이에 따라 NCW와 정보보호는 바늘과 실처럼 항상 공존해야 하며 결코 소홀해서는 안된다는 입장을 거듭 밝혔다. 최근 군은 NCW에 대해 네트워크별 정보체계 운영통합과 국방차원의 일관된 정보보호정책 반영 및 설정, 정보전 수행이 가능한 정보보호 기능확충, 군의 정보보호 체계 구축을 위한 기반 기술 확보 등이 요구되고 있다.

그러나 소프트웨어에 대한 보안 취약점에 대해서는 여전히 무방비 상태로 위협적인 요소에 대한 우려를 나타냈다. 지난 2003년 로버트힐 호주 국방장관도 ‘북한의 미사일은 호주에 잠재적 위협’이라고 언급한 바와 같이 무지체계에 대한 잠재적 위협과 무기체계에 적용되는 소프트웨어의 위협이 내포 돼 있다는 의미다.

실제로 해군의 이지스함인 ‘광개토대왕’은 첨단 IT시설로 무장했지만 무기제어나 작전수행에서 소프트웨어의 작동불능이나 보안성이 결여된다면 오히려 역효과를 불러올 수 있다는 것이다. 걸프전에서 미군의 전자전 수행이나 악성코드로 가시화되는 논리폭탄(Logic Bomb) 등도 소프트웨어 잠재적 위협에 해당된다.

하지만 우리 군의 경우 국방 정보보호체계에 있어 장기적인 연구개발을 통한 체계보다는 단기적인 도입방식에 의한 체계를 선호하고 있어 소프트웨어 내제 취약점 점검의 실시가 어렵다는 지적이다. 이 팀장은 이러한 결함에 대해 소프트웨어 보안 테스팅을 정기적으로 실시해야 한다고 제안했다.

보안 테스팅은 입력 데이터에 임의의 오류를 삽입해 소프트웨어의 취약점을 찾는 퍼징(Fuzzing) 시스템을 제시했다. 공격형태는 완제품에 입력되는 데이터를 조작한 공격이 발생할 경우를 들었으며 군에서 사용되는 소프트웨어의 취약점 제거에 사용이 가능한 것으로 밝혀졌다.

또 정보보호체계용 소프트웨어의 취약점 제거 방안에 대해서는 개발과정에서 점검을 의무화 하는 방안과 도입과정에서 의무화하는 방안 두 가지를 내놨다. 개발과정에서는 체계 도입 시 근거자료 체출 요구, 개발자의 관점에 의해서만 점검하고 도입과정에서는 제3자의 시각에 의한 검증과 개발자가 생각지 못한 부분에까지 시험을 해야한다고 역설했다.

이 팀장은 “앞으로의 전쟁은 치열한 정보전과 네트워크를 통한 사이버 테러가 중심을 이룰 것”이라며 “군의 정보보호 체계에 위협적인 요소가 있다면 이는 가까운 미래에 반드시 문제가 될 사항”이라고 말했다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>