[사이버안보 진단](10) 국방부, 방산업체 망분리 정책 강요 대신 보안 신기술로 해법 찾아야
김한경 안보전문기자 | 기사작성 : 2019-09-23 11:29   (기사수정: 2019-09-23 11:48)
843 views
N
▲ 정경두 국방부 장관이 지난 7월 24일 서울 용산구 국방 컨벤션에서 열린 ‘2019년 전반기 방산업체 CEO 간담회’에서 참석자들과 인사하고 있다. [사진제공=연합뉴스]

한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주>




국방부, 사이버안보 위해 방산업체 ‘물리적 망분리’ 구축 의무화

[뉴스투데이=김한경 안보전문기자] 박근혜 정부 당시 사이버안보를 위협하는 징후들이 여러 분야에서 다양하게 나타났다. 급기야 국방부 업무망이 상당기간 사이버공격에 노출된 정황이 드러났고, 대기업 방산업체들도 해킹을 당하는 사례가 빈발했다. 이에 정부는 사이버안보를 강화하는 차원에서 2016년부터 ‘방산업체 망분리’를 적극 추진했다.

이와 관련된 훈령도 2016년 12월 개정되어 방산업체들은 2017년 12월 말까지 인증기관에서 CC(국제공통평가기준) 인증을 받은 제품으로 ‘물리적 망분리 시스템’을 구축하도록 기본 원칙이 정해졌다. 이에 방산업체들은 수억 원에서 수십억 원을 투입해 물리적 망분리 시스템을 구축했지만 일부 업체들은 망분리 비용을 감당하지 못해 방산업체 자격을 스스로 포기했다.

물리적 망분리를 하게 되면 업무망(내부망)과 인터넷(외부망)이 물리적으로 단절돼 망간 접근경로가 완전히 차단됨으로써 궁극적으로 정보 유출을 막을 수 있다. 하지만 내부망과 외부망 간 자료 교환이 불가능해 업무 효율성이 크게 떨어진다. 따라서 망분리의 보안 목적을 충족하면서도 안전한 망간 자료전송을 위해서는 ‘망연계 솔루션’을 필수적으로 구축해야 한다.

하지만 망연계 솔루션을 구축해도 운용 방법에 따라 보안취약점은 여전히 남는다. 즉, 자료전송 절차가 불편하다는 이유로 보안정책을 완화하거나, 보안환경이 다른 외부망으로 자료전송을 요구하는 예외 신청을 과도히 승인하는가 하면, 보안담당자들의 업무 미숙과 과오·나태 등으로 망간 자료전송이 허술해져 물리적 망분리의 목적을 무색하게 만드는 사례도 발생한다.

대기업 계열 방산업체, 그룹 ERP와 망분리 못해 해킹에 취약

게다가 대기업 계열사인 방산업체의 경우, 그룹 계열사가 공통으로 사용하는 서버들을 물리적으로 분리하기에는 엄청난 비용 부담이 따른다. 예를 들어 그룹 계열사 전체의 자원을 관리하는 ERP(Enterprise Resource Planning) 서버를 물리적으로 망분리하려면, 전산실에 있는 각종 정보처리시스템 및 해당 시스템의 운영·개발·보안을 목적으로 접속하는 단말기 등 적게는 수십에서 1백여 대의 서버를 외부망과 분리해야 한다.

이렇게 망분리 구축 비용의 수십 배를 투자하여 ERP 서버를 물리적으로 분리한다는 것은 그룹 내부에서 도저히 수용하기 어려운 현실이다. 이러한 이유로 현재 방산 대기업들은 ERP 서버 등 방산과 민수가 공통으로 사용하는 시스템은 물리적 망분리를 하지 못한 상태다. 사실 상 이런 시스템들은 원활한 업무 수행을 위해 인터넷과도 연결돼 있어서 해킹 공격으로부터 안전하다고 볼 수 없다.

한편, 대다수 협력업체들은 체계종합업체인 방산 대기업과 협업 시 자료 교환을 위해 인터넷 메일을 사용한다. 이러한 상용 메일의 보안취약점을 해소하기 위해 ‘협력업체 보안 솔루션’을 구축해 운용하는 대기업도 있다. 하지만 여러 체계종합업체들과 자료를 교환해야 하는 협력업체들은 체계종합업체별로 다른 보안 프로그램을 사용할 경우, 충돌이 발생해 보안솔루션이 제대로 활용되지 않는 경우가 많다.

더구나 방산업무와 민수업무를 병행하는 대기업일수록 글로벌 영업망을 유지하려면 해외지사와 인터넷을 사용하지 않고 업무를 수행하기는 어렵다. 그런데 해외지사를 위한 별도의 전용망을 구축하려면 너무 많은 비용이 들기 때문에 인터넷 기반의 가상사설망인 VPN(Virtual Private Network)을 주로 사용한다. VPN은 인터넷 상에 별도의 가상 폐쇄망을 만드는 기술이지만, VPN 터널을 개통하려면 인터넷에서 인증을 받게 돼 해킹으로부터 안전하지 않다.

김승주 고려대 교수, “물리적 망분리, 4차 산업혁명 개념과 모순돼”

보안전문가인 김승주 고려대 정보보호대학원 교수는 “물리적 망분리를 하면 인터넷을 이용해 업무망에 접속할 수 없어 스마트워크(원격 근무)나 클라우드 서비스 도입이 불가능하다. 더 큰 문제는 인터넷으로 모든 것이 연결되는 4차 산업혁명의 개념이 본질적으로 물리적 망분리 정책과 맞지 않는다”라고 주장한다.

즉 외부와 인터넷을 기반으로 연결 및 융합이 이루어져 업무가 수행되는 초연결 시대에 업무 환경은 고려하지 않고 오로지 보안만 생각해 물리적 망분리를 추진하는 것은 시대착오적이란 얘기다. 지금은 외부와 안전한 연결을 제공하면서 정보보호가 되는 보안 및 망분리 신기술을 을 찾아 지속적으로 보완하는 지혜가 필요한 시대다.

더구나 방산업체는 국가안보를 위해 무기를 만들지만 이윤을 추구하는 기업이다. 따라서 이윤을 창출하는 투자는 환영해도 비용의 지출은 꺼리게 마련이다. 망분리 시스템 구축은 투자가 아니라 비용으로 간주되기 때문에 방산업체는 최소의 비용으로 정부가 요구하는 보안요건만 충족하려고 노력한다. 향후 해킹사고가 발생해 예기치 않은 위기에 처할 수도 있지만, 경영진은 요행을 바라면서 보안에 대한 우선순위를 두지 않는 경향이 농후하다.

국방부 또한 방산업체의 보안을 강화한다며 법규나 지침을 만들지만, 정작 자신들은 신기술을 이해하거나 받아들이지 못하고 낡은 규정에 얽매여 있다. 따라서 경제적이고 효율적인 보안 신기술이 나와도 기존 규정에 명시된 기술 유형이 도입을 차단하는 ‘사전 규제’로 작용한다. 결국 기업은 진짜 해법보다 비용을 적게 들여서 규제만 피하는 방법을 따르게 된다.

보안 전문가들, “방산업체 보안시스템 구축은 자율에 맡겨야”

이와 같이 방산업체들이 엄청난 예산을 들여 물리적 망분리를 했지만, 망연계 시스템 운용 간 보안취약점은 여전히 풀어야 할 숙제다. 게다가 협력업체와 자료전송을 위한 ‘협력업체 보안 솔루션’ 개발 없이 내부망을 외부망과 완전 격리시키는 것은 불가능하다. 따라서 국방부는 이러한 문제 해결을 위해 상용 보안 신기술의 신속한 도입과 개발을 적극 지원해야 한다.

보안 전문가들은 “국방부가 망분리 방식을 규정하지 말고, 보안이 강화되는 시스템을 구축하라는 원칙만 얘기하라”고 말한다. 그들은 “방산업체가 자신들의 업무 여건과 정보통신 환경에 가장 적합한 망분리 방식과 보안기술을 스스로 찾도록 하되, 이를 제대로 보완하지 않아 해킹 사고가 발생하면 강력히 책임을 묻는 구조가 바람직하다”고 목소리를 높인다.

이미 금융권에서 그 방향을 제시하고 있다. 금융권도 과거에 정부 주도의 방식을 시행하다가 문제가 나타났고, 이후 관련 법규를 개정해 스스로 보안을 책임지는 풍토로 변모하고 있다. 이런 분위기가 방산업계에도 자리를 잡으면 업체들은 사이버보안에 실질적 관심을 갖고 투자하게 되고, 그런 노력이 지속될 때 사이버위협에서 벗어날 수 있으며 보안 산업도 발전한다.

메일보내기
보내는분
보내는분 이메일
받는분 이메일
내용
 
주요기업 채용정보