[에디터 인터뷰] 류연승 명지대 방산안보학과 주임교수, 미국 방산수출에 필요한 ‘사이버보안 인증(CMMC)’ 해법 제시
‘사이버보안 인증제도(K-CMMC)’ 새로이 구축하고, 미국 CMMC와 상호인정 협정 추진해야
[뉴스투데이=김한경 시큐리티팩트 에디터] 류연승 명지대 대학원 방산안보학과 주임교수는 국내에서 최초로 ‘방산안보학’이란 분야를 개척한 사람이다.
컴퓨터공학과 교수였던 그는 2014년 명지대에 융합보안학과를 신설한 후 이듬해 ‘방산보안연구소’를 설립했다. 당시 국정원이나 기무사 같은 정보기관과 방산업체 외에는 방산보안이란 용어가 생소하던 시절에 이 분야의 학문적 가능성을 알아본 것이다. 방산보안을 연구하던 류 교수는 2015년 방산기술보호법 제정을 계기로 ‘방산기술보호연구회’를 만들었고, 결국 보안을 넘어 적극적인 정보활동인 방첩과 국제정치 및 외교까지 연결된다는 생각에 이러한 영역을 모두 포괄하는 학문 분야인 ‘방산안보학’을 주창했다. 지난해에는 국가정보원과 MOU를 맺고 방산안보학과 석·박사 과정을 개설하는 등 전문 인재 양성도 시작했다.
류 교수는 현재 방산안보학과 외에 대학원 보안경영공학과 주임교수로도 재직하고 있으며 방산보안연구소를 방산안보연구소로 개칭한 후 연구소장도 계속 맡고 있다. 또 국가정보원과 방위사업청을 비롯 합참·군사안보지원사·국방보안연구소 자문위원으로 활동 중이며, 관련 분야의 다양한 학회 활동에도 적극 참여하고 있다.
지난해 우리나라는 방산수출이 급격히 증가하면서 올해 세계 5위의 수출목표를 갖고 있다. 특히 미국 같은 선진국 수출의 경우 무기체계 성능뿐만 아니라 그들이 원하는 사이버보안 인증(CMMC)을 받아야 성사가 가능함으로 이에 대한 준비가 필요하다. 방위사업청은 이를 대비해 지난해 ‘방산기술보호 성숙도 모델 인증제도 연구’란 연구과제를 내놓았다.
류 교수 연구팀은 지난해 10월부터 이 과제를 수주해 연구 중인데, 다음달 10일이면 연구가 종료돼 현재 대부분의 연구가 마무리된 상태이다. 국내 최고의 방산보안 전문가이자 이번 과제를 직접 담당한 그로부터 미국 CMMC가 국내 방산업계에 미치는 영향은 무엇이고 현재 우리가 당면한 문제와 해법은 어떤 것이 있는지 하나씩 짚어보았다. 다음은 그와의 일문일답.
Q. 미국 국방부가 요구하는 ‘사이버보안 인증(CMMC)’이란 무엇인가?
A. CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부와 계약하는 방산업체 및 그 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분해 인증을 받아야 하는 제도이다. 2025년부터 국방부와 계약하는 모든 업체는 CMMC 인증을 받아야 한다.
미 국방부는 2020년에 CMMC 제도 운영을 위해 인증기관(CMMC-AB, Accreditation Body)을 설립했다. 또한, 인증심사기관 지정, 인증심사원 양성 등의 인증 생태계를 구축하고, 시범적으로 몇 개 국방사업에 적용하면서 업체들에게 준비 기간을 주고 있다.
Q. 미국 국방부와 계약하는 타국 업체에도 CMMC가 적용되나?
A. 그렇다. CMMC 인증은 미국 업체에만 요구되는 것이 아니라 타국 업체에도 요구된다. 미국 CMMC 인증을 취득하지 못하면 미국에 방산물자 수출이나 공동연구협력 등이 불가능해진다. 사실상 CMMC 인증을 통해 미국의 국방 글로벌 공급망 체계가 구축될 것이고 우리 방산안보에 큰 영향을 주게 돼 대비가 필요하다.
미국 수출을 추진 중인 KAI, 한화디펜스 등은 CMMC 인증에 큰 관심을 가지고 대비하고 있다. 창원의 한 방산 협력업체는 미국 방산업체로부터 CMMC 인증에 대비하라는 연락도 받았다고 한다. 또한 미국 수출을 염두에 둔 기술력 있는 방산 중소업체들은 CMMC 인증 문제 해결에 노심초사하고 있다.
Q. 미국의 동맹국들은 어떻게 CMMC를 준비하고 있는가?
A. 미국 동맹국으로서 방산협력을 활발하게 추진하고 있는 일본, 이스라엘 등은 자국 방산업체의 사이버보안 체계를 미국 CMMC 수준으로 구축하고, 자국의 사이버보안 인증 취득을 CMMC로 인정받는 상호인정 협정을 위해 적극적으로 움직이고 있다고 한다. 일본은 올해 4월 방위산업 사이버보안 강화 방안을 발표했는데, 이 내용을 보면 미국 CMMC를 반영하고 있다.
Q. 우리 방산업체가 미국 CMMC를 직접 받으려면?
A. 미 국방부는 인증심사기관을 수행하는 업체, 컨설팅을 수행하는 업체, 교육을 수행하는 업체 및 대학 등을 각각 별도로 자격을 심사해 지정하고 있다. 우리 방산업체가 미국 CMMC를 받으려면 미국 교육업체로부터 교육을 받아야 하고, 컨설팅업체로부터 컨설팅을 받아야 하며, 인증심사업체에게 인증 심사를 받아야 한다.
이 과정에서 많은 국내 비용이 미국에 지불된다. 인증 심사 시에는 미국 민간인이 와서 우리 방산업체를 점검하고 심사하면서 방산업체 내부 시스템을 모두 들여다보게 된다. 이것은 방위산업 분야 사이버안보의 주권을 미국에 맡기는 심각한 사태라고 생각된다. 게다가 우리 방산업체들은 관련 법령에 따라 망분리 등에 이미 많은 비용을 지불한 상태다.
Q. 우리 정부가 미국 CMMC에 대응하려면 어떻게 해야 하나?
A. 미국 CMMC는 2025년부터 전면적으로 시행될 것으로 예상된다. 따라서 그전에 미국 CMMC 수준으로 방산 분야의 ‘사이버보안 인증제도(가칭 K-CMMC)’를 구축하고, 이를 미국의 CMMC와 상호인정 협정을 추진해야 한다. 이 협정이 이뤄지면 미국 CMMC 취득을 위해 많은 비용을 미국 업체에 지불하지 않아도 되고 방산 사이버안보 주권도 지킬 수 있다.
이와 같은 계획이 추진되려면 미국 CMMC 수준과 부합되지 않는 국내 관련 법령과 제도부터 시급히 개정돼야 한다. 올해 안으로 개정이 추진돼야 준비 기간을 거쳐 2025년부터 K-CMMC를 시행할 수 있을 것이다. 또한, 방산업체 및 협력업체의 K-CMMC 인증 구축을 지원하기 위한 조직과 예산도 확보해야 한다.