사이버보안은 왜 항공기 비행안전과 직결되는가

AI가 요약하는 핵심 키워드

#사이버감항성 #비행안전성 #사이버보안 #감항인증 #군용항공기

군용항공기는 다양한 컴퓨터 시스템과 무기체계가 유기적으로 상호 연결된 복합 체계로 발전하고 있다. 이에 따라 사이버보안은 단순한 정보보호 문제를 넘어, 항공기의 비행안전과 직접 연결되는 감항성의 문제로 확장되고 있다. 본 기고문은 영국 MAA(Military Aviation Authority, 군 항공당국)의 RA 1202 및 RA 5890, 미 육군 AMACC(Army Military Airworthiness Certification Criteria, 미 육군 항공기 감항인증기준), EASA(European Union Aviation Safety Agency, 유럽항공안전청)의 AMC(Acceptable Means of Compliance, 수용가능한 적합성 검증방법) 20-42와 RTCA(Radio Technical Commision for Aeronautics, 항공 무선 기술 위원회) 항공 보안 표준 등 주요 선진국 사례를 중심으로 사이버 감항성의 개념과 제도화 동향을 살펴본다. 이를 바탕으로 국내 군용항공기 감항인증에서도 사이버보안을 별도 보안성 검토가 아닌 설계, 형상관리, 생산확인, 운용·정비, 유지감항 전 과정에 걸친 비행안전성 관리를 위한 감항인증의 영역으로 다루어야 함을 제안한다.

항공기는 이제 '연결된 체계' 다.

현대 군용항공기는 비행제어컴퓨터, 임무컴퓨터, 항법장비, 데이터링크, 전자전 장비, 정비지원장비, 지상지원시스템이 하나의 체계처럼 연결되어 운용된다. 조종사는 항공기 안에서 비행하지만, 항공기의 안전한 운용은 항공기 밖의 데이터, 소프트웨어, 정비장비, 네트워크 환경과도 밀접하게 연결된다.

이러한 변화는 군용항공기 설계의 비행안전성을 확인하는 감항인증에도 새로운 질문을 던진다. 과거에는 “기체가 구조적으로 안전한가?”, “엔진과 비행제어계통이 요구 성능을 만족하는가?”, “소프트웨어가 의도한 기능을 수행하는가?”가 주요 관심사였으나, 이제는 여기에 한 가지 질문이 더해지고 있다. “상호 연결된 사이버 환경에서도 항공기는 안전하게 비행할 수 있는가?”

사이버보안은 일반적으로 정보 유출, 해킹, 악성코드 대응 같은 정보보호의 영역으로 인식되고 있었다. 하지만, 항공기에서 사이버 위협이 비행제어, 항법, 임무장비, 정비자료, 소프트웨어 업데이트, 지상지원장비에 영향을 미친다면 이는 단순한 정보보호 문제가 아니다. 항공기의 의도된 기능이 방해받고, 조종사 판단이 왜곡되며, 정비 결과의 신뢰성이 낮아질 수 있기 때문이다. 결국 사이버보안은 항공기 비행안전성과 연결되고, 이는 곧 감항인증에서 다뤄야 할 문제로 확장될 수 있다.

영국 군 감항당국인 MAA(Military Aviation Authority)는 현대 군용항공기가 항공전자 장비와 네트워크 구조에 갈수록 의존하고 있으며, 이러한 연결성이 보호되지 않을 경우 항공안전에 위협이 될 수 있다고 설명한다. 특히 군용항공기에 대한 사이버 공격은 안전 운용에 중대한 위협이 될 수 있다고 보고, 감항성과 항공안전 관점에서의 사이버보안 규정을 도입했다. [1]

사이버보안이 감항성으로 들어온 이유

감항성은 항공기가 정해진 운용 범위 안에서 안전하게 비행할 수 있는 상태를 의미한다. 이때 안전을 위협하는 요소가 반드시 물리적인 것은 아니다. 센서가 정상이어도 잘못된 데이터가 입력될 수 있고, 장비가 멀쩡해도 소프트웨어 변경으로 기능이 달라질 수 있다. 정비절차가 올바르더라도 정비 노트북이나 시험장비가 오염되어 있다면 잘못된 점검 결과가 만들어질 수도 있다.

이처럼 사이버 위협은 항공기 부품을 직접 파손하지 않고도 비행안전성에 영향을 줄 수 있다. 예를 들어 데이터 무결성 훼손은 정보보호 측면에서는 변조 문제이지만, 감항성 측면에서는 잘못된 조종 판단이나 잘못된 정비결과로 이어질 수 있는 안전위험 요소이다. 네트워크 가용성 저하는 보안 측면에서는 서비스 장애이지만, 감항성 측면에서는 임무장비 또는 항법지원 기능의 상실로 이어질 수 있다. 접근통제 실패는 보안 측면에서는 권한관리 문제이지만, 감항성 측면에서는 승인되지 않은 변경 가능성에 따른 비행안전 영향성이다.

따라서 사이버 감항성, 즉 Cyber-Airworthiness는 “보안이 잘 되어 있는가”를 묻는 것이 아니라 “사이버 위협이 발생하더라도 항공기의 비행안전성이 유지되는가”를 묻는 개념이다. 이는 정보보호의 언어를 감항성의 언어로 바꾸는 과정이라고 할 수 있다. “어떤 위협이 있는가”에서 멈추지 않고, “그 위협이 어떤 기능에 영향을 주며, 그 기능 상실이 어떤 위험으로 이어지고, 그 위험을 어떤 기준으로 허용하거나 완화할 것인가”까지 설명할 수 있어야 한다.

선진국 동향 ① 영국 MAA: 설계와 운용을 나누어 관리하다

영국 MAA는 사이버보안을 별도의 정보보호 활동으로만 다루지 않고, 감항성과 항공안전 규정 안으로 끌어들였으며, 두 가지 축으로 나누어 접근한다.

첫 번째 축은 형식설계와 설계변경 단계다. RA 5890은 항공기 형식설계와 설계 변경 및 수리 과정에서 사이버 위협을 평가하고, 감항성에 부정적 영향을 줄 수 있는 위협을 완화하도록 요구한다. 이 규정은 영국 군 항공기 등록부에 등록되었거나 등록될 항공체계에 적용된다 [2].

두 번째 축은 운용과 정비, 즉 지속감항 단계다. RA 1202는 항공체계의 사이버 취약점이 항공기 형식과 유지감항 측면에서 중대한 위협이 될 수 있으므로, 운용자와 책임자가 항공체계 운용·정비 중 발생할 수 있는 사이버 위협을 식별하고, 이를 수명주기 동안 관리하도록 요구한다. 특히 진행 중인 사이버 감항성 활동이 항공체계 안전사례, 즉 Air System Safety Case의 개발과 관리에 기여해야 한다고 설명한다 [3].

이러한 구조는 국내 군 감항인증에도 중요한 시사점을 준다. 사이버보안은 개발 초기 설계 단계에서 한 번 검토하고 끝나는 항목이 아니다. 항공기는 전력화 이후에도 소프트웨어 업데이트, 임무장비 교체, 데이터링크 변경, 정비장비 교체, 취약점 조치 등을 반복한다. 따라서 사이버 감항성은 형식인증 단계뿐 아니라 개조·개량, 생산확인, 운용·정비, 유지감항 전 과정에서 관리되어야 한다.

표 1. 영국 MAA 사이버 감항성 규정의 주요 관점
구분	주요대상	감항성 관점의 핵심 사항
RA 5890	형식설계, 설계변경, 수리	사이버 위협이 항공기 설계 안전성에 영향을 주는가
RA 1202	운용, 정비, 지속감항	전력화 이후에도 사이버 위협을 식별·완화·관리하고 있는가
공통 관점	항공체계 전 수명주기	사이버 위협이 비행안전성으로 이어지는 경로를 설명할 수 있는가

표 1. 영국 MAA 사이버 감항성 규정의 주요 관점

선진국 동향 ② 미 육군 AMACC: 사이버보안을 감항인증기준에 반영하다

미 육군도 유사한 방향으로 움직이고 있다. AMACC(Army Military Airworthiness Certification Criteria)는 미 육군의 군용항공기 감항인증기준으로, 주력 운용체계인 회전익 항공기 특성을 고려해 발전해 왔다. 미 육군 DEVCOM AvMC AMACC Revision B를 2024년 11월 13일자로 공개하고 있으며, 국방기술품질원 감항회보(DTaQ-AIB-25-01, 발행일 :’25.6.26.)에서 관련 내용을 짧게 소개한 바 있다.

미 육군 AMACC Rev. B 에서 주목해야 할 부분은 Chapter 20 Cyber Security을 비롯한 사이버 위협에 대응하는 변경ㆍ추가된 기준들이다. 특히 미 육군은 새롭게 추가된 Chapter 20에서 이후 소개될 RTCA DO-326A, DO-355A를 대거 인용하면서, 사이버 위협으로 발생할 수 있는 보안 문제가 결국 감항성에 영향을 줄 수 있음을 기술하고 있다. [4].

이는 사이버보안이 더 이상 선택적 검토 항목이 아니라, 감항인증기준 안에서 다루어야 할 기술 분야로 전환되고 있음을 보여준다. 특히 군용항공기는 민간항공기보다 임무장비, 무장체계, 데이터링크, 전술네트워크, 지상통제체계와의 연계성이 높기 떄문에, 사이버 위협은 단순히 정보시스템 보안에 그치지 않고 임무, 비행안전성, 전력 운용의 신뢰성까지 영향을 줄 수 있다는 인식이 확대되고 있음을 반증한다.

선진국 동향 ③ 사이버 감항성 확인의 국제 표준화: DO-326A, ED-202A, DO-355A, ED-204

사이버 감항성 논의에서 자주 등장하는 표준도 있다. 대표적으로 RTCA DO-326A와 EUROCAE ED-202A는 항공기 인증에서 정보보안 위협을 다루기 위한 Airworthiness Security Process Specification으로 활용된다. RTCA는 DO-326 계열 문서가 항공기 인증에서 정보보안 위협을 다루기 위한 지침을 보강하는 문서라고 설명한다. 또한 DO-355A는 유지감항 활동의 정보보안 측면을 다루며, 운용·정비 중 항공기 안전에 대한 정보보안 위협의 영향이 허용 가능한 수준 안에 있도록 지원하는 문서로 소개된다 [5], [6].

EASA의 AMC 20-42도 이러한 흐름을 보여준다. AMC 20-42는 ED-202A/DO-326A, ED-203A/DO-356, ED-204/DO-355를 항공기 제품과 부품의 감항성 확인 및 유지감항 맥락에서 활용할 수 있는 인정 가능한 적합성 입증수단으로 제시한다. 또한 정보시스템이 의도적 비인가 전자적 상호작용(IUEI, Intentional Unauthorized Electronic Interaction)에 의해 안전하지 않은 상태로 이어질 수 있는지를 평가하도록 설명한다 [7].

이러한 국제 표준의 공통점은 명확하다. 사이버보안은 “방화벽을 설치했는가” 수준의 점검이 아니라, 자산 식별, 위협 경로 식별, 안전 영향 분석, 위험 허용성 판단, 완화수단 검증, 유지감항 지침 반영까지 이어지는 전순기 체계적 위험관리 과정의 일환으로 다루어야 한다는 것이다.

표 2. 사이버 감항성 표준문서의 목적·개요·주요 내용
문서군	목적	개요	주요내용 및 감항 활용 포인트
D-202A / DO-326A Airworthiness Security Process Specification	항공기 인증 과정에서 의도적 비인가 전자적 상호작용(IUEI)이 항공기 안전에 미치는 영향을 다루기 위한 감항 보안 프로세스를 정의	무엇을 해야 하는지(What)에 해당하는 상위 프로세스 문서. 항공기·시스템 개발 및 형식인증 과정에서 보안 범위 정의, 보안위험평가, 보안요구조건 도출, 보안 입증자료 생성을 안전성 평가와 연계	Aircraft/System Security Scope Definition Preliminary Aircraft/System Security Risk Assessment System/Aircraft Security Risk Assessment 안전성 평가 결과와 보안요구조건의 상호 추적성 확보 인증 당국에 제시할 보안 적합성 입증 논리 구성
ED-203A / DO-356 Airworthiness Security Methods and Considerations	ED-202A/DO-326A에서 요구하는 감항 보안 활동을 실제로 수행하기 위한 방법과 고려사항을 제공.	어떻게 수행할 것인지(How)에 해당하는 동반 문서. 설계·개발 수명주기에서 자산 식별, 공격경로·취약점 분석, 보안위험 평가, 완화수단 검토, 보안 검증을 구체화	자산 및 보안환경 식별 위협·취약점·공격경로 분석 안전영향 기반 위험평가 및 잔여위험 판단 보안 요구조건·완화수단 도출 분석, 리뷰, 보안시험 등을 통한 효과성 확인
ED-204 / DO-355 Information Security Guidance for Continuing Airworthiness	전력화·운항 이후 지속감항 단계에서 정보보안 위협의 안전영향을 허용 가능한 수준으로 유지하기 위한 지침을 제공	초기 인증 이후의 운용·정비·변경관리 단계에 초점. 설계승인 보유자와 운용자가 취약점, 보안 이벤트, 정비환경, 소프트웨어 변경, 지침 전파를 관리하도록 지원	운용·정비 중 정보보안 위험 모니터링 취약점·보안 이벤트 식별, 보고, 분석 변경·개조·소프트웨어 업데이트의 감항성 영향평가 지속감항 지침, 운용자 조치, 복구절차 관리 보안위협의 안전영향을 허용 가능한 수준으로 유지

표 2. 사이버 감항성 표준문서의 목적·개요·주요 내용

사이버 감항성은 무엇을 보아야 하나

사이버 감항성을 검토할 때 가장 먼저 바뀌어야 할 것은 “대상 범위”다. 군용항공기의 사이버 감항성은 탑재 장비만의 문제가 아니다. 비행 전 준비, 임무계획, 데이터 탑재, 정비점검, 소프트웨어 업데이트, 지상지원장비, 협력업체 공급망까지 전방위로 연결될 수 있다.

영국 MAA의 RA 1202는 사이버 감항성 관리 대상이 프로그래머블 요소, 항공기 구성품, 항공기 네트워크 접속점, 무장체계, 정보체계, 지상지원장비, 관련 지상지원 정보시스템, 운용자까지 포함될 수 있음을 설명한다. 또한 NIST(美 국립표준기술연구소) 사이버보안 프레임워크(CSF, Cyber Security Framework)의 Identify, Protect, Detect, Respond, Recover 기능을 항공체계 수명주기 동안 따르고 유지해야 한다고 제시한다 [3].

이때 NIST 사이버보안 프레임워크는 특정 보안장비나 세부 통제목록을 나열하는 방식이 아니라, 조직이 사이버보안 위험을 식별하고 관리하며 개선하기 위한 위험기반 상위 프레임워크로 이해할 수 있다. RA 1202에서 언급한 Identify, Protect, Detect, Respond, Recover의 5개 기능은 CSF의 핵심 기능에 해당한다 [8]. Identify(식별)는 항공체계와 연결된 자산, 데이터 흐름, 취약점, 위협 경로를 파악하는 활동이고, Protect(보호)는 접근통제, 네트워크 분리, 암호화, 형상관리, 공급망 보증 등을 통해 안전기능을 보호하는 활동이다. Detect(탐지)는 비정상 통신, 무결성 훼손, 승인되지 않은 변경과 같은 사이버 이벤트를 조기에 식별하는 활동이며, Respond(대응)는 이벤트 발생 시 운용제한, 보고, 분석, 임시조치, 감항성 영향평가를 수행하는 활동이다. Recover(복구)는 안전한 형상으로 되돌리고 운용능력을 회복하며 재발방지 조치를 반영하는 활동이다. 따라서 군용항공기 사이버 감항성에 CSF를 적용한다는 것은 보안 통제를 단순히 적용하는 것이 아니라, 설계·생산·정비·운용·개조개량 전 과정에서 사이버 위험이 비행안전성으로 전이되는 경로를 식별하고 이를 조직적으로 관리하는 체계를 갖춘다는 의미다.

표 3. 사이버 감항성 관점의 점검사항 예시
영역	주요 점검사항 예
항공기 탑재 시스템	비인가 전자적 상호작용이 안전기능에 영향을 줄 수 있는가
임무·항전 소프트웨어	소프트웨어 버전, 배포, 변경, 복구 절차가 명확한가
데이터링크·네트워크	인증되지 않은 접속, 비정상 데이터, 통신 장애를 식별하고 제한할 수 있는가
정비·지상지원장비	정비장비와 시험장비가 항공기 안전기능에 잘못된 영향을 주지 않는가
공급망	부품, 소프트웨어, 업데이트 파일의 무결성과 출처를 확인할 수 있는가
운용·정비 조직	사이버 이벤트 발생 시 보고, 분석, 조치, 복구 절차가 마련되어 있는가
감항자료	사이버 위험평가, 완화수단, 검증 결과가 적합성 입증자료로 추적 가능한가

표 3. 사이버 감항성 관점의 점검사항 예시

국내 군 감항인증 적용을 위한 첫 번째 방향: 설계단계부터 요구조건화

사이버 감항성을 효과적으로 다루기 위해서는 개발 후반부의 보안 점검만으로는 부족하다. 설계 초기부터 사이버 위협이 안전기능에 미칠 수 있는 영향을 고려해야 한다. 항공기 아키텍처, 네트워크 분리, 데이터 흐름, 접근권한, 업데이트 방식, 장애 시 안전상태 전환, 로그 및 추적성 확보가 초기 설계에 반영되어야 한다.

특히 체계개발 단계에서는 사이버보안 요구조건을 단순한 정보보호 요구사항으로만 둘 것이 아니라, 감항인증 기준과 적합성 입증방법 안에 반영하는 방안을 검토할 필요가 있다. 예를 들어 “항법정보 무결성 훼손 시 조종사에게 경고할 수 있는가”, “정비자료 변조 가능성을 탐지할 수 있는가”, “임무컴퓨터 업데이트 시 승인된 형상만 반영되는가”와 같은 질문은 정보보호 질문이면서 동시에 비행안전성 질문이다.

이때 중요한 것은 입증자료의 형태다. 사이버 감항성은 선언만으로 충분하지 않다. 위협분석, 안전영향분석, 요구조건 추적성, 설계 검토, 시험·검증 결과, 운용·정비 절차, 잔여위험 관리방안이 서로 연결되어야 한다. EASA AMC 20-42도 제품 정보보안 위험평가에서 자산 식별, 공격 경로 식별, 안전 영향 평가, 위험 허용성 판단, 완화수단 분석·구현·효과성 평가, 잔여위험 수용까지 반복적으로 수행하도록 설명한다 [7].

이러한 방향은 국내에서도 이미 연구 과제로 구체화되고 있다. 국방기술품질원은 최근 한국항공우주학회지에 게재한 자체 연구를 통해 RTCA DO-326A/ED-202A 기반 감항 보안 프로세스를 무기체계 개발 및 군 감항인증 프로세스에 적용하는 방안을 제시하였다. 이 연구는 항공기 개발 초기부터 보안 요구사항을 반영하고, 체계 요구사항 분석·기본설계·상세설계·구현·검증 및 감항인증 산출물을 연계함으로써 보안 요구사항의 추적성과 일관성을 확보하는 접근을 제안한다 [9].

같은 맥락에서 경기대학교와 국방기술품질원의 공동 연구는 항공 유·무인 복합체계(MUM-T, Manned-Unmanned Teaming)가 유인기, 무인기, 지상통제체계, 통신 인프라 등 여러 자산이 네트워크로 연결되는 구조이므로 데이터 위·변조, 재전송 공격, 통신 두절 등이 임무 실패뿐 아니라 비행안전성 저해로 이어질 수 있다고 분석하였다. 특히 DO-326A의 감항성 보안 프로세스를 국내 무기체계 개발 프로세스에 통합하고, MITRE ATT&CK 기반 위협 시나리오와 a-SAL(advanced Security Assurance Level, 고도화 보안보증수준)을 활용해 설계 초기부터 보안 요구사항과 검증 강도를 도출하는 방안을 제시하였다 [10].

이들 연구는 아직 완성된 제도라기보다 국내 군 감항인증 체계에 사이버 감항성을 정착시키기 위한 탐색적·실무적 노력에 가깝다. 그러나 공통된 메시지는 분명하다. 사이버보안은 개발 후반의 점검표로 처리할 수 없으며, 체계 요구사항, 설계 요구사항, 시험·평가 요구사항에 “감항성에 영향을 주는 보안 요구사항”으로 처음부터 포함되어야 한다는 점이다.

두 번째 방향: 설계변경과 소프트웨어 업데이트를 감항성 관점에서 보기

군용항공기는 전력화 이후에도 지속적으로 개조·개량된다. 임무장비가 교체되고, 항전 소프트웨어가 수정되며, 데이터링크 장비가 개선되고, 암호장비나 통신장비가 변경될 수 있다. 이러한 변화는 성능개량이지만 동시에 새로운 사이버 경로를 만들 수 있다.

따라서 소프트웨어 업데이트나 임무장비 변경을 단순한 기능 개선으로만 볼 것이 아니라, 감항영향성 검토 대상으로 보아야 한다. 업데이트 파일의 출처와 무결성, 적용 절차, 롤백 가능성, 변경 전후 안전기능 영향, 기존 인증자료와의 차이, 취약점 조치 이력 등이 함께 검토되어야 한다.

국내 군용항공기 감항인증의 생산확인과 품질보증에서도 소프트웨어 목록, 버전, 배포, 검증·승인 절차, 변경관리, 문제 발생 시 제품·검사결과 추적성이 중요하다. 이러한 관리항목에 사이버 감항성 관점을 더하면, 소프트웨어 품질보증을 넘어 항공기 안전기능에 영향을 줄 수 있는 비인가 변경, 무결성 훼손, 업데이트 오류까지 함께 다룰 수 있다.

세 번째 방향: 유지감항과 사이버 이벤트 관리를 연결하기

사이버 위협은 전력화 이후에도 계속 변한다. 항공기 자체가 변하지 않아도 외부 공격기술, 취약점 정보, 정비환경, 네트워크 환경, 운용절차는 달라질 수 있다. 따라서 사이버 감항성은 형식인증 단계에서 한 번 판단하고 종료되는 항목이 아니라, 유지감항 활동과 함께 지속적으로 관리되어야 한다.

운용단계에서 필요한 것은 세 가지다. 첫째, 항공기와 관련된 사이버 취약점 정보를 지속적으로 식별하는 체계다. 둘째, 사이버 이벤트가 항공안전에 영향을 미칠 가능성을 평가하고 보고하는 체계다. 셋째, 조치 결과를 감항자료와 형상관리 자료에 반영하는 체계다.

RTCA DO-392는 항공환경에서 보안 이벤트 관리를 위한 지침을 제공하며, 제조사, 운용자, 정비조직, 공급자 등이 항공안전에 영향을 미치는 정보보안 이벤트를 식별·대응·보고하는 절차 개발에 활용될 수 있다. RTCA는 해당 문서가 EASA Part-IS와 연계될 수 있는 보안 이벤트 관리 지침이라고 설명한다 [11].

결국 유지감항 관점의 사이버보안은 “사고가 난 뒤 조사하는 체계”가 아니라 “위험이 항공안전 문제로 커지기 전에 식별하고 차단하는 체계”에 가깝다. 사이버 이벤트도 부품결함, 정비오류, 운용제한 초과와 마찬가지로 항공안전 데이터 안에서 관리되어야 한다.

네 번째 방향: 공급망과 생산확인까지 확장하기

사이버 감항성은 항공기 설계자와 운용자만의 책임이 아니다. 현대 군용항공기는 수많은 협력업체, 소프트웨어 공급자, 정비지원장비, 시험장비, 데이터 저장매체, 개발도구와 연결되어 있다. 공급망 어느 한 지점에서 무결성이 흔들리면 항공기 안전기능에도 영향을 줄 수 있다.

영국 MAA RA 1202는 공급망 보증과 관련하여, 위조 자재나 훼손된 자재가 보안 가정을 무너뜨리거나 취약점을 의도적으로 도입할 수 있음을 언급한다. 이는 사이버보안이 소프트웨어만의 문제가 아니라 자재, 부품, 협력업체, 생산공정의 신뢰성과도 연결된다는 점을 보여준다 [3].

국내 군 감항인증에서도 생산확인 과정에서 승인된 설계자료의 최신성, 소프트웨어 버전관리, 공급업체 관리, 주요안전품목 추적성 등을 점검하고 있다. 여기에 사이버 감항성 관점을 더하면, 단순히 “정해진 부품을 썼는가”를 넘어 “그 부품과 소프트웨어가 의도한 상태로 안전하게 통합되었는가”까지 확인할 수 있다.

보이지 않는 결함도 비행안전성에 영향을 주면 감항성의 대상이다

군용항공기 감항인증은 새로운 기술이 등장할 때마다 그 범위를 넓혀 왔다. 복합재 구조, 고신뢰성 소프트웨어, 전기추진, 리튬배터리, 무인기, 유·무인복합체계가 등장하면서 감항인증의 질문도 계속 변화했다. 이제 사이버보안도 그 변화의 중심에 있다.

사이버 보안 위협은 눈에 잘 보이지 않는다. 균열처럼 육안으로 확인하기 어렵고, 부품 고장처럼 계측값으로 바로 드러나지 않을 수도 있다. 그러나 항공기 안전기능에 영향을 줄 수 있다면, 그것은 감항성의 대상이다. 보이지 않는 결함도 비행안전성에 영향을 주면 감항성의 언어로 설명되어야 한다.

앞으로 군용항공기 감항인증의 질문은 더욱 확장될 것이다. “이 항공기는 설계대로 잘 나는가?”에서 “이 항공기는 연결된 운용환경에서도 설계대로 안전하게 계속 날 수 있는가?”로 바뀌고 있다. 영국 MAA와 미 육군 AMACC의 사례는 이러한 변화가 이미 선진국 감항체계 안에서 제도화되고 있음을 보여준다.

국내 군 감항인증도 이러한 흐름을 능동적으로 받아들일 필요가 있다. 사이버 감항성은 감항인증 전문가, 개발자, 품질 전문가, 운용·정비 인력, 보안담당자가 함께 다루어야 할 새로운 공통 과제다.

국방기술품질원 감항인증연구센터는 앞으로도 사이버 감항성이 본 궤도에 오를 수 있도록 국내외 제도·표준 동향을 지속적으로 분석하고, 자체연구를 통해 실무 적용 가능한 기준과 사례를 축적하며, 관련 조직이 사이버보안을 비행안전성의 일부로 인식하도록 그 중요성을 계속 환기해 나갈 것이다. 항공기의 안전은 이제 하늘 위의 기체뿐 아니라, 그 기체를 움직이는 데이터와 소프트웨어, 그리고 이를 관리하는 전 수명주기 체계 위에서 완성되어야 한다.

United Kingdom Ministry of Defence and Military Aviation Authority, “Cyber Security for Airworthiness: New MAA Regulations,” GOV.UK, May 25, 2023. [Online]. Available: https://www.gov.uk/government/news/cyber-security-for-airworthiness-new-maa-regulations
United Kingdom Ministry of Defence and Military Aviation Authority, “Regulatory Article (RA) 5890: Cyber Security for Airworthiness and Air Safety – Type Design and Changes / Repairs to Type Design,” Issue 2, Nov. 30, 2023. [Online]. Available: https://www.gov.uk/government/publications/regulatory-article-ra-5890-cyber-security-for-airworthiness-and-air-safety-type-design-and-changes-repairs-to-type-design
United Kingdom Ministry of Defence and Military Aviation Authority, “Regulatory Article (RA) 1202: Cyber Security for Airworthiness and Air Safety,” Initial Issue, May 25, 2023. [Online]. Available: https://www.gov.uk/government/publications/regulatory-article-ra-1202-cyber-security-for-airworthiness-and-air-safety
U.S. Army Combat Capabilities Development Command Aviation & Missile Center, “Technical Data Management: Army Military Airworthiness Certification Criteria (AMACC) Documents and SysML Model Libraries,” AMACC Revision B, Nov. 13, 2024. [Online]. Available: ttps://www.avmc.army.mil/Directorates/Systems-Readiness/TechDataMgmt/
RTCA, Inc., “DO-326A: Airworthiness Security Process Specification,” RTCA Security Standards, 2014. [Online]. Available: https://www.rtca.org/security/
RTCA, Inc., “DO-355A: Information Security Guidance for Continuing Airworthiness,” RTCA Security Standards. [Online]. Available: https://www.rtca.org/security/
European Union Aviation Safety Agency, “AMC 20-42: Airworthiness Information Security Risk Assessment,” in Easy Access Rules for Acceptable Means of Compliance for Airworthiness of Products, Parts and Appliances (AMC-20), Initial Issue and Amendments 1–22, Jun. 23, 2023. [Online]. Available: https://www.easa.europa.eu/en/document-library/easy-access-rules/online-publications/easy-access-rules-acceptable-means-1?page=21
National Institute of Standards and Technology, “Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1,” Apr. 16, 2018. doi: 10.6028/NIST.CSWP.04162018.
김경중, 박창언, “무기체계 개발 및 군 감항인증 프로세스에 감항 보안 프로세스 적용 방안 연구,” 한국항공우주학회지, 제54권 제5호, pp. 565-570, 2026, doi: 10.5139/JKSAS.2026.54.5.565.
김가을, 김도훈, 신선영, “항공 유·무인 복합체계의 감항성 보안 강화: 통합 프로세스와 a-SAL을 중심으로,” 국방품질연구논집, vol. 7, no. 2, pp. 188-199, 2025, doi: 10.23199/jdqs.2025.7.2.018.
RTCA, Inc., “DO-392: Information Security Event Management,” RTCA Security Standards. [Online]. Available: https://www.rtca.org/security/