• 사무국
• 12월 19, 2025
• 댓글 없음

[뉴스투데이=김한경 안보전문기자] 현대의 첨단 무기체계는 소프트웨어(SW)의 비중 및 복잡성이 급격히 증가하고 있으며, 타 체계와 네트워크로 연동되고 디지털화된 정보유통체계와 결합해 임무 수행능력을 확장하고 있다. 이렇게 SW에 대한 의존도가 높아진 최신 무기체계는 그만큼 사이버 공격에 취약해질 수 있고, 한번 공격으로 네트워크에 연결된 모든 체계에 악영향을 끼칠 위험성이 있어 보안 강화를 위한 정책 및 제도적 노력이 각국에서 이뤄지고 있다.

최근 주목받는 대표적인 제도가 미국에서 개발된 ‘국방부 위험관리 프레임워크’ 즉 DoD RMF(Department of Defence Risk Management Framework)이다. RMF는 무기체계 개발 및 운용 전 단계에 보안 개념을 적용해야 하며, 이를 통해 시스템 복잡성을 줄이고 보안성을 강화하는 것을 목표로 한다. 즉 정부는 방산업체가 ‘보안 내재화’(Security by Design) 기반으로 무기체계를 개발했는지를 평가·인증하게 된다. 

이러한 보안 내재화 평가·인증 제도는 이전부터 국제표준인 CC(Common Criteria, 공통평가기준)가 존재했다. 하지만 RMF는 CC보다 지속적인 사후 모니터링과 위험관리를 더 강화했으며, 방산업체가 무기체계를 개발할 때 필수적으로 적용해야 한다. 김승주 고려대 정보보호대학원 교수는 “미국의 경우 기밀정보를 다루는 연방 정부 기관 또는 군의 정보시스템, 국방부 계약업체의 정보시스템 등은 RMF 제도를 지켜야 한다”고 설명했다.  

우리나라도 지난해 4월 12일 ‘국방 사이버보안 위험관리 지시’가 발령돼 미국의 RMF 제도를 벤치마킹한 K-RMF 도입을 공식화했다. K-RMF는 국방부에서 주도하는 사이버보안 위험관리 프레임워크로 사이버 위험을 식별, 평가, 관리하고 완화하기 위한 6단계의 관리 프로세스를 정의하고 있다. 무기체계 개발 단계부터 보안요구사항을 체계적으로 반영할 수 있는 기반을 마련하는 것이 목표다. 

국방부 지시의 내용을 보면 K-RMF의 세부사항 추진 업무는 대부분 국군방첩사령부(이하 방첩사)에서 주도하게 된다. 그런데 12·3 비상계엄의 여파로 방첩사의 기능 분리 작업이 현재 국방부 차원에서 이뤄지고 있다. 지금까지 알려진 바로는 보안과 방첩 기능을 분리해 보안 기능은 정보본부 산하로 들어갈 것이 예상된다. 이 과정에서 K-RMF를 주도해온 방첩사 보안 전문요원들의 거취가 어떻게 될지 알 수 없는 상황이다.

현재로선 이들이 K-RMF를 가장 많이 연구해온 군내 최고의 전문가들이다. 이들이 새롭게 만들어질 정보본부 산하의 보안 부서에 정착하면 그나마 다행이다. 하지만 그렇지 못해 이들이 뿔뿔이 흩어지고 새로 만든 보안 부서에는 전문성이 부족한 다른 인원으로 숫자만 채운다면 향후 우리 군의 정보시스템 운용과 방산업체의 무기체계 개발 과정에 상당한 보안 공백이 발생할 수밖에 없다.   

이와 관련, 국방부는 17일 정례 브리핑에서 “12·3 비상계엄과 관련된 방첩사 소속 중령 및 4급 이상 관련자 29명이 각 군으로 원대 복귀하거나 소속 전환됐다”고 밝혔다. 방첩사는 현재 모든 부대원을 대상으로 근무적합성 평가를 진행하고 있는데, 1차 평가 대상 400여명 중 181명이 계엄과 관련된 것으로 파악됐다. 국방부에 따르면, 181명은 전원 원대 복귀 또는 보직 조정될 예정이며, 이 과정에 계엄과 무관한 부대원들의 원대 복귀도 함께 이뤄지고 있다. 

한편, 미국은 지난 9월 RMF를 CSRMC(Cybersecurity Risk Management Construct)로 재편했다. 미국의 RMF 제도를 전문적으로 연구해온 김성기 선문대 교수는 “CSRMC는 RMF보다 단계를 단순화하고 문서도 대폭 줄여 자동화했으며, 승인 개념에서 위험을 상시 재평가해 조정하게 했고, 시스템 중심의 중복·고비용·비효율을 플랫폼과 미션 중심으로 개선했으며, 필요한 보안통제항목만 적용하는 등 보안 효율성을 높이는 방향으로 제도를 발전시키고 있다”고 설명했다. 

미국이 이처럼 기존의 RMF 제도를 새로운 방향으로 보완 발전시켜 나가는 상황에서 우리가 열심히 따라가며 제도적 발전을 모색하더라도 K-RMF 제도를 제대로 정착시키기는 쉽지 않다. 그런데 뒤늦게 시작해 아직 초기 단계에 머물러 있는 상태에서 그동안 실무 차원에서 열심히 추진해오던 방첩사의 보안 전문인력들이 흩어질 위기에 놓여 있어 제도의 근간이 흔들릴까 우려된다. 

K-RMF는 일부 보안 전문가 외에는 대부분 내용을 알지 못하며 크게 관심받는 분야도 아니어서 현재 정부 차원에서 누구도 주목하지 않고 있다. 하지만 이 분야가 방치돼 뒤처지게 되면 향후 국가안보에 막대한 지장을 초래할 수 있다. 지금이라도 대통령실(국가안보실)과 국방부가 관심을 기울여 방첩사 기능조정 과정에 보안 전문인력이 분산되지 않고 필요한 자리에서 제 역할을 함으로써 K-RMF가 흔들림 없이 발전해 나가길 기대한다.

[관련기사 : 뉴스투데이 https://m.news2day.co.kr/article/20251219500007]