[베이비타임즈=김복만 기자] “방위산업 보안 통제와 정책을 담당할 정부 차원의 컨트롤타워가 없어 ‘K-방산’ 수출에 위협 요인이 되고 있다.”

“미국 CMMC에 대응해 사이버보안 정책을 다루고 상호인증협정을 담당할 부처가 없고 방산보안 정책 및 제도가 폐쇄적으로 운영되고 있어 민간전문가의 접근이 어렵다.”

“대한민국이 세계 4대 방산 강국으로 도약하기 위해서는 방위력 개선 사업비(약 17조원)의 최소 0.1%는 방산보안에 쓸 수 있도록 의무화해야 한다. 17조원의 0.1%는 170억원이다.”

‘제12회 정보보호의 날’인 12일 서울 여의도 국회의원회관 제1소회의실에서 양기대 국회의원 주최·국방신문 주관으로 개최된 ‘방위산업 보안정책 세미나’에서 방산보안 전문가들이 제시한 방산보안 정책 방향이다.

K-방산이 수출 증가와 함께 한국의 미래성장 동력으로 떠오른 가운데 방위산업 부품부터 무기체계까지 국산화가 절실한 상황에서 국산 무기의 성능 향상 및 기술 보호를 통한 경쟁력 우위를 점하기 위해서는 방위산업의 보안 강화 정책 수립 및 지원이 절대적으로 필요하다는 것이다.

방산보안 전문가들은 이날 세미나에서 기조발표와 혁신기술 발표, 토론을 통해 방산보안 현황 및 정책을 진단하고 방위산업의 수출 증대와 방산기술 유출 방지 및 보호 등 방산보안에 대한 정책 및 지원 방안을 제안했다.

류연승 명지대 방산안보학과 교수 겸 방산안보연구소장은 ‘미국 CMMC와 한국 방산 사이버안보’ 주제의 기조발표에서 K-방산 수출과 한국 방위산업의 사이버안보 현황, 미국 CMMC(사이버보안 성숙도 모델 인증) 도입에 따른 파급영향을 심층 진단하고 국내 ‘방산보안기본법’ 제정의 필요성을 강조했다.

류연승 교수는 “미국 국방부가 민감한 정보(FCI, CUI)를 사이버위협으로부터 보호하기 위해 전세계 30만여개 미 국방부 계약업체 및 협력업체에 대해 일정 수준의 사이버보안체계 인증을 의무화하는 내용의 CMMC 인증 제도를 이르면 2025년 시행할 예정이다”면서 “우리 정부도 국방 계약업체에 미 CMMC와 한국형 사이버보안 인증프로그램(K-CMMC)를 도입하고 미국의 CMMC와 상호인증협정을 체결할 필요가 있다”고 주장했다.

류 교수는 “방산보안을 법령에 따라 여러 기관이 담당하고 있으나 방산 사이버보안 정책과 통제를 총괄하는 컨트롤타워가 부재하고 특히 미국 CMMC에 대응해 사이버보안 정책을 다루고 상호인증협정을 담당할 부처가 없는 것이 큰 문제”라고 지적했다.

이어진 방산보안 혁신기술 발표 세션에서는 조근석 아스트론시큐리티 대표가 ‘지능형 방산 클라우드 보안 구축방안’을 통해 전통적 IT 환경 대비 클라우드 환경으로 갈수록 정보보호가 기업 전략의 핵심요소로 자리 잡고 있고 제로 트러스트 보안이 매우 중요하다고 강조했다.

조 대표는 “보안 사고의 90%가 부주의한 내부자 또는 악의적 내부자에 의해 발생하는 상황에서 고도화된 클라우드 보안이 필요함에도 기본 보안만 적요할 경우 막대한 해킹 피해로 이어져 기관의 생존을 위협받을 수 있다”라고 지적했다.

그는 이어 “국가의 중요 자원을 안전하게 지키기 위해 클라우드 보안을 강화해야 한다”면서 단계적 클라우드 보안 강화 방안으로 1단계 현 망경계 보안의 충실한 이행, 2단계 클라우드 영역에 CNAPP 보안체계 도입(워크로드 관점 보안), 3단계 인공지능(ML) 데이터 기반의 과학적 보안체계 구축, 4단계 온프레스 환경부터 클라우드 환경까지 모든 정보자원 대상 단일 뷰(View)로 통합관리체계 구축을 제시했다.

문재웅 세종대 정보보호학과 교수가 좌장을 맡고 류원호 국민대 교수, 이재우 한화에어로스페이스 보안팀장, 소정기 공학박사(예비역 육군 대령), 류연승 교수가 참여해 진행한 토론에서 전문가들은 방산보안기본법 도입과 방산기술보호법 강화 필요성을 한목소리로 주장했다.

소정기 박사는 ‘무기체계 보안정책·제도 동향과 추진 방향’ 토론주제 발표에서 “ICT 기술의 군 활용 확대데 따른 환경 변화와 중국, 북한, 러시아 등의 사이업 위협 증대에 따라 국방체계의 사이버보안 관리의 중요성이 커지고 있다”면서 “미국 연방정부 및 군에서는 DoD RMF를 의무적으로 사용하고 기업·산업·학계 등 비연방조직은 자발적으로 사용하는 것을 권고하고 있고 한국에도 한미연동체계에 DoD RMF 적용을 언급한 데 이어 F-35A 등 획득사업에 RMF 적용방침을 통보했다”고 밝혔다.

소 박사는 “한국 국방부도 2021년에 A-KJCCS에 K-RMF 시범적용을 추진하고 무기체계 적용에 이어 전력지원체계 순으로 전군으로 확대 적용 예정”이라면서 “한국형 RMF 조기 정착을 위해서는 방위사업법, 국방전력발전업무훈령, 국방사이버안보훈령 등 관련 법·제도의 정비와 함께 한국형 RMF 자동화지원체계 구축, 방산업체에 대한 정책적·기술적 지원 방안 마련이 필요하다”고 제언했다.

류원호 교수는 ‘방산보안 강화를 위한 제도적 발전 방안’ 발표에서 “국가정보원, 방위사업청, 국군방첩사령부가 합동으로 진행하는 감사는 지적사항을 나열하기 위한 제도로만 활용되고 방산업체의 보안수준을 보장하는 인증으로서 역할을 하지 못하고 있다”면서 방산보안과 관련된 책임을 방산업체에만 전가하는 제도적 문제를 개선하고 보완할 필요가 있다고 지적했다.

류원호 교수는 또 “방산보안업무훈령에 의하면 신규 정보통신시스템 구축 시 방첩사에 보안대책 검토를 받고 보안 측정을 실시하면 사용이 가능하지만 통합실태조사에서 국정원이 정보통신분야를 점검하고 방첩사 인증을 받은 시스템에 대해 또다시 취약점을 지적하는 현재의 제도가 타당한가에 대해 의문이 제기된다”면서 “방산업체에서 신규 정보통신 시스템을 구축하려면 어느 기관의 승인을 받아야 하느냐 하는 문제도 새롭게 검토되어야 한다”고 덧붙였다.

류연승 교수는 ‘방위산업 보안 컨트롤타워에 대한 검토’ 주제의 토론 자료에서 “방위산업 보안은 군사기밀보호법, 방위산업보안업무훈령(국방부 훈령), 방위산업기술보호법, 방위산업기술보호지침(방사청 훈령) 등 여러 법령에 의해 종복적으로 통제되고 있으나 보안감사와 실태조사 정책이 수시로 변하고 있고 담당 기관은 자기 담당 업무만 살피고 통합적으로 방위산업 보안 및 사이버보안의 정책을 운용하지 못하는 실정”이라며 방위산업 보안 정책을 총괄적으로 결정하고 통제하는 컨트롤타워의 필요성을 재차 강조했다.

이재우 한화에어로스페이스 보안팀장은 ‘방산보안 정책 방향 제언’ 발표에서 “주요 방산기술의 유출 예방과 방산업체의 수출 계약 조기 추진을 위해서는 방산기술보호법을 구체화해 도입할 필요가 있다”면서 “중요 방산자료들은 국가 안보와 직결된다는 점에서 방산보안 조직이나 인력 구성에 대해 법제화할 필요가 있다”고 밝혔다.

방산보안협의회·방산기술보호협의회 사무총장으로 활동하는 이 팀장은 이어 “주요 방산기술의 유출 예방 및 업체의 수출 계약 조기 추진을 지원하기 위해서는 방산기술별 중요도를 명확하게 분류해 놓을 필요가 있다”면서 “방사청 등 기관에서 사전에 기관에 소유권이 있는 방산기술을 식별 판정해 주고, 판정한 방산기술 중 해외수출이 가능한 것과 불가한 것을 사전에 명확히 지정하고 해외수출이 가능한 기술이라 하더라도 ‘완전수출’과 ‘제한수출’을 명확히 지정해 줄 필요가 있다”고 강조했다.

좌장을 맡은 문재웅 교수는 토론 총평을 통해 “AI와 챗GPT 등 디지털혁신 시대에 방위산업보안은 가장 핵심인 국가 안보인데도 방위산업보안 인증체제조차 구축되어 있지 않고 RMF에 대한 방안이 실행되지 않고 있다”고 지적했다.

문 교수는 “미국의 CMMC 제도에 기반한 K-CMMC의 제도 구축이 필요하고 K-RMF의 실행방안이 조속히 마련돼야 한다. 또 방위산업보안 전담조직과 국방부, 방사청에 전담 부서와 책임 고위직 공무원이 배정되어야 한다”면서 “그래야만 기업에서도 전담조직과 보안책임자가 임명될 수 있으며 방위산업기술 정립과 보안감사 정립, 국가 책임 등이 마련될 수 있다”고 조언했다.

문 교수는 특히 “국가적 사이버테러 및 방산기술에 대한 사이버 공격이 있을 때 대책을 마련할 수 있는 국가 컨트롤타워가 있어야 하며 예산도 최소 1000~2000억을 방위산업 보안에 배정하고 필요한 법령도 제정돼야 한다”고 강조했다.

그러면서 “이번 세미나가 방위산업 보안정책을 마련하는 시발점이 될 것으로 기대하며 관계기관은 앞으로 더욱 심도 있는 세미나를 통해 방위산업보안 및 사이버 전문가의 목소리를 들어야 한다”면서 “앞으로도 국방전문 언론인 국방신문이 주관해 지속적으로 개최하도록 하고 전문가 및 방산업계의 요청 사항이 정부 정책에 반영되도록 노력하겠다”고 약속했다.

양기대 의원은 환영사에서 “방위산업보안 분야 기술은 국가 생존 및 국민 생명과 직결된 가장 중요한 국가 안보 문제인데도 예산과 법령, 정책을 총괄할 컨트롤타워와 전담조직이 없다는 것은 심각한 상황”이라면서 “국회 차원에서 세미나, 공청회를 통해 대체 입법과 개정안 마련 등을 적극적으로 지원하고 저 또한 재정위원회 소속 의원으로서 적극적으로 노력하고 지원하겠다”고 밝혔다.

양 의원은 특히 “한국 방위산업이 세계적인 수출시장 확대와 함께 한국경제의 미래 성장동력으로 급성장하고 있는 상황에서 방산기술 유출을 차단하고 방산보안을 강화하는 종합적인 정책이 절실하다”면서 “방산보안 총괄 컨트롤타워 설립을 위해 국회 차원에서 적극 협력하고 K-방산 수출 지원에 앞장서겠다”고 강조했다.

이날 세미나에는 박인호 전 공군참모총장, 변재선 세종대 국방사이버안보연구소장(예비역 육군 소장)과 국방부·국가정보원 등 방산보안 담당 정부 관계자, 방위산업 보안전문가, 무기체계 보안전문가, 방산기술보호협의회 및 기업 보안관계자, 방산보안 관련 연구원 등 100여명이 참석했다.

한국방위산업진흥회, 동국대 방산안전연구센터, 세종대 국방사이버안보연구소, 한화에어로스페이스가 후원 기관으로 참여했다.

김복만 기자 다른기사 보기