한국은 세계에서 ICT 인프라가 가장 발달된 나라 중 하나로 꼽힌다. 하지만 보안에 대한 인식은 낮아 사이버공격을 무기화하는 일부 국가나 해커 조직들에게 무방비로 노출된 상태다. 뉴스투데이는 한국의 사이버안보를 강화하기 위해 정부와 군 차원에서 과연 무엇을 어떻게 해야 할지 짚어보는 ‘사이버안보 진단’ 시리즈를 시작한다. <편집자 주>
미군은 삼성 스마트폰 사용, 한국군은 신속히 도입할 제도조차 없어
[시큐리티팩트=김한경 안보전문기자] 국방부는 지난해 8월 국방개혁 2.0의 과제로 ‘국방 사이버안보 역량 강화방안’을 마련하고 10대 실행과제를 추진 중이다. 이 가운데 급속한 ICT 기술 발전 속도에 부합하는 별도의 획득제도를 검토하겠다는 내용이 담겨 있다. 또 사이버안보의 제도와 예산은 국방부가 총괄 수행해 정책의 일관성을 유지하겠다는 내용도 들어 있다.
현행 법규상 획득절차를 거쳐 무기체계를 도입하려면 평균 10년 이상이 걸린다. 반면, 무기체계가 아닌 전력지원체계는 전년도에 예산을 반영하면 다음해 도입이 가능하다. 그런데 ICT 분야는 전력지원체계와 무기체계에 동일한 제품이 들어가는 경우가 많고, 민간기술이 군용기술을 선도해 우수한 상용제품을 군의 작전 환경에 맞게 보완해 활용하는 것이 효과적이다.
전 세계에서 가장 선진화된 군대인 미군도 2013년부터 삼성 스마트폰에 자신들이 원하는 ‘녹스(Knox)’라는 보안 솔루션을 탑재해 작전에 사용하고 있다. 미국 정보기관인 국가안보국(NSA)도 자체 보안 소프트웨어를 적용한 삼성 스마트폰을 직원용으로 도입했다. 하지만 한국군은 아직 삼성 스마트폰을 작전에 사용하지 못한다. 삼성 스마트폰의 ‘비애’인 셈이다.
국방 정보화 업무에 정통한 한 예비역 장성은 “우수한 상용 제품을 무기체계에 사용하고 싶어도 신속히 도입할 획득제도가 없고 보안이 발목을 잡아 추진이 어렵다”고 주장했다. 보안 문제는 풀어갈 수 있지만 삼성 스마트폰의 ‘비애’를 해결하려면 기술의 발전 속도에 맞는 신속획득제도가 조속히 도입돼야 한다.
이와 관련, 지난해 1월 ‘방위사업 개혁 협의회’는 ‘방위사업 개혁방향’을 검토하면서 최초로 ‘신속획득제도’란 용어를 선보였고, 동년 8월에 사업 절차를 대폭 간소화한 ‘신속시범구매제도’를 신설하겠다고 밝혔다. 이 제도는 현장 지휘관이 필요로 하는 장비를 군에서 소량 구매하여 시범 운용한 후 성능이 입증되면 소요 결정 후 다음해부터 전력화하는 방식이다.
합참 관계자, “신속획득 절차와 예산 확보 필요해 제도 신설 검토”
우수한 상용제품을 작전 효용성만 검증 후 도입하는 ‘신개념기술시범(ACTD)’ 사업과 유사하다. 하지만 ACTD는 양산까지 다시 획득절차를 거치게 돼 신속한 도입이 어려운 상황이다. 이와는 별개로 현재 ‘국방전력발전업무훈령’에 전시·사변·해외파병 등 특별한 상황에 시급히 대응할 전력으로서, 소요 결정 후 2년 이내에 획득이 가능한 ‘긴급전력 제도’가 있다.
합참의 실무 관계자는 지난해 12월 한 세미나에서 “획득에 장기간이 소요되고 기술 진부화도 우려됨에 따라 무기체계를 획득이 용이한 전력지원체계로 변경해줄 것을 건의하는 사례가 증가하고 있다”고 말했다. 이런 현상을 해소하고자 그는 “긴급전력의 정의에 부합되지 않는 전력의 신속획득을 위한 절차와 예산 확보가 필요해 제도 신설을 검토 중이다”고 설명했다.
유형곤 안보경영연구원 방위산업실장은 “군에서 생각하는 신속획득은 ① 우수한 민간기술의 신속 활용과 ② 신속한 무기체계 획득으로 구분된다”면서 “ACTD 사업은 ①번에, 긴급전력 제도는 ②번에 해당하며, 신설 예정인 신속시범구매제도도 ②번에 가깝다”고 분석했다.
아직 우리는 신속획득에 대한 정의가 마련되지 않았으나, 통상 일반 획득절차를 간소화하여 획득시간을 단축하는 것으로 이해한다. 미국의 경우 신속획득(Rapid Acquisition)을 “승인된 긴급능력소요(UCR) 또는 우발능력소요(ECR)를 신속하게 생산·배치하기 위한 간소화되고 통합된 접근 방안”으로 정의하고 있다.
사이버안보, 명확한 소요 창출 힘들어...제도 핵심은 획득기간 단축
현행 방위사업 법규에 정통한 한 전문가는 “현행 법규 내에서도 꼭 필요한 무기체계라면 얼마든지 신속히 도입할 수 있다”면서 “연평도 포격 사건 이후 스파이더 미사일을 도입하는데 6개월도 걸리지 않았다”고 말했다. 그는 “정말 중요한 것은 모두가 공감하는 ‘소요’가 만들어지는 것”이라며 “군에서 활용하면 좋겠다는 정도로는 소요 창출이 힘들다”고 말했다.
미국처럼 전쟁을 계속하고 있어 명확한 소요가 창출되는 나라는 획기적인 기획을 할 수 있다. 2011년 방위고등연구기획국(DARPA)은 전직 해커 출신을 발탁해 ‘Cyber Fast Track(CFT)’이란 새로운 프로그램을 기획했고, 목표로 삼은 네트워크 보안 프로젝트를 위해 개인 및 소규모 기업을 상대로 두 달 만에 8건의 단기계약을 체결한 사례도 있었다.
하지만 우리는 미국처럼 명확한 소요를 창출하기 어렵다. 단지 미국을 비롯한 선진국 군대에서 이 제품 또는 기술을 어떻게 사용하고 있고 미래 전장에서 이럴 가능성이 있으니 도입이 필요하다는 정도로 설명할 수밖에 없다. 결국 소요 창출은 정책결정자의 사이버안보에 대한 관심과 의지에 달려 있고, 신속획득제도는 획득기간 단축이 핵심이다.
사이버안보 전문가들은 “획득기간 단축을 위한 특단의 방안을 시급히 마련하고 관련 법규와 제도를 정비해야 한다”면서 “사이버안보 정책을 다루는 정보화기획관실(사이버정책과)에서 방위사업 분야에서 신설하려는 신속시범구매제도와 ACTD, 긴급전력 제도 등을 면밀히 검토하고 해당 부서와 상호 의견을 조율하는 과정이 필요하다”고 주문했다.
최기일 건국대 교수, “별도 예산 배정 또는 불용 예산 전용 우선권 검토”
이런 과정을 거쳐 사이버안보에 적합한 신속획득제도가 만들어지면, 이어서 검토할 것은 신속획득 분야에서 사용할 예산의 확보 방법이다. 이를 지원하기 위해 중기계획 수립 및 예산 편성 시 신속획득을 위한 별도의 예산코드가 마련돼야 한다. 또 양산업체 선정 기준 및 수의계약 허용 여부 등도 함께 검토돼야 한다.
방위사업 예산에 정통한 최기일 건국대 교수는 “신속획득 전력으로 별도 예산을 배정하거나 용처를 명시하지 않는 예비비를 책정할 수도 있고, 매년 발생하는 불용 예산에 대한 전용 우선권을 주는 방법도 있다”고 말했다. 그는 “미국의 경우 국방부장관이 2억 달러 수준의 재원을 용도 변경해 사용할 수 있도록 허용한다”고 전했다.
결국 사이버안보 분야에 적합한 별도의 획득제도는 현재 ‘방위사업 개혁방향’에서 검토 중인 신속시범구매제도가 어떤 모습으로 최종 정리되느냐에 달려있다. 왜냐하면 이 제도는 현장 지휘관에게 필요한 소량의 무기체계를 신속히 구매해 주는데 초점이 맞춰져 사이버안보 분야에서 원하는 획득제도와 다를 수 있기 때문이다.
사이버안보 전문가들은 “일단 방위사업 분야에서 검토 중인 신속시범구매제도가 사이버안보 분야에서 필요한 내용을 담을 수 있는지 검토한 후 큰 문제만 없으면 빨리 도입해 시행해보는 것이 중요하다”면서 “제도가 없어 추진하지 못하는 것보다 미흡한 제도라도 시행하면서 보완하는 것이 사이버안보의 추동력을 갖게 만든다”며 목소리를 높이고 있다.
방위사업 예산에 정통한 최기일 건국대 교수는 “신속획득 전력으로 별도 예산을 배정하거나 용처를 명시하지 않는 예비비를 책정할 수도 있고, 매년 발생하는 불용 예산에 대한 전용 우선권을 주는 방법도 있다”고 말했다. 그는 “미국의 경우 국방부장관이 2억 달러 수준의 재원을 용도 변경해 사용할 수 있도록 허용한다”고 전했다.
결국 사이버안보 분야에 적합한 별도의 획득제도는 현재 ‘방위사업 개혁방향’에서 검토 중인 신속시범구매제도가 어떤 모습으로 최종 정리되느냐에 달려있다. 왜냐하면 이 제도는 현장 지휘관에게 필요한 소량의 무기체계를 신속히 구매해 주는데 초점이 맞춰져 사이버안보 분야에서 원하는 획득제도와 다를 수 있기 때문이다.
사이버안보 전문가들은 “일단 방위사업 분야에서 검토 중인 신속시범구매제도가 사이버안보 분야에서 필요한 내용을 담을 수 있는지 검토한 후 큰 문제만 없으면 빨리 도입해 시행해보는 것이 중요하다”면서 “제도가 없어 추진하지 못하는 것보다 미흡한 제도라도 시행하면서 보완하는 것이 사이버안보의 추동력을 갖게 만든다”며 목소리를 높이고 있다.