K-RMF, 한미 사이버보안 공동지침 합의각서 해석 서로 달라 대응 필요
제도 이해·구현할 민간 역할에 대한 관심 부족과 군 노력 필요
[보안뉴스 김경애 기자] IT 기술의 발달로 SW 비중이 증가하며, 무기체계 SW의 중요성이 커지고 있다. SW를 악용한 사이버 공격 증가와 방위산업에 대한 북한의 사이버위협이 증가하고 있기 때문이다. 이와 관련 미국 국방부는 F-35 운영국가인 한국, 영국, 이스라엘, 호주, 일본 등에 미국 RMF(Risk Management Framework) 표준을 준수토록 강조하고 있다.
[이미지 = gettyimagesbank]
하지만 국내 실정에 맞는 무기체계 사이버보안 제도 정립의 필요성이 대두됨에 따라 K-RMF가 개발됐다. 그런데 K-RMF 생태계 조성을 위한 민군의 역할 분담을 두고, 실제 제도를 이해하고 구현해야 할 민간분야 역할에 대한 관심 부족과 군 자체 노력이 필요하다는 의견이 제기됐다.
K-RMF는 국방정보체계를 포함해 SW가 내장된 모든 무기와 전력지원체계 사이버 보안을 소요부터 폐기까지 위험평가에 기반해 체계적으로 검증하고 관리하는 제도다.
지난 2020년 국방부가 방첩사 중심으로 TF를 구성해 미국 RMF와 정보체계관리 국제표준(ISO 27001)을 기반으로 개발, 2021년 국방부와 미국이 ICT 협력위원회를 통해 RMF 적용 협의, 2022년 미국 USFK를 통해 AKJCCS 연동 중단 가능 통보, 2023년 합참-USFK, 사이버보안 공동지침 합의각서 체결, 2024년 4월 국방부가 행정규칙에 따라 K-RMF를 지시했다.
하지만 군 내부의 노력과 실제 제도를 이해하고 구현해야 할 민간분야 역할에 대한 관심이 부족하다는 것. 이와 관련 군인공제회 C&C 김원태 대표는 국방혁신기술보안협회 창립 1주년 기념 워크숍에서 “제도를 개발, 발전, 적용하기 위한 군 자체의 노력과 교육제도에 대한 이해를 바탕으로 한 업체의 구현 노력이 필요하다”며 “모든 무기와 전력지원체계의 사이버 보안을 위험평가에 기반해 체계적으로 검증하고 관리해야 한다”고 강조했다.
보안항목 구현에 있어서도 군과 민간의 역할 분담 노력이 필요하다는 의견이 제기됐다. 김 대표는 “조치해야 할 사항이 가장 많은 3단계 역할 분담 논의가 제대로 이뤄지지 않았다”며 “시범평가 이후, 개선해야 할 사항이 군 내부 조치사항 위주”라고 지적했다.
김 대표는 “국방부는 체계별 특성을 고려한 전담기관을 지정하고, 사업관리에 필요한 내용을 사전에 교육해 이를 업체로 의무화해야 한다”며 “사업관리 여건을 조성하고, 관련업체는 전담기관의 교육을 통해 사업관리에 필요한 인력을 확보해 사업관리에 적용해야 한다”고 설명했다.
교육과정과 교육이 활성화돼야 의견도 제기됐다. 명지대 손창근 교수는 “군의 무기체계에 대해 협력해야 할 민간기업인 방산업체가 80여개, 협력업체가 250여개로, 군은 내부에서 교육이 진행되지만 민간기업의 교육은 활발히 진행되지 못하고 있다”며 “1명만 알아서 해결될 일이 아니고, 전사적으로 이해해야 하기 때문에 교육이 활성화돼야 한다”고 말했다.
손 교수는 “무기체계는 항공기부터 전차까지 모든 무기별로 RMF를 적용해야 하고, 인공지능, 빅데이터 등 데이터를 주고받는 모든 무기체계에 대한 데이터 관리와 보호가 이뤄져야 한다”며 그러기 위해선 교육과정과 교육이 활성화돼야 한다고 강조했다.
[김경애 기자(boan3@boannews.com)]
제도 이해·구현할 민간 역할에 대한 관심 부족과 군 노력 필요
[보안뉴스 김경애 기자] IT 기술의 발달로 SW 비중이 증가하며, 무기체계 SW의 중요성이 커지고 있다. SW를 악용한 사이버 공격 증가와 방위산업에 대한 북한의 사이버위협이 증가하고 있기 때문이다. 이와 관련 미국 국방부는 F-35 운영국가인 한국, 영국, 이스라엘, 호주, 일본 등에 미국 RMF(Risk Management Framework) 표준을 준수토록 강조하고 있다.
[이미지 = gettyimagesbank]
하지만 국내 실정에 맞는 무기체계 사이버보안 제도 정립의 필요성이 대두됨에 따라 K-RMF가 개발됐다. 그런데 K-RMF 생태계 조성을 위한 민군의 역할 분담을 두고, 실제 제도를 이해하고 구현해야 할 민간분야 역할에 대한 관심 부족과 군 자체 노력이 필요하다는 의견이 제기됐다.
K-RMF는 국방정보체계를 포함해 SW가 내장된 모든 무기와 전력지원체계 사이버 보안을 소요부터 폐기까지 위험평가에 기반해 체계적으로 검증하고 관리하는 제도다.
지난 2020년 국방부가 방첩사 중심으로 TF를 구성해 미국 RMF와 정보체계관리 국제표준(ISO 27001)을 기반으로 개발, 2021년 국방부와 미국이 ICT 협력위원회를 통해 RMF 적용 협의, 2022년 미국 USFK를 통해 AKJCCS 연동 중단 가능 통보, 2023년 합참-USFK, 사이버보안 공동지침 합의각서 체결, 2024년 4월 국방부가 행정규칙에 따라 K-RMF를 지시했다.
하지만 군 내부의 노력과 실제 제도를 이해하고 구현해야 할 민간분야 역할에 대한 관심이 부족하다는 것. 이와 관련 군인공제회 C&C 김원태 대표는 국방혁신기술보안협회 창립 1주년 기념 워크숍에서 “제도를 개발, 발전, 적용하기 위한 군 자체의 노력과 교육제도에 대한 이해를 바탕으로 한 업체의 구현 노력이 필요하다”며 “모든 무기와 전력지원체계의 사이버 보안을 위험평가에 기반해 체계적으로 검증하고 관리해야 한다”고 강조했다.
보안항목 구현에 있어서도 군과 민간의 역할 분담 노력이 필요하다는 의견이 제기됐다. 김 대표는 “조치해야 할 사항이 가장 많은 3단계 역할 분담 논의가 제대로 이뤄지지 않았다”며 “시범평가 이후, 개선해야 할 사항이 군 내부 조치사항 위주”라고 지적했다.
김 대표는 “국방부는 체계별 특성을 고려한 전담기관을 지정하고, 사업관리에 필요한 내용을 사전에 교육해 이를 업체로 의무화해야 한다”며 “사업관리 여건을 조성하고, 관련업체는 전담기관의 교육을 통해 사업관리에 필요한 인력을 확보해 사업관리에 적용해야 한다”고 설명했다.
교육과정과 교육이 활성화돼야 의견도 제기됐다. 명지대 손창근 교수는 “군의 무기체계에 대해 협력해야 할 민간기업인 방산업체가 80여개, 협력업체가 250여개로, 군은 내부에서 교육이 진행되지만 민간기업의 교육은 활발히 진행되지 못하고 있다”며 “1명만 알아서 해결될 일이 아니고, 전사적으로 이해해야 하기 때문에 교육이 활성화돼야 한다”고 말했다.
손 교수는 “무기체계는 항공기부터 전차까지 모든 무기별로 RMF를 적용해야 하고, 인공지능, 빅데이터 등 데이터를 주고받는 모든 무기체계에 대한 데이터 관리와 보호가 이뤄져야 한다”며 그러기 위해선 교육과정과 교육이 활성화돼야 한다고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
