7월부터 국내서 새로 개발되는 무기체계에 사이버 보안 위험을 관리하는 RMF(Risk Management FRAMEwork)가 적용된다. 무기체계가 사이버 보안 위협에서 얼마나 안전한지 평가하는 제도다.
국방부는 3월 관련 내용을 공지하고 7월부터 본격 시행에 나설 계획이다.
지난해 173억 달러로 사상 최대 수출액을 달성한 K-방산이 RMF를 시작하면 사이버 보안을 강화해 경쟁력을 높일 수 있다.
RMF는 국방 분야에 도입되는 각종 무기체계 기획 단계부터 도입, 폐기까지 전 단계에 보안 위험을 관리하는 제도다. 미국 국립표준기술연구소(NIST)는 위험식별·평가·완화·모니터링 등 위험관리에 대한 표준 및 절차인 RMF를 규정했다. 미국 군은 NIST의 RMF를 모든 무기체계에 적용하고 있다.
국방부는 RMF 적용 필요성을 절감하고 '한국형 보안제도 TF'를 구성, 우리 군 환경에 부합한 한국형 RMF를 개발했다. 방산기업 및 관계 기관 의견 수렴을 마치고 3월 RMF 제도를 발표할 예정이다.
방산 기업은 앞으로 무기체계를 개발할 때 설계 단계부터 보안 위협을 고려해 프로젝트를 진행해야 한다. 전차, 자주포, 로켓, 드론 등 무기체계에 AI 등 다양한 소프트웨어가 들어간다. 국가 지원 해킹 그룹은 비행기, 드론, 잠수함 등을 노린 사이버 공격을 늘렸다.
러시아-우크라이나, 이스라엘-팔레스타인 전쟁 등 지정학적 불확실성이 높아지면서 무기체계 사이버 보안 강화 주문이 높다.
방산 기업을 노린 사이버 공격도 증가했다. 국가정보원은 독일 헌법보호청(BfV)과 함께 북한 방산 분야 사이버공격 피해를 예방하기 위해 2월 19일 합동 사이버보안 권고문을 발표했다.
북한은 전세계를 상대로 방산 첨단기술을 탈취해 무기개발에 악용하고 있다. 무기기술 획득을 넘어 한국 방산 기업이 개발한 무기체계에 사이버 위협을 가할 수 있다.
김승주 국방혁신기술보안협회 회장(고려대 정보보호대학원 교수)은 "미국 정부는 2015년부터 RMF를 도입했고 2019년부터 정책을 강화했다"면서 "연합작전을 하는 국가에 미국에 준하는 사이버 보안 수준을 요구하기 시작했다"고 설명했다.
그는 "연합작전을 하려면 양쪽 군이 무기체계를 통해 정보를 공유해야 한다"면서 "미군의 사이버 보안 수준이 높아도 연합작전을 수행하는 국가의 보안이 낮으면 미국까지 위협을 받아 RMF를 강화하는 것"고 말했다.
글로벌 시장에서 K방산 위상이 높아지며 사이버 보안 강화 요구가 높았다. 김 회장은 "무기체계는 수천억원 규모 사업인데 검수 항목에 RMF가 필수가 될 수 있다"면서 "미리 대비하지 않으면 수출에 제동이 걸릴 수 있어 제도를 마련한 것"이라고 말했다.
