IT 기술이 발전함에 따라 군의 정보시스템은 효율적인 작전 수행 및 신속한 통신을 위해 현 IT 환경에 맞추어 발전하고 있으며, 이에 따라 네트워크 기술을 사용하는 첨단무기체계에 대한 사이버 공격 위협도 동시에 증가하고 있다. 이러한 문제를 예방 및 완화하기 위해 미국은 무기체계 개발 초기부터 전반에 걸쳐 사이버보안 시험평가체계를 적용하고 있다. 그러나 국내의 경우 사이버보안 시험평가 프로세스가 미약하여 사이버 공격에 따른 피해가 우려된다. 이에 본 논문에서는 미국과 국내 무기체계의 사이버보안 시험평가 현황을 분석하여 국내 무기체계 시험평가에 대한 문제점을 제기하고, 사이버보안 시험평가체계를 도입하는 방안을 제안한다.
IT 기술이 발전함에 따라 군의 정보시스템은 효율적인 작전 수행 및 신속한 통신을 위해 현 IT 환경에 맞추어 발전하고 있으며, 이에 따라 네트워크 기술을 사용하는 첨단무기체계에 대한 사이버 공격 위협도 동시에 증가하고 있다. 이러한 문제를 예방 및 완화하기 위해 미국은 무기체계 개발 초기부터 전반에 걸쳐 사이버보안 시험평가체계를 적용하고 있다. 그러나 국내의 경우 사이버보안 시험평가 프로세스가 미약하여 사이버 공격에 따른 피해가 우려된다. 이에 본 논문에서는 미국과 국내 무기체계의 사이버보안 시험평가 현황을 분석하여 국내 무기체계 시험평가에 대한 문제점을 제기하고, 사이버보안 시험평가체계를 도입하는 방안을 제안한다.
As the IT technology develops, the military information system develops to the current IT environment for efficient operation and rapid communication, and the threat of cyber attack against the advanced weapon system using network technology is increasing simultaneously. In order to prevent and miti...
As the IT technology develops, the military information system develops to the current IT environment for efficient operation and rapid communication, and the threat of cyber attack against the advanced weapon system using network technology is increasing simultaneously. In order to prevent and mitigate these problems, the United States has applied the cybersecurity test evaluation system from the beginning to the beginning of weapon system development. However, in Korea, the evaluation process of cyber security test is weak, and there is concern about the damage due to cyber attack. In this paper, we analyze cybersecurity test evaluation status of U.S. and domestic weapon systems and propose a solution to the problem of cybersecurity test evaluation system.
As the IT technology develops, the military information system develops to the current IT environment for efficient operation and rapid communication, and the threat of cyber attack against the advanced weapon system using network technology is increasing simultaneously. In order to prevent and mitigate these problems, the United States has applied the cybersecurity test evaluation system from the beginning to the beginning of weapon system development. However, in Korea, the evaluation process of cyber security test is weak, and there is concern about the damage due to cyber attack. In this paper, we analyze cybersecurity test evaluation status of U.S. and domestic weapon systems and propose a solution to the problem of cybersecurity test evaluation system.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 국방획득체계의 무기시험평가에서 수행되고 있는 사이버보안 시험평가에 대해 미국과 국내로 나누어 비교·분석하고, 사이버보안 시험평가에 대한 문제점을 분석한 후 국내 실정에 맞는 사이버보안 시험평가 방안을 제안하였다.
본 논문에서는 사이버보안 용어 사용 시, 한·미 용어가 혼용될 수 있으므로 미국에서 사용하는 용어로 통일하기로 한다.
이 장에서는 미국의 문서, 지침을 응용하여 국내에 적합한 무기체계의 사이버보안 시험평가 방안을 제안하고자 한다. 국내 무기체계 시험평가의 변형을 최소화하면서 사이버보안을 고려하기 위해 무기체계시험평가 단계와 제안한 사이버보안 시험평가 단계를 별개로 진행되도록 구성하였다.
원활한 운용시험 평가를 위해 대상 시스템의 취약점 분석·평가가 가능한 별도의 사이버보안 운용시험평가 팀을 구축해야 한다[24]. 이 팀은 개발시험평가 팀이 미처 확인하지 못한 잠재적인 위협을 이중으로 식별하기 위한 목적으로 구성된다.
이에 본 논문에서는 우리 군보다 수십 년 전부터 사이버 보안 시험평가를 적용하고 있는 미국과 우리 군의 현실을 비교하고[9] 현 우리 군의 무기 획득 체계의 문제점을 지적한다. 다음으로 군 무기체계의 사이버 보안을 강화하기 위한 시험평가체계 도입방안을 제안한다
제안 방법
구체적으로 실효성 있는 사이버 보안 개발시험평가를 위해, 무기체계 시험평가 계획 시, 사이버보안 개발시험평가 계획서를, 개발 시험평가 시 사이버보안 개발시험평가 결과 보고서에 작성하도록 한다. 또한, 이를 무기체계의 개발시험평가 계획서, 개발시험평가 결과 보고서에 반영하도록 한다.
이 장에서는 미국의 문서, 지침을 응용하여 국내에 적합한 무기체계의 사이버보안 시험평가 방안을 제안하고자 한다. 국내 무기체계 시험평가의 변형을 최소화하면서 사이버보안을 고려하기 위해 무기체계시험평가 단계와 제안한 사이버보안 시험평가 단계를 별개로 진행되도록 구성하였다. 이에 따라 ‘국방사이버안보훈령’ 내 ‘국방정보시스템 보호대책서’를 최대한 활용한 사이버보안 시험평가체계를 제안한다.
이에 본 논문에서는 우리 군보다 수십 년 전부터 사이버 보안 시험평가를 적용하고 있는 미국과 우리 군의 현실을 비교하고[9] 현 우리 군의 무기 획득 체계의 문제점을 지적한다. 다음으로 군 무기체계의 사이버 보안을 강화하기 위한 시험평가체계 도입방안을 제안한다
다음으로, 국내 사이버보안 시험평가 프로세스를 세부항목으로 나누었다. 탐색개발, 체계개발 단계의 ‘국방정보시스템 보호대책서 수립, 갱신’과 같이 간략하게 작성되어 있는 부분을 Fig.
현재 국내 무기체계 시험평가는 체계개발 단계까지 이루어지므로[13] 국방획득체계 전 범위로 작용하는 미국 사이버보안 시험평가체계 6단계를 맞추어 적용하기 어렵다. 따라서 제안한 사이버보안 시험평가체계는 Fig. 3.과 같이 4단계로 구분하였으며 기존의 국내 시험평가체계를 기준으로 작성하였다.
또한 개발·운용시험평가 단계에 취약점 분석·평가 및 취약점 침투 시험, 사이버보안 평가 항목을 추가함으로써 문제점을 해결하였다.
또한 사이버보안 운용시험평가 시, 실 환경과 유사한 운용환경을 구축하여 취약점 침투 시험을 수행하도록 하였다. 실제와 같은 환경에서 사이버보안 시험평가를 진행하므로 평가의 신뢰도가 높아질 수 있으며, 무기체계의 보안위협을 완화할 수 있을 것으로 기대된다
제안한 사이버보안 운용시험평가는 취약점 분석·평가 보고서, 사이버보안 개발시험평가 산출물 등을 참고하여 공격자 입장으로 취약점 침투 테스트(Penetration Test)를 수행하고 대상 시스템의 사이버보안 정도를 평가하는 단계이다[6]. 또한 유사시 사이버 공격으로부터 무기체계를 안전하게 보호할 수 있는 능력을 갖추기 위해 별도의 사이버보안 네트워크 방어 팀을 구성하여 보안위협 탐지 능력, 사이버 공격으로 인해 손실되거나 저하된 시스템을 복구하는 능력을 평가한다. 위의 운용시험평가 단계를 살펴보았을 때, 평가 범위와 평가 내용에 있어 미국과 유사한 부분이 많으므로 해당 단계에 미국 국방부의 지침을 참고하여 사이버보안 운용시험평가를 진행하는 것이 적합하다고 판단된다.
제안한 사이버보안 시험평가 프로세스는 무기체계개발단계와 발맞추어, 사이버보안 요구사항 파악을 통해 사이버보안 시험평가 수행을 위한 초기 접근, 계획 개발을 준비하고, 사이버 공격표면, 취약점 식별을 통해 대상 시스템의 취약점 완화대책을 효율적으로 세운다. 또한, 전문 취약점 분석 팀을 활용하여 대상시스템의 사이버보안 개발시험평가를 수행하며, 실 운용환경과 유사한 환경에서 공격자 입장으로 취약점 침투 테스트를 수행하고 대상 시스템의 사이버보안 정도를 평가한다. 본 논문을 통해서, 무기체계 획득프로세스와 사이버 보안에 대한 연계성을 높이고, 체계적인 검증이 가능할 것으로 판단된다.
마지막으로 개발·운용시험평가 단계에 취약점 분석·평가를 체계적으로 수행하도록 제안하였다.
이를 개선하기 위해 국방정보시스템 보호대책서, 사이버보안 개발·운용 시험평가 계획서를 활용하여 시험평가기본계획서, 개발·운용시험평가 계획서에 사이버보안을 적용하도록 제안하였다.
이에 따라 ‘국방사이버안보훈령’ 내 ‘국방정보시스템 보호대책서’를 최대한 활용한 사이버보안 시험평가체계를 제안한다.
이와 더불어, 개발시험평가 단계에서 대상 시스템의 사이버보안을 달성하기 위해 보호대책 구현 기능 및 성능의 적절성·적합성을 검증하도록 한다.
이와 더불어, 개발시험평가 단계에서 대상 시스템의 사이버보안을 달성하기 위해 보호대책 구현기능 및 성능의 적절성·적합성을 검증하도록 한다.
체계개발 초기부터 상세설계검토(CDR, Critical Design Review) 회의 전까지는 이전 단계에서 도출된 사용자 요구사항, 체계요구사항을 무기체계의 구성요소에 할당하며, 각각의 체계요구사항이 구현 가능한지 확인한다. 이후 무기체계 구성요소의 검증과정을 통해 무기체계 설계를 확정하고 사용자 요구사항, 체계요구사항을 충족하도록 기능 설계를 수행한다. 이와 더불어 체계개발 단계 초기부터 시험평가 전까지 '국방정보시스템 보호대책서'의 지속적인 갱신, 검토 과정이 포함된다.
제안 방안에서 3.1의 세부 사이버보안 프로세스 미흡 문제는 국방획득체계 내 사이버보안 단계를 4단계로 구분하고, 각 단계에 수행해야 할 프로세스를 제시하여 사이버보안 프로세스를 체계적으로 수행되도록 하였다. 또한 개발·운용시험평가 단계에 취약점 분석·평가 및 취약점 침투 시험, 사이버보안 평가 항목을 추가함으로써 문제점을 해결하였다.
제안한 사이버보안개발시험평가는 취약점 분석·평가 보고서, 보안평가 보고서, 개발시험평가 산출물을 활용하여 대상 시스템의 시험평가를 수행하는 단계이다[6].
성능/효과
3.2의 사이버보안지침과 무기체계 획득 프로세스와 연계성 제한 문제는 사이버보안 시험평가 관련문서 및 ‘국방정보시스템 보호대책서’와 무기체계 기반 문서(운용요구서, 시험평가 기본계획서, 개발·운용시험평가 계획서, 결과보고서)를 연계함으로써 해결하였다.
그러므로 사이버보안을 보완하기 위해 이전 단계의 결과물을 활용하여 평가 계획을 세우고, 대상 시스템의 취약점을 분석·평가하는 것이 적합하다고 판단된다.
또한 유사시 사이버 공격으로부터 무기체계를 안전하게 보호할 수 있는 능력을 갖추기 위해 별도의 사이버보안 네트워크 방어 팀을 구성하여 보안위협 탐지 능력, 사이버 공격으로 인해 손실되거나 저하된 시스템을 복구하는 능력을 평가한다. 위의 운용시험평가 단계를 살펴보았을 때, 평가 범위와 평가 내용에 있어 미국과 유사한 부분이 많으므로 해당 단계에 미국 국방부의 지침을 참고하여 사이버보안 운용시험평가를 진행하는 것이 적합하다고 판단된다.
위의 체계개발 초기, CDR 회의 전 단계를 살펴보았을 때, 무기체계의 구성요소 검증, 기능 설계를 수행하며 무기체계 설계도면 등의 정보를 용이하게 파악할 수 있으므로 이에 맞추어 사이버 공격표면, 취약점에 관한 정보를 획득·탐지하는 것이 적합하다고 판단된다.
제안한 사이버보안 시험평가 프로세스는 무기체계개발단계와 발맞추어, 사이버보안 요구사항 파악을 통해 사이버보안 시험평가 수행을 위한 초기 접근, 계획 개발을 준비하고, 사이버 공격표면, 취약점 식별을 통해 대상 시스템의 취약점 완화대책을 효율적으로 세운다. 또한, 전문 취약점 분석 팀을 활용하여 대상시스템의 사이버보안 개발시험평가를 수행하며, 실 운용환경과 유사한 환경에서 공격자 입장으로 취약점 침투 테스트를 수행하고 대상 시스템의 사이버보안 정도를 평가한다.
후속연구
따라서 제안 방안을 통해 취약점 분석·평가방안을 개발·운용시험평가에 적용한다면 무기체계의 보안성이 향상될 것으로 기대된다.
또한, 전문 취약점 분석 팀을 활용하여 대상시스템의 사이버보안 개발시험평가를 수행하며, 실 운용환경과 유사한 환경에서 공격자 입장으로 취약점 침투 테스트를 수행하고 대상 시스템의 사이버보안 정도를 평가한다. 본 논문을 통해서, 무기체계 획득프로세스와 사이버 보안에 대한 연계성을 높이고, 체계적인 검증이 가능할 것으로 판단된다.
이를 개선하기 위해 국방정보시스템 보호대책서, 사이버보안 개발·운용 시험평가 계획서를 활용하여 시험평가기본계획서, 개발·운용시험평가 계획서에 사이버보안을 적용하도록 제안하였다. 사이버보안 관련 문서를 무기체계 시험평가 문서와 연계한다면 체계화된 사이버보안 시험평가 수행이 가능할 것이다.
또한 사이버보안 운용시험평가 시, 실 환경과 유사한 운용환경을 구축하여 취약점 침투 시험을 수행하도록 하였다. 실제와 같은 환경에서 사이버보안 시험평가를 진행하므로 평가의 신뢰도가 높아질 수 있으며, 무기체계의 보안위협을 완화할 수 있을 것으로 기대된다
질의응답
핵심어
질문
논문에서 추출한 답변
국내 무기체계의 사이버보안 관련 사항은 어디에 포함되는가?
하지만, 우리 군의 무기체계에 대한 사이버 공격에 대한 대비는 잘 갖추어지지 않았다. 국내 무기체계의 사이버보안 관련 사항은 ‘국방전력발전업무훈령’[7]과 ‘국방사이버안보훈령’[8]에 일부 포함되어있다. 위 문서들은 소요 단계부터 체계개발 단계까지 적용된다.
Left of Launch는 무엇인가?
2015년, 미국 MDAA(Missle Defense Advocacy Alliance)에 의해 ‘Left of Launch’라불리는 전략이 공개되었다[5]. 이 전략은 사이버 공격을 통해 네트워크와 연결된 무기체계 시스템 내에 침입하여 미사일이 발사되기 전 준비단계에서 이를 무력화하는 것이다. 이러한 사이버 공격으로부터 무기체계의 사이버보안을 보장하기 위해 미군은 무기체계 초기부터 사이버보안 시험평가를 체계적으로 수행하고 있다[6]
사이버보안은 무엇인가?
미국의 ‘National Security PresidentialDirective-54/Homeland Security Presidential Directive-23’의 “Cybersecurity Policy”[10]에서는 사이버 보안을 다음과 같이 정의하고 있다. ‘사이버보안은 컴퓨터, 전자통신 시스템, 전자통신서비스, 유선통신, 전자통신과 그 안에 담긴 정보에 대해 피해를 예방, 보호, 복원하여 기밀성, 무결성, 가용성, 인증, 부인방지를 보장하는 것을 의미한다.’로 정의하고 있다.
참고문헌 (24)
Jungho Kang, Hoedong Kim, Sunsoo Kim, and Jincheol Yoo, "Cyber Warfare Countermeasures by Comparison of Cyber Warfare Strategy and Technology of North Korea and other Major Country", Journal of Security Engineering, Vol.13, No.4, pp.287-298, 2016
※ AI-Helper는 부적절한 답변을 할 수 있습니다.