중견 방산업체 보안관제 개선을 위한 위협 정보 공유 및 IP 차단 정책 적용 효과 분석

Effectiveness Analysis of Threat Intelligence Sharing and IP Blocking Policy for Security Monitoring Enhancement in a Mid-Sized Defense Company

Abstract

본 연구는 중견 방산업체의 보안관제 효율성을 향상시키기 위한 방안으로, 정부 기관의 사이버 위협 정보 공유체계를 기반으로 한 IP 차단 정책 적용 효과를 실증적으로 분석하였다. 고도화되는 사이버 공격 환경 속에서 중소·중견 방산업체는 전문인력 부족과 외주 관제 의존으로 인해 신속하고 능동적인 대응에 한계를 겪고 있다. 이에 본 연구는 위협 정보 공유의 정책적 활용 가능성과 보안관제 기능의 내재화를 위한 단계적 전략을 제시하고, 사례기업에 위협 IP 차단 정책을 적용하여 이메일 기반 외부 위협의 변화를 정량적으로 분석하였다. 분석 결과, 정책 적용 후 스팸메일 수신량이 유의미하게 감소하였으며, 이는 정부 제공 정보를 기반으로 한 능동적 보안 정책 수립이 보안관제 효율성 향상에 실질적으로 기여할 수 있음을 입증하는 결과이다. 본 연구는 위협 정보 공유와 차단 정책의 결합이 보안 예산과 인력이 제한된 중견 방산업체에도 적용 가능한 실용적 모델임을 제시하며, 향후 민·관 협력 기반의 보안 인프라 강화 및 관제 내재화 전략의 중요성을 뒷받침한다.

This study empirically analyzes the effectiveness of implementing an IP blocking policy based on government-provided cyber threat intelligence to improve security monitoring operations in mid-sized defense companies. Amid increasingly sophisticated cyber threats, these companies often lack the in-house expertise and resources needed for timely and proactive responses, relying heavily on outsourced monitoring services. To address this, the study proposes a phased strategy for internalizing monitoring capabilities and leveraging threat information through public-private collaboration. A case company applied an IP blocking policy, and the volume of spam emails-a proxy indicator of external threats-was quantitatively analyzed before and after the policy's implementation. The results revealed a statistically significant reduction in spam, demonstrating that government-supplied intelligence can form the basis of effective, proactive security policies. These findings offer a practical model for resource-constrained defense firms and underscore the importance of coordinated threat intelligence sharing and infrastructure support.

1. 서론

최근 국제 정세의 불안정 속에서 사이버전의 중요성이 급격히 확대되고 있으며, 정치적·전략적 목적을 가진 사이버 공격도 증가하고 있다. 러시아-우크라이나 전쟁, 중동과 동아시아의 지역 갈등은 정보수집 및 여론조작을 위한 해킹 공격의 증가로 이어지고 있다. Microsoft(2023)에 따르면, 북한은 한국을 포함한 주요 국가의 방산업체를 대상으로 해킹을 시도한 바 있으며[1], 국가정보원 등(2024)은 북한 해킹조직 안다리엘이 국내 방산업체의 기술자료를 탈취한 사실을 확인하였다[2]. 이는 한국 방산 제품의 수출이 증가함에 따라 방산기술이 국제적으로 표적이 되고 있음을 시사한다.

사이버 공격은 공급망 침해, 생성형 AI 활용 등 새로운 방식으로 진화하고 있다. 예를 들어, 라자루스 그룹은 보안 프로그램의 취약점을 이용해 악성코드를 배포하는 공급망 공격을 시도하였고[3], Worm GPT와 Fraud GPT 같은 AI 기반 공격도 증가하고 있다. 이처럼 방산업체의 보안관제 활동은 국가 안보와 직결되는 핵심 영역으로, 방위산업기술 보호의 중요성은 날로 커지고 있다[4].

정부는 ｢방위산업기술 보호법｣에 따라 ‘방위산업기술 보호 종합계획’을 수립하고 주요 방산업체에 보안체계 구축을 지원하고 있으나, 중소 및 중견기업의 경우 인력과 예산의 제약으로 보안관제를 외부에 위탁하는 경우가 많다. 이로 인해 원격관제는 특정 제품 기반의 수동 모니터링에 그치는 등, 신속 대응에 한계가 있다. 이에 따라 자체 보안 역량을 강화하면서도 효율성을 높일 수 있는 새로운 보안관제 방안이 요구된다[5].

최근 북한 해킹조직이 국내 중견 방산업체 및 협력업체를 대상으로 합동 공격을 감행하여 기술자료를 탈취하고, 중국 서버를 경유한 정황이 확인되었다는 보도[6]와, 협력업체 대상 사이버 공격 시도가 최근 5년 내 최대치를 기록했다는 통계[7]는 외부 위협에 대한 선제적 대응의 필요성을 강조한다.

본 연구에서는 중견 방산기업¹⁾을 대상으로 위협 정보 공유와 IP 차단 정책을 적용하고, 그 효과를 정량적으로 분석함으로써 보안관제 개선 가능성을 실증하고자 한다. 이를 통해 외부 위협 대응 역량을 강화하고, 보안관제 효율성을 높일 수 있는 정책적 적용 모델을 제시하고자 한다.

2. 연구의 배경 및 목적

2.1 방위산업기술 보호의 중요성

방위산업은 국가 안보와 군수물자 조달을 책임지는 전략산업으로, 지정된 방산업체들이 핵심 무기체계 및 구성품을 개발·생산하고 있다[8][9][10]. 방위산업기술은 독자적 방산 역량의 핵심 자산으로, 국방기술개발 예산은 최근 빠르게 증가하며 국가 R&D보다 높은 성장률을 기록하고 있다[11].

이러한 방위산업기술은 조직적이고 지능화된 기술 유출 위협에 노출될 가능성이 높다. 최근 AI 및 생성형 언어모델 등의 기술이 악용되며 공격 수법이 고도화되고 있으며, 국가 배후 해킹 조직에 의한 방산기술 유출 사례도 증가하고 있다. 첨단기술 유출은 안보뿐 아니라 경제적으로도 복구 불가능한 피해를 초래할 수 있어, 사전 예방과 대응 역량이 중요하다[12].

이에 따라 정부는 민·관 협력 강화를 위해 방산기술 보호 체계를 정비하고 있으며, 관련 제도와 전문기관의 확대를 통해 보다 실질적이고 체계적인 대응 기반을 마련하고 있다[13][14].

2.2 보안관제의 개념과 필요성

보안관제는 정보보호의 핵심적 역할을 담당하며, 영어로는 주로 ‘Security Monitoring’ 또는 ‘Security Monitoring & Control’로 표현된다. 협의의 보안관제는 모니터링을 통한 사이버 공격 탐지 활동에 국한되며, 광의의 보안관제는 탐지뿐만 아니라 분석과 대응을 포함하는 일련의 포괄적 활동을 의미한다[15]. 구체적으로 보안관제는 관제 대상 기관의 정보기술 자원 및 IT 인프라 해킹, 바이러스, 시스템 오류 등의 사이버 위협으로부터 보호하기 위해 각종 시스템 로그와 보안 이벤트를 실시간으로 모니터링하고 분석하여 즉각적인 대응 조치를 취하는 활동을 포함한다[16].

초기에는 방화벽, IDS((Intrusion Detection System), IPS(Intrusion Prevention System) 등 단일 보안 솔루션에 의존했으나, 최근 해킹 기술의 고도화로 인해 단순 보안시스템만으로는 위협을 차단하기 어려워졌다. 따라서 보안관제는 침입 탐지와 이상 징후 감지, 사전차단 기능을 포함한 능동적 대응 체계로 진화하고 있다[15][17].

정부는 보안관제의 중요성을 인식하고 사이버 공격을 실시간으로 탐지하여 피해를 최소화할 수 있는 체계를 구축하고 있으며, 관계기관과의 신속한 정보 공유체계를 통해 대응력을 높이고 있다[18]. 특히 국가정보원은 주요 보안관제센터와의 협력을 통해 공격정보가 여러 기관과 연관될 경우, 해당 공격 정보를 즉시 공유함으로써 국가 차원의 종합적이고 체계적인 대응 체계를 운영하고 있다[2].

특히 미국 국방부의 CMMC(Cybersecurity Maturity Model Certification) 인증 도입을 계기로 국내 방산업체의 보안관제 역량이 주목받고 있다. CMMC는 미국국방부와의 계약에 필요한 보안 성숙도 인증으로, 정보의 민감도에 따라 1～3등급으로 구분된다. 특히 통제 필요 정보(Controlled Unclassified Information, CUI)를 다루는 국내 방산업체는 CMMC 인증을 통해 계약 기회를 확보할 수 있으며, 이는 미국 진출을 위해 필수적이다[19]. CMMC 2등급 이상을 받으려면 보안관제를 강화하고, NIST SP 800-171 표준을 충족하는 24시간 모니터링과 문서화가 필요하다. 이 과정에서 보안관제 인력과 전문 솔루션이 요구되며, CMMC 평가 항목에서도 보안관제가 높은 배점을 차지해 중요성이 크다. 그러나 많은 방산기업이 인력과 재정적 부담을 느끼고 있으며, 일부 대기업을 제외하고는 원격관제를 병행하거나 외부 업체와 협력해야 하는 상황이다[20].

따라서 보안관제는 국가와 주요 인프라 기관의 사이버 안전망을 구축하는 데 있어 필수적인 역할을 하며, 민간과 공공기관 간의 협력적 정보 공유를 통해 더욱 효율적인 보안 체계가 이루어질 수 있도록 하는데 기여하고 있다. 이는 국가 안보를 위한 방위산업기술 보호에 있어서도 필수적이며, 방산업체가 실질적인 보안 위협에 대응할 수 있는 예방적 역할을 수행하는데 중요한 기반을 제공한다.

2.3 연구 목적

사이버 위협이 고도화되고 있는 가운데, 방산업체의 보안관제 필요성은 더욱 커지고 있다. ｢방위산업기술보호지침｣에 따라 방산업체는 망분리와 모니터링 체계를 구축하고 있으나, 다수의 중소·중견기업은 인력과 예산의 한계로 인해 외부 기관에 보안관제를 위탁하고 있는 실정이다[21].

한국산업기술보호협회에서 제공하는 ‘기술지킴서비스’ 등을 통해 24시간 관제가 이루어지고 있으나, 이는 특정 보안 제품에 국한되며, 위기 상황에서 신속한 조치에 어려움이 있다.

본 연구의 목적은 중견 방산업체를 대상으로 위협 정보 공유 기반의 정책 수립과 IP 차단 전략 적용을 통해, 이메일 기반 외부 위협의 변화 양상을 정량적으로 분석하고 보안관제 효율화 가능성을 실증적으로 검토하는 데 있다. 아울러 이러한 분석을 바탕으로, 유사한 여건을 가진 기업에 적용 가능한 정책적·실무적 개선 방향을 제안하고자 한다.

3. 보안관제 관련 선행 연구 분석

Montesino 등(2012)은 SIEM(Security Information and Event Management) 시스템을 통해 보안 제어를 통합·자동화함으로써 수작업을 줄이고, 사고 대응 시간을 단축할 수 있다고 보았다[22].

박흥순(2018)은 중소 방산업체가 보안시스템을 독자적으로 구축하기 어려운 현실을 지적하며, 정보공유·분석센터(Information Sharing & Analysis Center, 이하 ISAC)를 통한 협력이 보안 역량 강화에 효과적이라고 제안하였다. ISAC은 위협 정보를 공유하고 공동 대응 체계를 마련함으로써 보안관제 부담을 완화할 수 있다[23].

이선재 등(2019)은 사이버 킬 체인 기반 탐지체계와 다양한 로그 및 트래픽 정보를 통합 분석하는 SIEM 시스템의 고도화 필요성을 주장하였다[24].

한충희 등(2019)은 전력 분야에서 해외 IP 대역을 차단함으로써 보안관제 효율성을 높일 수 있다고 분석하였고, 악의적 접근 차단과 정상 사용자의 분리를 위한 접속 절차도 함께 제안하였다[25].

강다연(2021)은 보안관제에서 위협 정보를 평판 정보와 분석 정보로 구분하여 우선순위를 도출하였으며, IP, 도메인, URL 등 평판 정보의 중요도가 높아 이를 우선적으로 관리해야 함을 시사하였다. 이에 따라, 보안관제 정책 및 지침 수립 시 위협 정보의 우선순위를 적극적으로 반영하여 정책을 강화할 필요가 있음을 제언하였다[26].

정일옥 등(2021)은 과·오탐 문제 해결을 위해 머신러닝 기반 탐지 기술의 활용을 제안하였으며[27], 최정민(2021)은 정부 기관의 인식 부족과 전문인력 문제 해결을 위한 인공지능 기반 보안관제를 강조하였다[28].

김운철·이창무(2021)는 방위산업체를 대상으로 한 고도화된 사이버 위협에 대응하기 위해 사이버통합통제센터(CICC, Cyber Integration Control Center)의 구축 필요성을 제안하였다. 이들은 개별 방산업체의 대응 한계를 지적하며, 정부 주도의 보안관제 조직이 실시간 모니터링, 정보 공유, 사고 대응 기능을 통합 수행해야 한다고 보았다. 특히 CICC는 ISAC의 정보공유 기능을 넘어 현장 대응과 침해사고 조사까지 포함하는 구조로, 방산 보안 역량의 제도적 강화를 강조하였다[21].

Sarhan 등(2022)은 데이터 프라이버시 문제를 고려해 연방 학습(federated learning)을 활용한 협업형 보안관제 체계를 제안하였다. 이는 중앙 서버에 데이터를 직접 전송하지 않고, 각 조직의 로컬 모델 학습 결과만 공유함으로써 소규모 조직도 효과적인 침입 탐지가 가능하도록 설계되었다[29].

이상의 연구들은 인공지능 기반 보안관제와 정보 공유의 중요성을 공통적으로 강조하고 있다. 중소·중견 방산업체는 독자적인 보안 솔루션 구축이 어려운 상황으로, ISAC 기반 협력이 현실적인 대안이 될 수 있다. 실제로 박흥순(2018)이 제안한 ISAC 개념[23]을 바탕으로, 방산기술보호센터는 2024년 하반기부터 보안관제 서비스를 제공할 예정이다.

한편, 한충희 등(2019)이 제안한 해외 IP 화이트리스트 방식은 전력 분야에서는 효과적이지만, 방산업체는 수출과 글로벌 협력이 필수적이므로 전면 적용은 어렵다[25]. 대신 위협 IP 기반 선택적 차단을 통해 관제 효율성을 높일 수 있는 방안이 제시되고 있다.

본 연구는 선행 연구의 분석을 바탕으로, 중견 방산업체를 대상으로 위협 IP 차단 정책을 적용하고, 외부 이메일 위협(예: 스팸메일 수신량)의 변화를 정량적으로 분석함으로써, 보안관제 효율성 제고에 기여할 수 있는 실용적 정책 방안을 검토하고자 한다.

4. 보안관제 업무 현황과 한계점

4.1 방산업체의 보안관제 운영 현황

국내 방산업체의 보안관제 운영 방식은 크게 자체 관제 시스템을 구축하여 운영하는 방식과 중소기업기술지킴센터의 보안관제 서비스를 위탁받는 방식으로 구분된다. 자체 보안관제를 채택한 기업들은 외부 위탁 시 발생할 수 있는 영업비밀 유출 우려와 해킹 사고로 인한 기업 이미지 손상 가능성을 주요 고려 요소로 지적하였다[23].

기업 규모에 따른 차이도 뚜렷하게 나타난다. 대기업은 충분한 예산과 그룹 차원의 정보보호 조직을 바탕으로 자체 보안관제 시스템을 운영하는 비율이 높았다. 반면 중소기업의 경우, 예산 제약과 경영진의 낮은 정보보호 인식으로 인해 독자적인 보안 투자가 어렵고, 이에 따라 중소기업기술지킴센터의 무료 보안관제 서비스를 활용하는 사례가 다수 확인된다[23].

정부는 2010년 ｢국가사이버안전관리규정｣을 통해 국가기관 및 공공기관에 보안관제센터 구축을 의무화 하였으며, 같은 해 ｢보안관제 전문업체 지정 등에 관한 공고｣를 통해 전문업체의 요건을 명시하였다. 지정 요건은 기술인력 15인 이상, 자기자본 20억 원 이상, 업무수행능력 평가 기준 점수 이상을 포함하며, 지정 이후에도 공공부문에 한하여 연 1회의 사후관리 심사를 통해 기준 미달 시 지정이 취소된다. 2023년 12월 기준으로 21개 보안관제 전문기업이 활동하고 있다[2].

대기업 방산업체는 자체 인력을 기반으로 하되, 보안관제 전문기업으로부터 인력을 파견받아 파견관제 형태로 운영하기도 한다. 반면, 다수의 중견 및 중소방산업체는 중소기업기술지킴센터의 원격관제 서비스를 활용하고 있는 실정이다.

한국산업기술보호협회에서 운영하는 중소기업기술 지킴센터는 통합보안장비를 기업에 설치하고, 장비를 통해 수집된 로그를 실시간으로 전송받아 24시간 모니터링을 수행한다. 센터 내 보안 요원은 이상 징후 발생 시 즉시 기업에 연락하고, 필요한 대응을 지원함으로써 방산업체의 보안관제 역량을 보완하고 있다[30].

4.2 보안관제 위탁 운영의 한계

중소기업기술지킴센터에서 제공하는 무료 보안관제 서비스는 특정 통합보안장비에 한정되며, 현재 연동 가능한 장비는 국내산 방화벽 2종과 외산 방화벽 1종에 국한된다. 해당 장비는 자가 구매 또는 임대를 통해 활용 가능하다. 이러한 서비스는 예산과 인력 확보가 어려운 방산업체에 유용한 대안이지만, IPS 로 그 중심의 관제만 수행되기 때문에 보안 범위가 제한적이라는 한계를 내포한다.

실제로, 월간 보안 보고서에서 ‘특이사항 없음’으로 표시되더라도, 스팸메일을 통한 악성코드 감염, 랜섬웨어 공격 등은 IPS 탐지를 우회하는 방식으로 진행되며, 이러한 위협은 탐지되지 않을 가능성이 높다. 이는 전담 인력이 상주하는 파견 관제와 달리, 기업 특성을 반영한 맞춤형 대응이 어려운 원격관제 방식의 구조적 한계를 시사한다.

보안관제 기술의 발전 수준을 기준으로 보았을 때, 통합보안장비 기반 로그 조회에 머무는 무료 보안관제 서비스는 여전히 초기 단계에 해당한다. 보안관제 고도화 단계는 (1) 개별 보안장비 로그 조회, (2) 이기종 장비 로그 통합관리, (3) SIEM 기반 상관분석, (4) AI 기반 자동 분석 및 대응이 가능한 SOAR(Security Orchestration, Automation and Response) 단계로 구분된다[31]. 이러한 발전 단계에 비추어볼 때, 현행 무료 관제 서비스는 상위 단계로의 발전 가능성이 제한적이라 할 수 있다.

4.3 정책 적용 사례기업의 보안관리 현황 및 제약

경남 창원에 위치한 사례기업은 1959년 설립된 중견 제조기업으로, 방산 제품, 자동차 부품, 공작기계 등을 생산하고 있으며, 1973년 방산업체로 지정된 이후 자동 변속기 및 중구경 무기 등 기동·화력 분야의 주요 부품을 공급하고 있다. 최근에는 K-방산 수출확대에 힘입어 방산 매출 비중이 증가하며 연평균 매출이 꾸준히 상승하고 있다.

이 기업은 경영진의 보안에 대한 관심이 높아, 방산침해대응협의회 활동을 통해 예산 확보 및 조직 내 보안 문화 정착에 적극적으로 기여하고 있다. 물리적 망분리를 기반으로 다양한 보안 솔루션을 도입하여 내부자 유출 및 외부 침해 위협에 대응하고 있으며, 정기적으로 정부 기관의 실태조사, 보안 진단, 모의 해킹 훈련 등을 수행함으로써 보안 수준의 지속적 향상을 도모하고 있다.

그러나 보안 전담 인력은 소수로 구성되어 있어 직무 분리가 어렵고, 외부 자료 반출 승인 등 주요 업무가 일부 인력에게 집중됨으로써 과도한 업무 부담이 발생하고 있다. 매년 보안 관련 예산은 확대되고 있으나, 전문인력 확보가 미흡하여 도입된 보안시스템을 안정적으로 운영·관리하는 데에 어려움이 존재한다.

해당 기업의 보안시스템은 인터넷망에 연결된 메일 서버를 중심으로 구성되어 있으며, 방화벽, IPS, 스팸메일 차단 시스템, 유해 사이트 차단 솔루션 등이 네트워크 경계에 배치되어 있다. 모든 보안 이벤트는 통합로그관리시스템(SIEM)을 통해 실시간으로 수집·분석되고 있다.

현재 정보보안 담당자가 솔루션을 직접 운영하고 있으며, 실시간 위협 대응에는 한계가 존재한다. 이를 보완하기 위해 한국산업기술보호협회의 24시간 위탁 관제 서비스를 활용하고 있으나, 망분리 환경 특성상 실시간 모니터링보다는 조사 대응, 내부자료 반출 승인 등 관리 업무에 집중되는 경향이 있다. 이는 보안 담당자의 역할이 기술적 분석보다 행정적·관리적 기능에 편중되는 현실을 반영한다.

5. 보안관제 업무 효율성 향상 방안

4장에서 중견 방산업체의 보안관제 업무 현황과 한계점을 분석한 결과, 전문인력 부족, 외주화에 따른 통제력 저하, 지연된 위협 식별 및 대응, 정부 위협 정보의 수동적 활용 등의 구조적 문제가 확인되었다. 이러한 문제들은 방산기술 보호의 최전선에 있는 보안 관제 기능의 실효성을 저해하고 있으며, 실질적 개선방안의 도출이 요구된다.

이에 본 장에서는 앞서 확인된 문제들을 해결하기 위한 정책적·기술적 대응 방안을 구분하여 제시하고자 한다. 먼저 정책적 측면에서는 정부 공유 정보의 적극적 활용뿐만 아니라, 보안 인프라의 단계적 확충, 민·관 협력체계 정비, 외주 관제에 대한 내재화 전략 등을 포함한 통합적인 대응 방향을 제안한다. 기술적 측면에서는 사례기업에 적용된 위협 IP 차단 정책의 설계 및 효과 분석을 통해 보안관제 효율성을 실증적으로 입증하고자 한다.

5.1 정책적 측면

5.1.1 정부 기관의 공유 정보 활용

최근 러시아·우크라이나 전쟁을 비롯한 지정학적 갈등은 사이버 공격의 대상을 개인정보에서부터 민간 기업, 정부 기관, 국가 핵심 기반 시설까지 확장시키며, 사이버 위협이 전방위적으로 확대되고 있음을 시사한다. 이러한 상황에서 사이버 침해가 발생한 조직이 관련 위협 정보를 신속하게 공유할 경우, 다른 조직은 이를 기반으로 선제적 방어 태세를 구축함으로써 피해 확산을 효과적으로 방지할 수 있다[32].

국방부는 2010년부터 방산업체의 보안관제 시스템 구축을 지원해 왔으나, 예산의 제약으로 전면적인 지원은 어려웠다. 특히, 고도화된 APT(Advanced Persistent Threat) 공격 및 최신 해킹 기법에 대응하기에는 개별 방산업체의 역량이 제한적이므로, 공공-민간 간 사이버 위협 정보 공유 협력체계의 필요성이 지속적으로 제기되어 왔다[23].

이러한 필요성에 따라 국가정보원 산하 국가사이버안보센터(NCSC, National Cyber Security Center)는 2004년 설립되어 국가 보안관제의 허브 역할을 수행하고 있으며, 2016년부터는 ‘국가사이버위협정보공유시스템(NCTI, National Cyber Threat Intelligence)’을 구축하여 공공기관 간 위협 정보를 안정적으로 공유할 수 있는 기반을 마련하였다. 이어 2020년부터는 ‘KCTI(Korea Cyber Threat Intelligence)’ 시스템을 별도로 구축하여 공공기관은 물론 방산업체와 민간 기업까지 포함한 정보 공유 서비스를 제공함으로써, 사이버 위협에 대한 범국가적 공동 대응 체계를 강화하고 있다[32].

또한 한국인터넷진흥원(KISA)은 ｢국가 사이버안보 종합대책｣에 따라 2014년부터 사이버 위협 정보 분석·공유 시스템인 C-TAS(Cyber Threat Analysis & Sharing)를 운영하고 있다. C-TAS는 API 및 웹 포털을 통해 위협 정보를 제공하며, 정보 수신 주체의 특성에 따라 단일 지표부터 정밀 분석 보고서에 이르는 총 8개 항목, 40여종의 위협 정보를 양방향으로 공유하고 있다[33]. 2023년 기준, 공공기관 및 주요 산업군을 포함한 3,453개 기업과 기관이 참여하고 있으며, 누적 5억7천 9백만 건 이상의 사이버 위협 정보가 공유되었다. 참여 기관들은 이를 바탕으로 보안 제품의 정책 업데이트, 악성 IP·URL 차단, 긴급 상황 대응 등 다양한 보안 활동에 활용하고 있다[2].

방위사업청 역시 ｢2024년도 방위산업기술보호 시행계획｣을 통해 방위산업기술보호센터 기능을 확장하고, 방산 사이버 보안관제 체계의 구축을 본격화하고 있다[34]. 2024년 일부 방산업체를 대상으로 시범 운영을 거친 뒤, 2025년부터는 모든 방산업체로 확대 적용할 계획이다. 이를 위해 국방기술품질원 산하에 관제센터를 신설하고, SIEM 기반의 실시간 보안관제 시스템을 구축하여 24시간 위협 모니터링 및 보고서 작성을 수행하는 전문인력을 배치할 예정이다.

따라서 방산업체의 정보통신 보안 담당자는 정부기관에서 제공하는 악성 IP, URL 등의 위협 정보를 바탕으로 자사에 최적화된 보안 정책을 수립해야 한다. 아울러 자체 보안관제를 통해 탐지된 위협 정보와 정부 공유 정보 간의 상호 비교를 통해 신규 위협이 식별될 경우, 신속한 차단 조치를 취하고, 이를 정부기관에 공유함으로써 국가 사이버 보안 생태계의 협력적 대응 체계에 기여해야 할 것이다.

5.1.2 보안 인프라 강화 및 민·관 협력체계 확대

중소·중견 방산업체의 보안관제 실효성을 높이기 위해서는 정부 주도의 위협 정보 공유체계와 더불어, 민간 보안 역량의 실질적 강화를 위한 정책적 지원이 병행되어야 한다. 첫째, 민·관 협력체계의 정비가 시급하다. 2023년 국가정보원 주도로 출범한 ‘방산침해대응협의회’는 2025년 ‘한국방위산업보호협회(KDISA)’로 격상·출범하였으며, 침해 대응, 정보 공유, 교육, 인증 등 다양한 분야에서 방산기술 보호를 위한 민간 거버넌스의 중추 역할을 수행하고 있다[14]. 향후에는 보안관제 기능까지 포괄하는 실질적 협력 플랫폼으로서의 역할이 더욱 확대될 필요가 있다.

둘째, 외주 관제에 대한 단계적 내재화 전략이 요구된다. 현재 중소·중견 방산업체는 관제 인력 부족으로 보안관제를 외부 업체에 위탁하는 것이 일반적이나, 이는 탐지·대응 지연과 보안 통제력 저하를 유발할 수 있다. 따라서 초기에는 로그 분석 및 위협 탐지와 같은 기본적인 기능을 자체 수행하고, 이후 단계적으로 위협 대응, 정책 수립 등 고차원의 기능까지 내재화함으로써 기술 자립성과 보안 신뢰도를 높여야 한다.

셋째, 보안 인프라 정책의 지속적인 확대가 필요하다. 예를 들어, 2024년부터 도입된 ‘방산업무 전용 자료교환체계(KDIMS)’는 기존 상용 이메일의 보안 취약성을 보완하기 위한 기반 인프라로, 이메일 기반 침해사고 예방에 기여하고 있다[35]. 이는 단순한 시스템 제공을 넘어, 위협의 주요 통로를 사전 차단함으로써 관제 업무량을 경감하는 정책적 수단으로 기능한다. 이러한 인프라 지원은 개별 기업의 대응 능력 격차를 해소하고, 공공-민간 협력의 실효성을 높이는 기반으로 작용할 수 있다.

5.2 기술적 측면

5.2.1 연구가설 설정

본 연구는 예산 및 보안관제 전문인력의 부족으로 인해 외부 기관에 보안관제를 위탁하고 있는 중견 방산업체를 대상으로, 자체 보안관제 활동을 통해 외부 위협 지표를 감소시키고 보안관제 업무의 효율성을 향상시킬 수 있는 가능성을 실증적으로 검토하고자 한다.

한충희 등(2019)의 연구에 따르면, 전력 산업 분야에서 해외 IP 대역을 차단함으로써 불필요한 접속을 방지하고 보안을 강화할 수 있었으며, 이러한 결과는 특정 위협 IP의 사전 차단이 관제 업무 효율에 기여할 수 있음을 시사한다[25]. 이를 바탕으로 본 연구는 다음과 같은 연구가설을 설정하였다.

• 귀무가설(H₀): 방화벽 차단 정책 적용 전후의 스팸메일 수신량에 유의미한 차이가 없다.

• 대립가설(H₁): 방화벽 차단 정책 적용 전후의 스팸메일 수신량에 유의미한 차이가 있다.

본 연구는 단순한 사례 제시를 넘어서, 특정 보안 정책(IP 차단)의 적용이 실제로 통계적으로 유의미한 효과를 가지는지를 검증하기 위해 가설검정 기법을 채택하였다. 이는 중견 방산업체와 유사한 환경을 가진 조직에서도 정책의 일반화 및 확산 가능성을 논리적으로 검토하기 위한 실증적 접근 방식으로, 보안 정책의 효과를 수치 기반으로 입증하는 데 목적이 있다.

사례기업은 망분리 환경에서 웹메일과 협력업체용 발주 시스템만 인터넷망에 연결되어 있으며, 이 중 이메일 시스템은 외부 위협의 주요 유입 경로에 해당한다. 스팸메일 수신량은 보안관제센터가 처리해야 할 외부 이벤트의 양에 직접적인 영향을 미치며, 이는 곧 관제 인력의 부담과 대응 효율성에 직결되는 지표로 해석된다. 따라서 본 연구는 스팸메일 수신량의 변화를 외부 위협 감소 및 보안관제 효율성의 정량적 평가 지표로 채택하였다.

이메일은 외부 공격에서 가장 일반적인 침투 경로 중 하나로, 다양한 보고서에서도 이메일을 통한 악성코드 유포 및 스피어피싱 공격의 빈도와 위협성이 강조된다[26][36][37]. 특히 Trellix(2023) 보고서에 따르면, 전 세계 피싱 공격의 60% 이상이 미국과 한국을 대상으로 이루어지고 있으며[37], 북한 해킹 조직의 방산업체 대상 이메일 공격 사례도 다수 보도된 바 있다[38]. 이러한 맥락에서 이메일 기반 공격의 차단은 위협 대응의 핵심 과제로 부각된다.

이러한 실태를 고려할 때, 스팸메일 수신량은 외부 위협 노출 수준을 반영하는 신뢰할 수 있는 간접 지표이며, 이를 활용한 위협 분석은 실제 관제 효율성과 직결된다. 따라서 본 연구는 위협 IP 기반의 사전 차단 정책이 스팸메일 수신량 감소에 미치는 영향을 중심으로, 보안관제 효율성 향상 가능성을 실증적으로 검토하였다.

5.2.2 연구 방법

위협 IP 분석에는 한국인터넷진흥원의 WHOIS 서비스[39]와 Google의 VirusTotal[40]을 비교 검토한 결과, 기능성과 정보의 포괄성 측면에서 VirusTotal이 더 유리하다고 판단되어 본 연구에 활용하였다.

WHOIS는 주로 IP의 등록자 및 관리기관 정보를 제공하는 반면, 해외 IP 조회 시에는 해당 정보를 직접 제공하지 않고 외부 사이트로의 접속 안내만 제공하는 등 활용에 한계가 있다. 예를 들어, IP 주소 92.63.196.150의 경우 WHOIS에서는 유럽 지역 소속이라는 정보 외에는 구체적 분석이 어려웠다.

반면 VirusTotal은 해당 IP에 대한 위협 분석 일자(Last Analysis Date), 국가 구분(국기 표시), 보안 벤더들의 평판 평가(Security Vendors’ Analysis) 등 다양한 요소를 제공하여 보다 직관적이고 종합적인 위협 정보를 확인할 수 있다. 또한 IP뿐 아니라 도메인, URL, 파일 단위의 위협 요소에 대한 분석 기능도 제공하므로, 보안 정책 수립에 필요한 심층 분석 기반 자료로 활용이 가능하다.

위협 IP 조회 결과를 바탕으로, 정상적인 거래가 이루어지는 국가에 속한 경우에는 Host IP 단위로, 거래 이력이 없고 보안상 위험이 큰 지역(예: 러시아, 중앙아시아, 아프리카 등)은 IP 대역 단위로 그룹화하여 차단 정책을 설정하였다. 이후 방화벽 장비에 해당 정책을 적용하고, SIEM 시스템을 통해 적용 후 위협 IP 탐지 여부를 모니터링하였다.

정책 적용 이후에는 매일 적용 결과를 문서화하여 내부 결재를 통해 이력을 남겼으며, 이는 정책의 추적 가능성과 책임성을 확보하는 데 있어 중요한 관리 활동으로 간주되었다. 다만, 일일 보고가 어려운 경우에는 조직의 내부 규정에 따라 주기적인 보고 체계를 유지하였다.

차단 정책 적용 시 유의할 점은, C-TAS에서 위협 IP로 지정된 일부 주소가 정상적인 업무에 필수적인 시스템에 해당할 수 있다는 것이다. 예컨대, 국가법령정보센터(www.law.go.kr)의 IP(27.101.207.66)가 차단 목록에 포함될 경우, 관련 업무 부서로부터 민원이 제기될 가능성이 높다. 이에 따라 보안 담당자는 정책 적용 전 사전 보고 절차를 철저히 이행하고, 예방 활동의 문서화와 정식 보고를 통해 보안 업무의 절차적 정당성을 확보해야 한다.

5.2.3 연구 결과 및 분석

본 연구는 위협 IP 차단 정책의 적용 효과를 실증적으로 검증하기 위해, 2023년 1월부터 2024년 6월까지 수집된 사례기업의 사내 이메일 트래픽 데이터를 분석하였다. 분석 지표로는 외부 사이버 위협 수준을 반영할 수 있는 스팸메일 수신량을 활용하였다.

(그림 1)은 2023년 8월 방화벽 차단 정책 적용 시점을 기준으로, 스팸메일 수신량의 월별 추이를 시각화한 것이다. 해당 그래프에 따르면, 정책 적용 이후 스팸메일 수신량은 급격히 감소하였으며, 이후 안정적인 하락세를 유지하고 있음을 확인할 수 있다.

(그림 1) IP 차단 정책 도입 전후 메일 수신량 변화

기술통계 분석 결과에 따르면, 정책 적용 이전의 스팸메일 수신량은 평균 19,981건(표준편차 1,825), 정책 적용 이후는 평균 8,402건(표준편차 1,338)으로 집계되었다. 이는 약 57.95%의 감소율에 해당하며, 정책 적용이 스팸메일 수신량 감소에 실질적인 영향을 미쳤음을 보여준다.

<표 1> 스팸메일 수신량에 대한 집단 기술통계

정책 도입 전후의 차이를 통계적으로 검증하기 위해, 오픈소스 통계 소프트웨어 Jamovi[41]를 활용하여 정규성 및 등분산성 검정을 수행하였다. 정규성 검정 결과 p-값은 0.658로 나타나 정규분포 가정을 충족하였으며, Levene 등분산 검정 결과 p-값은 0.281로 두 그룹 간 분산이 통계적으로 동일하다는 가정을 만족하였다. 이에 따라 독립표본 t-검정을 실시하였다.

<표 2>에 제시된 바와 같이, 정책 적용 전후의 스팸메일 수신량 차이에 대한 t-검정 결과 p-값은 0.001 미만으로, 두 그룹 간 차이는 통계적으로 유의미한 것으로 나타났다. 평균 차이는 11,579건이며, 이는 방화벽 차단 정책의 도입이 스팸메일 수신량을 유의하게 감소시켰음을 의미한다.

<표 2> 위협 IP 차단 정책 도입 전후 스팸메일 수신량의 t-검정 결과

한충희 등(2019)의 연구에 따르면, 보안관제 인력이 악성 IP를 식별하고 차단하는 데 평균적으로 약 9분이 소요된다[25]. 이를 고려할 때, 위협 IP에 대한 사전 차단 정책을 통해 불필요한 대응 시간을 줄일 수 있으며, 보안 이벤트에 대한 분석 및 대응 효율이 실질적으로 개선될 수 있다.

본 연구의 결과는 다음의 시사점을 제공한다. 첫째, 위협 IP 차단 정책은 방산업체와 같이 인력 및 예산에 제약이 있는 조직에서도 효과적으로 보안관제 효율성을 제고할 수 있는 수단이 될 수 있다. 둘째, 이메일 기반의 스팸 유입 차단은 단순한 이벤트 감소에 그치지 않고, 보안관제 인력의 업무 부하 경감 및 자원 재배분을 가능하게 하여 전체적인 보안 운영 효율성을 높이는 데 기여할 수 있다.

결론적으로, 본 연구는 위협 IP 차단 정책이 보안 위협 지표에 미치는 영향을 실증적으로 입증함으로써, 방산업체가 민·관 협력체계를 활용하여 자체 보안관제 역량을 강화하고 효율적인 정보 공유 기반의 대응체계를 구축할 수 있음을 제시하였다.

6. 결론

본 연구는 중견 방산업체를 대상으로 사이버 위협 대응 역량 강화를 위한 보안관제 개선 방안을 정책적·기술적 측면에서 통합적으로 제시하고, 그 중 위협 정보 공유와 IP 차단 정책 적용이 보안관제 효율성에 미치는 효과를 실증적으로 분석하였다. 특히 전문인력 부족과 외주 의존도가 높은 현실적 여건 속에서, 제한된 자원 내에서도 효과적인 보안관제가 가능하다는 전략적 시사점을 제시하고자 하였다.

정책적 측면에서는, 정부가 제공하는 사이버 위협 정보의 활용을 기반으로 한 선제적 대응체계 마련의 필요성을 강조하였다. 아울러 ‘한국방위산업보호협회(KDISA)’와 같은 민·관 협력기구의 역할 강화, 외주 중심의 보안관제를 단계적으로 내재화하는 전략, 그리고 ‘방산업무 전용 자료교환체계(KDIMS)’와 같은 보안 인프라의 정책적 지원 확대는 중소·중견 방산업체의 실질적 보안 역량 강화를 위한 핵심 방안으로 제시되었다.

기술적 측면에서는, 위협 IP 기반의 방화벽 차단 정책을 실제 사례기업에 적용하여 이메일 기반 외부 위협의 변화 양상을 분석하였다. 그 결과, 스팸메일 수신량이 정책 적용 전 대비 평균 57.95% 감소하였으며, 통계적으로도 유의미한 차이가 확인되었다. 이는 방산업체가 정부 위협 정보를 적극적으로 활용하고, 이를 바탕으로 자사 보안 정책을 능동적으로 수립·적용할 경우, 관제 인력의 부담을 줄이고 효율성을 높일 수 있다는 점을 실증적으로 입증한 결과라 할 수 있다.

본 연구는 단일 기업 사례와 이메일 기반 위협에 한정된 정책 효과를 분석하였다는 점에서 일반화에 제약이 있으며, 다양한 유형의 위협 요소나 장기적 시계열 분석은 미흡하다는 한계를 지닌다. 그러나 이러한 한계를 감안하더라도, 위협 정보 공유 기반의 정책 설계와 능동적 차단 전략이 결합된 보안관제 개선 모델은 유사한 환경의 중견 방산업체는 물론, 중소 제조업체 및 보안 취약 산업 전반에 걸쳐 실용적 참고 사례로 기능할 수 있다.

종합하면, 본 연구는 위협 정보 공유와 IP 차단 정책이라는 핵심 전략의 적용 효과를 실증적으로 분석함으로써, 중견 방산업체의 보안관제 개선 가능성을 구체적으로 입증하였다는 데에서 학술적·정책적 기여가 있으며, 향후 보다 다각적인 사례 축적과 평가 지표 고도화를 통해 국가 산업보안 체계의 실효성을 높이는 데 이바지할 수 있을 것이다.