한국이 글로벌 방산수출의 새로운 강자로 부상하면서 세계의 주목을 받고 있다. 하지만 갈수록 소프트웨어 비중이 높아지는 무기체계 연구개발에서 망분리 위주의 방산보안이 업무 효율성을 저해하고 있는 데다, RMF·CMMC 등 방산수출에 요구되는 새로운 보안 이슈가 현실로 다가오고 있다. 뉴스투데이는 이와 같은 방산보안의 문제와 이슈를 인식하고 전문가 인터뷰를 통해 해법을 알아보는 [방산보안Q] 시리즈를 시작한다. <편집자 주> 

 

 

 

[뉴스투데이=김한경 안보전문기자] 박현규 국방전산정보원장은 지난 24일 기자와 만나 인터뷰를 시작하면서 방산보안을 포함한 국방보안 전 분야에서 가장 큰 문제로 “제도와 체계는 함께 가야 실질적인 개선이 이뤄지는데 지금까지 업무부서가 분리돼 별도로 추진됐기 때문에 당면한 보안 문제의 해결이 어려운 상황이다”라고 밝혔다.

 

박 원장은 군에서 사용하는 정보체계, 워게임 모델 분야에서 직접 프로그램을 개발했던 경험과 각급 제대의 정보체계 책임자로 근무하면서 국방정보통신 및 보안 분야 사업 전반에 정통할 뿐만 아니라 C4I, 항공 및 군사위성 영상정보체계 구축과 운영 등의 경력을 거치면서 방위산업 분야에도 상당한 전문성을 보유하고 있다. 

 

육군 정보통신 병과에서 다양한 경험을 쌓아온 그는 대령으로 전역한 이후 네트워크 보안업체에서 경영과 연구개발을 경험해 보안업계의 최근 동향에도 밝으며, 군 출신이지만 국방 정책부서는 물론 관련 정부 부처·기관 그리고 한국과학기술기획평가원(KISTEP) 국방·방산 분야 평가전문위원과 명지대 교수 등을 거치면서 방산업계와 정보통신·보안업계를 모두 경험한 거의 유일한 인물이다.     

 

이와 같은 경험을 바탕으로 2020년 국방전산정보원장에 보직된 그는 4년간 근무하면서 인사, 재정, 획득 등 다수의 전군 지원정보체계 구축과 지능형 빅데이터 분석 기반을 조성하는 국방정보화 사업을 수행하고 선진 국방정보화 거버넌스를 정착시키는 성과를 거두는 등 미래지향적인 국방정보화 및 데이터관리 전문기관으로 국방전산정보원의 위상을 강화했다는 평가를 받고 있다.

 

박 원장은 국방·방산 분야에 제로트러스트 개념 적용과 관련해 “방위산업에 제로 트러스트 개념을 도입하려면 국방부의 관련 거버넌스부터 새롭게 바뀌어야 가능하다”면서 “제도와 체계를 만드는 사람이 직접 책임도 감당하는 구조가 만들어져야 실질적인 제도개선 효과를 볼 수 있다”고 강조했다. 다음은 그와의 일문일답. 

 

Q. 방산보안을 강화하기 위해 국방보안 차원에서 가장 먼저 해결할 과제로 국방부의 거버넌스를 새롭게 바꿔야 한다고 주장했는데? 

 

A. 정책과 제도를 책임지는 국방부와 이를 수행하는 전문기관·부대의 역할을 명확히 하는 것이 보안 거버넌스의 핵심이 돼야 한다. 현재는 국방부에 방위정책관 예하의 사이버전자기정책과, 사이버보안체계를 담당하는 지능정보화정책관실이 있으나 최상위 부서의 기능이 분리돼 운영되고 있으며 과거 군사보안을 책임지던 정보본부와 방첩사령부의 역할이 시대의 변화를 반영하지 못하고 있다. 

 

더구나 방산규모가 커지면서 방위사업청(이하 방사청)에서 방산기술 보호를 담당하는 모습은 공통서비스에 해당하는 보안의 파편화를 가져오게 된다. 첨단 국방기술은 이제 국내용 군사기술이 아니라 전 세계로 수출되는 무기체계에 포함돼 군사외교에서도 중요한 주제이므로 방산기업을 포함한 국가 차원의 국방보안 거버넌스로 변화해야 한다. 

 

특히 사이버보안이 강화되고 있어 국방연구개발과 군사력 운영의 전 주기에서 기존의 정보본부와 방첩사령부 중심으로 수행하기보다 국방부에서 정책 수립과 제도개선, 예산 편성 등을 책임지고 방위력개선 분야의 세부 보안 관련 업무를 방사청, 정보본부, 방첩사령부 등이 수행하는 국방보안 거버넌스로 재정립할 필요가 있다.

 

Q. 국방부 거버넌스가 바뀌면 방위사업청(국방기술보호국)과 관계 설정은 어떻게 돼야 하나?    

   

A. 국방부가 정책과 제도를 책임지고 정보본부, 방첩사령부 등에서 보안 관련 기능을 수행한다면 방사청 또한 정책 기능을 국방부에서 수행토록 이관하고 방위력개선 분야에서 연구개발과 전력화, 운영유지 등 방위사업에서 필요한 보안업무를 목록화해 수행할 수 있도록 책임 부서를 재편성해야 한다. 

 

국방보안 거버넌스는 국방부의 책임 부서가 일관성을 갖추고 수행토록 정보본부도 정책 관련 기능을 국방부로 이관하고 집행기능 중심으로 재편하는 것과 마찬가지로 방사청에서도 방첩사령부의 지원을 받아 자체 보안업무와 방산업체에 대한 지도 방문 등을 수행하는 부서를 만들고 국방부로 기능부서의 이관, 업무 감독을 통해 수행하는 체계를 갖추어야 한다. 

 

Q. 제도와 체계가 함께 가야 실질적 개선이 이뤄진다고 강조했는데, 현재와 비교해서 무엇이 어떻게 달라져야 가능한가? 

 

A. 국방부에서 정책을 수립하고 법과 제도를 마련하면, 이를 방사청, 정보본부 등이 수행할 수 있는 체계를 갖추어야 한다. 일례로 국방전산정보원에서는 지난해 방위력개선사업 관련 정보를 통합 관리하는 국방획득정보체계(DAIS)를 개발, 전력화했다. DAIS는 국방부와 합참, 각 군과 방사청 등에서 보안규정에 맞추어 기술자료를 포함한 획득정보를 편리하게 작성하고 공유하도록 구축됐다. 

 

국방획득체계의 수많은 비밀정보를 관리하는 체계 없이 보안을 강조하면 개인별로 비문을 과다 생산, 보관하는 관행이 계속될 수 있다. 획득 관련 업무는 정보시스템에서 데이터를 생성, 관리하도록 해야 하며 DAIS가 이러한 제한사항을 해결하는 체계가 된 것처럼 방산업체는 망분리 개선 방안으로 인터넷 기반에서도 사용할 수 있는 시스템을 구축하고 필요한 기업에 제공해야 한다.

 

Q. 제도와 체계가 함께 가는 모습을 구현하려면 궁극적으로 누가 책임지고 추진해야 하나? 

 

A. 예를 들어 최근 화두가 되는 제로트러스트 보안을 국방에 적용해 망분리 정책을 변경하려면 기존에 구축한 수많은 네트워크 장비를 제로트러스트를 지원하는 장비로 교체해야 하며, 교체사업은 네트워크 구축과 운영, 사이버보안이라는 두 가지 관점에서 책임기관을 정하는 정책적 판단이 필요하다. 

 

보안의 최상위 정책은 당연히 국방부에서 수행하되, 정보본부와 방첩사령부는 관리·평가하는 책임을 갖고 방사청과 방산업체 보안을 지도 감독해야 한다. 현재 방위산업기술보호법은 방위사업추진위원회와 유사하게 방산기술보호위원회를 구성하고 있는데 국방부 장관 소속의 위원회이므로 국방부 본부에서 책임 행정이 이루어지도록 해야 한다. 이를 위해서는 국방부에 최소 국장급 부서의 편성이 필요하고, 방사청은 방위력개선사업 전반에 대한 지원 소요를 식별해 적용해야 한다. 

 

Q. 국방보안 거버넌스가 실질적으로 개선될 경우 방산업체들은 어떤 준비를 해야 하는가? 

 

A. 국방보안 거버넌스 개선에 따라 방산업체도 문제점 개선을 요구하고 구체적 대안을 마련하기 위한 전문기관이 필요하다. 방위산업진흥회나 전문가포럼 등에서 전문기관의 설립 방안 등 대안을 마련해 모든 방산업체를 직접 지원할 수 있는 법인을 검토할 필요가 있다.

 

이 법인은 보안정책을 수행할 수 있는 체계를 구축하고 공통의 관심사를 해결할 수 있도록 관련 예산을 확보해 중장기 전략 수립과 보안에 취약한 중소기업을 지원하는 준공공기관의 성격을 갖춘 역할을 해야 한다. 그래야 보안 컨설팅과 방산 클라우드 등 현안에 대한 개별 기업의 부담을 해소할 수 있다.

 

Q. 국방부의 획득정보 중 방산업체와 공유할 데이터가 식별되면 효율적인 활용을 위해 방산 클라우드 추진이 필요할 텐데 어떤 방법이 좋은지? 

 

A. 방산업계는 세계적 기술 수준과 규모를 갖춘 기업과 부품과 소재를 담당하는 중소기업이 혼합된 생태계여서 데이터를 생산과 활용, 관리로 나누어 클라우드 설계부터 특성에 맞게 반영하고 운영할 수 있는 조직과 인력을 배치해야 한다.

 

이를 위해 첫째, 기업은 방산 클라우드에 저장, 관리할 데이터를 선별하고 국방부는 이를 검증해야 한다. 업체별 고유한 핵심기술 데이터는 자체 관리하지만, 협력업체와 공유가 필요한 플랫폼 정보, 공통 SW 코드와 기술문서 등은 데이터에 대한 보호 등급이 설정돼야 클라우드 저장이 가능하다.

 

둘째, 클라우드를 인터넷 기반으로 운영할 수 있도록 보안요구사항을 충족하는 민간 클라우드서비스 업체를 선정하거나 방산업체가 중심이 되어 별도 클라우드 시스템을 구축해야 한다. 두 가지 모두 접근 권한 관리와 데이터 보호를 위해 전문 운영기관이 필요하며 방산업체가 공동출자로 설립하는 방안을 고려할 수 있다. 

 

그리고 방산 클라우드 구축과 활용 규정을 올해 발간된 ‘국방 클라우드 보안가이드’에 명시적으로 반영해 보안감사 등에서 규정준수 여부에 대한 혼란을 최소화해야 한다. 

 

Q. 국방보안의 틀이 달라지면 무기체계 연구개발에서 보안 부분이 어떻게 바뀌어야 하나?

 

A. 보안의 개념이 과거에는 방어 위주로 이루어졌으나 최근에는 억제와 회복 탄력성에 초점이 맞춰지고 있다. 기존에는 무기체계 개발과 보안이 별도의 영역에서 이루어져 개발이 마무리된 후 보안에 문제가 생겨 전력화가 지연되거나 성능이 저하되는 경우가 종종 발생했다. 

 

따라서 침해사고는 완벽히 차단할 수 없다는 전제하에 연구개발 단계부터 개별 기능의 특성에 따라 보안이 같이 포함돼 구현해야 한다. 침해사고는 최대한 억제하지만 사고 발생 시 전체 시스템에 미치는 영향을 최소화하고 신속히 복구되는 회복 탄력성을 높일 수 있게 개별 기능에 보안을 내재하고 평가가 이뤄지도록 연구개발 단계에 반영해야 한다.

 

또한, 무기체계 연구개발의 효율성을 높이고 지속적인 성능개량과 방산수출 이후 후속 지원을 위해 현재 국가보안기술연구소에서 통합 수행하는 보안기술 연구의 일정 부분을 무기체계를 잘 이해하는 국방과학연구소의 보안 연구부서에서 수행·관리하는 방안도 필요하다.

 

---

◀  박현규 프로필 ▶ 국방전산정보원장, 前 한국과학기술기획평가원(KISTEP) 국방(방산) 분야 평가전문위원, 前 명지대학교 객원교수, 前 컨버즈네트웍스 부사장, KAIST 전산학 박사