한국의 방위산업이 새로운 활로를 찾기 위해 고군분투하고 있다. 방위사업청은 방위산업이 처한 현실을 극복하기 위해 지속적인 제도 개선과 함께 법규 제·개정도 추진 중이다. 그럼에도 방위사업 전반에 다양한 문제들이 작용해 산업 발전을 저해하고 있다. 뉴스투데이는 제도개선 효과와 함께 이런 문제들을 심층 진단하는 [방산 이슈 진단] 시리즈를 시작한다. <편집자 주>

■ CMMC 획득하지 못하면 RDP-MOU 체결돼도 미국 방산수출 어려워

[뉴스투데이=김한경 안보전문기자] 지난달 21일 개최된 한미정상회담 공동성명을 통해 방산 분야의 FTA인 상호국방조달협정(RDP-MOU) 체결 논의가 본격화되기 시작했다. 이종섭 국방부 장관은 이후 업계의 다양한 의견을 듣고 국익을 최우선으로 고려하겠다는 뜻을 내비쳤다. 이와 같이 RDP-MOU 체결 추진은 점차 방향을 잡아가는 모양새다.

하지만 미국 방산수출의 새로운 걸림돌로 제기되고 있는 ‘사이버보안인증(CMMC)’에 대해서는 아직 정부의 관심이 적은 편이다. CMMC(Cybersecurity Maturity Model Certification)는 미국 국방부와 계약하는 방산업체 및 그 협력업체들까지 사이버보안 성숙도 수준을 3개 등급으로 구분해 인증을 받는 제도로서, 2025년부터 미국 국방부와 계약하는 모든 업체들은 CMMC를 획득해야 한다. 

이 인증은 미국업체뿐만 아니라 타국 업체에도 똑같이 요구된다. 따라서 이 인증을 획득하지 못하면 미국에 방산물자를 수출하거나 미국과 공동개발 및 공동생산 등 방산 협력이 불가능해진다. 사실상 CMMC를 기반으로 미국 국방 분야의 글로벌 공급망 체계가 구축될 것이어서 이에 대비하지 않으면 RDP-MOU가 체결되더라도 미국 방산수출은 물거품이 되는 것이다.  

따라서 미국 수출을 추진 중인 국내 방산업체들은 CMMC 획득에 상당한 관심을 갖고 있다. 록히드마틴, 레이시온 등과 협력 중인 RFHIC 등 일부 국내업체들은 “지금부터 준비하지 않으면 우리가 구매하고 싶어도 할 수 없다”는 말까지 듣고 있다. 미국과 방산협력이 활발한 나라들은 CMMC 수준의 사이버보안체계를 구축하고 자국 보안인증과 CMMC의 상호인정 협정을 맺기 위해 노력 중인 것으로 알려졌다. 

■ 한국형 CMMC 구축하고 미국 CMMC와 상호인정 협정 맺도록 추진해야

이와 관련, 지난해 10월부터 ‘방산기술보호 성숙도 모델 인증제도 연구’란 방위사업청(이하 방사청) 과제를 수주해 최근 연구를 마무리한 류연승 명지대 방산안보학과 주임교수는 “일본이 올해 4월 발표한 방위산업 사이버보안 강화 방안을 살펴보면 미국의 CMMC를 반영하고 있다”고 말했다. 반면에 우리나라는 이제부터 이 문제를 풀어나가야 하는 상황이다.

현재 방사청 국방기술보호국은 국가정보원 및 군사안보지원사와 함께 ‘방위산업기술보호 통합실태조사’를 실시하고 있다. 기존의 방사청 실태조사와 방산업체 보안감사를 하나로 통합한 것인데, CMMC와 내용을 비교하면 20여 가지가 부족하다고 한다. 이런 차이를 통합실태조사에 점차 반영해 나가면서 한국형 CMMC를 구축하는 노력이 필요하다.

한국에 CMMC를 최초로 소개한 이민재 TQMS 대표는 “미국처럼 별도의 인증기관을 두기보다는 방사청 중심으로 업체에 대한 인증 기능을 수행하되, 나아가 시장 수요가 증가하면 민간기관에 위탁하는 방안을 고려할 수 있다”고 말했다. 류 교수는 “정부기관이 인증하는 한국형 CMMC가 구축되면 우리도 미국 CMMC와 상호인정 협정을 맺는 방식을 추진해야 한다”고 주장했다.  

현재 방사청 차원에서 CMMC 관련 1차 연구가 완료됐고, 이 연구 결과를 토대로 한국형 CMMC 구축을 위한 보다 구체적인 연구가 조만간 진행될 예정이다. 방사청 차원에서 추진하는 한국형 CMMC가 만들어져 미국 CMMC와 상호인정 협정이 맺어지면 다행이지만 이것이 여의치 않으면 미국에 진출하려는 국내 방산업체들은 미국 CMMC를 직접 획득해야 한다. 

■ 초연결 시대에 맞지 않는 보안규정과 신기술 적용 어려움 우선 개선돼야

한편, 지난해 6월 한국항공우주산업(KAI)의 해킹 사고 이후 한국방위산업진흥회는 방산보안의 해법을 찾기 위한 연구과제를 내놓았다. 이를 맡았던 한희 고려대 교수는 지난해 11월 국회에서 열린 ‘방위산업 보안정책 토론회’에서 연구 결과를 토대로 “망분리에서 클라우드로 방산보안 패러다임을 전환해야 한다”는 의견을 제기했다. 하지만 아직도 클라우드 도입은 추진되지 못한 상태다.

한 교수는 최근 기고한 한 칼럼에서 “물리적 망분리를 요구하는 현행 보안규정이 초연결 시대의 업무 환경에 전혀 맞지 않는다”면서 미국 국방부의 연구결과를 기반으로 “분산된 망분리 구조를 단일 클라우드 기반의 방산 정보시스템으로 통합하고, 클라우드 제공자가 보안을 책임지는 방식으로 개선돼야 한다”고 주장했다.

그는 컴퓨터 보안의 표준인 CC인증 제품만 적용할 수 있는 현행 보안규정과 관련해서도 “공격자에게 노출되지 않은 신기술을 빠르게 도입하는 것이 가장 보안에 유용함에도 확인된 기술만 인증하고 인증된 기술을 적용한 기관은 해킹에 뚫려도 책임을 묻지 않는 현행 보안정책의 문제를 정부가 깊이 고뇌하고 과감한 제도 개선을 추진해야 한다”고 강조했다. 

이와 같이 우리나라의 보안규정은 초연결 시대의 보안 환경과 맞지 않는 부분이 상당하고 보안 신기술이 나와도 적시에 적용하기 어려운 제도적 결함을 갖고 있다. 반면 미국은 초연결 시대에 적합한 보안방식을 추구하고 있고 CMMC 또한 이를 기반으로 내용이 구성돼 있어 한국형 CMMC 구축이 가능하려면 이러한 차이를 극복하기 위한 시도가 우선돼야 한다.  

따라서 미국 방산수출에 주목하고 있는 방산보안 전문가들은 윤석열 대통령 직속으로 구성되는 ‘국가사이버안보위원회’가 CMMC 획득 추진에 관심을 갖고 현행 보안규정 보완도 함께 다뤄야 한다고 말한다. 하루빨리 국가사이버안보위원회 주도로 과기정통부와 국가정보원 등 관련 부처들과 적극적인 논의가 이루어져 초연결 시대에 적합한 보안 해결책이 마련되길 기대한다.