| [사이버국방리포트] 정보보호제품 평가인증 이용한 군 정보체계 개선 | 2013.09.02 |
우리 군, 정보체계 보안성 강화 위해 자체 평가기준 마련해야
역사적으로 군은 보안 기술 개발 영역에 있어서는 독자적인 지위를 가지고 있었다. 미군도 마찬가지였다. 하지만 1970년대 들어 공개키 암호체계 등 민간분야 보안 기술력이 군과 정부를 능가하기 시작했으며, 군 독자적으로 보안기술을 개발하기에는 기술과 경쟁력의 한계가 있을 수밖에 없었다. 그래서 미군은 1980년대 이르러 민간 보안기술의 군 이전과 활용을 위해서 TCSEC(Trusted Computer System Evaluation Criteria)을 도입하여 활용하기 시작한다. 이른바 오렌지 북이라 불리는 TCSEC은 미군이 도입되는 보안제품을 위해 가져야 할 기능과 이를 보장하는 방안을 정리해 놓은 평가 기준서이다. 이를 통해서 민간 보안업체는 관련 기준을 중심으로 제품을 제작하고, 미군은 기준에 맞는 민간 제품을 도입하게 이르러 TCSEC을 통해 民·軍의 보안기술이 공유되는 선순환(善循環) 구조를 구축했다. 이를 기점으로 데이터베이스, 네트워크 등 다양한 영역에 대한 평가 기준을 제작했으며, 미국뿐만 아니라 세계적으로 사용 가능한 국제 정보보호 제품 평가제도, 즉 CC(Common Criteria)의 모태가 되었다. 이뿐만 아니라, 미군의 보안 제품평가 제도는 정보보호 제품의 핵심인 암호 알고리즘(CAVP), 모듈(CMVP)에 있어서도 관련 기준을 발전, 세분화함으로써 민간 보안 분야 발전을 도모할 수 있는 발판이 마련되기도 했다. 그럼 최근 3·20 사이버 대란, 6·25 사이버공격을 겪어 사이버전쟁의 최전선이 되고 있는 우리나라의 현실은 어떠한가? 지난 2009년 7·7 DDoS 대란을 겪은 이후, 뒤늦게 2011년 사이버사령부를 설치하고 조직과 인력을 지속해서 확충하고 있지만, 정보보호 기술 및 제품 도입에 관한 뚜렷한 기준이 미비한 실정이다. 우리 군은 ‘국방 정보화 업무 훈령’을 기준으로 체계화된 프로세스에 따라 정보체계를 도입한다. 이때 보안성에 관해서는 ‘국방 보안 업무 훈령’을 따르도록 하고 있다. 하지만 ‘국방 보안 업무 훈령’은 일반적인 보안관리만을 감안하고 각기 성격이 다양한 도입 정보체계의 모든 보안성을 보장하지 못한다. 그러므로 군에서 먼저 이러한 문제를 자각하고 제대로 된 정보체계 평가 및 인증 방식을 도입·적용해야 한다. 따라서 군에 도입되는 모든 제품은 군 보안 기준에 따른 평가 인증 제품을 받은 제품만 도입하고, 도입 후에는 보안성 검토를 하는 이원적인 평가 방식으로 바뀌어야 한다.
이제라도 우리 군은 전투력을 보장하고 정보체계의 보안성을 강화하기 위해서 어떤 보안기능이 있어야 하고, 어느 정도 보증이 되어야 하는지 자체 평가기준을 마련하고, 民·軍 보안 기술 공유를 통해 한 치의 빈틈없는 보안을 유지해야 한다. 이제 더 이상의 사후약방문(死後藥方文)식의 보안은 무의미하기 때문이다. [글_김 승 주 고려대학교 사이버국방학과 교수] [사이버국방리포트 원본 링크]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
[보안뉴스=김승주 고려대 교수] “육지, 바다, 하늘, 우주에 이어서 사이버 공간을 제5의 전쟁터”라고 지칭한 미국의 키스 알렉산더(Keith Alexander) 국가안보국장이 최근에는 세계 최고 수준의 사이버 안보 컨퍼런스인 CyCon 2013과 세계 최고 수준의 해킹 컨퍼런스 Blackhat 2013에 키노트 강연자로 참가해 미래 사이버전에 대한 중요성 및 民·軍 보안 기술 공유를 강조했다.
