지난 3월 21일 미 국방부는 『2024년 방위산업기지 사이버 안보 전략서(Defense Industrial Base Cybersecurity Strategy)』를 공개했다. 미 국방부 캐슬린 힉스(Kathleen Hicks) 부장관이 주도해 국방부 방위산업기지(DIB, Defense Industrial Base) 실무팀, 미국 내 유수 방위산업체 실무자, 과학기술지원팀이 공동으로 미국 방위산업체가 범정부(interagency) 차원에서 협력적인 사이버 안보를 견지해야 할 기본 지침과 세부 내용을 제시했다.

이번 전략서는 총 40쪽 분량으로, 전략적 비전과 임무, 4가지 목표를 제시했다. 특히 사이버 분야의 발전 속도를 고려해, 적용기간을 3년(2027년까지)으로 제한했다.

구체적으로 2022년 국방전략서(NDS), 2023년 국가안보전략서(NSS), 2023년 국가 사이버 안보 전략서(NDIS), 국립표준기술연구소(NIST)의 사이버보안 프레임워크(CSF) 에 의거, 미국 국방부를 넘어 미국 내 방위산업체에 대한 중국 등 경쟁국의 사이버 공격에 대응한 전략적 지침과 목표를 다음과 같이 제시했다.

첫째, 비전(vision)이다. 이번 전략서는 “미국 내 주요 방위산업체가 경쟁국의 사이버 공격에 대해 기술적인 대응을 하고 복원력 있는 대응 태세를 유지하며, 방위산업체의 역량을 보호하는 것”을 비전으로 정의했다.

둘째, 임무(mission)다. 이번 전략서는 “미국 내 유수 방위산업체가 갖고 있는 매우 독보적 정보, 영업 전략과 역량, 차세대 전력 개발과 생산을 통합하는 과정과 절차를 보호함으로써, 미군의 경쟁국과의 전투력 발휘 능력을 보존하고, 작전적 신뢰성을 향상시키며, 이를 효과적으로 유지 및 관리하는 임무를 수행하는 것”으로 임무를 정의했다.

셋째, 4개의 목표(goal)다. 이번 전략서는 미국 방위산업체의 사이버 안보를 위해 ① DIB에 대한 사이버 공격에 대응하기 위해 국방부 주관의 거버넌스 구조를 강화하고, ② DIB 사이버 안보 태세를 증진시키며, ③ 경쟁국으로부터 다양한 사이버 공격이 교차되는 환경 아래 DIB의 핵심적 역량이 복원력을 갖도록 하고, ④ DIB와 미국 내 주요 방위산업체 간 사이버 안보 협력 체계를 개선한다는 4가지 목표를 제시했다.

1. 첫 번째 목표인 DIB에 대한 사이버 공격에 대응하기 위한 국방부 주관의 거버넌스 구조를 강화하기 위해 ▲사이버 도메인에서의 명확한 공격 징후에 대해 범정부 차원의 협력(collaboration)을 강화하고, ▲DIB와 연계된 주 계약자와 하청 계약자들이 경쟁국으로부터 사이버 공격을 책임 있게 대응하도록 각종 규정을 개발하기로 했다.

2. 두 번째 목표인 DIB의 사이버 안보 태세를 증진시키기 위해 ▲DIB는 미 국방부가 제정한 사이버 안보 요구사항을 준수하고, ▲DIB와 연계된 사이버 정보, 사이버 방호 취약점, 예상되는 사이버 위협에 대한 정보 공유를 하는 체계를 개선하며, ▲DIB 정보통신체계의 취약점을 식별하고, ▲악의적 사이버 공격으로부터 회복하는 역량을 갖추며, ▲그동안 적용된 사이버 안보 요구사항, 정책, 규정 등에 대해 평가를 주기적으로 실시하기로 했다.

3. 세 번째 목표인 DIB의 핵심 역량이 복원력을 갖도록 하기 위해 ▲DIB의 생산 역량에 경쟁국의 사이버 공격으로부터 내성을 갖도록 우선순위를 부여하고, ▲미국 방위산업체의 생산 시설과 부품들에 대한 사이버 공격에 대한 우선순위를 부여하는 정책적 기준과 원칙을 설정하기로 했다.

4. DIB와 미국 내 주요 방위산업체 간 사이버 안보 협력 체계를 개선하기 위해 ▲DIB에 대한 사이버 위협 인식 역량을 강화하기 위해 상용 인터넷, 클라우드, 사이버 안보 종사자 간 협력을 강화하고, ▲DIB와 협력과 통신 체계를 개선하기 위해 DIB 내 부서 협의체(SCC)를 적극적으로 활용하며, ▲DIB와 주요 방위산업체 간 양방향 통신 협력 체계를 구축하고 사이버 안보 관련 민·관 협력으로 확장한다고 제시했다.

궁극적으로 이번 전략서는 미국 방위산업체에 대한 사이버 공격 주체를 국가와 비정부기관으로 구분하고, 공격 대상을 완성체, 부품, 작업시설, 계약 절차, 투자, 화학, 통신, 에너지, 수자원, 재정, 정보통신, 핵시설, 수송, 보건, 시설물 등 구체적으로 기술했다.

* 이미지 출처 : U.S. Department of Defense

* 내용 출처 : US DoD, Defense Industrial Base Cyber Security Strategy 2024, March 21, 2024; DoD Releases Defense Industrial Base Cyber Security, March 28, 2024.

저작권자ⓒ한국군사문제연구원(www.kima.re.kr)