융합보안논문지 (Convergence Security Journal)

  • 제24권5호
  • /
  • Pages.177-187
  • /
  • 2024
  • /
  • 1598-7329(pISSN)
  • /
  • 2508-7460(eISSN)
한국융합보안학회 (Korea convergence Security Association)
권호 표지
DOI QR코드

DOI QR Code

K-RMF와 DevSecOps를 활용한 SW 중심 무기체계 획득 방안 연구

A Study on K-RMF and DevSecOps for Software-Centric Weapon Systems

  • 소정기 (서울미디어대학원대학교) ;
  • 길총경 (서울미디어대학원대학교) ;
  • 김용철 (육군사관학교 전자공학과) ;
  • 신규용 (육군사관학교 컴퓨터과학과)
  • 투고 : 2024.10.14
  • 심사 : 2024.10.30
  • 발행 : 2024.12.31
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

소프트웨어 중심 무기체계는 디지털 기술 발전과 함께 사이버 공격의 주요 표적이 되어 국가 안보에 위협을 가하고 있다. 본 연구는 소프트웨어 중심 무기체계 획득 과정에서 K-RMF(한국형 위험관리 프레임워크, 국방 사이버보안 위험관리)와 DevSecOps의 결합을 통한 보안 관리 전략을 제안하였다. DevSecOps는 보안 프로세스를 자동화하고, CI/CD 파이프라인을 통해 효율성을 높이며 신속한 배포를 가능하게 한다. 본 연구는 미국 RMF 사례와 DevSecOps 도입을 분석하여 K-RMF 적용 방안과 무기체계 보안성을 강화할 전략을 제시하였다. 또한, DevSecOps와 K-RMF 도입 초기의 비용 문제와 인증 절차 개선 방안도 논의되었다. 이를 통해 한국 무기체계 보안 강화를 위한 정책적 지원과 추가 연구 필요성을 강조하였다. 결론적으로, K-RMF와 DevSecOps의 결합은 변화하는 사이버 위협에 대응하고, 무기체계 신뢰성을 높이는 효과적인 방안이라 할 수 있다.

Software-centric weapon systems have become major targets of cyberattacks as digital technology advances, posing significant threats to national security. This study proposes a security management strategy that combines the Korea Risk Management Framework (K-RMF) with DevSecOps in the acquisition process of software-centric weapon systems. DevSecOps automates security processes and enhances efficiency through the CI/CD pipeline, enabling agile development and rapid deployment. This study analyzes the application of the U.S. RMF and the adoption of DevSecOps to derive effective application methods for K-RMF and strategies to enhance the security and reliability of weapon systems. Additionally, the study discusses the initial challenges of adopting DevSecOps and K-RMF, such as increased costs and issues with the certification process. Based on this, the need for policy support and further research to strengthen the security of Korea's weapon systems is emphasized. In conclusion, the combination of K-RMF and DevSecOps presents a promising approach to addressing evolving cyber threats and enhancing the reliability of weapon systems.

키워드

1. 서론

소프트웨어 중심 무기체계는 디지털 기술의 발전과 함께 사이버 공격의 주요 표적이 되고 있다. F-35 프로그램과 국내 방산업체에 대한 사이버 공격 사례는 이러한 무기체계가 직면한 실질적 위협을 보여주며, SolarWinds 해킹 사건은 소프트웨어 공급망의 취약성이 국가 안보에 미칠 수 있는 심각한 영향을 명확히 드러냈다. 인도네시아 국가 데이터 센터의 랜섬웨어 공격 또한 국가 핵심 인프라의 사이버 위협 노출 증가를 시사한다. 이처럼 소프트웨어 중심 무기체계와 관련 인프라의 보안 취약성은 국가 안보의 중요한 과제로 부상하고 있으며, 이를 해결하기 위한 체계적 보안 관리가 요구된다.

미국은 이러한 사이버 위협에 대응하기 위해 위험 관리 프레임워크(Risk Management Framework, RMF)를 도입하여 연방정부 및 군사 시스템에 적용하고 있다[1, 2]. RMF는 무기체계 획득 과정에서 사이버 보안을 강화하는 체계적 관리 도구로, 보안 위험을 평가하고 통제할 수 있는 기반을 제공한다. 그러나 RMF의 복잡한 승인 절차는 신속한 기술 통합을 저해할 수 있으며, 변화하는 기술 환경에 적응하는 데에도 한계가 있다. 이를 해결하기 위해 미국은 적응형 획득 체계(Adaptive Acquisition Framework, AAF)[3] 내에서 소프트웨어 획득 경로(Software Acquisition Pathway, SWP[4])를 도입하였으며, 이를 통해 무기체계 획득 과정에서 유연성과 신속성을 확보하고 있다.

한국은 한미 연합 방위체제 내에서 무기체계의 사이버 보안을 강화하기 위해 K-RMF를 도입하였다. 이는 연합 작전 중 발생할 수 있는 보안 취약점을 줄이고, 무기체계의 보안성을 전체 수명주기 동안 유지하는 데 중요한 역할을 할 것이다. K-RMF는 한국과 미국의 보안통제 체계를 상호 연동하고, 국내 환경에 맞춘 통제항목을 반영하여 무기체계의 신뢰성을 부여하는 조치이다.

K-RMF의 성공적인 정착을 위해서는 미국의 RMF 도입 및 운영 경험을 벤치마킹할 필요가 있다. 미국은 RMF 적용 과정에서 복잡성과 기술 업데이트의 어려움을 겪었으나, SWP와 DevSecOps[5] 도입을 통해 이를 개선하였다. DevSecOps는 자동화된 보안 점검과 지속적 통합과 배포(Continuous Integration/Continuous Delivery, CI/CD)를 통해 보안성과 신속성을 동시에 확보하며, RMF 절차의 효율성을 크게 높이는 데 기여하였다. 이러한 미국의 경험은 K-RMF 도입 과정에서도 중요한 참고가 될 것이다.

이 연구는 소프트웨어 중심 무기체계의 획득 과정에서 RMF의 유연한 적용 방안을 제시하고, DevSecOps 기반의 자동화된 보안 활동을 통합하여 민첩한 개발과 신속한 배포를 가능하게 하는 방안을 모색한다. 이를 통해 K-RMF의 안정적 운영과 무기체계의 보안성을 강화하는 구체적인 방안을 도출할 것이다.

본 논문은 다음과 같이 구성된다. 2장에서는 RMF와 K-RMF의 동향을 살펴보고, 미군의 주요 무기체계와 소프트웨어 획득 절차에서의 RMF 통합 사례를 분석하여 각 체계의 보안 관리 접근법을 비교한다. 3장에서는 한미 간 보안 통제 항목을 분석하고, K-RMF를 무기체계 획득 절차에 적용할 때 예상되는 문제점을 제시한다. 4장에서는 소프트웨어 중심 무기체계에 적합한 K-RMF와 DevSecOps 활용 방안을 제안하며, 보안성, 신속성, 유연성 측면에서 제안된 방안의 적절성을 평가한다. 결론에서는 연구 결과를 요약하고, 방산업체와의 협력 및 정책적 지원을 강조하며, 경제성 및 실용성을 검증하기 위한 향후 연구 방향을 논의한다.

2. 관련 연구

2.1 美軍의 RMF 동향

RMF는 NIST에서 개발한 정보 시스템 보안 및 위험 관리 체계로, 복잡한 사이버 위협에 대응하기 위한 체계적인 절차를 제공한다. 위험을 식별하고 평가하며 대응하는 과정을 통해 보안을 강화하고, 지속적인 모니터링을 통해 시스템의 안전성을 유지한다. 또한, 위험 기반 접근 방식을 채택하여 자원의 효율적 배분을 가능하게 하고, 우선순위가 높은 위험에 집중 대응하여 보안 요구 사항을 최신 상태로 유지하고 개선한다.

(그림 1)은 RMF의 단계별 수행 절차와 구조를 보여준다. 준비(Prepare) 단계에서는 보안 관리와 위험관리를 위한 기본 환경을 설정하고, 조직 차원의 정책 수립, 책임자 지정, 그리고 보안 전략을 마련한다. 이어서, 시스템과 정보를 그 중요도에 따라 분류(Categorize)하고, 적절한 보안 통제항목을 선택(Select)하여 이를 시스템에 구현(Implement)한다. 이후 평가(Assess) 단계를 통해 보안 통제항목의 적절성을 검증한 뒤, 시스템 운영에 대한 권한(Authorize)을 부여한다. 인가된 시스템은 지속적인 모니터링(Monitor)을 통해 보안 상태를 유지하고 개선하는 과정이 반복된다.

SOBTCQ_2024_v24n5_177_3_f0001.png 이미지

(그림 1) RMF Tasks Structure[1]

RMF는 정보 시스템의 보안을 체계적으로 관리하는 데 효과적이지만, 그 절차가 복잡하고 적용에 시간이 소요될 수 있다. 특히, 대규모 시스템인 무기체계의 획득 과정에서는 문서화 요구와 검증, 평가 과정이 업무 부담을 가중시키고, 신속한 기술 통합을 방해할 수 있다. 또한, 절차적 복잡성으로 인해 프로젝트 일정과 비용에 영향을 미칠 수 있으며, 빠르게 변화하는 위협 환경에 신속히 대응하기 어려운 문제가 발생할 수 있다.[6, 7, 8].

<표 1>은 RMF(SP 800-37 Rev.2[1])의 단계별 작업 수와 참고문헌을 나타낸다. RMF의 각 단계는 다양한 작업을 요구하며, 이로 인해 유연성과 속도 문제가 발생할 수 있다. 예를 들어, Prepare 단계에서는 18개의 작업이 포함되며, 이는 다양한 NIST 문서에 의존하여 수행된다. 이와 유사하게, Categorize부터 Monitor 단계까지도 다수의 문서와 작업을 요구하는 구조를 가지고 있다. 이러한 복잡성은 국방 관계자와 방산업체에 상당한 부담을 초래하고, 속도를 저하시킬 수 있다.

<Table 1> RMF 단계별 작업 수와 참고문헌[1]

SOBTCQ_2024_v24n5_177_3_t0001.png 이미지

이러한 문제를 해결하기 위해 美軍은 eMASS(enterprise Mission Assurance Support Service)[9]를 도입하여 RMF 절차를 자동화하고 문서화 과정을 간소화하고 있다. eMASS는 RMF 절차에서 발생하는 복잡성을 줄이고, 국방 관계자와 방산업체가 보다 효율적으로 보안 절차를 이행할 수 있도록 지원한다. 아울러, 상업용 도구(예. Xacta[10], Archer[11] 등)도 RMF의 복잡한 절차를 지원하여 전체적인 업무 속도와 정확성을 향상시키는 데 기여하고 있다.

2.2 주요 무기체계 획득(MCA)과 RMF 통합

대규모 무기체계 획득 과정에서 시스템의 전체 수명주기에 걸쳐 보안과 위험 관리가 필수적이다. 이를 위해 美軍은 Major Capability Acquisition(MCA) 경로에 RMF를 통합하여 시스템 설계부터 유지관리까지 일관된 보안 통제와 위험 완화를 보장하고 있다. 특히, 디지털 엔지니어링(digital engineering)을 활용하여 보안 경계를 식별하고 초기 위험 평가를 지원하며, 각 단계에서 필요한 보안 아티팩트(artifact)의 자동 생성을 통해 프로세스를 간소화하고 효율성을 높인다. 이를 통해 변화하는 요구사항에 대응하면서 반복적인 작업을 줄이고 자원과 시간을 절약할 수 있다[12]. (그림 2)에서 보는 바와 같이 MCA 경로에서 RMF 단계는 아래와 같은 방식으로 통합된다.

SOBTCQ_2024_v24n5_177_4_f0001.png 이미지

(그림 2) Integrating RMF Steps in MCA[12]

∙ Material Solution and Analysis 단계: RMF의 Prepare 단계(①)가 적용되어 보안 정책수립, 시스템 보안 요구사항 정의, 디지털 엔지니어링을 통한 보안 경계 식별 작업이 이루어지고, Categorize(②)를 통해 시스템의 보안 범주가 설정된다.

∙ Technology Maturation and Risk Reduction 단계: Select 단계(③)에서는 시스템 보안 범주에 맞춰 적절한 보안통제항목이 선택되며, 이는 보안계획(Security Plan)과 행동계획(POA&M)에 반영된다.

∙ Engineering and Manufacturing Development 단계: Implement 단계(④)에서 보안통제항목이 시스템 설계와 프로토타입 개발 과정에 적용된다. 계약자와 협력하여 보안통제항목을 시스템 사양에 통합하며, 하위 구성요소에도 이를 반영한다. 또한, Assess 단계(⑤)에서는 보안통제항목의 효과를 평가하여, 보안평가보고서(Security Assessment Report)와 위험평가보고서(Risk Assessment Report)에 기록된다. 이후 Authorize 단계(⑥)에서 시스템 운영 승인(Authorization)이 이루어지며, 시험평가(T&E) 결과가 반영된다.

∙ Production and Deployment 단계: Monitor(⑦)가 적용되어 시스템 보안통제항목을 실시간으로 모니터링하고 보안 상태를 유지 및 업데이트한다.

RMF와 MCA의 통합은 AAF[3]의 다른 획득 경로와 연계되어, 절차적 간소화와 유연성을 확장시킨다. 특히, SWP는 변화하는 사이버보안 환경에 맞춰 유연하게 대응할 수 있으며, RMF와의 통합을 통해 보안 평가와 인증 절차를 신속하고 효율적으로 진행할 수 있다. 디지털 엔지니어링과 자동화 도구를 활용하여 보안 평가와 인증 절차의 속도를 높이고, 반복적인 작업을 줄이는 방식으로 전체 프로세스의 효율성이 향상된다. 다음은 SWP와 RMF의 통합에 대해 설명한다.

2.3 SW 획득(SWP)과 RMF 통합

첨단 무기체계에서 소프트웨어(SW)의 비중이 증가함에 따라, 사이버 위협과 내재된 SW 취약점을 보완하기 위한 업데이트와 보안 패치의 속도가 중요해지고 있다. 美軍은 애자일(agile) 방식을 적용한 SWP[4]에 RMF를 통합하여, SW개발 및 배포 과정에서 유연성과 신속성을 제공하면서도 보안과 위험 관리를 동시에 강화하고 있다[13]. (그림 3)과 같이 SWP와 RMF의 통합은 아래와 같이 두 단계를 거쳐 구현된다.

SOBTCQ_2024_v24n5_177_4_f0002.png 이미지

(그림 3) Integrating RMF Steps in SWP[13]

∙ Planning 단계: Prepare 단계(①)는 SW 개발 및 배포 환경을 정의하고, 공통 및 하이브리드 보안통제항목를 식별하여 보안 관리의 부담을 줄인다. 이 단계에서는 조직의 위험평가와 시험평가(T&E) 전략을 통해 보안 요구사항을 설정하며, 상속 가능한 보안통제항목을 파악해 기존 시스템과의 연계를 지원한다. 이어서 Categorize(②) 단계에서는 시스템의 기밀성, 무결성, 가용성에 따라 보안 범주가 설정된다. ATO(Authorization to Operate)와 통합된 보안 요구사항이 정의되고, 보안 검토 과정이 간소화되고 자동화된다.

∙ Execution 단계: Assess Only Construct(③)가 적용되어 기존 보안 평가 절차를 간소화하고, SW 기능과 환경을 자동화된 도구로 신속하게 검토한다. 이때 보안통제항목은 보안 계획과 위험 평가 보고서에 기록된다. 또한, SW 배포 후에는 자동화된 모니터링 도구를 통해 실시간으로 보안 상태를 유지하고, 취약점에 신속히 대응하여 보안을 강화한다.

RMF와 SWP의 통합은 보안 통제와 위험 관리의 자동화를 통해 신속한 평가와 인증 절차를 가능하게 하며, 보안 검토와 인증 절차를 간소화한다. 또한, 애자일 방식을 채택하여 변화하는 사이버보안 환경에 유연하게 대응할 수 있으며, 보안 관리 과정의 효율성을 높여 SW 중심 무기체계의 보안을 효과적으로 유지한다.

2.4 RMF 통합된 MCA와 SWP 비교

MCA는 대규모 무기체계 획득을 위한 경로로, 복잡하고 철저한 보안 절차와 문서화가 중요한 요소로 강조된다. RMF 절차는 Prepare 단계에서 보안 경계를 설정하고, Categorize 단계에서 보안 범주화를 진행하며, Select 단계에서 보안통제항목을 선정하여 구현하는 방식으로 이루어진다. 이러한 절차는 대형 시스템의 특성에 맞춰 면밀한 검토가 이루어지며, 보안 위협을 체계적으로 관리하여 시스템의 안정성을 보장하는데 중요한 역할을 한다. F-35 프로그램과 같은 대규모 무기체계 프로젝트에서는 복잡한 보안 요구사항이 철저히 반영되었지만, 절차적 복잡성으로 인해 일정 지연과 비용 증가가 발생했다[14]. 이는 MCA 경로가 높은 수준의 보안성은 보장하지만, 배포 속도가 느리고 유연성이 부족할 수 있음을 나타낸다.

반면, SWP는 소프트웨어 중심 무기체계의 신속한 개발과 배포를 지원하는 방식이다. DevSecOps와 지속적 통합 및 배포(CI/CD) 파이프라인을 통해 보안절차를 자동화하고, 일부 보안 검토 과정을 간소화하여 개발 속도를 높인다. 특히, 소프트웨어가 자주 업데이트되는 환경에서 보안성과 배포 속도 간의 균형을 유지하며 민첩성을 제공한다. Platform One과 같은 미군의 DevSecOps 플랫폼은 이러한 체계를 통해 지속적 보안 검토와 자동화된 배포를 가능하게 하고, 보안 취약점에 신속히 대응할 수 있도록 한다[6]. 이러한 실시간 자동화된 보안 대응을 통해 SWP는 빠르게 변화하는 보안 요구사항에도 유연하게 대응할 수 있는 능력을 갖추고 있다.

2.5 K-RMF 규정

국방 사이버보안 위험관리(K-RMF)[15]는 2024년 4월에 제정되어, 무기체계와 전력지원체계의 사이버보안 위험을 수명주기 전반에 걸쳐 체계적으로 관리하도록 규정한다. 이 규정은 국방 정보화 기반의 기밀성, 무결성, 가용성을 보장하며, 사이버위협에 대응하기 위한 절차와 기준을 제시한다. 우선적으로 소프트웨어 중심 무기체계에 적용되며, 향후 모든 무기체계와 전력지원체계로 확대될 예정이다.

K-RMF 운영을 위해 각 기관은 고유한 역할을 수행한다. 국방부는 위험관리 정책 수립과 운영을 총괄하며, 국군방첩사령부는 보안 평가와 보안통제 항목 선정의 적절성을 검토한다. 사이버작전사령부는 위협 모델링과 모의 침투를 통해 시스템의 취약점을 분석하고, 합동참모본부는 무기체계의 소요 제기와 보호 업무를 주관한다. 방위사업청은 체계 개발 및 획득 과정에서 위험관리를 담당하며, 국방과학연구소는 최신 보안 기술 연구를 통해 위험관리 방안을 발전시킨다.

3. K-RMF 분석과 무기체계 획득적용

3.1 보안통제항목 분석(K-RMF vs. RMF)

RMF[16]와 K-RMF[17]의 보안통제항목을 비교함으로써 두 체계가 설정한 보안 우선순위를 명확히 할 수 있다. 두 체계는 기밀성, 무결성, 가용성을 보장하기 위한 관리적, 운영적, 기술적 조치를 포함하지만, 각국의 보안 요구사항에 따라 우선순위에 차이가 있다. RMF는 국제적인 사이버 위협 대응에 중점을 두고 있는 반면, K-RMF는 첫 도입 단계에서 내부 보안 체계의 안정적 정착을 우선시하고 있다.

<표 2>에 따르면, RMF는 20개의 보안 통제 패밀리와 1,189개의 보안통제항목을 포함하고 있으며, K-RMF는 17개의 패밀리와 761개의 보안통제 항목으로 구성되어 있다. K-RMF는 RMF의 일부 항목을 통합하거나 재분류하여 한국 국방 환경에 맞게 적용하고 있으며, 내부 위협 관리에 우선순위를 둔 구조로 설계되었다. 이러한 차이는 양국의 국방 보안 환경과 요구사항의 차이에 기인한다.

<Table 2> Comparison of Security Controls

SOBTCQ_2024_v24n5_177_6_t0001.png 이미지

RMF는 미국의 정보 시스템 보안을 위한 체계로, 지속적인 모니터링과 위협 평가를 통해 실시간 사이버 위협에 대응한다. 특히, CA-7 통제항목은 국제적 사이버 위협에 대한 즉각적 대응을 가능하게 하며, Hunt Forward와 같은 공세적 사이버 방어 작전에서도 활용된다[18].

K-RMF는 한국 국방 환경에 특화된 보안체계로, PA-6(내부자 위협 대응)과 SC-6(서비스 거부 보호)를 통해 내부 위협을 관리하며, SC-8(경계 보호) 항목을 통해 외부 침입을 제한한다. 현재 K-RMF는 내부 보안 체계 안정화에 중점을 두고 있으나, 사이버공간 위협 대응을 위한 사이버 작전과의 연계는 향후 고려해야 할 과제이다. 특히, 국가사이버안보 전략[19]에서 강조된 공세적 사이버 방어 체계 강화는 외부 위협에 대한 선제적 대응을 목표로 하며, K-RMF가 이를 반영하여 외부 사이버 위협에 대응한다면 보다 효과적인 방어 체계를 구축할 수 있다. 이에 따라 보안통제항목의 개선도 기대할 수 있을 것이다.

3.2 K-RMF를 적용한 무기체계 획득

K-RMF는 美軍의 MCA와 유사하게 기존 무기체계 획득 절차를 기반으로 한다. (그림 4)는 K-RMF를 적용한 전장관리정보체계 획득 절차를 단계별로 보여준다. 이 절차는 소요제기부터 획득, 운영 및 폐기까지 이어지며, 각 단계에서 보안 요구사항이 설정되고, 구현과 평가가 이루어진다.

SOBTCQ_2024_v24n5_177_6_f0001.png 이미지

(그림 4) K-RMF를 적용한 전장관리정보체계 획득 절차도 (방위사업관리규정 별표4 참조)

먼저, 소요군이 시스템의 보안 요구사항을 설정하고, 이를 바탕으로 기밀성, 무결성, 가용성을 기준으로 보안 분류()를 수행한다. 이후, 합동참모본부에 소요제기서를 제출하여 최종 결정을 받게 된다. 이 과정에서 국군방첩사령부는 보안 대책의 적절성을 검토하고 피드백을 제공한다.

다음으로, 체계 개발 단계에서는 방위사업청이 보안통제항목을 선정()하고 이를 기반으로 보안계획서를 작성한다. 이 보안계획서를 바탕으로 연구개발 주관기관(국방과학연구소 등)이 시스템을 개발하고, 보안통제항목을 실질적으로 구현()한다. 이후 국군방첩사령부는 보안 통제가 적절히 적용되었는지 평가()하고, 그 결과를 토대로 체계 운영 책임기관이 인가()를 부여한다.

체계 운영 단계에서는 체계운영기관이 지속적으로 보안통제항목을 모니터링()하며, 사이버작전 사령부는 모의 침투 및 위협 모델링을 통해 시스템의 취약점을 분석한다. 국군방첩사령부는 재평가 및 재인가 절차를 지원하며, 체계가 폐기될 때까지 지속적인 보안 관리가 이루어진다.

3.3 K-RMF 적용 시 예상 문제점

K-RMF를 전장관리정보체계에 적용할 때, 절차의 복잡성과 기관 간 협력이 요구되므로 인증과 인가 절차가 지연될 가능성이 있다. 방위사업청, 연구개발 주관기관, 국군방첩사령부, 체계운영기관 등 여러 기관이 협력하는 과정에서 조정이 길어질 수 있으며, 이는 미군 사례에서도 발생했던 문제로 확인된 바 있다[6, 8].

또한, K-RMF의 구조화된 절차는 빠르게 변화하는 사이버 위협에 신속하게 대응하기 어려울 수 있다. 전장관리정보체계와 같은 시스템에서는 사이버 위협이 빠르게 진화함에 따라, 이러한 경직성이 보안 대응에 걸림돌이 될 수 있다. 보안 업데이트나 새로운 기술 도입이 지연될 가능성이 높으며, 절차를 유지하고 관리하는 데 필요한 인력 및 자원 증가로 인한 비용 부담 역시 가중될 수 있다. 미국은 RMF 준수로 인해 방산업체가 상당한 비용 부담을 겪은 사례[6, 7, 8]가 있으며, K-RMF에서도 이와 유사한 문제가 발생할 가능성이 있다.

현재 K-RMF는 무기체계 획득 절차와 연동된 6단계 구조를 따르도록 한다. 하지만 소프트웨어 중심 무기체계는 빠르게 변화하는 사이버 위협에 대응하기 위해 신속한 SW 패치와 업데이트가 요구된다. 이를 해결하고자 미군은 적응형 획득 체계(AAF) 내 각 획득 경로와 RMF를 통합하여 유연성을 강화했으며, 방위사업청 또한 소프트웨어 중심 무기체계에 적합한 신규 획득 절차를 마련할 계획이다[20]. 이러한 배경을 바탕으로, 다음 장에서는 K-RMF와 DevSecOps를 활용한 소프트웨어 중심 무기체계 획득 방안을 제안한다.

4. K-RMF와 DevSecOps를 활용한 SW 중심 무기체계 획득 방안

4.1 DevSecOps 소개

DevSecOps는 보안(Security)을 개발(Development) 및 운영(Operation) 단계에 통합하여 소프트웨어 수명주기 전반에서 보안을 지속적으로 관리하고 사이버 위협에 대응하는 접근 방식을 취한다[5]. 美軍은 소프트웨어 개발 과정에서 보안을 강화하고자 DevSecOps와 RMF를 연계하였고, 지속적 통합과 배포(CI/CD) 파이프라인을 통해 자동화된 보안 검증을 수행하여 실시간으로 보안 취약점을 관리하는 체계를 구축하였다. 이로써 기존 체크리스트 기반 컴플라이언스 방식에서 벗어나, 제로데이 공격 등 새로운 위협에도 신속히 대응할 수 있는 체계로 개선하고 있다.

특히, 美軍은 Platform One[21]과 같은 DevSecOps 플랫폼을 도입하여 개발과 보안 통합을 표준화했으며, 이를 바탕으로 cATO(continuous Authorization to Operate) 체계를 통해 RMF 절차를 자동화하여 소프트웨어 배포의 민첩성과 보안성을 한층 강화하고 있다[22, 23].

(그림 5)는 DevSecOps 핵심 프로세스를 보여준다. Plan 단계에서는 요구사항이 설정되며, Develop 단계에서 코드 작성과 함께 정적 보안 검증이 자동화되어 잠재적 취약점을 사전에 식별한다. Build 단계에서 코드는 통합되고, Test 단계에서는 동적 보안 검증과 침투 테스트를 통해 실행 환경에서 보안성을 확인한다. Release 단계에서는 SW 배포 준비가 완료되며, Deliver 단계에서 실제 배포가 이루어진다. Operate 단계에서는 시스템이 운영되며, Monitor와 Feedback을 통해 실시간으로 보안이 점검 및 개선된다. 모든 단계에서 보안은 자동화 방식으로 적용되어, 개발과 운영 전반에 걸쳐 유지된다[5, 24].

SOBTCQ_2024_v24n5_177_7_f0001.png 이미지

(그림 5) DevSecOps Core Loop[24]

4.2 DevSecOps 보안 활동

<표 3>은 DevSecOps의 각 단계에서 수행되는 주요 보안 활동을 요약한 것으로, SW 생애주기 동안 지속적인 보안 강화와 위협에 신속히 대응하는 것을 목표로 한다[25]. 모든 단계에서 임무 기반 사이버 위험 평가(MBCRA)를 통해 시스템 운영 환경에 맞춘 보안 위험 평가가 이루어지며, 위협 모델링을 통해 잠재적 위협을 식별하고 대응 방안을 마련한다.

<Table 3> DevSecOps Security Activities[25]

SOBTCQ_2024_v24n5_177_8_t0001.png 이미지

개발 단계에서는 시큐어 코딩(secure coding)을 실시하고, 커밋(commit) 시 코드 검사를 통해 자동화된 방식으로 취약점을 사전에 식별하고 보완한다. 빌드 단계에서는 의존성 취약점 검사와 정적 분석을 통해 외부 라이브러리와 패키지의 보안 취약점을 점검하며, API 보안 테스트를 통해 시스템 간 상호작용의 안전성을 검증한다. 테스트 단계에서는 동적 애플리케이션 보안 테스트(DAST)와 침투 테스트를 통해 실행 중인 애플리케이션의 보안 취약점을 확인하고, 상호작용 보안 테스트(IAST)를 통해 시스템 간의 상호작용과 데이터베이스 및 서비스 계층의 보안을 검증한다.

배포 준비 단계에서는 SW 구성 요소의 출처와 보안 상태를 점검하고, 배포 후 발생할 수 있는 보안 위험을 자동으로 모니터링하여 관리한다. 배포 후에는 보안 스캔을 통해 운영 중 발생할 수 있는 보안 문제를 자동으로 확인하며, 카오스 엔지니어링(Chaos Engineering)을 통해 예상치 못한 장애나 공격 상황에서 시스템의 대응력을 평가한다. 또한, 사이버 운영 시험평가(Cyber OT&E)로 시스템의 복원력과 보안성을 점검한다. 모니터링 단계에서는 시스템 보안과 규정 준수를 실시간으로 감시하여 잠재적인 위협에 대응하며, 운영 중인 시스템의 데이터베이스와 애플리케이션 보안을 자동으로 관리하여 전체적인 보안 상태를 지속적으로 강화한다.

4.3. DevSecOps WBS

SW 중심 무기체계에 K-RMF를 적용하기 위해서는 개발 단계부터 운영까지 보안을 통합하는 체계적인 접근이 필요하다. K-RMF는 기존의 폭포수 모델(waterfall model)을 기반으로 한 보안 관리 절차를 제공하지만, SW 중심 무기체계에서는 유연하고 신속한 대응이 가능한 애자일(agile) 모델이 요구된다. WBS(Work Breakdown Structure)는 K-RMF 절차와 결합하여 각 단계별 보안 관리 활동을 정의하고, 이를 애자일 방식에 맞게 조정하여 체계적으로 관리할 수 있는 기반을 제공한다. 이를 통해 각 작업을 세분화하고, 보안 요구사항이 개발 과정에 자연스럽게 통합되어 위험을 줄이는 동시에, 보안과 개발 활동 간의 조화를 이룬 프로세스를 마련할 수 있다.

(그림 6)은 K-RMF를 적용한 DevSecOps를 보여준다. 계획(Plan) 단계에서는 프로젝트 관리팀이 보안요구사항과 전략을 수립하며, K-RMF의 보안통제항목을 식별하여 보안 기준을 문서화한다(K-RMF ~ ). DevSecOps 자동화 도구[25]를 도입하면, 수작업을 최소화할 수 있으며, 보안 규칙의 일관성을 유지하고 검토 과정에서 실수를 줄일 수 있다. 이 문서는 이후 개발 및 테스트 단계에서 체크리스트 형태로 활용되며, 보안이 적절히 반영되었는지 확인할 수 있는 기준이 된다.

SOBTCQ_2024_v24n5_177_9_f0001.png 이미지

(그림 6) DevSecOps WBS

개발 및 통합(Develop/Build) 단계에서는 CI/CD 파이프라인을 통해 코드 통합, 보안 테스트, 배포가 자동화된다. 자동화된 도구는 코드의 보안 취약점을 실시간으로 분석하고 보고서를 생성하며, 이 과정에서 보안 검토 결과는 자동으로 문서화된다. 이때, 정적 분석 및 동적 분석의 결과가 K-RMF 기준에 맞는지 확인할 수 있다(K-RMF ).

테스트(Test) 단계에서는 성능 및 보안 테스트가 자동화된 시스템을 통해 진행되며, 결과는 문서화되어 K-RMF의 보안 통제항목을 충족하는지 검증된다(K-RMF ). 지속적인 체계 인가(cATO)는 보안 모니터링과 문서화를 통해 자동으로 유지된다. 이 방식은 수동으로 인가절차를 줄이고, 보안 위협에 신속하게 대응할 수 있도록 돕는다(K-RMF ).

배치 및 운영(Deploy/Operate) 단계에서는 운영팀이 자동화된 배포 시스템을 통해 소프트웨어를 운영 환경으로 배포하고, 실시간 모니터링 시스템이 소프트웨어의 보안 상태를 감시한다. 배포 후 보안 상태는 자동화된 로그 분석과 실시간 모니터링을 통해 점검되며, 운영 중 발생하는 보안 이벤트는 실시간으로 기록되고 이후의 대응 방안 수립에 활용된다(K-RMF ). 또한, 개발자, 운영자, 보안 담당자 간의 협력과 교육이 이루어지며, 각 팀의 역할과 책임이 명확하게 문서화된다. 교육 결과 역시 문서화되어, 배포 이후 각 팀이 맡은 역할을 제대로 수행하고 있는지 체크리스트 형태로 점검할 수 있다.

4.4. K-RMF 적용 방식 비교

K-RMF는 현재 대규모 무기체계 획득 절차에 맞춰 설계되었으며, 보안 절차와 문서화를 통해 안정성과 신뢰성을 보장하는 데 중점을 둔다. 대규모 무기체계의 경우, 각 단계에서 보안 통제를 체계적으로 수행할 수 있는 시간적 여유가 있어, 긴급성을 요구하지 않는 보안 대응 방식이 적합하다. 이 접근 방식은 장기적인 시스템 안정성과 보안을 확보하는 데 효과적이다.

반면, 소프트웨어 중심 무기체계는 신속한 업데이트와 실시간 위협 대응이 필수적이다. 이로 인해 자동화된 보안 절차와 유연한 대응 체계가 필요하다. DevSecOps 방식은 보안 절차를 자동화하고 신속한 배포와 보안성을 동시에 확보할 수 있도록 지원한다. 이에 따라 K-RMF를 적용할 때도 신속한 위협 대응과 빠른 배포가 핵심 요소가 될 것이다. 이를 통해 소프트웨어 중심 무기체계는 변화하는 사이버 위협에도 안정적인 보안성을 유지할 수 있다.

<표 4>는 대규모 무기체계와 SW 중심 무기체계에서의 K-RMF 적용을 비교 분석한 결과로, 두 체계의 상이한 요구 사항에 따라 보안 절차가 맞춤형으로 적용될 필요가 있음을 보여준다. 특히, 대규모 무기체계는 철저한 보안 통제와 문서화 절차를 통해 안정성과 신뢰성을 확보하는 것이 중요한 반면, SW 중심 무기체계는 신속한 업데이트와 실시간 위협 대응을 위해 유연한 보안 체계가 필요하다. 이러한 구분은 각각의 시스템 특성과 운영 환경에 최적화된 보안 관리가 필요하다는 점을 시사한다.

<Table 4> K-RMF 적용 비교 분석

SOBTCQ_2024_v24n5_177_9_t0001.png 이미지

더불어, 대규모 무기체계의 경우에서도 신속한 대응이 요구될 수 있는 일부 긴급 상황을 고려해, 선택적이면서도 효율적인 문서화 절차가 필요하다. 한편, SW 중심 무기체계에서도 주요 기능이나 인가에 필수적인 문서화를 최소한으로 유지해 보안 기준이 적절히 충족되도록 해야 한다. 따라서, 양 체계 모두에서 보안성 및 운영 효율성의 균형을 유지할 수 있도록 K-RMF가 유연하게 조정되는 것이 바람직하다.

5. 결론

본 연구는 소프트웨어 중심 무기체계에서 사이버 보안을 강화하기 위한 K-RMF와 DevSecOps의 결합 방안을 제시하였다. 이를 통해 신속한 개발 및 배포를 가능하게 하고, 무기체계의 전 생애주기 동안 보안성을 유지할 수 있는 구체적인 방법을 논의하였다. 특히, DevSecOps는 보안을 개발 및 운영 단계에 통합하고, CI/CD 파이프라인을 통해 보안 검증과 실시간 모니터링을 자동화함으로써, 기존의 복잡한 절차보다 더 효율적이고 유연한 보안 관리 방식을 제공할 수 있다.

그러나 K-RMF와 DevSecOps의 결합을 성공적으로 적용하기 위해서는 해결해야 할 과제들이 남아 있다. 미국의 사례에서 알 수 있듯이, DevSecOps 도입 초기에는 방산업체들이 자동화 도구 도입과 유지 비용, 그리고 cATO와 같은 지속적인 인증 절차에서 발생하는 시간 및 자원 소모 문제를 겪은 바 있다. 이러한 문제는 K-RMF의 초기 도입에서도 유사하게 나타날 수 있으며, 이를 해결하기 위해서는 정책적 지원, 자동화 도구 표준화, 그리고 방산업체와의 협력이 필수적이다.

향후 연구에서는 이러한 문제를 해결할 방안과 검증이 필요하다. DevSecOps와 K-RMF의 통합 모델이 실질적으로 적용될 때, 경제적 부담과 보안성 강화를 동시에 달성할 수 있는 방법에 대한 구체적인 시뮬레이션 및 실험적 검증이 요구된다. 이를 통해 K-RMF와 DevSecOps는 소프트웨어 중심 무기체계에서의 보안성을 획기적으로 향상시키는 중요한 도구로 자리잡을 수 있을 것이다.

본 연구는 K-RMF와 DevSecOps의 적용을 통해 한국 무기체계와 방산업체의 사이버 보안을 더욱 강화할 수 있는 새로운 방향을 제시하였으며, 향후 연구와 실증을 통해 더 발전된 획득 및 운영모델로 나아가야 한다.

참고문헌

  1. U.S. NIST, Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, NIST SP 800-37 Revision 2, 2018.
  2. U.S. Department of Defense (DoD), DoDI 8510.01: Risk management framework (RMF) for DoD information technology, July 19, 2022.
  3. U.S. Department of Defense, DODI 5000.02: Operation of the Adaptive Acquisition Framework (Change 1), June 2022.
  4. U.S. DoD, DoDI 5000.87: Operation of the Software Acquisition Pathway, October 2020.
  5. U.S. Department of Defense, DoD Enterprise Dev SecOps Strategy Guide, 2021.
  6. U.S. Government Accountability Office (GAO), Information Technology: DOD Software Development Approaches and Cybersecurity Practices May Impact Cost and Schedule (GAO-21-182), December 2020.
  7. U.S. GAO, Weapon Systems Cybersecurity: Guidance Would Help DOD Programs Better Communicate Requirements to Contractors(GAO-21-179), March 2021.
  8. U.S. GAO, Weapon Systems Annual Assessment: Programs Are Not Consistently Implementing Practices That Can Help Accelerate Acquisitions, June 2023.
  9. https://en.wikipedia.org/wiki/EM
  10. https://www.telos.com/offerings/xacta/
  11. https://www.archerirm.com/
  12. U.S. Department of Defense, Major capability acquisition pathway integration with risk management framework, August 2023.
  13. U.S. Department of Defense, Software Acquisition Pathway Integration with Risk Management Framework, August 2023.
  14. U.S. GAO, F-35 Aircraft: DOD and the Military Services Need to Reassess the Future Sustainment Strategy. (GAO-23-105341), 2023.
  15. 국방부, 국방 사이버보안 위험 관리 지시, 국가법령정보센터, 2024.
  16. U.S. NIST, Security and Privacy Controls for Information Systems and Organizations (NIST Special Publication 800-53, Revision 5), 2020.
  17. 국군방첩사령부, K-RMF제도 보안통제항목 목록서(대외 공개용), 2024.
  18. U.S. Cyber Command, "Committed Partners in Cyberspace": Following cyberattack, US conducts first defensive Hunt Operation in Albania, 2023.
  19. 국가안보실, 국가 사이버안보 전략, 2024.
  20. 방위사업청 보도자료, 무기체계 소프트웨어 맞춤형 마련한다, 2024.1.4.
  21. https://software.af.mil/platform-one
  22. U.S. DoD, DoD Enterprise DevSecOps Reference Design v1.0_Public Release, 2019.
  23. U.S. NIST, NIST SP 800-160, Volume 2: Developing Cyber-Resilient Systems: A Systems Secuirty Engineering Approach, 2021.
  24. U.S. DoD, DoD Enterprise DevSecOps Fundamentals. Version 2.5, 2024.
  25. U.S. DoD, DevSecOps Fundamentals Guidebook: DevSecOps Activities & Tools. DoD Cyber Exchange, 2023.