방산업체 보안관리 개선

방산업체 보안사고 방지를 위해 망분리 의무 구축 및 정보보호체계 운용 등의 방산업체 보안관리를 강화하고 있으나 대기업 대비 중소 하도급 업체를 통한 보 안사고가 지속 발생하고 있다. 또한 방산업체의 망분리 시스템에서 외부반출한 방산기술 자료 관리상 문제점이 식별[46]되는 등 방산업체 보안관리 개선을 위한 대책이 필요하다. 방산업체 보안관리 개선을 위한 미국 사례에 대해 살펴보겠다.

1) 미국의 사이버보안 성숙도 인증체계(CMMC)

미국은 방위산업의 특수성으로 인해 DoD에서 관리 감독하고 있고 국토안보부 와 공조하고 있다. 중점은 대기업보다는 사이버 보안에 취약한 중소 방산업체에 대한 지원분야에 중점을 두고 있으며, 자연재해ㆍ화재ㆍ테러 등 물리적 보안에 대한 피해 대응도 포함하고 있다[47].

최근에 미국 국방사업에서 주목할 만한 변화로, DoD는 2020년 후반기부터 국 방사업 입찰참가 주 계약 및 하도급 계약 업체에 외부인증 평가기관 C3PAO(CMMC Third-Party Assessment Organization)을 통한 Cybersecurity Maturity Model Certification(이하 CMMC)라는 인증절차를 수행해야 함을 공지 하였다. 이를 위해 인증관리조직 CMMC-AB(CMMC Accreditation Body)를 출범시켜 인증평가기관에 대한 교육훈련 및 등록관리를 수행하게 하고 인증평가 지원시스 템 CMMC EMASS(CMMC Enterprise Mission Assurance Support Service)를 구축하 고 있다. CMMC는 소프트웨어 개발 역량의 성숙도 평가 기준인 Capability Maturity Model Integration(이하 CMMI)에 상응하는 사이버보안 성숙도 인증체계 로, 조직의 사이버보안 절차(Processes) 표준화의 기준과 방향을 제시하면서 실무

(Practices) 보안역량의 수준을 측정하는 평가 지표로도 활용할 수 있는 미국 국방 부의 새로운 보안인증 프레임워크이다.

CMMC 인증체계에서 사이버보안 성숙도를 평가하는 단계는 CMMI 모델과 유사하게 보안수준에 따라 5단계 레벨^(Level)로 구성된다. 모든 국방사업 입찰참

가 업체는 기본적으로 연방계약정보 FCI(Federal Contract Information) 보호 기준인 레벨 1(Basic Cyber Hygiene) 인증을 취득해야 하고, 사업 기간에 통제평문정보를 취급하게 되는 계약업체는 레벨 3(Good Cyber Hygiene) 이상의 인증이 요구된다. 이 는 미국 방산업계의 사이버보안 위협을 감소시키고 방산업체의 시스템과 네트워 크를 통해 유통되는 중요한 사업정보를 보안요구 수준에 따라 표준화하여 관리 하는 데 목적이 있다.

이르면 2020년 말부터 DoD 입찰제안요청서 RFP(Request For Proposal)에 계약자 의 CMMC 인증 요건(레벨 1～5)이 기술되기 시작할 것으로 예상하고, 관련 솔루션 제조사들은 국방사업 입찰참가 준비 업체를 대상으로 인증 관련 제품과 서비스 를 준비하고 있다. DoD는 2026년까지 모든 국방사업에 CMMC 인증체계를 통합 하고 사업의 입찰참가, 공급망, 솔루션제공, 시스템통합 등에 관련된 30만 개 이 상의 사업체들이 CMMC 인증을 수행할 것으로 예측하고 있다. 또한 연구개발 조직의 역량수준을 평가하는 국제표준으로서 자리를 잡은 CMMI 인증 모델과 같이 향후 미국 연방기관들과 외국의 기관들까지도 지식재산권 보호를 위해 CMMC 또는 유사한 인증체계를 표준적으로 채택할 것이라 기대한다[48].

미 국방부는 2020. 11. 4. 방위산업 및 정부 등 이해 관계자 의견을 수렴하여

‘CMMC 2.0’을 발표했다. 주요 변경사항 [그림 Ⅳ-4][49]와 같으며 세부 내용은 아래와 같다.

[그림 Ⅳ-4] CMMC 모델 1.0과 2.0 비교

특징은 기존 5개 등급의 모델을 3개로 간소화했으며 NIST 사이버보안 표준을 사용했다. 평가비용 절감을 위해 1등급과 일부 2등급 기업은 자체 평가를 가능하 게 하였고, 외부 평가자에 의한 감독을 강화하였다.

CMMC 인증은 미국에 방산물자 수출을 할 경우 외국의 경우에도 동일하게 적용되기 때문에 미국의 CMMC 인증을 중심으로 국방분야 글로벌 공급망이 구 축될 것으로 예상된다.

일본과 이스라엘 등에서는 CMMC 인증에 위해 방산업체를 대상으로 미국 CMMC 수준을 준용하여 구축하고 있고, 특히 자체 인증 제도를 미국으로부터 상호 인정받기 위해 노력하고 있다.

2) 한국형 CMMC 제도 도입

우리나라의 방산분야 사이버안보 주권을 위해 2025년 CMMC 전면 시행 전 한국형 CMMC를 구축하고, 상호인정을 위해 노력해야 한다.

이를 통해 방산분야의 사이버보안 수준이 국제적 기준에 부합하게 될 것이고, 방산업체 사이버 보안 수준 향상에 따라 국가안보 및 방산수출에 큰 도움이 될 것으로 기대된다.

한국형 CMMC 제도를 통해 무기체계의 근본적인 보안 취약점을 개선 할 수 있도록 미국 체계를 모방하는 것이 아니라 우리나라 상황에 부합하도록 발전적 으로 적용할 것이다. 범정부 차원에서 방산업체, 軍, 학계가 함께 제도를 개발해 야 한다.

3) 무기체계 보안 산업 육성

보안 분야는 대다수의 기업에서 활용되는 정보시스템에 대한 외부 유출 및 사 고를 방지하기 위해 필수적으로 도입되어야 하는 분야로, 사이버 기술이 발전함 에 따라 그 중요성이 강조되는 분야이기도 하다. 보안 산업의 목표는 시스템이나 시스템에 대한 비정상적인 동작을 예방하거나 차단함에 있다. 따라서 보안 시스 템은 대상 시스템의 보안 취약점을 탐지하고, 해당 취약점에 의한 사건을 방지할 수 있도록 하는 시스템을 구축한다.

하지만 국방과 관련된 무기체계는 일반적으로 기밀로 취급되며, 외부 인사에 의한 접근이 일체 차단되는 폐쇄적 구조를 가진다. 국방 자료는 국가의 안위에 직결되는 문제이며, 무기체계의 접근이 외부 인사에 의해 이뤄질 경우 유출의 경 로가 증가할 뿐 아니라 무기체계로 접근할 수 있는 악의적 공격자의 접근 경로 가 발생할 수 있기 때문이다. 따라서 무기체계의 보안성 강화는 전문 지식을 가 진 軍 내부 전문가에 의해 이뤄져야만 한다. 하지만 한정된 인력과 예산 내에서 보안업무를 수행하여야 하기 때문에 국방 보안 체계의 발전에 많은 제약이 수반 된다.

이와 같은 문제에 대하여 미국의 경우, 내부적 보안 강화를 수행하기 위하여 민간업체 및 민간 전문가를 통한 업무 수행에 많은 비용을 지출하고 있다. 국방 강화를 위해 무기체계에 대한 비밀문서 중 일부 취약점을 평문으로 재분류하여 외부에 공개[50]함으로써 해당 문제의 해결을 위한 민간 전문가 도입에 적극적인 시도를 진행하고 있을 뿐 아니라, 미군의 네트워크와 같은 사이버 환경에 대해서 발생할 수 있는 사이버전에 대한 평가나 교육을 위해 민간업체를 통해 무기체계 에 특화된 보안 산업의 육성을 진행하고 있다.

[그림 Ⅳ-5] 미국 비밀 해제 후 공개한 무기체계 취약점 문건

미군은 사이버 작전의 시험이나 평가, 훈련을 위해 SimTEX, CAAJED, SAST, StealthNet과 같은 시스템이나 도구를 민간과 협업하여 개발하고 있으며, 이는 무기체계에 특화된 보안 인력을 통해 보다 강력한 보안 시스템을 구축할 수 있는 산업 육성을 유도하고 있다.

이처럼 일부 환경에 대해 회색 지역으로서 접근을 허가하는 것은 특정 분야에 특화된 전문가에 의한 업무 수행을 가능하게 할 뿐 아니라, 무기체계라는 제한된 분야에 특화된 보안 전문 산업을 육성할 수 있도록 한다. 무기체계에 특화된 보 안 전문 산업 육성은 軍의 한정된 사이버 보안 전문인력을 해소함과 동시에 기 술의 전문성을 향상시키고, 국내의 보안 수준을 높일 수 있는 방안이 될 수 있 다.