[사이버 투시경] ⑦ 방산업체 망분리, 사이버안보에 정말 도움이 될까?

▲ 2017년 11월 16일 서울 용산구 국방컨벤션에서 '4차 산업혁명과 튼튼한 국방보안'이란 주제로 열린 '제 15회 국방보안콘퍼런스'에서 송영무 국방부장관이 격려사를 하고 있다.

방위사업청, 정부의 물리적 망분리 의무화 조치에 반발한 11개 방산업체에 대해 방산업체 지정 취소 추진

방산업체 및 보안전문가, "일방적인 '망분리' 강요는 글로벌 업무 환경과 4차 산업혁명의 흐름에 역행하는 조치" 지적

기술에 정통한 소식통, “방산업체가 자율적으로 4차산업혁명 시대에 적합한 망분리 시스템 채택하고 책임져야" 주장

(안보팩트=김한경 방산/사이버 총괄 에디터)

최근 몇 년간 사이버 안보를 위협하는 징후들이 여러 분야에서 다양하게 나타나면서 방산업체들도 해킹 사고를 당하는 사례가 빈발했다. 이에 박근혜 정부는 사이버 안보를 강화하는 차원에서 ‘방산업체 망분리’를 적극 추진해 왔다. 이와 관련된 훈령도 개정하여 방산업체들은 “인증기관에서 인증 받은 제품으로 물리적 망분리 시스템을 구축”하도록 기본 원칙을 정했다.

이와 같이 물리적 망분리를 의무화하자, 방산업체들은 과도한 투자비용에 반발하고 있다. 지난 2일 군 당국에 따르면 최근 방위사업청이 망분리 조치를 거부한 11개 방산업체에 대한 지정 취소 요청안을 의결했다고 한다. 국내 방산업체가 101개인 것을 감안하면 10%에 해당하는 수준이다. 이들 업체의 방산업체 지정 취소는 산업통상자원부 심의에서 최종 결정될 예정이다.

계속해서 사업을 해야 하는 방산업체들은 수억 원에서 수십억 원을 들여 어쩔 수 없이 망분리 조치를 하겠지만, 방산부문 매출이 크지 않은 중소업체들은 망분리 비용이 부담스러울 수밖에 없다. 한 방산업체 관계자는 “회사 전체 매출에서 방산 부문은 5000만 원 정도인데, 망분리에 1억 원 이상 투자해야 한다”며 “이익률이 3%도 되지 않는 상황에서 무리한 조치”라고 말한다.

방위사업청은 업체 입장을 고려해 사업 수주 시 망분리 비용을 원가에 반영해 주기로 했으나, 사업을 따내지 못하거나 규모가 작은 사업만 수주하는 업체는 부담을 감당하기 어렵다. 유지보수 비용 또한 고스란히 업체 몫이다. 군 당국은 물리적 망분리가 최고의 보안 수단이라 어쩔 수 없다는 입장이다.

방위사업청 관계자는 “업체들의 부담을 완화하기 위해 망분리 장비 구매 시 은행 대출이자를 지원해주고 업체 환경 등을 고려해 비용이 저렴한 논리적 망분리 적용도 검토하고 있다”면서 “방산업체가 군사기밀을 취급하고 있는 만큼 군 기관에 준하는 보안성 조치는 필요하다”고 말했다.

그렇다면 물리적 망분리 시스템을 도입할 경우 정말 방산업체가 사이버 공격으로부터 안전해질까? 일반적으로 단말기, 네트워크, 서버를 인터넷과 물리적으로 분리하는 방식은 비용이 많이 들어도 안전하다고 알려져 있다. 하지만 물리적 망분리를 해도 업무상 자료 전달 또는 운용체제(OS) 패치 및 백신 관리를 위해 업무망을 인터넷과 연결할 필요가 발생한다. 이외에도 업무망에서 인위적으로 인터넷과 연결할 방법이 여러 가지 존재한다.

이미 물리적으로 인터넷과 분리된 국방망에서 인터넷과 연결되는 상황이 발생하였고, 그 내용을 상당기간 몰랐던 사실이 밝혀졌다. 물리적 망분리 시스템만으로는 안전할 수 없다는 것이 증명된 셈이다.

더구나 방산업체는 민수 업무를 병행하는 경우가 많고, 그룹사의 일원인 대형 방산업체들은 그룹 차원에서 사용하는 ‘전사적 자원관리(ERP)’ 시스템의 서버를 별도로 분리하기 어려운데다, 국내외에 지사 및 지점, 공장들이 분산되어 있어 완전한 물리적 망분리가 대단히 힘든 상황이다.

게다가 모든 사물이 인터넷 기반으로 융합되는 4차 산업혁명 시대에 기업의 업무 환경은 도외시한 채 보안만 고려하는 물리적 망분리 의무화 조치는 업무 효율성을 현저히 떨어트리고 상당한 불편을 초래한다. 이로 인해 예외가 생기거나 고의로 인터넷을 연결할 경우 보안상 취약점이 오히려 증대될 수 있다고 보안전문가들은 말한다.

국내 최고의 보안 전문가인 김승주 고려대 교수는 “물리적 망분리를 하면 인터넷을 이용해 업무망에 접속할 수 없어 스마트워크(원격근무)나 클라우드 서비스 도입이 불가능하다”면서 “더 큰 문제는 인터넷으로 모든 것이 연결되는 4차 산업혁명의 개념과 물리적 망분리 정책은 본질적으로 맞지 않는다”고 주장한다.

그는 또 국군기무사령부가 주관한 2017년 ‘국방보안컨퍼런스’에서 정부의 물리적 망분리 의무화 조치에 대해 “인터넷과 업무망을 분리하는데 적용할 것이 아니라, 업무망 내에서 인터넷과 연결해 수행할 업무와 완전히 단절시켜 보호할 업무를 분리하는데 적용해야 한다”는 의견을 대책으로 언급하기도 했다.

망분리 기술에 정통한 소식통은 “정부가 관련기술에 대해 잘 알지도 못하면서 어떤 기술이나 방식을 사용하라고 정해주면 이에 따랐던 업체들은 해킹사고가 발생해도 책임을 모면하게 되며 정부가 오히려 모든 책임을 떠안게 된다”면서 “업체가 자신들의 업무 여건과 정보통신 환경에 가장 적합한 방식과 새로운 보안기술을 직접 찾아서 망분리 시스템을 구축하고, 지속적으로 고도화·최적화해 나가도록 유도하되, 그 결과에 대한 책임도 업체가 감당하게 만들어야 한다”고 말한다.

따라서 방산업체 지정 취소는 지금처럼 정부가 정해준 기준을 따르지 않았다는 이유로 결정할 것이 아니라, 업체 스스로 보안을 강화한 조치들이 취약하여 해킹을 당하는 등 잘못이 밝혀졌을 때 강력히 제재하는 수단으로 사용되는 것이 더욱 타당하다는 의견이 설득력을 얻고 있다.

국방부와 방위사업청은 ‘물리적 망분리 의무화 조치’가 왜 방산업체의 반발을 사고 보안 신기술 도입까지 차단하는지 잘 살펴야 한다. 그리고 업체가 해야 할 일과 정부의 역할을 재정립할 필요가 있다. 무엇보다도 정부는 업체의 보안 상태를 제대로 진단 및 평가할 능력을 갖춰야 한다. 또한 보안 신기술이 도입될 수 있는 제도적 장치를 만드는데 주력해 나가야 한다.

이와 같은 분위기가 자리를 잡으면, 그동안 정부의 규제를 피해 비용만 줄이려던 방산업체들이 사이버 보안에 실질적인 관심을 갖고 투자하게 되며, 그런 노력들이 지속될 때 방산업체는 궁극적으로 사이버 위협에서 벗어날 수 있다.