III. 무기체계 사이버보안 실태
3.2. 기존 사이버보안 수행체계의 한계와 문제점
규정’에 등에 명시되어 있다[31]. 무기체계 소프트웨어 개발 지원에 관한 규정에 의하면 SW기술지원기관 부서장은 기술지원 요청을 받는 경우 개발된 소프트웨 어의 신뢰성 시험결과를 확인하며 전장정보관리체계의 경우에는 추가로 보안성 시험 결과를 확인한다. 신뢰성ㆍ보안성 시험을 하지만 보안 요구사항을 충족 여 부 확인에 대한 구체적인 방법이 없으며, 행정안전부의 ‘소프트웨어 개발보안 가 이드’를 준수하는 것은 전장관리정보체계만 적용하고 있다.
방사청 ‘무기체계 내장형 소프트웨어 획득 및 관리 지침’의 경우 2008. 1.24 제 정된 이후 현재까지 개정되지 않고 있다. 품질보증에 대한 내용은 포함되어 있으 나 보안성 시험과 관련된 부분은 없는 상태이다. 또한 각 기관별 업무분장에서도 방위사업청, 국과연, 기품원만 명시되어 있다. 무기체계 내장형 SW에 대해 조정 및 확인 감독하는 기관에 대해 세부적으로 포함할 필요가 있으며, 국방사이버안 보훈령과 같이 내장형 무기체계에 적합한 보호기준 및 보호 요구사항이 수립되 어야 할 것이다. 또한 주기적으로 지침에 대한 최신화가 필요하다.
무기체계 획득업무가 2006년에 방사청 이관 이후 방사청에서는 획득정책/제도 위주로 무기체계 소프트웨어 발전 전략을 추진했다. 부작용으로 무기체계 수명주 기에 다른 단계별 종합적인 무기체계 소프트웨어 관리정책/제도가 정착되지 못 하고 전력화 전ㆍ후를 구분하게 되어 컨트롤타워 모호하다. 이에 따라 앞서 지적 한 무기체계 수명주기에 따른 무기체계 소프트웨어 보안업무는 고려 대상이 되 지 못했고, 각 기관별 무기체계 보안 관리정책이 미흡하게 되었다.
무기체계 전력화 이후 소요군에서 소프트웨어 관리업무를 인계받게 되어 체계 적인 관리가 미흡하다. 무기체계는 하드웨어 위주의 종합군수지원를 지원하고 있 어 소프트웨어에 대한 정비개념이 미흡하다. 특히, 소프트웨어 보안성 결함에 대 해 운용단계에서 점검하거나 업데이트 개념이 전혀 없다. 소프트웨어 결함시 품 질보증 절차로 하자보증 처리를 통해 보완중에 있으나, 전력화 이후 변경된 소프 트웨어에 대한 보안성 재검증 절차가 없기 때문에 도입 이후 추가된 소프트웨어 보안성 결함에 대한 확인은 제한된다[17].
무기체계 소프트웨어는 일반적으로 구매하는 정보화 영역의 소프트웨어가 아 니기 때문에 관리 부서가 다르고 일반적인 도입 소프트웨어와 구별되어 관리된 다. 무기체계 소프트웨어 전력화 이전 및 이후로 나누어 주관 기관이 다르며 전
력화 이후 지속적인 관리가 어려운 실정이다.
무기체계 소프트웨어 결함 및 취약점 제거를 위해 신뢰성과 보안성 시험을 거 치게 된다. 신뢰성 시험 중에서 취약점 점검 시험 항목은 C, C++, Java로 개발된 소프트웨어에서 결함 유발 가능한 취약점 목록을 정의한 CWE 658, CEW 659, CWE 660의 취약점을 점검하는 것이다.
보안성 시험은 행정안전부 소프트웨어 개발보안 가이드를 준수하여 내재되어 있는 소프트웨어 보안 약점을 제거하는 것이다. 소프트웨어 보안성 시험은 국정 원 CC 인증을 받은 도구로 상기 가이드라인에 대한 준수 여부를 점검 후 판단하 게 된다.
하지만 행정안전부 소프트웨어 개발보안 가이드는 개발 배경이 전자정부 소프 트웨어에 해당하는 웹 어플리케이션을 대상으로 하고 있다. 무기체계 소프트웨어 의 특성을 미반영하고 있어 무기체계 소프트웨어 분야에 적용하는 것은 부적절 하다. 무기체계에 따라 보안 취약점이 다르기 때문에 무기체계 소프트웨어 특성 에 부합되는 보안 취약점 목록을 사전에 선정 후 탐지하는 것이 필요하다. 또한 무기체계 소프트웨어 취약점 제거를 위해 개발 단계에서부터 시큐어 코딩 적용 이 필요하지만 현재 무기체계 소프트웨어는 의무화 적용이 되지 않고 있다[24].
도입 예정인 무기체계 소프트웨어 통합 및 시험 단계에서 소프트웨어 개발 언 어 사용간 논리적 오류 문제 및 설계 구현간 개발자 실수에 의한 소프트웨어 보 안 약점을 줄이기 위한 활동이 바로 시큐어 코딩이다.
무기체계 소프트웨어 보안성 시험 및 검증제도는 한계가 있다. 방사청은 소프 트웨어 신뢰성 시험 및 보안성 시험 제도가 있으나 시행 시기인 2011년 이후 전 력화된 무기체계에 적용중에 있고, 소프트웨어 보안성 시험 대상은 전장관리정보 만 해당된다. 특히 개발시험 이후 소프트웨어 변경사항은 연구개발 주관기관 자 체 시험 실시 후 결과만 확인하고 있어 실질적인 보안성 검증이 불가하다. 특히
‘국방정보보안시스템 업무훈령’을 근거로 무기체계 소프트웨어 안정성 검증 시행 을 의무화 하였지만 보안시스템이 설치되고 국방망과 비밀을 소통하는 무기체계 소프트웨어로 한정하고 있으며, 안전성 검증은 각급 부대의 장이 신청하지만, 실제 신청한 경우는 거의 없다[32].