한국기업보안협의회, 제78차 Security Round Table 개최... CMMC, 국가핵심기술 보호 이슈 논의

명지대 보안경영공학과 류연승 교수 ‘최근 방산보안 이슈와 대응방안-CMMC를 중심으로’ 발표
한국기업보안협의회 김민수 부회장 ‘국가핵심기술 및 내부정보보호’ 주제로 발표

[보안뉴스 김영명 기자] 산업보안 분야 전문가들로 구성된 한국기업보안협의회(회장 신현구, 이하 KCSC)는 제78차 ‘Security Round Table’을 8월 21일 18시에 광화문 센터포인트빌딩에서 개최됐다. 이날은 명지대 대학원 보안경영공학과 류연승 교수가 ‘최근 방산보안 이슈와 대응방안-CMMC를 중심으로’를, 한국기업보안협의회 김민수 부회장이 ‘국가핵심기술 및 내부정보보호’를 주제로 각각 발표했다.

▲한국기업보안협의회 제78차 Security Round Table이 광화문 센터포인트빌딩에서 개최됐다[사진=보안뉴스]

먼저 KCSC 신현구 회장(중부대 교수)은 인사말에서 “오늘은 명지대 류연승 교수님이 방산보안 이슈 가운데 가장 화두가 되고 있는 CMMC를 중심으로 설명해 주시고, KCSC 김민수 부회장께서 국가핵심기술을 비롯한 기업 핵심기밀 보호를 위해 필요한 내부 정보보호 대책을 발표해 주실 예정이라 기대가 크다”고 말했다.

먼저 명지대 류연승 교수는 “CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부가 민감한 정보를 사이버 위협으로부터 보호하기 위해 국방부 계약업체 및 모든 협력업체)에게 요구하는 사이버 보안 성숙도 모델 인증”이라며, “CMMC 인증에서 보호하는 민감한 정보 유형은 연방계약정보(Federal Contract Information, FCI)와 통제필요정보(Controlled Unclassfied Information, CUI)로 나뉜다”고 말했다.

CMMC 인증 요구사항은 NIST(미국 국립표준기술연구소) SP 800-171에서 규정한 14개 영역의 110개 이행과제를 달성하는 것으로 이는 접근통제, 인식 및 교육훈련 등이 중심이 된다. 류연승 교수에 따르면 최근에는 인증 제도 운영을 외국인도 할 수 있도록 개편한다는 이야기가 나오고 있는 가운데 CMMC 인증기관인 CyberAB가 공개한 국가별 컨설턴트(Practitioners, RP/RPA) 수가 우리나라 35명으로 가장 많았다며, 관련 시장에서 두각을 나타낼 수 있을 것이라는 기대감을 나타냈다.

이와 함께 해당 인증의 해외 상호인정협정 추진동향으로 캐나다는 지난해 5월에 미국의 CMMC 제도를 그대로 도입했으며, 일본도 지난해부터 국방 계약업체에 CMMC와 유사한 사이버보안 지침을 의무화한 것으로 알려졌다.

류연승 교수는 “2년 전에 방산업체 및 협력업체의 방산기술 보호를 통한 국익 제고를 비전으로 선진국 수준의 방산기술보호 성숙도 인증제도(K-CMMC) 구축을 목표로 하는 로드맵을 명지대에서 용역연구 보고서로 발표했는데, 주요 내용은 미국 CMMC와 상호인정 협정을 체결하는 것”이라며 “방위사업청은 현재 CMMC와 상호인정 협정 체결과 관련한 협의를 진행할 계획”이라며 발표를 마쳤다.

▲명지대 류연승 교수, 한국기업보안협의회 신현구 회장, 김민수 부회장(좌측부터)[사진=보안뉴스]

이어 KCSC 김민수 부회장은 ‘국가핵심기술 및 내부정보보호’를 주제로 발표했다. 국가핵심기술은 현재 13개 분야 76개 기술이 지정돼 있으며, 이를 수출할 때 국가의 검토를 받아야 한다. 하지만 산업기술보호법령은 ‘수출’에 관해 별도의 정의가 없어 작은 데이터 전송도 ‘수출’로 판단할 수 있는 등 수출의 범위가 매우 넓다고 김 부회장은 설명했다.

김민수 부회장은 “국가핵심기술 보유기업들은 유출 방지 보호조치 의무, 수출(매각·이전) 승인 및 신고 의무, 보유기업 해외인수·합병 승인·신고 의무, 국가연구개발사업 성과물 유출방지 대책 수립·시행 의무, 산업기술의 침해 및 유출금지 의무, 국가핵심기술 및 산업기술 보유기관의 침해신고 의무 등이 있다”며 국가핵심기술을 보유한 기업들의 주요 의무사항들에 대해 설명했다.

이어 김 부회장은 “국가핵심기술을 비롯한 기업의 핵심정보 유출방지를 위해서는 ‘정보(데이터) 유형별 유출방지 모니터링 강화’, ‘정보유출 리질리언스 체계 구축’, ‘디지털 시대 보안문화 재정립’이 필요하다”며 “기존과 차별화된 새로운 시각으로 접근해 정보유출 ‘그레이 존(Gray Zone)’을 최소화해야 한다”고 당부했다.

신현구 회장은 “국가핵심기술은 기업에서 신청해 선정되거나 국가에서 직접 지정할 수 있다”며 “국가핵심기술로 지정되면 지원은 부족한 대신 앞서 언급한 대로 의무와 제한이 많기 때문에 국가핵심기술이 더욱 안전하게 보호될 수 있도록 정부에서 적극적으로 지원해주는 것이 필요하다”고 강조했다.

한편, KCSC는 2005년 11월 9일 창립된 산업보안 분야 전문가 집단으로 국내 대기업 및 중소기업 보안책임자 및 담당자, 그리고 외국계 글로벌 기업 CSO를 비롯해 보안 관련 학과 교수, 관련 협회 담당자 등 80여명이 회원으로 참여하고 있다.
[김영명 기자(boan@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)