전체메뉴 검색창 열기 / 닫기
닫기

군 '공급망 보안' 검증 기술·인력 확보 시급

발행일2017.08.13 15:00

군 사이버 보안 강화를 위해 '공급망 보안(Supply Chain Security)'이 시급하다.

국방부는 최근 지난해 국방망 해킹 원인으로 지목한 안티바이러스 솔루션(백신) 교체 작업을 시작했다. 국방망(내부망)과 인터넷망(외부망) 바이러스 백신을 교체한다. 국방부는 현재까지 내·외부망에 같은 백신을 쓴다. 해킹 사고 후 대책으로 내외부에 다른 백신을 쓰는 대응책을 내놨다. 전문가들은 백신을 두 가지 쓴다고 보안성이 높아지는 게 아니라고 입을 모은다. 군에 들어가는 제품 신뢰성과 안전성 검증이 우선돼야 한다.

공급망 보안은 하드웨어와 소프트웨어 제품 개발과 생산부터 유통, 유지보수, 폐기에 이르는 전 과정을 검증하고 관리하는 체계다. 2013년 미국 유통업체 타겟(Target)은 공조 설비 업체를 통해 해킹됐다. 2014년 한국수력원자력 역시 협력기업에서 원전도면 자료 등이 유출됐다. 군 자체 보안이 철저해도 외부에서 도입한 제품에 취약점이 있으면 사이버 공격에 노출된다.

Photo Image<ⓒ게티이미지뱅크>

김승주 고려대 사이버국방학과 교수는 “군 내부망 해킹 사고 원인은 공급망 보안 실패에서 비롯됐다”면서 “군에 들어오는 제품에 대한 검수와 협력사 관리 감독 체계 마련이 절실하다”고 지적했다.

군은 모든 것을 자급자족할 수 없는 구조다. 백신 등 필요한 보안제품을 민간기업에서 구매한다. 군 검찰은 국방망 해킹 사고 결과 발표에서 백신 기업이 1년 전 해킹 당한 후 해당 사실을 알리지 않았다고 밝혔다. 당시 경찰은 해당 사건을 조사한 후 결과를 발표했다. 민간은 이미 피해 사실을 파악하고 조치했다.

김승주 교수는 “군에 들어가는 제품 관리 감독은 국군기무사령부가 담당한다”면서 “해당 백신 기업 해킹 사고는 민간에서 모두 알고 조치한 상황인데 군이 몰랐다는 건 이해하기 어렵다”고 말했다.

미국 국방부는 1970년대부터 공급망 보안 체계와 기술력을 축적했다. 군에 들어가는 제품은 국제공통평가기준(CC) EAL5 등급 이상이다. 현재 국내 정부기관에 들어가는 제품 중 최고 등급은 EAL4다. 군에 들어간 백신은 EAL3 등급이다.

김 교수는 “공급망 보안이 되려면 군이 납품된 제품을 검수하고 평가할 인력과 기술을 갖춰야 한다”고 말했다. 군이 납품업체 개발과 배포 프로세스, 운영 관리 실태를 종합적으로 평가할 능력을 키워야 한다. 그는 “백신을 교체할 때 기술력은 물론이고 신뢰할 수 있는 공급망인지 파악해야 한다”면서 “신뢰 수준이 안 되면 제품을 납품할 수 없는 구조로 만들어야 한다”고 말했다.

Photo Image<ⓒ게티이미지뱅크>

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

손목에 차고 있기만 해도 불면증 해결?


주요뉴스