[그게 뭔가요] 무기·전력을 위한 보안위험관리체계, ‘K-RMF’
Source: Byline Network
📅 이벤트 안내
-
[컨퍼런스] 2026 이커머스 비즈니스 인사이트
- 📍 장소: 서울 강남구 테헤란로7길 22 ST Center 대회의실2
- 🗓️ 일시: 3월 12일 12:30 ~ 17:00
- 🔗
-
[웨비나] AI 시대를 준비하는 쿠버네티스
- 🗓️ 일시: 3월 24일 14:00 ~ 16:00
- 🔗
📌 최근 국제 정세와 사이버 전쟁
최근 미국·이스라엘과 이란의 충돌은 현대 전쟁 양상이 물리적 타격 + 사이버 공격으로 동시에 진행되고 있음을 보여줬다.
- 미국 금융권은 이란 연계 세력의 DDoS 등 사이버 공격 가능성에 대비해 경계를 높였다.
- 전쟁 상황을 둘러싞 허위 영상·이미지가 급속히 퍼졌다.
특히 로이터와 AP의 팩트체크에 따르면, 이란 최고지도자 사진이나 미군 자산 피격 장면 등 일부 콘텐츠는 AI로 생성되었거나 다른 영상을 재활용한 허위 정보였다. 전쟁에서 무엇이 사실인지 가려내는 일이 점점 어려워지고 있다.
질문: 이런 시대에 무기를 어떻게 관리해야 할까?
답변: K‑RMF가 그 해답을 제시한다.
🔐 K‑RMF란?
K‑RMF(Korean Risk Management Framework)는 국방부가 만든 국방 사이버보안 위험관리 제도이다.
- 목적: 무기체계·전력지원체계 전 수명주기(소요 제기 → 획득 → 운용 → 유지 → 폐기)에서 사이버보안 위험을 예방·평가·대응·완화하는 체계적 절차 제공.
- 특징: 보안 제품·인증 마크가 아니라 전 생애주기에 적용되는 관리 체계.
비유: 건물을 다 짓고 나서 소화기·CCTV를 설치하는 것이 아니라, 설계 단계부터 비상구·출입통제·점검 절차를 포함시키는 방식.
📚 뿌리와 구조
- 기원: 미국 NIST(National Institute of Standards and Technology)의 RMF(Risk Management Framework).
- K‑RMF 단계 (6단계)
- 시스템 보안분류
- 보안통제항목 선정
- 구현
- 보안평가
- 시스템 인가
- 모니터링
전문가 의견: 한국정보보호학회 위험관리(RMF) 연구회 소속 유재원 교수(아주대학교) – “RMF는 ‘완벽한 보안’이 아니라 ‘관리해야 하는 보안’으로 전환된 제도다.”
📌 공공 분야와의 연계
- **N²SF(국가망보안체계)**와 비교
- K‑RMF: 국방부 무기·전력지원체계 대상
- N²SF: 공공기관 정보·서비스 대상
- 공통점: 위험·중요도에 따라 보안 통제 설계 방식 채택
🇰🇷 한국에 도입된 배경
-
무기체계의 디지털 전환
- 전통적 독립 운용 → 네트워크·센서·소프트웨어 통합
- 사이버 공격 노출 위험 증가 → 보안 요구사항을 개발 초기 단계부터 반영 필요
-
미국과의 연동성
- 2019년 로버트 에이브럼스 한미연합사령관, 한국에 RMF 수준 제도 요구
- F‑35A 등 첨단 무기체계 기술유출 우려가 계기
- 2019년 말 정경두 국방부 장관, 방첩사령부에 미국 요구 수준 사이버보안 위험관리 제도 구축 지시 → K‑RMF 설계
핵심: 미국 제도를 그대로 도입하는 것이 아니라, 미군과 호환되면서도 한국 법령·군 특성을 반영한 독자 체계 구축
⚙️ K‑RMF 작동 방식
**국방 사이버보안 위험관리 지시(2024)**에 따른 구체적 절차
| 단계 | 주요 내용 |
|---|---|
| 1. 시스템 보안분류 | 정보 유형 식별 → 기밀성·무결성·가용성 영향 평가 → 보안영향 수준 결정 |
| 2. 보안통제항목 선정 | 보안 요구사항 선정 → 보안계획서 작성 |
| 3. 구현 | 선정된 통제항목을 개발·운용 환경에 적용 |
| 4. 보안평가 | 구현된 통제에 대한 검증 수행 |
| 5. 인가 | 평가 결과 기반 운용 투입 여부 판단 (재평가·재인가 포함) |
| 6. 모니터링 | 폐기 전까지 지속적인 위험 관리 |
- 인가는 단순 점검 통과가 아니라 실제 작전 투입 가능 여부를 판단하는 절차이며, 환경·형상 변화 시 재평가가 요구된다.
실제 적용 예시
- 소요제기기관: 무기체계 소요 제기 시 시스템 보안분류 수행 의무화
- 인가권자 지정 및 소요제기서 포함
- 모의침투 필요성 검토·지휘통제체계는 반드시 수행하도록 규정
🤖 AI와 전쟁, 그리고 RMF의 중요성
- AI 생성 허위 콘텐츠가 전쟁 정보전의 부담을 가중시킴
- 미군은 클로드(Claude) 등 생성형 AI 활용을 시도, 2025년 앤트로픽과 2억 달러 규모 계약 체결
- AI 적용 시스템은 데이터 의존도·복잡성·예측 불가능성이 증가 → AI 위험관리 프레임워크(AI RMF) 필요
연계: K‑RMF와 AI RMF는 적용 대상은 다르지만, AI가 무기체계에 적용되는 상황에서 모두 고려해야 할 프레임워크이다.
📈 K‑RMF 현황
- 법적 근거: 2025년 1월 시행된 ‘국방정보화 기반조성 및 국방정보자원관리에 관한 법률’ 개정
- 제도 연혁
- 2020년 제도 마련
- 2021‑2022년 시범 평가(지휘통제체계 등)
- 2023년 적용 범위 확대
- 2024년 7월 1일 이후 전장관리정보체계 우선 적용, 이후 단계적 확대
현재 적용 중인 주요 체계
- C4I(Command, Control, Communications, Computers, Intelligence)
- 함정
- F‑35A
- 고고도 무인기 글로벌호크 등
현재 10여 개 체계가 K‑RMF 평가 대상으로 관리되고 있다.
🛡️ K‑RMF와 K‑방산(방위산업)
- 방산 기업·협력업체도 사이버보안 강화 필요
- 2024년 경찰청, 북한 해킹조직이 국내 방산업체 공격 사례 공개 → 내·외부망 분리·보호조치 강조
- 현대로템(2026년) – 협력사 상생 전략에 모의해킹·악성 메일 대응 교육·보안관리체계 진단 포함
전문가 의견: “K‑RMF는 방산기업부터 방위사업청, 국방부, 실제 운용 부대까지 일관되게 적용돼야 한다.” (유재원 교수)
- MPE(Mission Partner Environment): 미국이 동맹국·협력 파트너와 정보·지휘통제 체계를 단일 네트워크로 통합하기 위한 표준·프로토콜 환경 → K‑RMF와 연계된 보안 표준 정합성 요구와 직결
📌 정리
- K‑RMF는 국방 사이버보안 위험관리를 전 수명주기에 걸쳐 체계화한 제도이며, AI·디지털 전쟁 시대에 필수적인 프레임워크다.
- 법적·제도적 기반이 마련돼 단계적으로 적용이 확대되고 있다.
- 방산 산업까지 연계된 보안 생태계 구축이 진행 중이며, 미국과의 연동성을 고려한 국제 표준화 흐름과도 맞물려 있다.
소프트웨어와 네트워크에 더 의존할수록 경쟁력의 기준도 단순 성능이 아니라 해킹 상황에서도 임무를 유지할 수 있는가, 연합 체계와 안전하게 연결될 수 있는가 로 무게가 옮겨간다. 물리적 전쟁이 사이버 전쟁과 연결되는 시대, K‑RMF가 필요한 이유다.
글. 바이라인네트워크
god8889@byline.network