RMF, 무기체계의 사이버 위협 정도 평가·진단...미국에서 보안성 평가하는 잣대 역할
한국형 위험관리 프레임워크 ‘K-RMF’ 개발, 전산관리 체계부터 단계적으로 확대 예정
RMF, 포괄적이고 유연해 ‘우주 보안’ 강화에도 활용 가능
[보안뉴스 박은주 기자] 우리나라 방산 분야 사이버 보안 위협을 관리하기 위한 위험관리 체계 ‘RMF(Risk Management Framework)’가 올해 하반기에 시행될 예정이다. 국방 무기체계의 사이버 위협 정도를 평가하고 진단할 수 있는 프레임워크로, 기술 보호는 물론 K-방산 경쟁력을 확보할 수 있는 밑거름이 될 전망이다.
[이미지=gettyimagesbank]
이는 미국 국방성(DoD : United States Department of Defense)에서 보안성을 판단하는 잣대를 RMF로 삼았기 때문이다. 미 국방성은 ‘사이버 전략(The Department of Defense Cyber Strategy)’을 발표하며, 자국 군사체계의 안전성을 확보하기 위해 동맹국의 사이버보안 능력을 격상해야 한다고 강조했다. 나아가 동맹국 군사체계의 보안성을 높이는데 있어 RMF를 기반으로 하도록 요구했다.
특히 북한이 한국을 비롯한 세계 여러 국가의 방산기업을 노려 사이버 위협을 감행하고 있는 상황이라 RMF의 중요성은 더욱 커지고 있다. 이에 지난 2월 국가정보원과 독일 헌법정보청(BfV)은 북한의 방산 분야 사이버 공격 피해를 예방하기 위한 ‘합동 사이버 보안 권고문’을 발표하기도 했다. 이렇듯 RMF는 무기 등 방위산업 수출에도 밀접하게 연관돼 도입 및 개발이 필수적인 상황이다.
우리나라 국방부는 2020년부터 미국 RMF를 기반으로 한국형 위험관리 프레임워크 ‘K-RMF’를 개발했으며, 2024년 하반기에 시행할 예정이다. 국방부 관계자는 26일 열린 ‘미래 국방보안 강화 컨퍼런스(이하 콘퍼런스)’에서 “2024년 4월에 RMF와 관련된 행정규칙이 제정될 예정”이라며 “우선 전산관리 체계를 위주로 적용해 단계적으로 확대하는 방안을 검토 중”이라고 밝혔다.
RMF는 △프로세스 준비 △체계 보안분류 선정 △보안통제항목 선정 △보안통제항목 구현 △보안통제항목 평가 △인가 △모니터링까지 총 7단계로 구성된 위험관리 프로세스를 제시한다. 준비 단계를 제외한 나머지 6단계를 정보체계의 폐기 전까지 반복 수행하게 된다. 이때 보안통제항목이란 보안 요구사항을 의미하며 약 1,189개의 항목으로 구성돼 있다. 요구사항은 정보체계에 악영향을 끼칠 수 있는 수준을 파악해 낮음·중간·높음 단계로 구분된다.
▲(왼쪽부터) 미래 국방보안 강화 컨퍼런스에서 강연하는 고려대 조광수 박사, 공군 황영민 중령[사진=보안뉴스]
다만, RMF를 따라 위험관리를 진행하더라도 사이버 보안 성숙도 모델 인증(CMMC)처럼 별도의 인증이 제공되지 않는다. 고려대학교 정보보호대학원 조광수 박사는 콘퍼런스에서 “RMF는 조직, 기관 등에서 제품 개발 프로세스에 보안을 체계적으로 도입할 수 있도록 돕는 도구”라며 “인증할 수 있는 제도가 아니”라고 설명했다. 이어 조 박사는 “RMF는 다양한 보안통제항목 등을 기반으로 민감한 분야의 정보를 보호할 수 있는 체계로 진행 중인 프로세스에 융합해 따르는 개념”이라고 덧붙였다.
유연한 전략 RMF, 우주 보안 강화에 도움
우주 분야 기술 역량이 국가 위기상황에 국가 운영을 결정할 수 있는 중요한 요소가 되고 있다. 러시아-우크라이나 전쟁에서 우크라이나의 통신 및 전력시설이 마비됐을 때, 스타링크 지원으로 인터넷을 사용했던 사건을 예로 들 수 있다. 이에 반해 우주 보안은 여전히 미진하다는 지적이 이어진다. 지난 2023년 미 공군이 실제 지구 궤도를 돌고 있는 위성을 상대로 해킹 대회를 열었다. 이 중 3팀이 인공위성 해킹에 성공했고, 이에 따라 우주 사이버 보안 역량을 길러야 한다는 의견이 제기됐다.
콘퍼런스에서 공군 우주센터 황영민 중령은 “현재 우주 분야를 노리는 사이버 공격을 인지하고, 위협을 판단해 대응할 수 있는 역량을 갖췄는지 의문이 제기된다”며 “지금의 보안으로 우주 자산 및 관련 무기체계를 아우르기엔 역부족”이라고 밝혔다.
황 중령은 우주 상황조치 연합훈련인 ‘글로벌 센티널(Global Sentinel)’에서 제시하는 우주위협 시나리오를 공유하며 국가 우주역량을 끌어올릴 방안을 제시했다. 그는 “적국의 인공위성에서 새끼 위성이 나와 아군 위성에 도킹을 시도했고, 신호 강탈 혹은 폭발을 일으키는 시나리오가 있었다”며 “마치 공상과학 영화 같지만, 실제 발생한 사례와 유사하다”고 말했다. 황 중령은 “이에 대비하기 위해서는 발 빠르게 발전하는 민간 우주역량을 군과 함께 활용하고, 정보체계를 공유해야 한다”고 말했다.
우주 분야 보안 강화를 위한 방안으로도 RMF가 제시되고 있다. RMF는 포괄적이고 유연한 체계로 방산, 우주를 비롯해 IoT, 제어 시스템 등 모든 유형의 시스템에 기술, 규모에 상관없이 적용될 수 있기 때문이다.
[박은주 기자(boan5@boannews.com)]
한국형 위험관리 프레임워크 ‘K-RMF’ 개발, 전산관리 체계부터 단계적으로 확대 예정
RMF, 포괄적이고 유연해 ‘우주 보안’ 강화에도 활용 가능
[보안뉴스 박은주 기자] 우리나라 방산 분야 사이버 보안 위협을 관리하기 위한 위험관리 체계 ‘RMF(Risk Management Framework)’가 올해 하반기에 시행될 예정이다. 국방 무기체계의 사이버 위협 정도를 평가하고 진단할 수 있는 프레임워크로, 기술 보호는 물론 K-방산 경쟁력을 확보할 수 있는 밑거름이 될 전망이다.
[이미지=gettyimagesbank]
이는 미국 국방성(DoD : United States Department of Defense)에서 보안성을 판단하는 잣대를 RMF로 삼았기 때문이다. 미 국방성은 ‘사이버 전략(The Department of Defense Cyber Strategy)’을 발표하며, 자국 군사체계의 안전성을 확보하기 위해 동맹국의 사이버보안 능력을 격상해야 한다고 강조했다. 나아가 동맹국 군사체계의 보안성을 높이는데 있어 RMF를 기반으로 하도록 요구했다.
특히 북한이 한국을 비롯한 세계 여러 국가의 방산기업을 노려 사이버 위협을 감행하고 있는 상황이라 RMF의 중요성은 더욱 커지고 있다. 이에 지난 2월 국가정보원과 독일 헌법정보청(BfV)은 북한의 방산 분야 사이버 공격 피해를 예방하기 위한 ‘합동 사이버 보안 권고문’을 발표하기도 했다. 이렇듯 RMF는 무기 등 방위산업 수출에도 밀접하게 연관돼 도입 및 개발이 필수적인 상황이다.
우리나라 국방부는 2020년부터 미국 RMF를 기반으로 한국형 위험관리 프레임워크 ‘K-RMF’를 개발했으며, 2024년 하반기에 시행할 예정이다. 국방부 관계자는 26일 열린 ‘미래 국방보안 강화 컨퍼런스(이하 콘퍼런스)’에서 “2024년 4월에 RMF와 관련된 행정규칙이 제정될 예정”이라며 “우선 전산관리 체계를 위주로 적용해 단계적으로 확대하는 방안을 검토 중”이라고 밝혔다.
RMF는 △프로세스 준비 △체계 보안분류 선정 △보안통제항목 선정 △보안통제항목 구현 △보안통제항목 평가 △인가 △모니터링까지 총 7단계로 구성된 위험관리 프로세스를 제시한다. 준비 단계를 제외한 나머지 6단계를 정보체계의 폐기 전까지 반복 수행하게 된다. 이때 보안통제항목이란 보안 요구사항을 의미하며 약 1,189개의 항목으로 구성돼 있다. 요구사항은 정보체계에 악영향을 끼칠 수 있는 수준을 파악해 낮음·중간·높음 단계로 구분된다.
▲(왼쪽부터) 미래 국방보안 강화 컨퍼런스에서 강연하는 고려대 조광수 박사, 공군 황영민 중령[사진=보안뉴스]
다만, RMF를 따라 위험관리를 진행하더라도 사이버 보안 성숙도 모델 인증(CMMC)처럼 별도의 인증이 제공되지 않는다. 고려대학교 정보보호대학원 조광수 박사는 콘퍼런스에서 “RMF는 조직, 기관 등에서 제품 개발 프로세스에 보안을 체계적으로 도입할 수 있도록 돕는 도구”라며 “인증할 수 있는 제도가 아니”라고 설명했다. 이어 조 박사는 “RMF는 다양한 보안통제항목 등을 기반으로 민감한 분야의 정보를 보호할 수 있는 체계로 진행 중인 프로세스에 융합해 따르는 개념”이라고 덧붙였다.
유연한 전략 RMF, 우주 보안 강화에 도움
우주 분야 기술 역량이 국가 위기상황에 국가 운영을 결정할 수 있는 중요한 요소가 되고 있다. 러시아-우크라이나 전쟁에서 우크라이나의 통신 및 전력시설이 마비됐을 때, 스타링크 지원으로 인터넷을 사용했던 사건을 예로 들 수 있다. 이에 반해 우주 보안은 여전히 미진하다는 지적이 이어진다. 지난 2023년 미 공군이 실제 지구 궤도를 돌고 있는 위성을 상대로 해킹 대회를 열었다. 이 중 3팀이 인공위성 해킹에 성공했고, 이에 따라 우주 사이버 보안 역량을 길러야 한다는 의견이 제기됐다.
콘퍼런스에서 공군 우주센터 황영민 중령은 “현재 우주 분야를 노리는 사이버 공격을 인지하고, 위협을 판단해 대응할 수 있는 역량을 갖췄는지 의문이 제기된다”며 “지금의 보안으로 우주 자산 및 관련 무기체계를 아우르기엔 역부족”이라고 밝혔다.
황 중령은 우주 상황조치 연합훈련인 ‘글로벌 센티널(Global Sentinel)’에서 제시하는 우주위협 시나리오를 공유하며 국가 우주역량을 끌어올릴 방안을 제시했다. 그는 “적국의 인공위성에서 새끼 위성이 나와 아군 위성에 도킹을 시도했고, 신호 강탈 혹은 폭발을 일으키는 시나리오가 있었다”며 “마치 공상과학 영화 같지만, 실제 발생한 사례와 유사하다”고 말했다. 황 중령은 “이에 대비하기 위해서는 발 빠르게 발전하는 민간 우주역량을 군과 함께 활용하고, 정보체계를 공유해야 한다”고 말했다.
우주 분야 보안 강화를 위한 방안으로도 RMF가 제시되고 있다. RMF는 포괄적이고 유연한 체계로 방산, 우주를 비롯해 IoT, 제어 시스템 등 모든 유형의 시스템에 기술, 규모에 상관없이 적용될 수 있기 때문이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
