-‘초거대 AI시대 사이버보안 최고위 과정’ 특별강연

-김승주 국방혁신기술보안협회장, “K-RMF‧N2SF 전략 이어가야”

김승주 국방혁신기술보안협회장(고려대 정보보호대학원 교수)은 지난 8일 서울 서초구 동진빌딩에서 열린 ‘초거대 인공지능(AI) 시대 사이버보안 최고위 과정’ 입학식 특별강연을 진행하고 있다.

[디지털데일리 최민지기자] 전세계를 향한 미국 통상압박이 거세지고 있다. 이에 대응하기 위해서라도 차기 정부는 사이버보안 분야에서 한국형 위험관리구조(RMF)와 국가망보안체계(N2SF) 전략 등을 지속해야 한다는 의견이 제기됐다.

김승주 국방혁신기술보안협회장(고려대 정보보호대학원 교수)은 지난 8일 서울 서초구 동진빌딩에서 열린 ‘초거대 인공지능(AI) 시대 사이버보안 최고위 과정’ 특별강연을 통해, 국가적으로 AI 활용을 도모하고 미국에 대응할 수 있는 주요 보안 법‧제도 개선방안을 공유했다.

◆동맹국 통해 미국을 엿볼 수 있다…K-RMF‧CMMC 진행해야 하는 이유

우선, 김 협회장은 한국형 RMF와 사이버보안 성숙도 모델 인증(CMMC)을 지속 추진해야 한다는 입장이다. 앞서, 지난해 국방부는 K-RMF를 단계적 적용 후 내년부터 전면 시행하는 것을 목표로 한다고 밝힌 바 있다. 이는 미국 RMF 체계를 국내 실정에 맞게 적용한 것으로, 무기체계 개발·운용 전 단계 보안내재화를 필요로 한다.

김 협회장은 “미국이 미국과 같은 수준의 RMF를 운영하지 않으면 연합작전 정보를 동맹국과 공유하지 않고, 미국에서 가져간 무기체계 운영도 못하겠다고 밝혔다”며 “우리 정부도 이에 대응해 K-RMF를 발표했고, 이를 상호 인정하겠다는 미국과의 기본 공감대를 형성했다”고 말했다.

이제는 국가 간에도 네트워크로 연동되는 만큼, 미국 보안체계가 아무리 우수하더라도 취약한 동맹국 시스템을 통해 공격자가 침입할 수 있다. 이에 동맹국 보안체계 강화를 요구하게 됐다는 설명이다.

김 협회장은 “RMF 체계를 따르려면, 보안내재화가 필요하기에 개발 프로세스를 변화시킬 수밖에 없다. 미리 대응하지 않으면 RMF 체계를 통과하는 건 불가능하다”며 “기존에는 보안 기능이 필요할 때 특정 솔루션을 구매하는 ‘볼트온(bolt-on) 시큐리티’였다면, 이제 요구사항 분석·설계 단계부터 보안을 반영한 ‘빌트인(built-in) 시큐리티’를 해야 한다. 이는 2018년부터 미 대표 방산기업인 록히드마틴이 말한 부분”이라고 덧붙였다.

K-CMMC도 추진해야 하는 부분이다. 미국 경우, 방산산업을 수주하려면 CMMC를 받아야 한다. 방산업체 계약 정보 관리 시스템이나 여러 군 관련 정보를 다루는 시스템은 CMMC에 따라 평가를 받는다.

김 협회장은 “K-RMF는 우리가 원하든 원하지 않든 미국이 원하기 때문에, 어떤 정부에서든 바뀔 수 없는 정책”이라며 “K-RMF와 CMMC는 기본적으로 진행될 수밖에 없다고 본다”고 강조했다.

◆국가망보안체계, 공개등급서 외산제품 도입 가능

이와 함께 김 협회장은 올해 발표한 국가망보안체계(N2SF)도 지속 추진될 것으로 전망했다. 올해 하반기 본격 시행될 N2SF는 기밀(C)·민감(S)·공개(O) 등급을 분류하고, 필요한 경우 외부망에 연결점을 만들어주는 개념이다.

예를 들어, 공개 등급에선 외부망과 연결할 수 있고 외산 제품도 사용할 수 있다. 기존엔 정부기관과 국방분야 등에선, 외산 보안제품을 사용할 수 없도록 사실상 막아놨었다. 다만, 기밀 등급에선 국내 제품만 사용 가능하고 철저하게 외부망과 분리해 독립적으로 운영돼야 한다.

그동안 망분리 정책은 AI·클라우드 발전을 저해하는 걸림돌로 꼽혀 왔다. 공공·금융분야에 AI 혁신을 가져오려면, 망분리 완화정책이 필연적이라는 설명이다. 이같은 공감대가 형성되면서 정부는 망분리 개선 정책을 추진했고, 이는 국가망보안체계 발표로 이어졌다.

김 협회장은 “미국 AES암호를 허용하면서 공개 등급에 외산제품이 들어올 수 있게 하고, 민감 등급에 대해서도 수용할 수도 있다는 게 국정원·군의 입장”이라며 “N2SF엔 RMF 철학이 녹아들어가 있다”고 부연했다.

이어 “N2SF로 전환해야 하는 이유는, AI 활용 문제도 있지만 미국의 통상관계 이유도 크다”며 “이전에도 미국은 계속해서 한국이 보안제도를 무역·기술장벽으로 활용한다고 압박했기에, 트럼프 정부에서 선제적으로 바꾸겠다는 개념도 있다. 미국에서 발표한 무역장벽보고서에서도 제도를 개선해 공개 등급에 여지가 생겼다고 했기에, 새 정부에서도 N2SF를 바꿀 수는 없다고 생각한다”고 전했다.

아울러, 김 협회장은 “방위산업기술보호 지침을 완화해 방산업체가 상등급 클라우드를 사용할 수 있게 했으면 한다. 하 등급에선 외산업체도 허용하지만, 상등급에선 국내 업체로 제한해야 한다”며 “미국에서도 록히든마틴을 비롯해 중앙정보부(CIS)‧국가안보국(NSA) 등이 미국 마이크로스프트(MS) 클라우드를 사용하고 있다”고 제언했다.

한편, ‘초거대AI 사이버보안 최고위 과정’은 국방혁신기술보안협회와 성균관대학교 인공지능융합원이 선보인 첫 번째 최고위 과정이다. AI 산업과 방산생태계 변화에 부응하기 위해 사이버보안 최고위 지도자를 양성하는 프로그램으로, 군 관계자를 비롯해 국방혁신 연구기관 및 산·학·연 등 각계 전문가들을 주요 강사진으로 초빙했다. 지난 8일 대통령 직속 국방혁신위원회 위원인 김승주 협회장의 입학식 특강을 시작으로 오는 10월28일까지 20주에 걸쳐 진행될 예정이다.