한국항공우주연구원 - 한국인터넷진흥원 MOU
한국인터넷진흥원 KISA (Korea Internet & Security Agency)에서는 올해 2024년 3월, 주요국의 우주 사이버시큐리티 정책에 대한 동향을 분석한 'KISA Insight'를 발간했다.1 본 내용은 KISA의 공식 견해가 아니다.
이런 분석의 일환으로 KISA는 4개월 후인 올해 2024년 7월, 한국항공우주연구원과 연구협력 MOU를 체결한 것으로 보인다.2 이 협약으로 두 기관은 대표적으로 다음 내용 등에 상호 협력할 계획이라고 한다.
- 항공우주 기업, 제품 보안 강화
- 항공우주 보안 모델 개발 및 검증
- 항공우주 보안 인력 양성 및 인식 제고
- 항공우주 정보보호 확산 기반 조성
더하여 항우연과 공동으로 보안 모델을 개발하고, 국내의 우주항공 기업을 대상으로 보안 취약점을 점검하는 등의 정보보호 역량 강화를 위해 적극 지원하기로 했다고 한다. 여기에서 KISA 원장님과 항우연 원장님은 이번 MOU로 우주항공산업에서 정보보호 환경을 조성하는 기틀이 되기를 기원하며 시스템 개발의 중요성만큼 안정적인 운용이 침해되지 않도록 하는 보안 노력이 필요함을 강조했다. 이는 웹사이트를 개발하고 운용하는 것과 크게 다르지 않다고 필자는 생각했다.
KISA Insight
우주 보안 관심 배경
우주서비스 제공이 증대됨에 따라 데이터를 전송하고 저장하는 안전성을 보장하는 우주사이버 안보 문제의 중요성이 함께 커지고 있다. 더하여 우주로 올라가는 위성의 수가 증가하는 것은 악의적 목적으로 공격하고자 하는 공격 대상의 수도 함께 증가하는 것이며, 우주자산과 우주시스템은 상대적으로 보안 수준이 지상보다 낮아서 보다 저렴하게 공격이 가능하다고 한다. 그 공격 대상은 우주 궤도에 있는 위성 등의 자산, 지상국 인프라, 통신으로 주고받는 데이터 그 자체와 흐름, 그리고 그것을 제어하는 시스템을 포함한다. 미국의 NIST는우주 사이버위협을 이들에 대한 해킹, 바이러스 공격, 랜섬웨어, 정보 및 기술 탈취, 전자기파 공격 등으로 정의한다. 따라서 우주 보안은 우주 개발 및 탐사에 있어서 굉장히 중요한 부분이라고 할 수 있다.
주요국 동향
미국
미국에서는 2017년 12월, 국가안보전략에서 사이버 사고 및 무선 주파수 위협에 대한 탄력적인 대응의 필요성을 제시한다. 이를 시작으로 2020년 9월에는 최초의 종합 우주 시스템 사이버보안 정책이라고 할 수 있는 우주정책지침-5 (Space Policy Directive-5)를 제시했는데, 이는 우주산업 전반에 대한 사이버 보안 강조를 내용으로 하고 있다. 여기에서는 기존에 지상 시스템에 적용되었던 사이버보안 전략을 우주 자산에도 적용한 것으로, 보안과 경제적 번영, 과학적 지식을 보호하는 것에 초점을 두었다. 특히 상업적 목적의 위성의 수가 늘어나는 것에서 민간 기업과의 협력을 강조하고 있다.
이 지침에서는 우주 시스템을 지상시스템 + 센서 네트워크 + 우주비행체 등의 시스템 조합으로 정의하고 있으며 부분별로 공격에 따른 대응 전략을 제시한다. 또 5대 원칙을 위 이미지와 같이 규정하고 있다.
또한 우주 사이버 안보의 위협을 인식하고 장애와 손상을 감지, 보안 사고 시 대응하며 자체평가를 할 수 있는 등의 가이드 라인을 다음과 같이 제공한다.
| 식별 | 자산, 비즈니스 환경, 거버넌스, 위험 평가, 위험 관리, 공급망 위험 관리 |
| 보호 | ID 관리, 인증 및 엑세스 제어, 인지도 및 훈련, 데이터 보안, 정보보호 프로세스 및 절차, 유지, 보호 기술 |
| 탐지 | 변칙과 사건, 보안 지속 모니터링, 탐지 과정 |
| 대응 | 대응 계획, 커뮤니케이션, 분석, 경감, 개선 |
여기에서 인상적인 부분은 '식별' 부분의 공급망 위험 관리이다. 고려대학교 융합보안대학원의 우승훈 교수님 연구실에서는 해당 공급망 관련 보안에도 관심을 가지고 연구를 진행하고 있는 것으로 안다. 자세한 내용은 몰라도 어딘가에서 들어봤던 내용을 보게 되어 반갑다. 요즘의 소프트웨어는 누군가 만들어둔 모듈, 라이브러리를 사용하여 개발하기 때문에 이들을 주고받는 공급망에 대한 위험 관리는 상당히 중요한 포인트라고 할 수 있겠다.
유럽 ESA
ESA에서 추구하는 중요 목표를 위와 같이 언급했다고 한다. 이전 게시글에서 언급한 우주항공청의 주요 추진 전략과는 조금 다르긴 하다. 물론 그것들이 1번의 과학연구 및 탐사에 포함되겠지만, ESA에서는 조금 더 포괄적으로 목표를 설정한 것이라고도 할 수 있을 것이다.
또한 KISA Insight의 표4와 같이 우주전략을 발표했으며, 저궤도 위성통신에 대한 사이버 보안 평가 보고서에서 표5와 같은 기술적 상업적 위협에 대한 내용을 분류했다.
더하여 표6과 같이 악의적인 위협에 대한 정의를 해두었는데, 이에 대해서 하나하나 찾아보는 것이 좋을 것 같다. 다음 게시글은 이 각각의 위협이 무엇인지에 대한 내용으로 생각해보겠다.
일본, 독일, 중국
미국과 영국에서와 동일하게 각국에서는 정책 및 가이드라인을 만들고 법과 제도를 마련하거나 관련 기술 개발 등을 추진하고 있으며, 자세한 것은 KISA Insight를 참고한다.
KISA Insight의 시사점
공통적으로는 각국에서 상대적으로 최근에 들어서야 정책과 가이드라인을 만들고 있다는 것이다. 이런 상대적으로 최근에 들어선 행보에 비해서 우리나라는 더 늦는 것이기 때문에, 이들을 참고하여 우리나라도 정책과 가이드라인을 마련하고 관련 법을 제정하면서 보안 기술을 개발해야 할 것이다.
과학, 군용 위성을 시작으로 민간 위성도 많이 올라가 있는 현 시대에 민관군이 정책 마련에 협력하고, 우주 보안 분야의 발전에도 협력해야 할 것이다. 지구 밖 우주에 대한 탐사 및 연구를 위해서 각국이 따로 움직일 것이 아니라 서로 연구 협력을 이룩했으면 좋겠다는 측면에서 우주 보안도 협력해야 할 분야이기에 국제적 협력도 필요하다고 생각한다.
'정보보호 > 우주보안' 카테고리의 다른 글
| 3. 우주항공청(KASA)의 정책 방향 (0) | 2024.11.10 |
|---|---|
| 2. 미국 항공우주수권법 vs. 한국 우주개발진흥법 (느낀점 o, 상세 내용 요약 x) (0) | 2024.11.09 |
| 1. 우주 탐사 경쟁 (0) | 2024.11.09 |
| 0. 카테고리를 시작하면서 (0) | 2024.11.09 |
댓글