[그게 뭔가요] 무기·전력을 위한 보안위험관리체계, ‘K-RMF’
최근 미국·이스라엘과 이란의 충돌은 현대 전쟁의 양상이 어떻게 바뀌고 있는지 보여줬다. 공습과 미사일 공격만 오간 것이 아니었다. 미국 금융권은 이란 연계 세력의 디도스(DDoS) 등 사이버공격 가능성에 대비해 경계를 높였고, 전쟁 상황을 둘러싼 허위 영상과 이미지도 빠르게 퍼졌다. 전쟁이 물리적 타격과 사이버 공격이 한 번에 이뤄지는 양상으로 가고 있다는 뜻이다.
특히 이번 충돌 국면에서는 실제 전황처럼 보이는 가짜 이미지와 영상이 대거 유통됐다. 로이터와 AP의 팩트체크에 따르면, 이란 최고지도자 사진이나 미군 자산 피격 장면처럼 퍼진 일부 콘텐츠는 AI로 생성됐거나 다른 영상을 끌어다 쓴 허위 정보였다. 전쟁에서 무엇이 사실인지 가려내는 일 자체가 더 어려워지고 있다는 의미다.
이런 흐름은 한 가지 질문으로 이어진다. 이런 시대에 무기를 어떻게 관리해야 할까. 다 만든 뒤에 보안 점검을 한 번 하는 정도로 충분할까. K-RMF는 여기에 답하는 제도다.
K-RMF는 무엇인가
K-RMF는 Korean Risk Management Framework, 한국형 위험관리 프레임워크다. 정확히는 국방부가 만든 국방 사이버보안 위험관리 제도다. 국방부는 이를 군에서 위험관리를 수행하기 위한 조직과 절차, 규정, 기준 등의 체계로 정의한다. 또 무기체계와 전력지원체계의 소요 제기부터 획득, 운용, 유지, 폐기까지 전 수명주기에서 사이버보안 위험을 예방·평가·대응·완화하는 체계적 절차라고 설명한다. 즉 K-RMF는 보안 제품이나 인증 마크가 아니라, 국방체계 전 생애주기에 붙는 관리 체계다.
쉽게 말하면 K-RMF는 “이 무기체계가 얼마나 중요한가”, “어떤 정보와 연결되는가”, “어디가 뚫리면 어떤 문제가 생기는가”, “그 위험을 줄이려면 어떤 보안 통제를 넣어야 하는가”를 처음부터 끝까지 점검하는 절차다. 건물을 다 지은 뒤 소화기와 CCTV를 설치하는 방식이 아니라 설계도 단계에서부터 비상구와 출입통제, 점검 절차까지 함께 넣는 방식에 가깝다.
K-RMF의 뿌리는 미국 국립표준기술연구소(NIST)의 위험관리 프레임워크(RMF) 에 있다. NIST는 RMF를 보안·프라이버시·공급망 위험관리를 시스템 개발 수명주기에 통합하는 체계라고 설명한다. K-RMF는 이 철학을 한국의 국방 환경에 맞게 가져온 제도다. NIST RMF가 7단계 구조라면, 국방부가 정한 K-RMF는 ▲시스템 보안분류 ▲보안통제항목 선정 ▲구현 ▲보안평가 ▲시스템 인가 ▲모니터링의 6단계로 정리돼 있다.
K-RMF 제도를 연구해온 한국정보보호학회 위험관리(RMF) 연구회 소속 유재원 아주대학교 교수는 RMF를 ‘완벽한 보안’을 전제한 제도가 아니라 ‘관리해야 하는 보안’으로의 전환이라고 설명했다. 과거에는 인증된 보안 제품을 붙이면 충분하다고 봤지만, 기술이 빠르게 바뀌고 정보체계와 무기체계의 연결 범위가 넓어지면서 그런 방식만으로는 한계가 분명해졌다는 것이다. 유 교수는 미국이 2014년 RMF를 군에 본격 반영한 배경도 여기에 있다고 설명했다. 보안 기술 변화의 속도를 기존 제도가 따라가지 못했고, 연결된 체계가 늘면서 한정된 예산 안에서 모든 영역을 똑같이 지키는 방식도 더는 통하지 않게 됐다는 것이다.
이 점은 공공 분야의 국가망보안체계(N²SF) 와도 닿아 있다. K-RMF와 N²SF는 적용 대상이 다르다. K-RMF는 국방부의 무기체계와 전력지원체계를 다루고, N²SF는 공공기관의 정보와 서비스를 다룬다. 다만 둘 다 “모든 것을 일률적으로 막는 방식”이 아니라 “위험과 중요도에 따라 보안 통제를 다르게 설계하는 방식”으로 전환한다는 점에서 같은 계열의 프레임워크로 볼 수 있다.
왜 한국에 도입됐나
K-RMF가 나온 배경은 먼저 ‘무기체계 자체의 변화’와 맞물려 있다. 한국정보보호학회 관련 연구에 따르면, 외부와 비교적 분리돼 독립적으로 운용되던 무기체계에 최근 네트워크 통신, 센서, 소프트웨어가 본격적으로 들어가기 시작했다. 그만큼 사이버공격에 노출될 가능성도 커졌고, 보안 역시 개발 막판 점검이 아니라 요구사항 단계부터 반영해야 할 문제로 바뀌었다.
두 번째 배경은 미국과의 연동성이다. 유 교수는 미국이 군에 RMF를 적용한 뒤 동맹국과 연합군, 방산업체까지 같은 수준의 보안이 필요하다고 보기 시작했다고 설명했다. 미군의 보안이 아무리 강해도 동맹국 군이나 방산업체가 취약하면 연동 체계 전체가 흔들릴 수 있다는 판단에서다. 이런 흐름 속에서 2019년 당시 한미연합사령관이던 로버트 에이브럼스가 한국 측에도 RMF 수준의 제도가 필요하다고 요구했고, 특히 미국에서 도입한 F-35A 같은 무기체계의 기술정보 유출 우려가 계기가 됐다. 이후 2019년 말 당시 정경두 국방부 장관은 방첩사령부에 미국이 요구하는 수준의 사이버보안 위험관리 제도를 만들라고 지시했고, 이를 바탕으로 한국형 K-RMF가 설계됐다.
핵심은 미국 제도를 그대로 들여오는 것이 아니라, 미군과 호환되면서도 한국 법령과 군 특성을 반영한 독자 체계를 만드는 것이었다. 유 교수는 “국방부는 미국의 보안통제 항목과 한국 법령상 보안 요구사항을 함께 반영해 2020년 K-RMF를 만든 것‘이라고 설명했다.
K-RMF는 어떻게 작동하나
국방부가 2024년 공개한 ‘국방 사이버보안 위험관리 지시’ 문건에 따르면, K-RMF는 상당히 구체적으로 설계돼 있다. 첫 단계는 ‘시스템 보안 분류’다. 대상 체계가 다루는 정보의 유형을 식별하고, 기밀성·무결성·가용성에 미치는 영향을 따져 보안영향 수준을 정한다.
다음은 ’보안통제항목 선정’ 단계다. 앞 단계의 결과를 바탕으로 어떤 보안 요구사항을 적용할지 정하고 보안계획서를 작성한다. 이후 ’구현’ 단계에서는 이를 개발과 운용환경에 반영하고, ’보안평가’를 거친 뒤 ’인가’ 단계에서 실제 운용 여부를 판단한다. 마지막 ’모니터링’ 단계에서는 체계가 폐기되기 전까지 위험을 계속 관리한다.
여기서 핵심은 ‘인가’다. K-RMF는 보안점검 통과 여부만 보는 제도가 아니다. 평가 결과를 바탕으로 이 체계를 실제 작전에 투입해도 되는지 판단하는 절차를 포함한다. 운영 중 환경 변화가 생기거나 형상이 바뀌면 다시 평가하고 재인가를 받도록 했다.
유 교수는 이 점을 두고 “예전에는 한 번 승인되면 끝났지만, 이제는 시대 환경과 위험이 계속 바뀌기 때문에 위험도가 큰 체계는 6개월, 1년 단위로 재평가해 연장하거나 폐기할 수도 있게 만든 제도”라고 설명했다.
실제 적용 방식도 구체적이다. 국방부 지시는 소요제기기관이 무기체계 소요를 제기할 때부터 시스템 보안분류를 수행하도록 했고, 인가권자를 정해 소요제기서에 포함하도록 했다. 또 모의침투 필요성을 검토하게 했으며, 지휘통제체계는 반드시 모의침투를 수행하도록 규정했다.
AI 동원한 전쟁, 더 중요해지는 RMF
최근 전쟁에서 공개적으로 확인된 것은 AI가 만든 허위 콘텐츠의 확산이었다. AI가 직접 공격을 수행했다는 보도가 계속 이어졌다. 전쟁 상황에서 AI 생성 이미지와 영상이 실제 전황 정보처럼 퍼졌고, 그 자체로 정보전의 부담을 키운 것은 분명하다. 전쟁이 물리적 충돌만이 아니라 디지털 공간의 신뢰 문제까지 포함하게 됐다는 뜻이다.
여기에 미군이 클로드 등 생성형 AI를 활용한 것도 쟁점이 됐다. 앤트로픽은 2025년 미 국방부와 최대 2억달러 규모의 계약을 맺고 국방 분야용 AI 역량을 시범 개발하기로 했고, 같은 해 미국 국가안보 고객 전용 클로드 거브(Claude Gov) 모델도 공개했다. 최근에는 클로드의 군사적 활용 범위를 둘러싸고 미 국방부와 앤트로픽 사이에 갈등이 불거지기도 했다.
AI가 적용된 시스템은 더 많은 데이터에 의존하고, 작동 방식이 더 복잡하며, 예상 밖 결과를 낼 가능성도 커진다. NIST의 AI 위험관리 프레임워크(AI RMF)도 AI 위험을 설계·개발·배치·운용 전반에서 다뤄야 한다고 설명한다. K-RMF와 AI RMF는 적용 대상은 다르지만, AI가 무기체계에도 적용되고 있다는 점에서 주목할 필요가 있다.
K-RMF, 어디까지 왔나
K-RMF는 아직 개념 수준에만 머물러있지 않다. 국방부는 2024년 4월 ‘국방 사이버보안 위험관리 지시’를 제정했고, 2025년 1월 시행된 ‘국방정보화 기반조성 및 국방정보자원관리에 관한 법률’ 개정으로 국방 사이버보안 위험관리의 법적 근거도 마련됐다. 법 조문은 국방정보시스템과 소프트웨어가 내장된 무기체계·전력지원체계에 대해 소요기획부터 획득, 운영·유지, 폐기까지 전체 수명주기 관점에서 사이버보안 위험을 관리하도록 규정하고 있다.
정리하면, 제도는 2020년에 마련됐고, 2021년부터 2년 동안 지휘통제체계 등을 대상으로 시범 평가와 보완이 진행됐다. 이후 2023년부터 적용 범위를 점차 넓혀가는 단계에 있다.
적용은 단계적으로 이뤄지고 있다. 국방부 지시 문건에 따르면, 무기체계는 2024년 7월 1일 이후 소요가 결정되거나 신규 제기되는 체계 가운데 전장관리정보체계에 우선 적용하고, 이후 범위를 단계적으로 넓힌다. 전력지원체계는 올해부터 사업 착수 체계부터 적용됐다. 기존 운용 체계는 당장 일괄 전환하기보다 운영시스템에 등록해 현황을 관리하는 방식이다.
유 교수는 “현재 국방부 내의 10여개 체계가 K-RMF 평가 대상으로 관리되고 있으며, 우선 C4I(Command, Control, Communications, Computers, Intelligence) 체계와 함정, F-35A, 고고도 무인기 글로벌호크 같은 체계에서 적용과 관리가 이뤄지고 있다”고 설명했다. C4I는 지휘·통제·통신·컴퓨터·정보 체계로, 지휘관이 전장 상황 정보를 수집·판단하고, 명령을 내리고, 각 부대가 같은 상황 정보를 공유하도록 묶어주는 체계를 말한다.
K-RMF, K-방산에도 중요
K-RMF는 군에만 영향을 미치는 제도처럼 보이지만, ‘K-방산’과도 직결된다. 결국 무기를 만드는 주체는 방산 기업이기 때문이다. 경찰청은 2024년 북한 해킹조직이 국내 방산업체를 공격한 사건을 공개하면서, 방산업체뿐 아니라 협력업체에 대해서도 내·외부망 분리 등 보호조치가 필요하다고 밝힌 바 있다. 무기체계의 사이버보안이 군 내부 전산 문제를 넘어, 방산업체와 협력사, 공급망 전체의 문제로 확장되고 있다는 것이다.
유 교수도 같은 맥락을 짚었다. 그는 “K-RMF는 방산업체부터 방위사업청, 국방부, 실제 운용 부대까지 일관되게 가야 한다”고 설명했다. 미군이 동맹국과의 연합작전과 수출, 임무 파트너 환경(MPE, Mission Partner Environment) 까지 고려해 보안 표준 정합성을 요구하는 것도 이런 이유라는 것이다. MPE는 미국이 동맹국과 전장 상황을 공유하고 유기적인 공동 작전을 수행하기 위해, 별도로 운용하던 정보 및 지휘통제(C4I) 체계를 공통 표준과 프로토콜을 활용해 단일 네트워크로 통합한 연합 정보 공유 환경을 뜻한다.
이런 이유로 최근에는 방산업계도 사이버보안 강화에 나서고 있다. 예컨대 현대로템은 2026년 협력사 상생 전략을 발표하면서 모의해킹과 악성 메일 대응 교육, 보안관리체계 진단과 개선 컨설팅 지원 계획을 공개한 바 있다. 유 교수는 “현대로템 등 몇몇 방산기업에서는 현재 K-RMF에 대비하기 위한 준비를 하고 있는 것으로 안다”고 설명했다. K-RMF가 제도 차원이라면, 이런 움직임은 방산 생태계가 실제 대응 태세를 갖춰가는 흐름으로 볼 수 있다.
결국 무기체계가 소프트웨어와 네트워크에 더 의존할수록 경쟁력의 기준도 단순 성능이 아니라 해킹 상황에서도 임무를 유지할 수 있는가, 연합 체계와 안전하게 연결될 수 있는가로 무게가 더 옮겨가게 된다. 물리적 전쟁이 사이버 전쟁이 연결되는 시대, K-RMF가 필요한 이유다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

