After reading Morgan Dwyer's Commentary on Post - Pandemic Weapon system Cybersecurity

Fri, Jun 5, 2020 3-minute read

This was submitted as part of the task in Korea University

요약

코로나바이러스 팬데믹은 보이지 않는 위험이 “완화되지 않고 악용된다면” 얼마나 취약적인지 보여주었다. 국가 안보 회원들은 하지만 여전히 “보이지 않는 위험” 에 대해서는 깊이 살피지 않는 경향을 가진다는 점을 각인시켜야 한다. 이는 치명적인 시설들에 대해 특히 중요하다. 이중 국방부에 대해 더 중요한데, 굉장히 가시적인 신무기체계에 투자하고 기존의 비가시적인 시스템의 위험성을 간과하는 경향이 크다. 최근 Cyberspace Solarium Commission (이후 CSC) 은 국방부에게 모든 무기체계에 대해 사이버 취약점을 조사하는 과정을 체계화하는 것을 제시했다. 이러한 과정이 여전히 지켜지는 것은 팬데믹 후에 예산이 줄어든 후 우선순위가 낮아지는 것이 염려되지만, 그럼에도 국방부는 무기체계 사이버 보안을 순위 높게 생각해야 한다.

모든 IT 기술과 마찬가지로 국방부의 무기체계는 사이버 공격에 취약점이 존재한다. 이는 많은 기술들이 실제로 네트워크와 떨어져 있어도, 다른 정보기술들을 악용하여 접근 가능하기 때문이다. 여기에 무기체계가 핵무기 제어 등의 매우 치명적인 장치를 포함한다는 점에서, 사이버 안보는 우선순위에 있어야 함은 분명하다. 국방부는 무기체계를 갖출 때 정밀한 사이버 안보와 디자인의 규격을 설정하여 이를 만족하도록 해야하고, 무기체계를 갖추는 과정에서 사이버 위협의 정도를 측정하며 그 위협을 유지 기간 동안 완화시켜야 한다.

그럼 사이버 안보를 갖춘 무기체계를 낮은 예산으로 어떻게 유지할까? 저자는 5가지 순서를 생각했다.

  1. CSC 가 제안했듯, 국방부는 끝없이 주기적으로 무기체계가 얼마나 사이버 공격에 취약한지 조사하는 과정을 갖추어야한다. 또한, 그 과정에서 위협을 없애거나 최소화한다.
  2. 이러한 과정에서 “위협을 조사하는 것” 과 “위협을 최소화 하는 것” 을 떨어뜨리는 것을 지양해야 한다. 역으로, 이 두 과정을 결합시키면서 진행하는 것이 바람직하다.
  3. 이러한 과정이 잘 진행되는 것을 확고히 하기 위해, 국방부는 보안을 갖추는 책임을 높여야 한다. 지금과 같이 개발자가 책임을 지는 것 보다 무기체계 보유 집단의 리더가 이러한 책임을 갖출 필요가 있다.
  4. 무기체계 보유 집단의 리더가 사이버 안보에 우선순위를 두는 것을 장려하기 위해서, 보유 집단과 서비스 사이버 조언자들 과의 관계를 명확히 할 필요가 있다.
  5. 무기체계 사이버 안보 전문가를 더 고용하는 것을 고려한다.

우리나라는 어디에 있는가?

우리나라는 3면이 바다와 인접한 나라이기도 하지만, 사실 그것보다 덜 로맨틱하다. 북한은 바다보다 더 메마르고 위험하기 때문이다. 그런 의미에서 우리나라는 한반도 보다 한도에 가깝다. 우리가 한도에 있는 동안 사이버 안보는 그 어느 나라보다 경각심을 가지고 있어야 함은 분명하다. 하지만 사이버 안보는 무기체계와 관련이 없는 이야기가 결코 아님을 의미한다. 무기도 결국 사이버로 연결될 방법이 하나라도 있으면 취약점을 찾아 제어 기술을 악용할 수 있기 때문이다. 북한에서 양성하는 사이버 인재들의 수준을 생각한다면 절대 긴장을 놓을 수가 없다. 상대 미사일이 서울을 향해 날라온다면 조치를 취할 수 있겠지만, 우리 미사일이 내부에서 터진다면 방법은 없다.

그럼 우리나라는 무엇을 하고 있을까? 사실 필자는 우리나라 무기체계의 전문가는 아니지만, 확실한 것은 미국이 문제점이 있다면 우리나라도 문제점이 있다는 것이다. 우리나라의 많은 무기체계는 명백히 미국의 것을 따라했을 것이고, 전시상황에서 주도권이 미국에서 있다는 점에서 위험 상황이 닥쳤을 때 보안 체계를 관리하는 것 또한 미국의 것을 따라하고 있을 것이다.

이렇듯 미국의 국방부 또한 “tendency to overlook invisible vulnerabilities”, 즉, “보이지 않는 위협을 놓치는” 도중에 과연 국가의 인재들이 미국을 넘어서는 수준에서 나라의 무기체계 사이버 안보를 잘 알고, 잘 분석하며, 위협을 최소화하고 있다고 생각할 수 없다. 저자의 말은 미국 국방부에게 한 말인 동시에 우리에게 한 말이다. 미국과 같이 어마어마한 경제 규모와 성장률을 가지고 있는 나라가 사이버 보안 무기체계 예산이 충분하지 않아지는 중인데, 우리나라는 더 암울해질 뿐이다. 또한 미국의 무기체계가 개선됨은 우리의 무기체계가 개선됨을 의미하지 않는다. 오히려, 미국의 무기체계 사이버 안보의 취약점이 발견될 때 우리의 체계는 유지될 가능성이 있고, 이를 북한이 역이용해 (취약점 정보를 습득해서) 우리나라를 공격할 가능성이 생길 수도 있다.

그럼 우리나라 국방부가 해결해야 할 것은 무엇일까? 생각보다 단순할 수도 있다. 우리나라는 미국에 버금가는 정보보안 천재들이 많은 나라이다. 많은 그들은 남자이다. 남자의 의무를 우리나라에서 이행할 때 도움을 비교적으로 저렴한 가격으로 얻을 수 있음을 잘 이용하는 것 또한 하나의 방법이다.

또한 우리나라는 우리나라에서 시작한 정보보안 기업들이 있다. 이들과 소통하는 것은 당연히 미국의 몹시 비싼 사이버 안보 전문가들보다 편하고 유용할 것이다. Morgan Dwyer 의 5번 조언을 들어보는 것이다.

여러모로 많은 전문가들이 협력하여 우리나라 무기체계의 사이버 안보를 계측하고, 확보하며, 위협을 최소화했으면 하는 바람으로 마무리하겠다.