[사이버국방리포트] 정보보호제품 평가인증 이용한 군 정보체계 개선

[보안뉴스=김승주 고려대 교수] “육지, 바다, 하늘, 우주에 이어서 사이버 공간을 제5의 전쟁터”라고 지칭한 미국의 키스 알렉산더(Keith Alexander) 국가안보국장이 최근에는 세계 최고 수준의 사이버 안보 컨퍼런스인 CyCon 2013과 세계 최고 수준의 해킹 컨퍼런스 Blackhat 2013에 키노트 강연자로 참가해 미래 사이버전에 대한 중요성 및 民·軍 보안 기술 공유를 강조했다.

역사적으로 군은 보안 기술 개발 영역에 있어서는 독자적인 지위를 가지고 있었다. 미군도 마찬가지였다. 하지만 1970년대 들어 공개키 암호체계 등 민간분야 보안 기술력이 군과 정부를 능가하기 시작했으며, 군 독자적으로 보안기술을 개발하기에는 기술과 경쟁력의 한계가 있을 수밖에 없었다.

그래서 미군은 1980년대 이르러 민간 보안기술의 군 이전과 활용을 위해서 TCSEC(Trusted Computer System Evaluation Criteria)을 도입하여 활용하기 시작한다. 이른바 오렌지 북이라 불리는 TCSEC은 미군이 도입되는 보안제품을 위해 가져야 할 기능과 이를 보장하는 방안을 정리해 놓은 평가 기준서이다. 이를 통해서 민간 보안업체는 관련 기준을 중심으로 제품을 제작하고, 미군은 기준에 맞는 민간 제품을 도입하게 이르러 TCSEC을 통해 民·軍의 보안기술이 공유되는 선순환(善循環) 구조를 구축했다.

이를 기점으로 데이터베이스, 네트워크 등 다양한 영역에 대한 평가 기준을 제작했으며, 미국뿐만 아니라 세계적으로 사용 가능한 국제 정보보호 제품 평가제도, 즉 CC(Common Criteria)의 모태가 되었다. 이뿐만 아니라, 미군의 보안 제품평가 제도는 정보보호 제품의 핵심인 암호 알고리즘(CAVP), 모듈(CMVP)에 있어서도 관련 기준을 발전, 세분화함으로써 민간 보안 분야 발전을 도모할 수 있는 발판이 마련되기도 했다.

그럼 최근 3·20 사이버 대란, 6·25 사이버공격을 겪어 사이버전쟁의 최전선이 되고 있는 우리나라의 현실은 어떠한가? 지난 2009년 7·7 DDoS 대란을 겪은 이후, 뒤늦게 2011년 사이버사령부를 설치하고 조직과 인력을 지속해서 확충하고 있지만, 정보보호 기술 및 제품 도입에 관한 뚜렷한 기준이 미비한 실정이다.

2009년 ‘전자정부법’에 따라 암호화 제품 및 보안을 목적으로 하는 정보보호 제품들에 대해서는 반드시 국가정보원의 보안적합성 평가를 받거나 CC 인증을 받도록 하고 있다. 그러나  보안이 주목적이 아닌 제품에 대해서는 제안요청서(RFP)에 간단한 보안 요구사항만을 기술하고, 제품 설치 후에 기무부대에서 각 기능에 대한 보안성 검토를 할 뿐이다. 제품의 알려진 취약성부터 설계과정까지 역으로 분석하는 CC인증 같은 평가제도에 비한다면, 보안성 검토만으로는 역부족인 듯하다. 그 대표적인 예로 군 장병들이 사이버지식정보방에서 이용할 수 있는 ‘솔X톡 메신저’가 보안에 취약해 서비스가 중단되기도 했다.

우리 군은 ‘국방 정보화 업무 훈령’을 기준으로 체계화된 프로세스에 따라 정보체계를 도입한다. 이때 보안성에 관해서는 ‘국방 보안 업무 훈령’을 따르도록 하고 있다. 하지만 ‘국방 보안 업무 훈령’은 일반적인 보안관리만을 감안하고 각기 성격이 다양한 도입 정보체계의 모든 보안성을 보장하지 못한다. 그러므로 군에서 먼저 이러한 문제를 자각하고 제대로 된 정보체계 평가 및 인증 방식을 도입·적용해야 한다. 따라서 군에 도입되는 모든 제품은 군 보안 기준에 따른 평가 인증 제품을 받은 제품만 도입하고, 도입 후에는 보안성 검토를 하는 이원적인 평가 방식으로 바뀌어야 한다.

최근에는 우리 군도 도입되는 정보보호 제품에 대하여 CC인증체계 적용과 ‘국방 정보화 업무 훈령’을 적용하면서 민간의 보안 기술과 제품에 대한 평가와 인증에 대해서 뒤늦게 나서고 있다. 그러나 아직도 정보체계 도입의 제도적 결함과 보안성 검토에 대한 허점이 존재하여, 군에서 가장 중요시되어야 하는 보안에 관한 문제가 끊임없이 발생하고 있다.

이제라도 우리 군은 전투력을 보장하고 정보체계의 보안성을 강화하기 위해서 어떤 보안기능이 있어야 하고, 어느 정도 보증이 되어야 하는지 자체 평가기준을 마련하고, 民·軍 보안 기술 공유를 통해 한 치의 빈틈없는 보안을 유지해야 한다. 이제 더 이상의 사후약방문(死後藥方文)식의 보안은 무의미하기 때문이다.

[글_김 승 주 고려대학교 사이버국방학과 교수]

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [한 주를 관통하는 보안 소식] 2024년 ...

• 4

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...