• home>

[전문가 기고] 한계에 봉착한 방산업체 사이버위협 대응, 시급히 개선책 마련해야(상)

김한경 안보전문기자 입력 : 2022.06.21 19:52 ㅣ 수정 : 2022.06.22 09:10

방산기술 유출돼도 안보적 영향 판단 못해…방사청이 기술보호 책임지는 운영구조 고안해야

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 프린터
  • 글자크게
  • 글자작게

 

image
한희 고려대 정보보호대학원 특임교수

[뉴스투데이=한희 고려대 특임교수] 2015년 3월 사이버위협 대응에 컨트롤타워 기능이 중요하다고 인식한 박근혜 정부는 사이버안보비서관 직제를 신설하고 그 당시 유일한 대안으로 인식되던 망분리를 방산업체에 요구했다. 이 조치는 업체 보안에 상당 부분 기여했지만 비즈니스 환경을 고려하지 않은 ‘물리적 망분리’ 추진으로 업무 편리성이 저하되고, 새로운 투자비용이 요구됨은 물론 연구개발 생산성 저하에까지 영향을 미쳤다는 주장이 나온다.

 

정부가 추진해온 사이버위협 대응 방식 원점에서 조망 필요한 시점

 

정부는 그동안 방산 분야 정보보호를 위해 많은 노력을 기울여왔다. 국정원 국가사이버안전센터는 방위사업청(이하 방사청) 및 한국방위산업진흥회(이하 방진회)와 공조해 방산업체들을 위한 ‘인터넷기반 정보공유시스템(KCTI)’을 별도로 구축하고 기존 ‘국가사이버위협 정보공유시스템(NCTI)’에 축적된 해킹공격 유형과 최신 악성코드 등 사이버위협 정보를 KCTI에 자동 전송하는 지원을 시작했다.

 

방사청은 지난해 방산업체에서 운영 중인 인터넷 서버(이메일 시스템 등)에 대해 모의해킹 등을 포함한 취약점 진단을 전문업체를 통해 실시하고, 진단 결과를 업체에 제공해 취약점을 보완하는 지원 사업을 시작하기도 했다. 이와 같은 정부기관의 수많은 노력에도 불구하고 국내외적으로 사이버위협의 강도와 공격 심도는 오히려 더욱 확장되고 있다. 

 

이는 정부가 준비해왔던 사이버위협 대응 메카니즘에 대해 다시 한 번 원점에서의 조망을 우리에게 요구하고 있다. 그동안 정부의 사이버위협 대응을 크게 요약하면 아래와 같은 순서를 무한 반복하고 있다고 볼 수 있다. 

 

첫째는 국내외에서 커다란 사이버공격 피해가 보고된다. 두 번째는 정부 관련 부서가 사건의 피해를 조사하고 공격으로 인한 시스템 장애를 복구하는데 집중한다. 세 번째는 관련 전문가들이 다양한 대응책과 보완 방안을 강조하지만 대부분 보안의 강도를 높이기 위해 더욱 더 복잡한 대응 절차와 체계를 요구하는 역할을 하게 된다. 네 번째는 이를 정책화하고 예산을 반영하며 사업화하지만 많은 시간이 걸린다. 다섯 번째는 과거 취약점을 막는 사이에 새로운 취약점을 이용한 더 큰 사이버공격과 피해가 발생한다.

 

공격 받은 후 사후약방문적 제도와 절차만 증가하는 하향식 대응 이어져

 

이와 같은 사이버위협 대응 메카니즘은 다음과 같은 근본적 한계점을 갖고 있다. 첫 번째는 이런 방식의 사이버 대응은 적이 주도권을 갖고 있고 공격 받은 후 사후약방문적 한계를 벗어날 수 없다는 것이다. 이런 방식을 따르는 한 사이버공격의 피해는 반복되고 그 심도도 깊어질 수밖에 없음은 자명한 일이다. 공격 이전에 선행 대응이 부분적으로 존재하지만 대부분의 정책적 동력은 피해 발생 후 보완에 모아지므로 후속 대응의 굴레는 매년 반복돼 왔다.

 

두 번째는 매년 새로운 공격이 발생한 후 사이버 대응을 위한 제도와 절차는 양적으로 증가하고 이것은 중앙정부로부터 하부 조직과 방산업체 관련자에 가감 없이 하달되는 실정이다. 이런 현상이 발생하는 것은 사이버 대응이 초기부터 관련 기술전문가 중심으로 수행돼 왔고 더 많은 규제와 절차는 언제나 좋은 것이라는 인식이 비판 없이 받아들여져 왔기 때문이다. 

 

즉 전문가에 의한 하향식 사이버 대응이 지난 30년간 이어져 온 것이다. 이런 접근은 네트워크가 제한적인 시대에는 합리적 대안이었지만 지금처럼 네트워크 공간의 복잡성과 상호 의존성이 기하급수적으로 증가하는 상황에서는 급격히 증가하는 대응투자 요구를 충당할 수 없는 한계 상황을 초래하게 되고 투자의 부족은 결국 새로운 취약성과 공격 표적이 증가하는 결과를 가져오게 된다.

 

통제와 처벌 증가되고 책임은 방산업체에 돌리는 구도 일관되게 유지

 

세 번째는 방위산업에 대한 사이버 대응은 통제와 처벌이 증가되고 책임은 언제나 방산업체에 돌리는 구도가 일관되게 유지되고 있다. 방사청은 2020년 국회 국방위원회 업무보고에서 기술 유출 시 해당업체에 대한 불이익과 처벌이 경미해 기술보호에 대한 업체의 관심도가 낮으니 사고 발생 시 방산업체에 과징금을 최고 10억원까지 부과하고 과태료도 5억원까지 올리며, 업체별 기술보호 인증 등급을 부여하고 최소등급 미만 업체는 사업 참여를 제한하기로 했다. 

 

즉, 정보보호 등급 저하의 이유로 방산업체의 사업 자체를 봉쇄하는 극약 처방을 내놓은 것이다. 또한 방사청은 보호 체계 구축 비용과 전문 교육 지원을 확대하되, 기술 보호 인증 도입과 위반 업체 제재 상향 등 책임성 강화도 동시에 추진하고 있다. 

 

이 밖에도 방사청은 방산기술 보호·관리, 사이버위협 점검, 사고예방·대응 등을 위해 방위산업기술관리원을 설립하고자 했다. 또 기술 유출 예방을 위한 실태조사를 수행할 '기술 조사과'를 신설하고, 사이버 위협 대응과 피해 확산 방지를 위해 국방부와 과기정통부, 산업부, 방사청, 국정원, 안보지원사, 사이버작전사 등이 참여하는 범정부 협의체도 운영 중이다.

 

이런 정책대응 과정에서 새로운 통제의 증가가 방산업체에게 얼마나 큰 비용 투자와 업무적 비효율을 초래하는지 조사하고 이를 최소화하기 위한 제도적·기술적 대안 비교는 별도로 실행되지 않은 채 더 많은 통제가 위협을 줄인다는 선형적 생각이 정책개발 전반을 차지하고 있는 것이 관찰된다.

 

사이버위협 대응 메카니즘의 근본적 문제 중 하나는 바로 통제의 권한과 책임이 분리된 통제 일변도의 하향 사이버 대응 정책을 가치 창출이 본질인 영리 기업에게 방산 계약을 담보로 요구하는 것이다. 이와 같은 통제와 처벌 정책은 방산에 참여하는 업체의 이탈 증가와 방산 분야 신규 진입의 제한을 가져오고 있으며 결과적으로 방산 전반에 걸친 경쟁력 저하를 초래하고 있다는 것이 여러 전문가의 일관된 의견이다. 

 

이 같은 시각은 방산 사이버보안 정책이 더 이상 분리된 개별정책이 아님으로 전체 방산 경쟁력 차원에서 재평가돼야 한다는 것을 말해주고 있다. 이런 문제를 해결하기 위해서는 방산업체 사이버보호 기능을 가진 방사청은 통제와 책임이 일원화된 새로운 사이버보안 대책을 강구해야만 한다. 즉, 통제하는 한 책임을 져야 하고 책임지지 않으려면 권고나 서비스로 대체돼야 한다. 

 

무엇을 왜 지켜야 하는지 구체적으로 알지 못한 채 보호 당위성만 강조

 

네 번째는 무엇을 왜 지켜야 하는지 구체적으로 알지 못한 채 보호의 당위성만 강조되고 있는 것이다. 방산업체가 보호해야 할 기술정보는 크게 3가지로 구분할 수 있는데, 첫 번째는 업체의 사업적 가치를 갖는 정보와 두 번째는 국가 안보적 가치를 갖는 자료 그리고 마지막으로 사업 가치와 안보 가치를 모두 갖고 있는 정보로 나누어 생각할 수 있다.

 

사업 가치를 갖는 정보는 기업이 자발적 판단으로 보호 관리할 대상이다. 안보 가치만 갖는 정보는 정부부서가 별도의 투자와 조직을 동원해 관리하고 책임져야 할 대상이다. 이에 대한 보호를 업체에 요구하며 관심이 적다고 통제와 처벌을 강화하는 등 정책적 수단으로 사용하는 것은 합리적인 정책 방향과는 거리가 멀어 보인다. 사업 가치와 안보 가치가 중복되는 정보에 대해서는 국가가 기업에 정보보호 서비스를 제공해야 하는 대상이라고 할 수 있다. 

 

이처럼 정보의 속성에 따른 보호 관리 책임을 구분해 운영하기 위해서는 우선 정보의 속성에 대한 판단 기준이 마련돼야 한다. 방산업체의 정보 중 어떤 것이 안보가치 정보로 분류해야 되는지 합리적으로 설명할 수 있는 준거가 현재는 발견되지 않는다. 국방보호기술로 선정하는 위원회를 방사청이 운영하고 있지만 실상은 이러한 준거 없이 기술개발 부서에게 보호대상 기술을 선정시키고 이를 의결하는 옥상옥적 기관으로 운영되고 있는 것이 현실이다.

 

이러한 이유로 현재는 기술이 사이버공격에 의하여 유출돼도 그것이 미치는 안보적 영향 판단을 방사청은 하지 못하고 있는 것으로 보인다. 그러므로 방산업체에 대한 사이버보안 대응은 안보가치가 있는 기술을 선정하는 준거를 시급하게 만들고 보호가치가 식별된 안보기술을 방사청이 보호하고 책임지며 서비스할 수 있는 체계에 대한 운영개념과 실행구조를 고안해 내야 한다. (하편에서 계속)

 

 

한 희 프로필 ▶ 고려대 정보보호대학원 특임교수, 한국국가전략연구원(KRINS) 이사, 한국군사문제연구원 객원연구원, 합참 자문위원

 

 

khopes58@news2day.co.kr 이 기자의 다른 기사 보기
Copyright ⓒ 뉴스투데이. 무단전재 & 재배포 금지

BEST 뉴스

댓글 (0)

- 띄어 쓰기를 포함하여 250자 이내로 써주세요.

- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.

0 /250