[아이뉴스24 김국배기자] 해킹에 대비해 사이버 무기에 대한 신뢰성을 평가하는 기술과 체계를 갖추는 것이 시급하다는 지적이 나왔다.
네트워크 기능이 있는 군의 최첨단 무기 체계는 해킹의 통로로 악용될 수 있어 높은 수준의 검수 단계가 필요하다는 것이다.
김승주 고려대 정보보호대학원 교수는 지난 28일 용산 국방컨벤션에서 열린 '제2회 사이버전 콘퍼런스'에서 "미국은 이미 CC인증 6등급(EAL6) 이상의 안전도를 평가할 수 있는 기술 체계를 확보, 모든 무기에 대해 해킹 위협 여부를 평가하고 있는 반면 우리 군은 그렇지 못하다”고 지적했다.
사이버 무기는 네트워크와 연결된 모든 무기 체계를 의미한다. C4I 같은 전술지휘자동화체계부터 드론, 군 위성통신체계, 휴대용·차량용 FM/AM 무전기 등이 전부 포함된다.
이미 사이버 무기 평가체계를 확보한 미국은 이를 운용하기 위한 가이드북까지 내놓았다. 반면 국내 사이버 무기 평가 체계는 미국에 비해 한참 뒤떨어져 있다.
특히 군에 들어가는 제품은 민간이나 정부보다 더 높은 수준의 보안성을 필요로 하나 이를 검증할 기술 도구조차 부족한 상태라는 것이 그의 평가다. 군은 그 동안 국가정보원이 승인한 제품을 가져다 썼다.
김 교수는 "국정원이나 한국인터넷진흥원(KISA)이 승인하는 제품은 보통 민간에 공급되거나 정부 사이트에서 운용되는 제품이어서 레벨 4의 평가 등급을 받으면 충분했다"며 "군에 들어가는 제품은 그 이상을 받아야 하지만 이를 위한 기술이나 평가체계를 어떤 곳도 개발해오지 않았다"고 지적했다.
이런 상황에서 군이 모의해킹에 지나치게 의존하거나, 망분리 환경을 맹신해서는 곤란하다고 강조했다.
그는 "기본적으로 민간이든 정부든 군이든 잘못 생각하는 게 하나 있다"며 "안전한 제품을 만들거나 군에 들어오는 무기체계가 안전한 지 확인하려면 해커를 뽑아 모의해킹을 하면 된다고 여기는 것"이라고 말했다.
그러면서 "모의해킹을 통해 어떤 제품을 점검했는데 취약점이 나오지 않았다면 모의해킹팀이 취약점을 못 찾은 것 뿐, 그 이상도 그 이하도 아니다"라고 덧붙였다.
게다가 군 무기 제조 단계를 고려하면 망분리가 돼 있어도 얼마든지 해킹 위험이 도사리고 있다는 것이 그의 말이다. 이른바 '공급망 공격'이 일어날 수 있다는 뜻이다.
김 교수는 "군 무기는 한 회사에서 전부 개발하지 않는다"며 "부품을 만드는 모든 업체를 안전하게 관리하지 않는 이상 제조 단계에서 해킹 프로그램을 심을 수 있고, 업데이트 단계나 최악의 경우 운용 단계에서 침투당할 수 있다"고 말했다.
이어 "군에서 필요한 것들을 어떻게 확보할 것인지에 대한 로드맵이 빨리 나와야 할 것"이라며 유럽의 노력을 예로 들었다.
그는 "유럽에서는 '유로 2020'이라는 이름 아래 미래 먹거리로 중요한 아이템을 발굴해 막대한 예산을 투입하고 있다"며 "그 중 하나가 '서트 밀스(CERT MILS)'로 군에 들어가는 무기 체계나 중요한 시스템에 대해 어떻게 하면 높은 수준으로 개발하고 평가할 것인지 연구하는 과제"라고 설명했다.
김국배기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기