[논문]무기체계 수명주기 간 사이버보안 적용 개선방안

정용태; 정현식; 강지원

doi:10.33778/kcsa.2019.19.4.067

무기체계 수명주기 간 사이버보안 적용 개선방안
A Study on Enhancing Cybersecurity of Weapon Systems for Life-Cycle 원문보기

융합보안논문지 = Convergence security journal, v.19 no.4, 2019년, pp.67 - 75

정용태 (국방부) , 정현식 (숭실대학교 IT정책경영학과) , 강지원 (세종대학교 컴퓨터공학과)

초록
AI-Helper

최근 국방부는 무기체계를 사이버보안의 영역에서 무기체계를 포함하였다. 기존 정보화영역에 한정되었던 사이버보안의 대상에서 확대되고 진화된 개념이 적용되었다. 무기체계는 소프트웨어의 비중이 점차 늘어나고 있고, 사이버위협의 대상임에는 분명하다. 따라서, 사이버보안 측면에서 무기체계 수명주기간 문제점을 진단하여 무기체계 사이버보안 발전방향을 제시하고자 한다. 무기체계 사이버보안 발전을 위해서는 무기체계 소프트웨어 관리제도를 포함하여 종합적인 정책수립이 이루어져야 하고, 이와 관련된 이해관계자들의 적극적인 참여가 필요하다.

Abstract ▼ AI-Helper

Recently, the Ministry of National Defense has included embedded software for weapon systems as targets for the Defense cyber security. The Concept has been extended and evolved from the cyber security area that was previously limited to the information domain. The software is becoming increasingly important in weapon systems, and it is clear that they are subject to cyber threats. Therefore, We would like to suggest a improvement direction by diagnosing problems in terms of cyber security of the weapon systems for the life cycle. In order to improve cyber security of weapon systems, comprehensive policy including the weapon embedded software management should be established and the involved stakeholder should be participated in the activities.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

셋째, 시간, 장소 및 기타 환경과 무관한 완결성 있는 무기체계로 작동을 하여야 하는 고신뢰성을 보장하는 것이다. 넷째, 무기체계 간 데이터 및 시스템 간의 연동되어 원활한 운영이 가능하도록 상호운용성을 확보하는 것이다. 마지막으로 하드웨어와 동시 개발되는 경우가 많기 떄문에 시스템 형상변경 및 요구사항 수정 등에 대해 지속적으로 개발개념 변화와 적응에 따른 노력이 필요하다.
본 연구에서는 사이버보안의 개념이 변화된 과정을 통해 현재 풀어야할 과제를 살펴보고, 국방사이버보안의 대상으로 확대된 무기체계 소프트웨어의 특성을 이해한 다음, 사이버보안 측면에서 무기체계 수명주기간 소프트웨어 관리실태를 진단하여 발전방안을 제시하고자 한다.
둘째, 불완전한 상황 및 전자 환경 속에서도 거의 완벽한 운영 가용성을 유지하여야 한다. 셋째, 시간, 장소 및 기타 환경과 무관한 완결성 있는 무기체계로 작동을 하여야 하는 고신뢰성을 보장하는 것이다. 넷째, 무기체계 간 데이터 및 시스템 간의 연동되어 원활한 운영이 가능하도록 상호운용성을 확보하는 것이다.

제안 방법

또한, 각 군이 전투실험과 사전분석을 통해 소요제안을 구체화 하여 소요제기서를 작성하여 합참으로 제기하며, 합참은 합동성 차원에서 검토·조정하여 전력소요서(안)을 만들며 심의·의결을 통해 소요를 결정한다.
무기체계 수명주기 간 사이버보안 발전방향을 제시하기 위하여 (그림 5)와 같이 3가지 추진전략과 이에 대한 핵심과제를 도출하였다. 관련 내용으로 보완되어야 할 적용규정은 국방전력발전업무훈령, 국방사이버안보훈령, 국방보안업무훈령, 방위사업관리규정 등이 있다.
사이버보안 측면에서 현행 무기체계 소프트웨어 관련 정책·제도·절차적 문제점을 해결하기 위해 3대 추진전략을 발전방향으로 제시하였다.

성능/효과

첫째, 무기체계의 원래의 성능을 발휘하여 주어진 임무를 일정 시간 내 정확히 수행되어야 하는 실시간 운영체제라는 것이다. 둘째, 불완전한 상황 및 전자 환경 속에서도 거의 완벽한 운영 가용성을 유지하여야 한다. 셋째, 시간, 장소 및 기타 환경과 무관한 완결성 있는 무기체계로 작동을 하여야 하는 고신뢰성을 보장하는 것이다.
무기체계 소프트웨어 보안성을 관리할 수 있도록 체계를 구축하여야 하겠다. 첫째, 무기체계 수명주기전 기간에 소프트웨어 보안성 관리가 이루어지기 위해서는 종합군수지원계획에 따른 소프트웨어 점검과 정비가 체계적으로 이루어져야 한다. 무기체계와 함께 종합군수지원요소도 개발하게 되는데, 무기체계 소프트웨어 정비계획을 개발하여야 한다.
일반적으로 국방 무기체계 소프트웨어는 일반 소프트웨어와 는 다른 특징을 가지고 있다. 첫째, 무기체계의 원래의 성능을 발휘하여 주어진 임무를 일정 시간 내 정확히 수행되어야 하는 실시간 운영체제라는 것이다. 둘째, 불완전한 상황 및 전자 환경 속에서도 거의 완벽한 운영 가용성을 유지하여야 한다.

후속연구

방위사업청은 2011년부터 무기체계에 대한 소프트웨어 신뢰성 시험을 도입하여 체계개발 과정에서 시행하고 있고, 국방기술품질원에서도 SW의 품질관리 측면에서 무기체계의 SW를 관리하고 있다. 둘째, 무기체계 전력화 이후 운용단계에서 변경된 무기체계 소프트웨어에 대한 보안성 재검증을 실시하여야 한다. 무기체계는 전력화 이후에도 오류수정, 기능개선 등의 사유로 소프트웨어의 형상을 변경하고 관리하고 있으나, 이 과정에서 변경된 무기체계 소프트웨어에 대한 보안성 검증은 제대로 이루어지지 않고 있는 실정이다.
이는 제도가 정립된 2011년 이후부터 전력화 하는 무기체계에 적용하고 있으며, 소프트웨어 보안성 시험은 전장관리정보체계(정보시스템)에 한정하여 실시하고 있다. 또한 개발시험 이후 변경된 소프트웨어에 대해서는 연구개발주관기관이 자체시험을 실시하고 결과만 확인하는 절차로 진행하여 실질적인 검증이 제한된다. 또한 ‘국방정보보안시스템 업무훈령’에 따르면 무기체계 소프트웨어에 대해 안정성 검증을 시행토록 하고 있지만 보안시스템이 설치된 국방정보통신망과 비밀이 소통되는 무기체계 소프트웨어로 한정하고 있고 각급부대의 장이 안전성 검증을 신청하는 절차로 되어 있어, 신청 사례가 거의 없는 것으로 알려져 있다.
또한, 국방부 예산편성지침에 따라 각군 및 기관이 사업별 예산요구서를 작성하여 국방부와 방사청 검토·조정을 거쳐 장관 보고하고 이를 종합하여 기재부로 제출하며 기재부 검토가 완료되면 국회 예산심의를 받아 최종 예산을 편성한다.
무기체계 소프트웨어 보안성에 관련된 제도를 개선하여야 하겠다. 무기체계 획득 및 운용과 관련하여 소프트웨어 보안성 강화를 위한 정책과 제도를 개선 추진하기 위해서는 무기체계 소프트웨어에 대한 임무 정립을 선행하여야 한다.
무기체계는 전력화 이후에도 오류수정, 기능개선 등의 사유로 소프트웨어의 형상을 변경하고 관리하고 있으나, 이 과정에서 변경된 무기체계 소프트웨어에 대한 보안성 검증은 제대로 이루어지지 않고 있는 실정이다. 무기체계 전력화 이후에도 지속적으로 하자보증 또는 정비계획, 형상관리, 보안성 검증이 연계될 수 있도록 종합군수지원계획으로 발전시켜 관리되어야 할 것이다.
지능형 지속공격(APT)의 관점에서도 위협은 특정한 여건이 성숙될 때까지 운용단계에서 잠재적으로만 존재하도록 설계할 수 있다. 운용단계에서 모의침투 또는 취약점 점검을 통해 지속적으로 확인할 수 있도록 상시 보안성 진단 제도를 마련하여야 하겠다.
무기체계 소프트웨어에 대한 보안성 검증을 강화하여야 하겠다. 첫째, 현행 연구개발시 수행 중인 보안대책 검토 및 보안측정 등을 정비하여 종합적인 보안성 검증절차로 정립할 필요가 있다. 현재, 군사안보지원사는 소요단계부터 보안대책을 검토하고 개발단계에는 보안요구사항, 보안설계사항 검토 및 소프트웨어 보안성 진단을 수행하고 있으며, 사이버작전사는 자체적으로 운용단계에서 무기체계 취약점 점검을 수행하기 위한 능력을 배양하고 있다.
이를 통해 신규 무기체계의 경우, 소요단계부터 운용단계까지 무기체계 소프트웨어 보안성의 안정적 관리가 가능할 것으로 예상한다. 추가적으로 무기체계 소프트웨어 관리제도 개선과 무기체계 소프트웨어 종합군수지원 개념 정립에도 긍정적 영향을 미칠 것으로 기대한다. 이를 위해서는 무기체계 소프트웨어 관리제도를 포함하여 종합적인 정책수립이 이루어져야 하고, 모든 이해관계자들의 주체적인 사이버보안 활동이 요구된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	무기체계의 고도화에 따라 어떠한 비율이 높아지고 있는가?	한편, 무기체계는 고도화됨에 따라 요구기능을 소프트웨어로 구현하는 비율이 점차 높아지고 있다[2]. 미국의 경우, 과거 F-4 전투기는 전체 기능 중 소프트웨어로 구현된 비율이 8%에 불과하였으나 F-35는 90%에 이르고[3], 한국해군 구축함의 경우, 1990년대 광개토대왕함급 전투체계의 소스코드는 1만 라인이 되지 않았으나, 2010년대 세종대왕함급 이지스전투체계의 소스코드는 7만 라인에 이르는 것으로 알려져 있다.
	국방 사이버안보 훈령에서 말하는 사이버보안 업무란 무엇인가?	이는 기존에 국방 사이버보안 업무영역을 국방정보시스템으로 한정하여 무기체계로 분류되는 정보시스템1)과 정보화사업으로 소요제기하는 전력지원체계에 적용하였던 것에 비해 엄청난 영역의 확대와 개념의 진화라고 볼 수 있다. 또한 사이버보안 업무를 ”국방 사이버공간에서 정보의 기밀성 무결성 가용성을 보장하기 위하여 취하는 물리적, 기술적, 관리적 활동“으로 정의하고, 국방정보시스템과 내장형 소프트웨어(Embedded Software)를 가지고 있는 무기체계 및 전력지원체계의 수명주기와 연계한 보안활동으로 그 업무를 명시하고 있다[1].
	국방 사이버보안의 시작은 어떠한 것을 목적으로 하였는가?	현재 국방 사이버보안의 시작은 2001년으로 거슬러 올라간다. 국방부는 ‘정보시스템과 정보자료 보호’를 목적으로 국방정보통신망을 보호하기 위해, CERT(Co mputer Emergency Response Team)를 편성하고, 통합보안관제체계를 도입하여 국방사이버상황실을 개설하는 등 군사정보자료 유출방지를 위한 제도, 조직, 체계를 구축하였다. 당시 국내에는 정보화와 더불어 정보보호의 중요성을 고려하여 정보통신기반보호법(2001.

참고문헌 (9)

국방부, '국방사이버안보 훈령', 제2234호, 2018.
Mark H. Ralston, 'Software Evaluation: Toward a Rigorous Approach', U.S. AMSAA, 1996.
Firesmith, Donald G., et al. 'The method framework for engineering system architectures', Aurebach Publications, 2008.
이정규, '무기체계 사이버 보안 정책 동향', 정보보호학회지, 제28권, 제6호, pp.83-87, 2018.

원문보기 상세보기
전자신문, '무기체계 SW 보안성 검증했더니... 기본도 안지켰다', 2018.6.19.일자
국방부, '2008년 국방백서', 2008.
이관영 외, '소프트웨어 ILS 적용방안 연구: 소프트웨어와 하드웨어 유지보수 특성을 고려한 비 교분석을 중심으로', 한국산학기술학회지, 제15권, 제9호, pp.5726-5737, 2014.
Symantec, 'Internet Security Threat Report', 2011 Trends, Vol. 17, April 2012.
심행근 외, '소프트웨어에 대한 종합군수지원 (ILS) 적용방안', 한국군사과학기술학회지, 제2권, 제2호, pp.173-185, 1999.

원문보기 상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증