[뉴스임팩트=박종국·이상우기자] 국내 방위산업이 2022년 우크라이나 전쟁 이후 호황을 누리면서 방산 기술을 빼앗으려는 공격도 거세지고 있다.
올해만 해도 KF-21 전투기 기술을 인도네시아 기술진이 빼돌리려 한 사건, 북한 조직의 국내 방산업체 해킹 사건이 터졌다. 게다가 북한 해커들이 장갑차, 미사일, 레이더 부품 정보 수년 치를 탈취하는 데 성공한 것으로 파악돼 우리 사회에 큰 충격을 안겼다.
방산 수출 확대도 중요하지만 방산 기술 유출 시도를 어떻게 차단할지 대책을 마련해야 한다. 기술 보호 없는 수출은 밑 빠진 독에 물 붓는 격이다. 뉴스임팩트가 방산기술보호연구회장으로 활동하는 류연승 명지대 방산안보학과 교수를 만나 의견을 들어봤다.
ㅡ자기소개를 부탁드린다.
"전산학을 전공했다. 2003년 명지대 컴퓨터공학과에 부임했다. 사이버 보안을 연구하다가 2015년 대학원에 보안경영공학과를 만들었다. 일반인은 접근하기 힘든 방산, 국방 보안에 관심을 두고 연구했다. 2022년엔 방산안보학과를 대학원에 설립했다. 거의 모든 방산 정부 기관과 방산업체에서 학생들이 입학했다. 그들과 같이 공부하면서 연구하는 재미에 빠져 있다."
ㅡ컴퓨터 분야에서 보안 쪽에 주목한 이유는 뭔가.
"전산학을 공부한 이유는 컴퓨터가 세상을 이롭게 하는 기술이라고 믿어서다. 그런데 컴퓨터가 네트워크에 연결되면서 사이버 공격이 세상을 위협할 수 있음을 깨닫고 보안 분야를 연구하게 됐다. 원래 전공인 운영 체제 분야보다 사이버 보안 기술이 학생들의 진로에 더 도움이 되겠다는 생각도 있었다."
ㅡ우리나라가 해킹을 잘 막는 편인가.
"잘 안되고 있다. 해킹에 취약할 수밖에 없는 현실 때문이다. 해커가 이메일 첨부파일에 악성코드를 심는 게 대표적인 사이버 공격 기술이다. 내가 평소 관심 있는 세미나 안내 이메일이 왔는데 지나칠 순 없지 않나. 이메일을 열고 자연스럽게 첨부 파일도 내려받게 된다. 파일에 악성 바이러스가 담겼으면 어떻게 되겠나. 꼼짝없이 해킹당하는 거다."
"몇 년 전에 방산 관련 학회 홈페이지가 해킹당한 적이 있다. 국가정보원이 해킹을 추적해 냈다. 홈페이지 서버가 해킹돼 악성 코드가 삽입됐다고 하더라. 방산업체라고 해킹에 예외는 아니다."
ㅡ방산 보안이 중요한데 어떻게 해야 하나. 손 놓고 있을 순 없는데.
"방산 보안은 국가가 투자하고 관리해야 한다. 방산 기밀이 해외로 유출되면 국가 안보 침해는 물론 방산 수출 방해로 이어져 국가 경제에도 악영향을 준다. 방산 기술은 법적으로 국가 소유다. 국방 예산이 투입된 연구 성과물도 국가가 갖는다. 국가가 책임져야 한다. 방위사업비 일정 부분(예컨대 1%)을 방산 보안에 쓰는 방안을 검토해 볼 만하다."
ㅡ미국은 방산 보안을 어떻게 하나. 우리와 차이점은 뭔가.
"모든 것을 지금 전부 설명할 순 없다. 최근 이슈 위주로 얘기하겠다. 우리는 물리적 망 분리를 한다. 업무 PC와 인터넷 PC를 나누고 네트워크도 구분하는 방식이다. 보안을 엄격하게 하겠다는 의도다. 하지만 물리적 망 분리로 해킹을 백 퍼센트 막진 못 한다. 협력사를 해킹한 다음 방산업체 내부망까지 침투하는 일이 가능하다."
"미국도 물리적 망 분리를 한다. 다만 미국은 데이터 보안과 제로 트러스트에 중점을 둔다. 데이터 보안은 중요도에 따라 데이터를 분류해 보호하는 거다. 아주 중요한 데이터만 물리적 망 분리의 내부에 두고 덜 중요한 데이터는 보안 수준을 낮춘다. 그렇게 하면 보안이 약해지지 않나 의문이 들겠지만 오히려 우리보다 보안이 잘된다. 정말 지켜야 하는 데이터를 구별해 철저히 보호하니까. 경직적인 물리적 망 분리를 하는 우리보다 데이터 활용이 유연한 장점도 있다. 제로 트러스트는 믿지 말고 모든 접근을 검증한다는 개념이다."
ㅡ우리는 왜 미국처럼 데이터 보안을 못 하나.
"데이터 보안을 하려면 무엇보다 분류부터 해야 한다. 그게 너무 어렵다. 중요도를 식별할 수 있는 시스템도 없다. 미국도 하루아침에 데이터 보안을 한 건 아니다. 데이터를 분류할 수 있는 체계를 구축하는 데까지 오랜 시간이 걸렸다고 한다."
ㅡ우크라이나 전쟁에서 러시아가 우크라이나 전산망을 마비시키더라. 우리는 방산업체에 대한 전산망 공격을 감시하고 있나.
"방산 대기업은 자체적으로 관제 시스템을 운영하면서 네트워크를 모니터링하고 있다. 그렇지만 은밀하게 침투해서 전산망을 무너뜨리는 것까지는 방어하지 못할 가능성이 있다. 방산 중소기업과 협력업체들은 관제 시스템이 없는 데다 보안에 투자를 하기도 어렵다. 정부가 뒤를 받쳐줘야 한다."
ㅡ방산 기술 보호를 강화하려면 방위사업청이 어떻게 해야 할까.
"방사청은 국방 기술을 획득하는 기관이다. 방산 기술을 연구·개발하는 국방과학연구소(ADD)와 방산업체들이 보호해야 할 기술을 일관성 있게 식별할 수 있게 방사청이 기준, 도구, 표준 절차를 만들어야 한다."
"사업 관리 기관인 방사청이 방산업체 보안을 직접 담당하는 건 현실적으로 힘들다. 방산 기술 보호 전담 기관이 방위사업비의 일정 부분을 방산업체 보안에 사용할 수 있게 제도화해야 한다. 더불어 방산 기술 보호를 다루는 학계, 전문 업체를 활성화하기 위해 방산 기술 보호 생태계를 지원할 필요가 있다. 보안과 방첩에 전문성이 있는 국정원, 군, 경찰도 방산 기술 보호 업무를 도와야 한다."
ㅡ지난 4월 미 국방부가 주관하는 국제 인공지능(AI) 행사에서 한국의 방산 통합 클라우드 시스템에 대해 발표하셨다. 발표 내용은.
"우리 방산업체는 물리적 망 분리 때문에 클라우드 활용을 하기가 어렵다. 미국은 방산업체들이 클라우드를 활용해 인공지능(AI)으로 데이터를 분석한다. AI 기반 무기도 만든다. 우리도 방산업체를 위한 통합 클라우드를 구축해야 한다고 말했다. 정부가 방산 클라우드 활성화 법령을 정비하고 방산업체들이 데이터를 유용하게 쓸 수 있도록 만들어줘야 한다고도 했다."
ㅡK-CMMC 인증 체계 구축과 한미 상호인정협정 체결, 데이터 보안, 무기 체계 보안 내재화를 평소에 강조하셨는데 구체적으로 설명해 달라.
"데이터 보안은 아까 언급한 대로다. K-CMMC는 미국이 내년부터 시행하는 사이버 보안 성숙도 모델 인증 제도(CMMC)를 우리도 해야 한다는 개념이다. CMMC 인증을 받아야 미국과 방산 거래를 할 수 있다. 미국뿐 아니라 미국 동맹국인 영국, 호주, 캐나다, 이스라엘, 일본 등도 방산 거래에서 CMMC를 요구할 가능성이 크다. K-CMMC 구축을 서둘러야 하는 이유다."
"2021년 방사청의 K-CMMC 구축 방안 연구과제를 수행했다. K-CMMC 구축이 진행됐다면 올해 말에는 윤곽이 나와야 하는데 시작도 못 했다. CMMC 인증을 직접 받으려면 비용도 많이 들고 미국의 인증 심사 업체가 우리 방산업체 내부망을 다 들여다보게 된다. 우리의 사이버 안보 주권을 뺏기는 거다. 서둘러 K-CMMC를 구축하고 미국과 상호 인정 협정을 맺는 단계까지 가야 하는데 안타깝다."
"무기 체계 보안 내재화는 리스크 매니지먼트 프레임워크(Risk Management Framework·RMF)와 안티탬퍼(Anti-tamper)로 나눠 볼 수 있다. RMF는 무기 체계의 수명주기인 기획, 연구·개발, 운영, 폐기까지 모든 과정에서 발생하는 사이버 보안 리스크를 관리하는 프로세스다. 지난 4월 국방부 지침으로 RMF 시행이 확정됐다. 하지만 RMF가 실제로 기능하려면 시간이 더 필요하다."
"안티탬퍼는 무기 체계의 역공학(Reverse Engineering·제품을 역으로 설계하는 것)을 방지하는 조치다. 수출하는 무기의 중요 부품을 뜯어보지 못 하게 봉인하는 식이다. 우리 무기를 사들이는 국가에서 안티탬퍼를 싫어할 수 있다. 핵심 기술엔 안티탬퍼를 적용하되 주변 기술은 이전해 주는 융통성을 발휘하는 것도 한 방법이다."
저작권자 ⓒ 뉴스임팩트, 무단 전재 및 재배포 금지