K방산 수출이 활성화 됨에 따라 주요국에서 요구하는 수준의 보안시스템 구축이 필요한 상황이다. 해외 주요 방산협력국 장병 대상 ‘육군 국제과정’ 교육생들이 K9자주포 운용 실습을 하고 있다. /사진=육군
K방산 수출이 활성화 됨에 따라 주요국에서 요구하는 수준의 보안시스템 구축이 필요한 상황이다. 해외 주요 방산협력국 장병 대상 ‘육군 국제과정’ 교육생들이 K9자주포 운용 실습을 하고 있다. /사진=육군

K-방산 수출이 활성화 됨에 따라 보안 시스템에 대한 중요성이 부각되고 있다. 미국과 유럽 등 주요국이 보안 인증을 방산 수출의 필수 요건으로 내세우는 가운데 한국은 관련 대응 체계가 미흡한 실정이다. 수출 확대를 위한 방산 수출 컨트롤타워 신설도 언급되고 있는만큼 보안 분야에 대한 관심이 필요하다는 목소리가 나온다.

18일 방산업계에 따르면 미국 국방부(DoD)는 지난 3월1일부터 일부 계약에 사이버보안 성숙도 모델 인증(CMMC)을 도입하기 시작했다. 2028년까지 모든 방산 계약으로 확대할 방침이다. 지난해 12월 DoD는 CMMC 프로그램에 대한 최종 규칙(32 CFR Part 170)을 발효했다.


미국 국방부는 2019년 사이버 위협에 대한 방산 공급망 전반의 취약성을 줄이기 위해 CMMC 제도 도입을 선언했다. 국방 계약 참여 기업이 민감한 연방정보(CUI)를 안전하게 처리할 수 있는 사이버 역량을 갖췄는지 검증하기 위해서다. 미국표준기술연구소(NIST)의 SP 800-171 보안 통제를 기반으로 보안 성숙도 수준에 따라 1~3단계 별로 통제항목을 갖추고 있다.

미국 국방부와의 방산 계약을 체결하려면 최소 CMMC 2단계 인증이 필요하다. 총 110개 보안 통제를 구현하고 제3자 감사기관(C3PAO)의 공식 인증을 거쳐야 한다. 데이비드 맥키언 미국 국방부 최고 정보보호책임자(CISO)는 "CMMC 기준을 충족하지 않으면 계약 수주 자격이 없다"고 밝힌 바 있다.

무기 체계의 기술 수준이 우수해도 운용하는 네트워크와 데이터가 미인증 상태라면 수출이 불가능한 셈이다. 유럽 역시 유럽 공통 기준 인증(EUCC)와 사이버 복원력법(CRA)를 도입해 방산 장비에 연동되는 IT 시스템 전반의 보안성 인증을 수출 요건으로 강화하고 있다.


한국 방산 보안체계는 ▲암호화 규격 ▲클라우드 인프라 ▲보안 아키텍처 ▲컨설팅 생태계 전반에서 글로벌 기준에 미치지 못하는 실정이다. 국정원 KCMVP 인증과 국산 알고리즘 중심의 체계는 미국 FIPS-140-2나 유럽 Common Criteria와 호환되지 않는다. 국방망 기반의 폐쇄형 인프라는 미국이 요구하는 FedRAMP High 등급의 민간 보안 클라우드 환경과도 거리가 있다. 시스템 설계 또한 인증·암호·DRM이 분절돼 '제로트러스트'(전면 검증 보안) 기반의 통합 보안체계와는 구조적으로 다르다.

기술 성숙도나 정량 시험에 기반한 체계적 인증 구조도 부재하다. 실제 제품의 통신경로·내부 모듈 처리 구조까지 시험 평가하는 미국이나 유럽과 달리 실증적 시험 없이 인증서를 발급하는 경우가 많다. 형식적 절차에 의존하는 인증 구조로 인해 기술 유출 리스크가 크다는 지적이 나온다.

국방부와 관계 부처들 역시 CMMC의 중요성을 인식하고 자금 지원, 컨설팅 지원 프로그램을 운영하고 있다. 현재 CMMC 컨설팅 수행기관(RPO)는 대부분 중소 보안 솔루션 또는 인증 컨설팅 기업들이다. 인력과 자원이 제한된 비전문적인 업체가 단독으로 맡기엔 어려움이 큰 것이 현실이다. 구조 설계부터 보안 정책 도출, 절차 구현, 운영 검증까지 실무 전반을 아우르는 고난도 작업인만큼 다수의 전문 인력과 물리적 시스템에 대한 이해도가 필수적이기 때문이다.

국방 분야 사업에 적용되는 최저가 입찰 제도 역시 방산 보안 시스템 시장의 성장을 저해한다는 우려가 나온다. 기존 방산 사업처럼 IT사업구조에 대한 이해 없이 단순 수주 대상으로만 다루면 실효성 있는 체계를 구축하기 어렵다는 것이다.

고난도의 전문성과 시간을 요구하는 사업인만큼 수주 단가가 일정 수준 이상 확보되지 않으면 주요 기업들의 참여가 어려울 수 있다. 현재까지 CMMC 2단계 요구기준을 충족하는 클라우드 서비스 제공업체는 AWS와 마이크로소프트 애저 뿐이다. 자체 보안연구조직과 클라우드 인프라 기술조직을 모두 갖춰야 하기 때문에 국내에서 실질적으로 CMMC에 대응할 수 있는 곳은 삼성SDS가 사실상 유일하다.

서청정 명지대 방산안보연구소 CMMC 센터장은 "CMMC는 무기 체계를 운용하는 네트워크와 데이터 시스템을 미국 국방 기준에 맞춰 전면 재정비해야 하는 고난도 작업"이라며 "특히 감사 과정에서는 보안 관련 전문 용어를 이해하고 기술적 질문에 대응할 수 있어야 하기 때문에 시스템 아키텍처에 대한 이해를 가진 인프라 전문가와의 긴밀한 협력이 필수적"이라 강조했다.

유용원 국민의힘 의원은 "전세계적으로 사이버 공격이 지능화되면서 방산기술 유출과 정보 탈취 시도가 급증하고 있다"며 "소프트웨어 기반 무기체계 기술이 빠르게 진화하고 있는 만큼 보안 시스템 구축을 위한 제도적 지원을 고민해야 한다"고 말했다.