무기체계 환경에서 보안성을 강화하기 위해 무기체계 보안취약점 식별 및 관리방안, 방산업체 보안관리 강화 방안, 무 기체계 전문인력 양성, 무기체계 악성코드 대응방안 및 ISMS-W 제안 등 총 5 개 항목으로 구분하여 무기체계 사이버 보안 정책을 제안한다.
1. 무기체계 보안취약점 식별 방안
Ÿ 무기체계 보안 관련 지침 및 제도 정비 Ÿ 무기체계 보안 전담기관 지정 운용 Ÿ 국방 버그바운티 제도 도입
Ÿ 무기체계 보안취약점 통합 데이터베이스 구축 및 운용 Ÿ 국제적 차원의 무기체계 보안취약점 관리 및 공유
2. 방산업체 보안관리 강화 방안
Ÿ 방산업체 보안관리 개선 Ÿ 공급망 보안관리체계 수립
3. 무기체계 전문인력 양성
Ÿ 무기체계 보안 전문 인력 양성
Ÿ 무기체계 보안 교육기관 지정 및 운용
4. 무기체계 악성코드 대응 방안
Ÿ 무기체계 전용 바이러스 백신 운용
Ÿ 무기체계 사이버 보안 테스트베드 구축 및 운용
5. 무기체계 사이버 보안 강화를 위한 기존 제도 융합 방안
Ÿ 기반시설 취약점 분석평가 기준 및 ISMS-P를 적용한 무기체계에 특화된 (Weapon system) 제안
[표 Ⅳ-1] 무기체계 사이버 보안정책 제안
본 논문에서 설계한 무기체계 보안영역의 상세한 내용은 아래와 같이 정리할 수 있다.
1) 무기체계 보안취약점 식별 및 관리 방안
무기체계 운용간 발생될 수 있는 무기체계 관련 지침을 재정비하여 무기체계 보안 강화하고, 무기체계 장비 도입 시 단계별 보안정책을 수립한다. 또한 무기 체계만 전담기관 지정을 통해 무기체계 사이버 인증 제도 시행 및 신뢰성 강화 한다. 그리고 사이버보안에 취약한 무기체계에 버그바운티 제도 적용을 통해 보 안취약점을 선재적으로 해소할 수 있다. 또한 민간영역의 우수 전문인력에 의한 무기체계 취약점 점검을 통해 잠재적 무기취약점을 제거하며 향후 해커들에게 금전적 지원을 통해 국방 사이버 인력으로 양성화 할 수 있을 것이다.
무기체계 보안취약점 통합 데이터베이스 구축 및 운용을 통해 무기체계 정비 및 도입부서에서 독립적으로 관리중인 무기체계에 대해 통합 관리함으로써 무기 체계별 효과적인 보안취약점 제거가 가능하며 보안이력 관리를 통해 체계적인 취약점 관리가 가능 할 것이다.
또한 통합데이터베이스를 내부 전용 온라인으로 구축하여 무기체계 운용 인력 에 의해 최신 보안취약점 확인 및 업데이트를 통해 보안약점 해소가 가능하다.
단, 모든 인원들에게 무기체계 보안 취약점 공유 시 해킹에 악용될 우려가 있어 통합데이터 베이스 접근은 체계별 실무자와 접속 가능하며, 전체적인 현황에 대 해서는 사이버사 및 군사안보지원사령부 등 보안전문기관에서 확인 및 통제 필 요하다.
마지막으로 국제적 차원의 무기체계 보안취약점 관리 및 공유를 통해 해외 무 기체계 도입시 계약 단계에서부터 무기체계 보안취약점 발생시 즉각 공유 및 유 지보수 우선 수행을 통해 구매 후 무기체계 보안 업데이트를 실시하지 않아 보 안취약한 상태에서 운용되지 않도록 선제적으로 조치가 가능할 것이다.
무기체계 보안 관제에 대해 개별적으로 실시하는 것이 아니라 사이버사 등 통 합 관제체계 구축이 필요하며, 외국군 CERT와 교류 협력을 통해 북한 등 국가 를 배후로 하는 해커집단에 의한 무기체계 해킹 관련 기술 공유 및 협력체계 구 축을 통해 무기체계 보안 강화가 요구된다.
2) 방산업체 보안관리 강화 방안
방산업체에 대한 보안관리 기준을 수립하여 무기체계 정비 및 유지보수 단계 에서 발생할 수 있는 무기체계 위협 요인 제거하며, 업체 출입인원에 의한 무기 체계 접근에 대한 보안 통제 강화한다.
그리고 미군처럼 방산업체 공급망 인증 제도 수립을 통해 공급망 단계에서 유 입될 수 있는 보안취약점을 선제적으로 수립하고, 軍의 보안정책에 적합한 무기 체계가 납품될 수 있도록 유도하며 무기체계에 안전한 제품 납품 여부에 대한 절차 수립 및 강구한다.
3) 무기체계 전문인력 양성
무기체계의 보안취약점을 진단할 수 있는 사이버 보안 전문 인력 양성한다. 또 한 무기체계 보안 교육기관 지정 및 운용을 해야 한다.
4) 무기체계 악성코드 대응 방안
무기체계에 적합한 전용 바이러스 백신을 구축하여 무기운용간 가용성 보장 하며, 무기체계에 적합한 백신 유포체계 구축 및 다양한 바이러스 백신에 의한 무기체계 점검으로 보안위협 제거한다.
무기체계의 가용성 보장을 위한 테스트베드 구축을 통해 운용단계 무기체계 보안위협 선제적 확인 가능하며 실전적 무기체계 보안 테스트가 가능해 레드팀 에 의한 보안위협 확인 여건 보장할 것이다.
5) 무기체계 사이버보안 강화를 위한 기존제도 융합방안
무기체계에 적합한 사이버 취약점 분석 및 평가 기준을 정립하여 무기체계에 특화된 점검 기준 및 자동화 점검툴 배포하며, 소프트웨어가 내장된 무기체계에 대한 점검 기준 정립한다.
무기체계별 ISMS 인증 방법을 적용하여 체계별 보안점검 기준에 의해 모든 장비에 대한 보안취약점 점검 후 안정성과 보안성에 대해 인증하는 무기체계 ISMS(가칭 ISMS-W) 시행을 제안한다.