사이버사령부 운영 등 사이버보안에 대한 美 국방부의 의지 표명 

[보안뉴스=고려대 사이버국방연구센터] 美 오마바 대통령은 지난 2일 2013 회계연도 국방수권법(National Defense Authorization Act)에 서명했다. 이번 법안은 지난 12월 상원을 98-0 전원일치 찬성으로 통과된 바 있다.

국방수권법은 매년 미 국방부의 주요 정책과 예산을 승인하는 법으로 미국 국방정책의 공식적인 방향을 알 수 있는 가장 확실한 자료라고 할 수 있다. 이 법안을 통해 미국의 국방 관련 기관들의 예산 규모와 정책이 결정되고 그에 따른 권한이 부여된다.

특히, 이번 법안을 살펴보면 사이버사령부 운영과 사이버 국방기술 획득 및 연구개발에 수백만 달러의 예산을 할당하고 있는 등 사이버 영역에 대한 미 국방부의 높은 관심을 확인해볼 수 있다. 이미 미국 언론들은 이번에 서명된 법안이 미국 사이버국방 전략에 있어 실질적인 진전을 가져올 것으로 예상하고 있다.

미국 2013 회계연도 국방수권법은 사이버사령부 위상과 사이버작전 의회보고, 국방부 계약업체들의 사고고지의무와 공급사슬 보안강화를 위한 소프트웨어 보증정책 수립, 차세대 사이버보안시스템 획득을 위한 연구개발 등 국방부의 사이버작전 권한 및 사이버국방강화를 위한 군과 국방계약업체들의 보안사고고지와 소프트웨어 보안 강화 등 사이버보안과 정보보증 노력과 관련된 다양한 내용들을 담고 있다. 사이버국방 관련 조항들은 본 법안의 931조와 941조 사이에 포함되어 있다.

사이버국방 관련 주요 항목들을 구체적으로 살펴보면, 첫째, 의회로 하여금 사이버사령부의 임무와 활동에 대해 폭넓은 검토를 수행하고, 앞으로 사이버사령부가 갖추어야 할 위상에 대해 제안할 것을 요구하고 있다. 만일 위상 변화가 필요할 경우 이러한 변화에 따른 혜택과 변화를 위한 예상 비용까지 제시할 것을 요구함으로써 사이버사령부를 재편하고 위상을 높일 수 있는 길을 열어놓고 있다.

현재 사이버사령부는 미국의 전략사령부 산하에 있지만, 향후 독립적인 사이버전투사령부로의 위상강화까지도 생각해 볼 수 있게 되었다. 법안은 또한 국방부 장관에게 국방성의 사이버국방 임무 및 사이버전투사령부 운영계획, 사이버 군사작전 수행에 필요한 각 군과 기관의 역할과 책임 및 조직구조와 수행절차를 포함한 계획과 이를 위해 요구되는 사이버 예산 규모를 보고할 것을 요구하고 있다.

둘째, 국방부로 하여금 정기적으로 의회 국방위원회에 매분기마다 이전 분기에 미군 사이버부대에 의해 수행된 모든 사이버 공격 작전과 주요 사이버 방어 작전 관련 사후 보고를 할 것을 요구하고 있다. 이는 국방부에 사이버공간에서의 사이버공격을 포함한 은밀한 작전을 수행할 수 있는 권한을 암묵적으로 부여하고 있는 것이라고도 해석되고 있다.

셋째, 국방부와 계약한 민간업체들(이하 국방계약업체)에게 자신들의 시스템이나 네트워크를 목표로 한 사이버 공격이 성공해 피해가 발생했을 경우 국방부에 신속하게 보고하도록 의무화하고 있다. 이는 국방부가 제공했거나 국방부를 위해 만들어진 민감한 정보를 다루거나 저장하고 있는 계약업체가 공격을 받아 피해가 발생했을 경우 국방부가 이 사실을 즉시 보고함으로써 피해를 최소화하고 추가피해를 막기 위한 조항으로, 이전에 있던 자발적인 고지 프로그램을 강제적인 의무사항으로 전환한 것이다.

이때 국방부에 제출하는 보고서에는 공격에 사용된 기술과 사용된 악성코드 샘플, 유출된 정보의 요약본 등을 포함될 것이 요구된다. 이를 위해 국방성은 국방계약업체에 대한 사이버침투에 대한 보고절차와 가이드라인을 작성해야 한다. 국방계약업체에 대한 또 하나의 추가적인 요구사항은 계약업체에 침해사고가 발생했을 때 국방성에서 계약업체의 장비와 정보에 접근하여 포렌식 분석을 수행할 수 있는 기술과 절차를 마련할 것을 요구하고 있다.

넷째, 국방부에서 전자장비와 정보시스템 등을 획득하는 공급사슬(Supply Chain)에서 발생할 수 있는 위험을 최소화하기 위해 외부 계약업체들에게 소프트웨어 개발 라이프사이클에서 엄격한 보안조치를 취할 것을 요구하고 있다.

위·변조된 부품이나 감염된 장비들이 외부해커들로 하여금 정부나 군의 민감한 정보에 접근할 수 있도록 허용하여 심각한 사이버 안보 위협을 제공할 수 있기 때문이다. 이 때문에 본 법안에서는 국방계약업체들로 하여금 소프트웨어 보안개발이 소프트웨어 개발 프로젝트 계약단계에서부터 다루어질 것을 보장하고 소프트웨어 개발과정의 전 단계에서 자동화된 코드 검증 및 취약점 분석도구를 이용하여 엄격한 테스트와 디버깅을 수행할 것을 요구하고 있다. 이를 위해 미 국방부는 소프트웨어 개발 라이프사이클의 각 단계에서 발생할 수 있는 위험을 평가할 수 있는 기준과 절차를 포함한 소프트웨어 보증 정책 가이드라인을 수립해야 한다.

다섯째, 미 국방성부 국방부가 보유한 다양한 사이버 기술능력들을 평가하는 한편, 현재의 악성코드 탐지 기술과 시그니쳐 기반 위협 탐지도구들의 한계를 뛰어넘어 빠르게 변해가는 위협환경과 대규모 네트워크 환경에 적응할 수 있는 차세대 사이버보안시스템과 같은 새로운 사이버무기체계의 획득을 위한 연구개발을 요구하고 있다.

이 차세대 사이버보안 시스템은 다양한 사이버보안 도구를 활용하고 새로운 기능들이 플러그앤플레이(Plug&Play) 방식으로 추가되고 통합될 수 있도록 개방형 아키텍처를 갖출 것이 요구된다. 또한, 이 시스템은 사이버 보안 위협을 탐지 및 식별하고, 공격목표 시스템과 공격에 사용된 시스템을 식별하는 한편, 공격 원천지를 찾아낼 수 있는 추적 기능을 갖춰야 한다.

차세대 사이버보안 시스템이 엄청난 양의 데이터 흐름들을 처리하면서 이러한 기능을 수행하기 위해서는 상당한 자원이 요구되기 때문에 국방부는 인터넷서비스제공자들과 관제서비스제공자들, 그리고 기타 국방계약업체들의 자발적인 협력과 상호활용을 통해 효과적으로 정보를 수집, 처리, 저장할 수 있는 능력을 확장할 수 있는 합동정보환경(JIE: Joint Information Environment) 구축이 요구된다. 국방성은 이러한 기능을 효과적으로 수행할 수 있는 차세대 사이버보안시스템 획득 전략을 개발해야 한다.

정리해보면 이번 2013 국방수권법을 통해 살펴본 미국의 사이버국방정책은 사이버사령부 재편 및 위상 강화를 포함한 국방부의 사이버 작전 권한강화와 국방 계약업체들의 사고 고지 및 소프트웨어 테스트를 포함한 보안 의무 강화, 마지막으로 차세대 사이버보안대응 시스템 연구개발과 국방부, 계약업체, 네트워크 서비스 제공자들의 협력에 기반한 합동정보환경의 구축으로 요약해 볼 수 있다.

물론 이 국방수권법안의 사이버국방 강화조치들에 대해 긍정적인 의견만 존재하고 있는 것은 아니다. 분명 겉으로 보기에 이번 법안을 통해 국방계약업체들의 의무와 책임은 한층 강화되었다. 이미 일각에서는 국방부 계약업체들에 과다한 부담을 제공할 수 있다고 우려하기도 한다.

지난 해 말 똑같은 이유로 공화당의 반대로 무산되었던 사이버보안법(Cybersecurity Act of 2012)의 재판이라는 비판도 존재한다. 하지만 2009년 미국 방산업체에서 중국 사이버스파이에 의해 3,000억원 짜리 F-35스텔스 전투기 설계도가 해킹 당한 뒤 2012년 중국이 짝퉁 스텔스기를 발표했던 사례가 있었던 만큼, 그 필요성에 대해서는 미국 내에서 누구도 쉽게 부정하지 못하고 있는 상황이다.

고지의무의 경우 이미 자발적으로 준수해오던 정보고지 조항에 기반하고 있고, 조항 마련 시 해당 산업계의 자문을 거치는 등 입법 당시에 나름 문제발생을 최소화하기 위한 노력을 수행했음을 알 수 있다. 또한, 입법화만 안 되어 있을 뿐, 이미 국방부와 계약 당시 계약조항의 하나로 보안사고 고지 요구사항을 포함시켜 이미 보고를 받아오고 있었기 때문에 실제 추가부담은 크지 않을 것이라는 의견도 있다.

적용대상 또한 전체 계약업체가 아니라 비밀문서 취급허가를 갖고 있는 방위 계약업체로 한정하고 있으며, 단순히 국방부의 정보들을 전송하기만 하는 인터넷서비스제공자 네트워크나 통신서비스제공자 네트워크는 적용하지 않는 등 적용범위를 제한하고 있다.

또한, 포렌식 사고조사에 대해서도 수사를 위한 시스템 접근은 실제 공격이 발생한 장비만으로 제한되며, 수사과정에서 노출될 수 있는 영업비밀이나 금융정보, 개인식별정보 등을 보호하기 위한 조치를 마련하고 수사과정에서 얻은 정보를 외부에 함부로 공개할 수 없도록 하는 등 정보고지와 사고조사 과정에서 발생할 수 있는 국방계약업체의 불이익을 최소화하고자 노력하고 있음을 알 수 있다.

이처럼 미국 오바마 정부는 지난 해 말 사이버교전규칙 서명에 이어, 올해는 국방수권법안을 통해 국방부에 사이버방어를 위한 실질적인 권한과 예산을 부여하는 등 사이버국방 강화를 위한 적극적인 의지를 천명하는 한편 동시에 부작용과 내부 반발을 최소화하기 위한 노력을 기울이며 발 빠르게 다른 국가들을 앞서 나가고 있다. 영국을 포함한 서방 선진국들 또한 미국의 흐름을 예의주시하고 있으며, 미국의 뒤를 따를 움직임을 보이고 있다.

한편에서는 여러 국가들이 모여 토론과 협상 등을 통해 글로벌 사이버전 규범을 만들어 내려는 흐름이 존재하는데 반해, 다른 한편에서는 미국처럼 힘을 기반으로 강력하고 발 빠르게 사이버공간의 새로운 질서를 스스로 만들어나가고 있는 흐름이 존재한다. 어느 흐름이 더 옳은지를 따지기 이전에 중요한 것은 이미 사이버무기경쟁과 국가주도의 사이버전력강화 흐름은 전 세계적 차원의 거스를 수 없는 흐름이 되어가고 있다는 점이다. 긴장을 늦추지 말고 이러한 흐름들을 예의 주시하면서 우리의 현실을 꼼꼼히 살펴보아야 할 때다.

[글_고려대학교 사이버국방연구센터]