[국방보안 칼럼] SDW 시대, RMF 아닌 SWFT 검증 체계 도입 시급하다

소프트웨어패스트트랙(SWFT)과 소프트웨어정의무기(SDW), 국방 검증 패러다임의 전환

[보안뉴스= 김은영 LIG넥스원 기술위원] 최근 발생한 일련의 대규모 해킹 사건들은 대부분 이미 알려진 취약점에 대해 보안 패치를 하지 않은 데에서 비롯됐다. 이는 민간의 통신·금융·제조 분야를 마비시켰고, 짧은 시간에도 사회 전반에 큰 혼란을 불러왔다.

[자료: gettyimagesbank]

변화하는 전장 환경과 SDW의 부상
국방도 예외는 아니다. 앞으로 무기체계에서 소프트웨어 정의 무기(Software-Defined Weapon, SDW)의 비중이 높아질수록 이러한 취약점 방치가 국가 안보의 직접적 위협으로 이어질 수 있다. 만약 국방이 별도의 검증 제도를 마련하지 못한다면 민간에서 벌어진 해킹 사고가 국방 영역에서도 반복될 가능성이 크다. 따라서 SDW 시대를 대비해 소프트웨어를 신속하면서도 체계적으로 검증할 수 있는 새로운 제도의 사전 준비가 필요하다.

현대 전쟁은 이미 소프트웨어에 의해 규정되고 있다. 우크라이나-러시아 전쟁에서 드러난 드론 통제망 해킹, 위성 교란, 암호체계 공격은 물리적 충돌 이전에 사이버 영역에서 전장의 향배가 결정될 수 있음을 보여준다.

과거에는 하드웨어 성능이 전투력의 핵심이었다면, 이제는 소프트웨어가 무기의 임무 수행 능력을 정의하는 시대, 즉 Software-Defined Weapon(SDW) 시대로 진입했다. SDW는 무기체계의 핵심 기능이 코드로 정의되며, 알고리즘 업데이트와 소프트웨어 패치를 통해 전술적 우위가 바뀔 수 있음을 의미한다. 드론의 자율비행 알고리즘, 전술 데이터링크의 암호화 모듈, 레이더의 신호처리 방식은 물리적 개조 없이 소프트웨어 교체만으로 달라질 수 있다. 이는 OTA(Over-the-Air) 패치와 Agile 기반 배포가 무기체계 운영의 전제가 되었음을 보여준다.

하지만 문제는 기존 RMF(Risk Management Framework)에 있다. RMF는 문서 기반 절차와 수개월 단위 인증을 중심으로 운영되며, 빈번한 업데이트·모듈 교체가 요구되는 SDW 환경과 맞지 않는다. 인증 절차가 완료되기도 전에 코드가 바뀌는 상황에서 RMF는 속도와 기동성을 보장할 수 없다. 이 간극이 바로 새로운 검증 체계가 요구되는 이유다.

SWFT의 공식 등장과 의의
2025년 5월, 미국 국방부 CIO Katie Arrington은 ‘Accelerating Secure Software’ 메모를 통해 SWFT(Software Fast Track) 제도를 공식 발표했다. Arrington은 당시 발표에서 “the RMF is outdated and inefficient; SWFT is designed as a modernized software assurance framework that can continuously validate and secure code at the speed of relevance(RMF는 구식이고 비효율적이며, SWFT는 관련성 있는 속도로 코드를 지속적으로 검증하고 보호할 수 있는 현대화된 소프트웨어 검증 체계로 설계됐다)”라고 언급하며, SWFT의 본질이 속도와 관련성 있는 소프트웨어 검증 체계임을 강조했다. 핵심 사항은 다음과 같다.

- 지속적 인증(Continuous ATO): 일회성 인증이 아닌 전 생애주기 상시 검증
- 자동화·AI 기반 검증: 정적 점검을 넘어 동적·지능형 탐지로 전환
- SBOM(Software Bill of Materials): 공급망 구성 요소 추적 및 취약점 전파 방지
- 산업계 협력: SWFT 관련 RFI(Request for Information) 공개, 민간 검증 도구와 방법론 반영

즉, SWFT는 단순한 절차 축소가 아니라 SDW 시대의 구조적 요구를 제도적으로 수용한 체계다.

SDW와 SWFT 필요성
SWFT는 SDW의 필연적 산물이다. DoD는 2025년 3월 “software-defined warfare is not a future construct, but the reality we find ourselves operating in today”라고 선언하며, 소프트웨어 정의 전쟁이 이미 현재의 현실임을 강조했다. 또한 Software Modernization Implementation Plan FY25-26에서는 ‘increasingly software-defined battlespace’라는 표현을 통해, 전장이 소프트웨어 중심 구조로 빠르게 재편될 것임을 명시했다.

SDW 환경에서는 빈번한 업데이트, 오픈소스 의존, 서드파티 모듈 교체가 불가피하다. 기존 RMF는 이를 관리하기 어렵기에 SWFT가 요구된다. SWFT는 지속적 검증, 자동화, 적응형 검증을 기반으로 SDW의 속도와 복잡성을 수용한다.

특히 SWFT는 MOSA(Modular Open Systems Approach)와 SOSA(Sensor Open Systems Architecture) 같은 개방형 아키텍처와 긴밀히 연결된다. 모듈 단위 교체와 확장이 빈번한 환경에서는 SBOM과 자동 검증이 필수적이며, 그렇지 않다면 공급망 리스크는 전체 체계로 확산된다. 실제로 미국 DoD는 SWFT와 병행해 SBOM 제출을 의무화하며, Log4j 사태와 같은 공급망 취약점이 국방 체계에서 반복되지 않도록 하고 있다.

한국 국방의 시사점과 결론
한국 국방은 여전히 RMF 기반 절차와 문서 중심 검증에 머물러 있다. 하지만 SDW가 빠르게 확산되는 상황에서 이러한 접근은 치명적 리스크로 이어질 수 있다. 무기체계가 소프트웨어 정의 전장으로 이동하는데 검증 체계가 과거 하드웨어 중심 시대에 머물러 있다면, 속도와 보안성을 동시에 잃게 된다. 이를 극복하기 위해 한국 국방은 다음과 같은 전략을 추진 검토할 필요가 있다.

- 방위사업청: 애자일(Agile)·DevSecOps 기반 인증으로 전환하고, CI/CD와 연계된 검증 파이프라인 제도화
- 국가AI전략위원회: 국방 AI 활용 전략에 SWFT를 포함하고, AI 기반 자동 검증 및 SBOM 관리 체계를 국가 전략으로 반영
- 산업계: 방산기업은 SBOM 제출과 검증 자동화 도구 도입을 의무화하고, 국제 표준과의 정합성 확보

또한 한국은 단순한 제도 수입을 넘어 한국형 SWFT 모델을 구축해야 한다. 한국의 산업 구조, 국방 개발 생태계, 정부-민간 협력 방식에 맞춘 맞춤형 운영 모델이 필요하다. 특히 중소 방산기업이 글로벌 SBOM 규제와 자동화된 검증 체계에 적응할 수 있도록 정부 차원의 지원이 병행되어야 한다. 교육·훈련 체계 역시 ‘검증 문화’를 국방 조직과 기업 문화에 뿌리내릴 수 있도록 강화할 필요가 있다.

▲김은영 LIG넥스원 기술위원 [자료: 김은영 기술위원]

궁극적으로 SWFT는 단순 제도가 아니라 국방 검증 문화의 패러다임 전환이다. SDW 시대에 RMF만으로는 대응이 불가능하다. 한국이 SWFT를 조기에 도입하고 제도화한다면, 미래 전장에서 속도와 보안성이라는 두 가지 핵심 가치를 동시에 확보할 수 있다. 이는 한국 국방의 지속 가능한 전력 건설과 글로벌 방산 경쟁력 확보를 위한 전략적 선택이자, 미래 안보 환경에서 생존을 보장하는 필수적 전환이다. 따라서 우리는 앞으로 SWFT 도입을 위한 차별화된 전략을 어떻게 설정하고 실행할 수 있을지 검토해 나가야 한다.

[글_ 김은영 LIG넥스원 기술위원]

필자 소개_
- 2024.10.14. ~ 현재 : LIGNex1 기술위원
- 2001.3.12. ~ 2024.10.13 : 국가보안기술연구소 책임연구원·실장
- 2015.8. 고려대학교 정보보호대학원 공학박사
- 한국정보보호학회·정보처리학회 이사
- 사이버안보학회 위협대응연구회 연구위원
- 국기원·IITP·KIST 사이버전 대응 및 미래 국방 전문가 그룹 활동

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)