• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

방사청의 한국형 DARPA 사업, ‘사이버 보안’ 적용이 먼저다 2019.02.25

방사청, 창의적 무기체계 연구위한 ‘미래도전기술’ 개발사업 추진
현재 무기체계의 사이버 위협은 심각한 상황...SW 보안성 검증 시행 안 해
최근 미국 무기체계에서도 심각한 사이버 위협 발견...SW 보안성 검증 최우선해야

[보안뉴스 원병철 기자] 방위사업청(청장 왕정홍, 이하 방사청)이 지난 2월 22일 ‘한국형 DARPA(Defense Advanced Research Projects Agency, 미국 국방고등연구사업국)’ 사업인 미래도전기술(무기체계 소요를 선도할 수 있는 창의적·도전적 국방기술) 개발사업을 본격적으로 추진하겠다며 ‘핵심기술 연구개발 업무처리 지침’을 개정해 발표했다.

[이미지=iclockart]


미국 DARPA는 소련의 인공위성 발사 성공(1957년)과 같은 외부의 기술충격 및 국방위기에 대응하기 위해 설립한 기관으로 창의적이고 도전적인 과제 위주의 연구를 수행한다. 냉전시대 소련의 핵공격에 대비해 컴퓨터를 보호하기 위한 인터넷의 시초인 ‘ARPANET(알파넷)’과 위치추적 위성을 활용해 핵잠수함의 정확한 위치를 파악하기 위한 기술인 ‘GPS’ 등이 DARPA가 개발한 기술이다.

방사청은 이러한 DARPA의 기술주도형 연구개발을 벤치마킹해 ‘미래도전기술’ 개발하겠다고 나선 것. 2018년 69억 원의 예산으로 시범사업을 시작했고, 이번 지침 개정을 통해 본격적으로 사업을 시작한다. 특히 올해는 200억원의 예산을 마련했으며, 이를 바탕으로 프로그램 관리자. 과제공모, 경진대회 등 다양한 기술기획 유형을 운영해 국방 및 산학연으로부터 창의적인 아이디어를 얻을 것으로 기대하고 있다.

아울러 방사청은 미래도전기술 중 하나로 AI 기반 사이버 지휘통제체계를 추진하고 있다. 딥러닝 및 인지 컴퓨팅 기술을 활용해 사이버작전수행을 지원하겠다는 계획이다.

무기체계에 사이버 보안 우선해야
문제는 이렇게 힘들게 연구하고 적용하고 있는 다양한 국방무기들이 정작 사이버 위협에는 고스란히 노출되고 있다는 사실이다. 국방부는 2013년 신뢰성 시험을 시작으로 무기체계의 보안성 검증의 필요성을 알게됐고, 2017년 6월 국군기무사령부에서 무기체계에 탑재된 ‘SW 보안성 검증’ 필요성을 제기하면서 방사청이 ‘SW 보안성 검증’ 전면시행을 준비 중인 것으로 알려졌다.

실제 국군기무사령부는 네트워크 장비 및 정보보호제품 등 IT제품 대상 보안적합성 검증과 무기체계 SW, 홈페이지 및 앱 소스코드 보안성 검증 등의 업무를 위해 2017년 1월 1일 국방정보보호인증센터를 창설했다. 특히 국방정보보호인증센터는 무기체계 SW 보안성 검증을 추진하기 위해 시범검증을 시행했는데, 소스코드와 주석문, 설정파일 내 관리자 계정정보 하드코딩·평문저장에서 리버싱 등에 의한 계정정보 획득 등 중요정보 탈취위협을 확인했다고 밝혔다. 또한 사용자 인증이 필요함에도 불구하고 인증절차를 누락하거나 부적절한 인증방법을 사용하는 사례와 취약점이 공개된 오픈소스를 사용한 사례 등 우리군 무기체계의 심각한 사이버위협을 여러 건 확인됐다.

안타까운 것은 이렇게 현실을 파악하고도 SW 보안성 검증 제도를 제대로 시행하지 못하고 있다는 사실이다. 이정규 전 국방보안연구소 부소장(현 명지대 교수)은 최근 논문을 통해 “훈령 개정 후 1년이 지난 현재까지 아직도 실제 시행이 되지 않고 있다”고 지적했다. “업무 주관부서인 방사청에서도 무기체계 개발업체의 부담과 보안성 검증업무로 인한 사업기간 연장을 지속적으로 우려해 시행을 미루고 있습니다.”

이정규 전 부소장은 ‘무기체계 SW 보안성 검증’의 본격시행은 물론 관계자들의 인식전환을 촉구했다. 아울러 부족한 보안인력을 증원하는 한편 개발인력에 대한 교육체계를 정립해야 한다고 강조했다.

미국 역시 사이버공격으로부터 국방전력을 보호하기 위해 ‘사이버 시험·평가 가이드북(2015)’을 통해 국방획득체계 전 단계에 적용하고 있다. 개발시험평가에서는 설계·구현상 취약점 검증 및 제거, 침투 테스트 등이 이뤄지고, 운용시험평가 단계에서는 실제 환경에서의 취약점 확인 및 제거, 사이버 위협에 대한 대응태세 확인 등을 하고 있다.

그럼에도 불구하고 SW 취약점은 계속 드러나고 있다. <보안뉴스>가 보도했던 것처럼 2018년 10월 미국 회계감사원(GAO)은 미국 국방부가 새롭게 개발한 무기 시스템의 소프트웨어 취약점을 발견했다고 발표했다. GAO는 “해커들이 간단하게 컴퓨터와 무기체계의 소프트웨어에 침투하고, 모습을 감춘 채 여러 가지 공격을 펼칠 수 있게 해주는 취약점”이라면서, “이는 새로 무기를 설계하고 개발하는 데 사이버 보안 개념을 적용하지 않았기 때문이며, 심지어 무기 개발자들이 사이버 보안을 제대로 이해하지 못하는 경우도 많다”고 지적했다.

이처럼 국내는 물론 세계 국방 1위인 미국조차 무기체계의 소프트웨어 취약점은 심각할 정도로 방치되어 있다. 때문에 이번 방사청의 미래도전기술 사업 추진에 있어서 반드시 사이버 보안을 적용하는 한편, 개발자들에게 사이버 보안에 대한 교육을 통한 이해도를 높여야 할 것이라고 전문가들은 조언하고 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>