국방품질연구회(DQS)가 전하는 품질 인사이트

DQS 매거진

K-RMF 제도 시행에 따른 기품원의 역할과 발전 방향

2024. 11. 13

글. 국방기술품질원 AIㆍ사이버팀 박주영 연구원

본 기고문은 국방 사이버보안 위험관리 제도(K-RMF)의 도입 배경과 그 필요성을 설명하고, 이를 기반으로 기품원이 국방 사이버 보안 강화에 기여할 수 있는 다양한 역할과 향후 발전 방향을 제시하고자 작성되었다. K-RMF는 미국의 RMF 제도를 토대로 하여 한국의 국방 분야에 맞춤화된 형태로 발전한 제도로서, 군수품의 사이버 보안 체계를 강화하고 무기체계 개발 단계부터 보안 요구사항을 반영할 수 있는 기반을 마련하고자 도입되었다. 기품원은 K-RMF 제도의 시행에서, 업체주관 연구개발사업의 방사청 지원기관 역할을 부여받았으며, 방위사업청과 국방부 등 주요 기관은 물론 민간 보안평가기관들과 협력하여 보다 체계적이고 일관된 보안 관리가 가능토록 노력 중이다. 향후에도 기품원은 국산 무기체계의 보안성 측면의 품질 향상을 위한 연구를 지속하는 한편, 전체 무기체계로의 K-RMF 확대 적용에 대비할 예정이다.

현대의 전쟁과 안보 이슈는 과거와는 달리, 물리적인 전투 외에도 사이버 공간에서의 위협이 점차 증대되고 있다. 이러한 상황에서 국가 및 군사 조직은 전통적인 방어 체계를 넘어서 사이버 보안이라는 새로운 도전에 직면하고 있으며, 이를 효과적으로 대응하기 위한 여러 가지 방안이 모색되고 있다. 본 기고문에서는 Risk Management Framework(이하 RMF)의 도입 배경과 한국형 RMF(K-RMF)의 필요성, 그리고 기품원이 K-RMF를 수행하기 위한 준비와 앞으로의 발전 방향에 대해 논의하고자 한다.

출처 : https://augustschell.com/

RMF의 도입 배경

RMF는 미국에서 개발된 사이버 보안 관리 프레임워크로, 소프트웨어가 포함된 무기 체계부터 군사 정보 시스템까지 다양한 군사 자산의 사이버 보안을 체계적으로 관리하기 위해 도입되었다. RMF는 단순히 시스템을 보호하는 것에 그치지 않고, 위험을 사전에 식별하고 이를 최소화하기 위한 일관된 접근 방식을 제공한다. 특히, 국가 안보와 직결되는 군사 정보 시스템의 보안을 관리하고 위험을 평가하는 데 중요한 역할을 한다고 볼 수 있다.

RMF의 도입 배경에는 여러 가지 사이버 보안 위협 사건이 자리 잡고 있다. 직접적인 사례는 아니지만, 몇 가지 사례를 소개해보고자 한다. 대표적인 사례 중 하나로는 2010년에 발생한 Stuxnet 악성코드 사건이 있다. 이 사건은 미국과 이스라엘이 이란의 핵 프로그램을 지연시키기 위해 개발한 악성코드로, 나탄즈 핵시설의 원심분리기를 파괴하는 데 성공한 사례다. 이 공격은 물리적 공격이 아닌 사이버 공격으로 국가 핵심 인프라를 무력화할 수 있음을 보여주었고, 사이버 보안의 중요성을 크게 부각시켰다.

또 다른 중요한 사례로는 러시아와 우크라이나 간의 갈등에서 발생한 사이버 공격이 있다. 2014년 우크라이나 전력망을 목표로 한 Black Energy 악성코드 공격은 국가 인프라를 마비시키고, 2016년 Industroyer 공격은 대규모 정전을 일으켜 군사적 혼란을 초래했다. 이러한 사건들은 사이버 공격이 실제 물리적 전쟁에서 얼마나 중요한 역할을 할 수 있는지 보여주며, 현대 전쟁에서 사이버 보안의 필수성을 강조하는 계기가 되었다.

출처 : https://incibe.es/en/incibe-cert/blog/industroyer2-ampere-strikes-back/

미국은 이러한 사이버 위협에 대응하기 위해 2014년부터 RMF라는 제도를 도입하게 되었다. RMF는 단순한 시스템 보안을 넘어, 위험 평가에 기반하여 체계 단위로 소요부터 폐기까지 체계적으로 검증하고 관리하는 제도다. 이를 통해 체계단위의 보안이 일관되게 유지될 수 있도록 하는 것이 RMF의 주요 목적이다.

K-RMF의 도입 배경과 필요성

미국이 RMF를 도입함에 따라, 한국도 이에 상응하는 보안 체계를 구축할 필요성이 대두되었다. 한국에 도입한 미국의 무기체계인 O-00체계와 OO-0 Oooooo Oooo 같은 주요 무기 체계에 RMF 적용을 요구하면서, 한국도 이를 수용하고, 나아가 자체적인 K-RMF 체계를 마련할 필요가 생긴 것이다.

특히 O-00 체계의 경우, 시험평가 중 미국이 보안관련 사항에 대하여 명확하게 RMF를 요구하게 되면서 해당 제도의 적용이 필수적으로 요구되었다. 이에 따라 한국은 미국의 보안 요구사항을 충족하기 위한 작업을 시작하게 되었으며, 이를 기반으로 한국형 RMF, 즉 K-RMF의 필요성이 본격적으로 대두되었다.

K-RMF는 미국의 RMF와 마찬가지로, 체계단위의 보안을 체계적으로 관리하기 위해 고안된 제도라고 볼 수 있다. 다만, K-RMF는 한국의 국방 환경과 보안 요구 사항에 맞게 설계되었으며, 미국의 기준을 따르면서도 한국 고유의 보안 문제를 해결할 수 있도록 구성되었다. 미국과의 협의를 통하여 RMF와 K-RMF 간 상호인증을 협의하였고, 이를 통해 한국은 독자적인 사이버 보안 체계를 구축하고, 미국과의 군사 협력에서도 보안 표준을 충족할 수 있게 되었다.

K-RMF 수행을 위한 기품원의 역할

출처 : 국방 사이버보안 위험관리 지시(국방부)

기품원은 K-RMF 수행을 위해 연구개발사업을 지원하는 역할을 충실히 준비하고 있다. 특히, 업체 주관 연구개발사업에서 방위사업청의 지원 역할을 부여받았으며, 역할 수행을 위하여 보안계획서 작성과 보안통제항목 구현 점검 지원을 위한 체계를 마련 중에 있다. 이를 통해 연구개발사업이 K-RMF 기준을 충족할 수 있도록 적극적으로 기술지원을 수행 할 계획이다. 기술지원을 연구개발 과정에서 보안 요구사항을 효율적/효과적으로 반영하는 데 중요한 역할을 할 것으로 기대하고 있다.

또한, K-RMF 지시에는 기품원의 업무로 자체검사 수행을 포함하고 있다. 자체검사 항목은 방사청과 방첩사 간 협의를 통해 항목이 결정되며, 자체검사 결과는 보안평가 시 활용될 수 있음을 지시에 명기하고 있다. 이 과정에서 방사청은 기품원의 기술적 역량을 적극적으로 활용하고자 하고 있으며, 기품원은 국방부/방첩사 등과 긴밀한 협력 체계를 구축하고, K-RMF 수행에 필요한 기술적 기반을 강화하는 데 주력하고 있다. 해당 역할의 수행을 대비하여 보안계획서 샘플 및 보안계획서 가이드 등, 연구개발사업의 지원을 위한 연구를 다방면으로 수행하고 있다. 이를 통해 연구개발사업의 보안 수준을 강화하고, K-RMF의 체계적인 적용을 지원할 수 있을 것이다.

위와 같은 업무를 수행하기 위하여, 지속적으로 자체연구 및 위탁연구용역을 통해 RMF 수행과 관련된 다양한 연구를 진행하며, K-RMF 수행을 위한 준비를 지속적으로 진행중에 있다. 이러한 연구 결과들을 기반으로 기품원은 K-RMF를 성공적으로 적용하고 보안관리를 더욱 체계적으로 할 수 있는 기반을 제공하게 될 것이다.

K-RMF 발전 방향과 기품원의 역할

K-RMF의 성공적인 수행을 위해서는 몇 가지 중요한 과제가 있다.

첫째, 기품원은 유관기관과의 협력 체계를 더욱 강화해야 한다. 현재 K-RMF 수행 과정에서 방사청-방첩사 간 협의된 항목에 대한 자체 점검을 수행하도록 되어 있으나, 더 나아가 보다 명확한 업무 분장과 협업 체계가 필요하다. 이를 통해 K-RMF 수행의 효율성을 높이고, 보다 체계적인 보안 관리를 수행할 수 있을 것이다.

둘째, K-RMF 수행 근거를 강화해야 한다. 현재 K-RMF는 국방부 지시를 바탕으로 수행되고 있지만, 국방정보화법이나 방위사업관리규정 등 유관 법규에 기품원의 K-RMF 임무를 추가하는 것이 필요하다. 이를 통해 K-RMF 수행의 법적 근거를 강화하고, 제도적 기반을 확립할 수 있을 것이다.

셋째, K-RMF의 적용 범위 확대를 대비한 지속적인 연구가 필요하다. 24년 현재 K-RMF는 한시적으로 전장관리정보체계에 한정되어 적용되고 있지만, 26년 이후에는 소프트웨어가 탑재된 무기체계 전반으로 확대될 가능성이 크다. 이를 대비해 기품원은 지속적으로 연구를 진행하여 K-RMF의 확대 적용에 대비한 전략을 마련해야 할 것이다.

결론

K-RMF는 현대 전장에서 필수적인 사이버 보안을 체계적으로 관리하기 위한 중요한 제도이다. 기품원은 K-RMF의 성공적인 수행을 위해 다방면으로 연구를 진행하여 왔으며, 앞으로도 지속적인 발전을 이루기 위해 노력하고 있다. K-RMF의 성공적인 수행은 대한민국의 사이버보안 역량을 강화하고, 국제적인 사이버보안 표준을 준수하는 데 기여할 것이다. 기품원은 K-RMF의 발전과 함께 국방 사이버보안의 미래를 이끌어 갈 중요한 역할을 수행하게 될 것이라 기대한다.

참고문헌
  • 1. National Institute of Standards and Technology. Security and Privacy Controls for Federal Information Systems and Organizations (NIST SP 800-53 Rev. 4). 2013.Retrieved from https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final
  • 2. S.Y.Cha. Study on Strengthening Cybersecurity Measures in the Acquisition and Operation of Advanced Weapon Systems. Ph.D disseration, Korea University, School of Cybersecurity, 2019. [4]
  • 3. Eun-Jin Choi. A study on the Application of RMF to Domestic Weapon System Software Products. Journal of the Korea Academia-Industrial cooperation Society, Vol. 24, No. 10. pp. 268-274, 2023.https://doi.org/10.5762/KAIS.2023.24.10.268
  • 4. Jeong, G., Kim, K., Yoon, S., Shin, D., & Kang, J. Exploring Effective Approaches to the Risk Management Framework (RMF) in the Republic of Korea: A Study. Information, 14(10), 561. 2023.https://doi.org/10.3390/info14100561