SW 비중 높아진 첨단무기, 사이버 공격에 대비하라
첨단 무기체계 사이버보안
美 국방부 사이버 보안 시스템 적용
‘6단계 RMF’ 발표하며 연구 박차
우리 군 보안연구 단계 ‘아직 걸음마’
민간과 손잡고 전문가 양성해야
|
|
최근 도입 F-35, SW 비중 전체 80%
2019년 국방과학연구소의 연구보고서에 의하면, 최근 도입된 공군의 F-35 소프트웨어 비중은 전체 80%를 차지한다. 이와 같이 첨단무기체계의 개발 비용 중 소프트웨어가 차지하는 비중이 점점 증가하고 있다. 또한, 2017년 미 공군 수명주기 관리센터의 발표자료 ‘무장 시스템에서의 사이버보안 위험 관리’에서는 2006년 개발된 F-35 라이트닝Ⅱ의 작전 소프트웨어 소스코드 라인이 6800개인 반면 2012년 개발된 동일 기체는 작전·지원 소프트웨어의 소스코드 라인이 2만4000개를 돌파했다고 명시했다. 즉 첨단무기체계도 자율주행 차량처럼 하나의 무장 디바이스(Weapon Device)로 생각할 수 있고, 이에 따라 해킹 같은 사이버 공격에 취약할 수 있다고 짐작할 수 있다.
실제로 미국은 미사일 발사 실험을 무력화하기 위해 발사 직전 교란(Left of Launch) 프로그램을 수행한 바 있다. 이는 사이버 공격, 전자기파 공격 등으로 적 지휘부, 미사일 통제 컴퓨터, 센서, 통신망 등을 교란·파괴해 미사일을 발사 전 무력화하는 프로그램이다. 이것이 정확하게 사이버 공격인지 전자기파 공격인지 밝혀지지는 않았지만, 수많은 소프트웨어가 내장된 첨단무기체계도 사이버 공격을 당할 수 있다는 것을 암시하는 사례로는 충분하다. 고가의 최첨단 무기체계가 소프트웨어 결함이나 사이버 공격으로 인해 기능 중단·정지, 오작동 등이 발생한다면 전투력 저하뿐만 아니라 경제적 손실로 국방안보에 악영향을 줄 수 있다.
미 국방부는 F-35 전투기를 운영하는 영국·이스라엘·호주·일본 등과 전투기 운영 관련 데이터를 통합 관리하고 상호 비행정보를 공유하는 한편 이들 나라에 미국이 자체 개발한 ‘위험관리 프레임워크(RMF·Risk Management Framework)’를 준수하라고 요구하고 있다. F-35 전투기를 운영하는 국가가 사이버 공격을 받을 경우, 미국을 비롯한 다른 국가의 F-35 전투기도 위험에 노출될 것에 대비한 것이다.
미 국방부는 2015년 『Program Manager’s Guidebook for Integrating the Cybersecurity Risk Management Framework(RMF) into the System Acquisition Lifecycle』을 발표했다. 이는 프로그램 관리자들이 ‘DoDI 5000.02(Operation of the Defense Acquisition System’와 ‘DoDI 8500.01(Cybersecurity)’에 따라 운영·기술적 사이버보안 위험을 식별하고 획득 절차 전반에 걸쳐 충분히 위험을 완화해 프로그램 비용 절감, 일정 단축, 시스템 성능·탄력성·신뢰성 향상을 도모할 수 있도록 수명 주기 전반에 걸쳐 사이버보안을 시스템에 적용하는 것을 목표로 한다.
RMF, SW 개발 생명주기 전 과정서 이뤄져
RMF는 IT 제품 개발 수명주기에 정보보호 및 위험관리 활동을 결합해 요구사항 분석 단계부터 유지보수 및 폐기 단계까지 계속 위험을 측정·관리하는 것이다. RMF는 총 6단계로 시스템 분류, 보안통제 선택, 보안통제 구현, 보안통제 평가, 시스템 인가, 보안통제 감시로 구분된다.
국방 IT 분야에 적용되는 RMF는 첨단 무기체계에 탑재된 소프트웨어 결함 또는 오류로 군사작전이 실패하지 않도록 소프트웨어 개발 생명주기 전 과정에 걸쳐 이뤄지는 위험관리 활동이다. 또한, 외부의 사이버 공격에도 방해받지 않고 안전하게 운영할 수 있도록 사이버보안 기술을 적용한다. 즉, RMF는 신뢰성이 위협받는 상황에서도 시스템을 신뢰할 수 있는 상태로 운영·유지할 수 있도록 제작된 안전한 소프트웨어를 개발하기 위한 절차다.
또한, 시스템 운영자나 관리자 역시 엄격한 기준을 통해 선발하거나 필수 자격을 갖추도록 하고 있다. 예를 들면, 미국에서 도입한 F-35 전투기 시스템을 관리하려면 국제 정보보안 또는 감사 자격증인 ‘CISSP(Certified Information Systems Security Professional)’나 ‘CISA(Certified Information Systems Auditor)’ 자격증을 보유해야 한다.
록히드마틴은 2019년 5월 ‘Risk Management Framework (RMF) Applying an IT Centric Process to DoD Aircraft Weapon Systems’를 발표했다. 이어 올해는 ‘An Overview of the Lockheed Martin Cyber Resiliency Level(CRL) Framework for Weapon, Mission, and Training Systems’를 발표하는 등 첨단 무기체계 시스템에 대한 사이버보안 연구에 박차를 가하고 있다.
미 육군도 2019년 4월 발표한 ‘Risk Management Framework for Army Information Technology’를 통해 육군의 모든 정보통신체계를 구성하는 IT 제품을 획득·개발·통합·배포·폐기하는 모든 과정에 RMF를 적용하고 육군의 IT 개발자, 관리자, 운영자 등이 이를 사용하도록 명시했다.
우리 군도 F-35 전투기가 도입되면서 첨단 무기체계 시스템에 대한 사이버보안 기술에 관심을 기울이기 시작해 합참 중심으로 RMF 연구를 수행한 바 있다. 2016년 ‘사이버보안 시험평가 방안 연구’, 2017년 ‘사이버보안 시험평가를 위한 국방획득체계 RMF 프로세스 적용방안 연구’가 민간 연구기관과 함께 진행됐다. 공군도 2019년 국방과학연구소와 ‘무기체계 사이버보안 검증기술 식별 및 확보방안 연구’를 진행했다.
산·학·연 컨소시엄 구성 땐 시너지 효과
군이 독자적으로 첨단 무기체계 시스템 사이버보안 기술을 연구하는 것도 좋지만, 민간전문 보안연구기관과 공동연구를 진행함으로써 시너지 효과를 낼 수 있다. 또한, 더욱 체계적인 연구를 진행할 수 있도록 산·학·연 컨소시엄을 구성하는 방법도 있다.
우리 군의 첨단 무기체계 시스템에 대한 사이버보안 연구는 아직 걸음마 단계다. 미래전에서는 첨단 무기체계 운영이 증가할 것이며, 이를 방해하려는 사이버 공격이 심화될 전망이다. 또한 4차 산업혁명기술로 인해 전장의 영역이 모호해질 것이며, 각 전장에서 활용되는 무기체계가 공격 수단이자 공격 대상이 될 것이다. 미래전에서의 전장 우세와 승리를 위해서는 지·해·공 및 우주 영역에서 운영하는 국방정보통신 인프라뿐만 아니라 첨단 무기체계에 내장된 소프트웨어 보안도 해결돼야 한다.
우리 군은 지속적으로 도입·개발되는 첨단 무기체계 시스템 보안을 위해 하루빨리 관련 보안기술을 확보하고 전문인력 양성에 집중해야 할 것이다.
오늘의 뉴스
Hot Photo News
많이 본 기사
이 기사를 스크랩 하시겠습니까?
SW 비중 높아진 첨단무기, 사이버 공격에 대비하라
美 국방부 사이버 보안 시스템 적용
‘6단계 RMF’ 발표하며 연구 박차
우리 군 보안연구 단계 ‘아직 걸음마’
민간과 손잡고 전문가 양성해야
|
|
최근 도입 F-35, SW 비중 전체 80%
2019년 국방과학연구소의 연구보고서에 의하면, 최근 도입된 공군의 F-35 소프트웨어 비중은 전체 80%를 차지한다. 이와 같이 첨단무기체계의 개발 비용 중 소프트웨어가 차지하는 비중이 점점 증가하고 있다. 또한, 2017년 미 공군 수명주기 관리센터의 발표자료 ‘무장 시스템에서의 사이버보안 위험 관리’에서는 2006년 개발된 F-35 라이트닝Ⅱ의 작전 소프트웨어 소스코드 라인이 6800개인 반면 2012년 개발된 동일 기체는 작전·지원 소프트웨어의 소스코드 라인이 2만4000개를 돌파했다고 명시했다. 즉 첨단무기체계도 자율주행 차량처럼 하나의 무장 디바이스(Weapon Device)로 생각할 수 있고, 이에 따라 해킹 같은 사이버 공격에 취약할 수 있다고 짐작할 수 있다.
실제로 미국은 미사일 발사 실험을 무력화하기 위해 발사 직전 교란(Left of Launch) 프로그램을 수행한 바 있다. 이는 사이버 공격, 전자기파 공격 등으로 적 지휘부, 미사일 통제 컴퓨터, 센서, 통신망 등을 교란·파괴해 미사일을 발사 전 무력화하는 프로그램이다. 이것이 정확하게 사이버 공격인지 전자기파 공격인지 밝혀지지는 않았지만, 수많은 소프트웨어가 내장된 첨단무기체계도 사이버 공격을 당할 수 있다는 것을 암시하는 사례로는 충분하다. 고가의 최첨단 무기체계가 소프트웨어 결함이나 사이버 공격으로 인해 기능 중단·정지, 오작동 등이 발생한다면 전투력 저하뿐만 아니라 경제적 손실로 국방안보에 악영향을 줄 수 있다.
미 국방부는 F-35 전투기를 운영하는 영국·이스라엘·호주·일본 등과 전투기 운영 관련 데이터를 통합 관리하고 상호 비행정보를 공유하는 한편 이들 나라에 미국이 자체 개발한 ‘위험관리 프레임워크(RMF·Risk Management Framework)’를 준수하라고 요구하고 있다. F-35 전투기를 운영하는 국가가 사이버 공격을 받을 경우, 미국을 비롯한 다른 국가의 F-35 전투기도 위험에 노출될 것에 대비한 것이다.
미 국방부는 2015년 『Program Manager’s Guidebook for Integrating the Cybersecurity Risk Management Framework(RMF) into the System Acquisition Lifecycle』을 발표했다. 이는 프로그램 관리자들이 ‘DoDI 5000.02(Operation of the Defense Acquisition System’와 ‘DoDI 8500.01(Cybersecurity)’에 따라 운영·기술적 사이버보안 위험을 식별하고 획득 절차 전반에 걸쳐 충분히 위험을 완화해 프로그램 비용 절감, 일정 단축, 시스템 성능·탄력성·신뢰성 향상을 도모할 수 있도록 수명 주기 전반에 걸쳐 사이버보안을 시스템에 적용하는 것을 목표로 한다.
RMF, SW 개발 생명주기 전 과정서 이뤄져
RMF는 IT 제품 개발 수명주기에 정보보호 및 위험관리 활동을 결합해 요구사항 분석 단계부터 유지보수 및 폐기 단계까지 계속 위험을 측정·관리하는 것이다. RMF는 총 6단계로 시스템 분류, 보안통제 선택, 보안통제 구현, 보안통제 평가, 시스템 인가, 보안통제 감시로 구분된다.
국방 IT 분야에 적용되는 RMF는 첨단 무기체계에 탑재된 소프트웨어 결함 또는 오류로 군사작전이 실패하지 않도록 소프트웨어 개발 생명주기 전 과정에 걸쳐 이뤄지는 위험관리 활동이다. 또한, 외부의 사이버 공격에도 방해받지 않고 안전하게 운영할 수 있도록 사이버보안 기술을 적용한다. 즉, RMF는 신뢰성이 위협받는 상황에서도 시스템을 신뢰할 수 있는 상태로 운영·유지할 수 있도록 제작된 안전한 소프트웨어를 개발하기 위한 절차다.
또한, 시스템 운영자나 관리자 역시 엄격한 기준을 통해 선발하거나 필수 자격을 갖추도록 하고 있다. 예를 들면, 미국에서 도입한 F-35 전투기 시스템을 관리하려면 국제 정보보안 또는 감사 자격증인 ‘CISSP(Certified Information Systems Security Professional)’나 ‘CISA(Certified Information Systems Auditor)’ 자격증을 보유해야 한다.
록히드마틴은 2019년 5월 ‘Risk Management Framework (RMF) Applying an IT Centric Process to DoD Aircraft Weapon Systems’를 발표했다. 이어 올해는 ‘An Overview of the Lockheed Martin Cyber Resiliency Level(CRL) Framework for Weapon, Mission, and Training Systems’를 발표하는 등 첨단 무기체계 시스템에 대한 사이버보안 연구에 박차를 가하고 있다.
미 육군도 2019년 4월 발표한 ‘Risk Management Framework for Army Information Technology’를 통해 육군의 모든 정보통신체계를 구성하는 IT 제품을 획득·개발·통합·배포·폐기하는 모든 과정에 RMF를 적용하고 육군의 IT 개발자, 관리자, 운영자 등이 이를 사용하도록 명시했다.
우리 군도 F-35 전투기가 도입되면서 첨단 무기체계 시스템에 대한 사이버보안 기술에 관심을 기울이기 시작해 합참 중심으로 RMF 연구를 수행한 바 있다. 2016년 ‘사이버보안 시험평가 방안 연구’, 2017년 ‘사이버보안 시험평가를 위한 국방획득체계 RMF 프로세스 적용방안 연구’가 민간 연구기관과 함께 진행됐다. 공군도 2019년 국방과학연구소와 ‘무기체계 사이버보안 검증기술 식별 및 확보방안 연구’를 진행했다.
산·학·연 컨소시엄 구성 땐 시너지 효과
군이 독자적으로 첨단 무기체계 시스템 사이버보안 기술을 연구하는 것도 좋지만, 민간전문 보안연구기관과 공동연구를 진행함으로써 시너지 효과를 낼 수 있다. 또한, 더욱 체계적인 연구를 진행할 수 있도록 산·학·연 컨소시엄을 구성하는 방법도 있다.
우리 군의 첨단 무기체계 시스템에 대한 사이버보안 연구는 아직 걸음마 단계다. 미래전에서는 첨단 무기체계 운영이 증가할 것이며, 이를 방해하려는 사이버 공격이 심화될 전망이다. 또한 4차 산업혁명기술로 인해 전장의 영역이 모호해질 것이며, 각 전장에서 활용되는 무기체계가 공격 수단이자 공격 대상이 될 것이다. 미래전에서의 전장 우세와 승리를 위해서는 지·해·공 및 우주 영역에서 운영하는 국방정보통신 인프라뿐만 아니라 첨단 무기체계에 내장된 소프트웨어 보안도 해결돼야 한다.
우리 군은 지속적으로 도입·개발되는 첨단 무기체계 시스템 보안을 위해 하루빨리 관련 보안기술을 확보하고 전문인력 양성에 집중해야 할 것이다.