위협 모델링 기반 함정 전투체계 보안 요구사항에 관한 연구
A Study on Security Requirements of Shipboard Combat System based on Threat Modelling
Article information
Trans Abstract
The shipboard combat system is a key system for naval combat that supports a command and control process cycle consisting of Detect - Control - Engage in real time to ensure ship viability and conduct combat missions. Modern combat systems were developed on the basis of Open Architecture(OA) to maximize acceptance of latest technology and interoperability between systems, and actively introduced the COTS(Commercial-of-the-shelf). However, as a result of that, vulnerabilities inherent in COTS SW and HW also occurred in the combat system. The importance of combat system cybersecurity is being emphasized but cybersecurity research reflecting the characteristics of the combat system is still lacking in Korea. Therefore, in this paper, we systematically identify combat system threats by applying Data Flow Diagram, Microsoft STRIDE threat modelling methodology. The threats were analyzed using the Attack Tree & Misuse case. Finally we derived the applicable security requirements which can be used at stages of planning and designing combat system and verified security requirements through NIST 800-53 security control items.
1. 서 론
21세기 현대 해군의 전투영역은 수상, 수중, 공중 외 대지, 초수평면, 우주 및 사이버 공간에 이르기까지 지속 확대되고 있다. 또한 첨단 과학기술의 발전으로 함정에 치명적인 피해를 줄 수 있는 유도무기 체계는 더욱 고속화, 지능화, 정밀화, 스텔스화되고 사거리가 증대되고 있으며 무인 항공기/함정/잠수정 등 함정이 대응해야 할 전투 플랫폼들이 다양해졌다. 그 결과 함정의 생존성 보장을 위해서 함정이 보유한 센서체계 및 무장 능력의 전반적 향상이 요구되는 동시에, 탐지한 표적을 조기에 식별하여 가용 무장 중 최적의 무장을 할당/발사/유도하며 이후 신속한 교전평가를 통해 최적의 지휘결심 프로세스를 지원하는 복합 컴퓨팅체계의 필요성이 식별되었다.
전투체계는 함 생존성 보장 및 임무 수행을 위해 함정의 탐지(Detect) - 통제(Control) - 교전(Engage)으로 구성되는 지휘·통제 순환(Iterative) 프로세스를 실시간으로 지원하는 해군 전투의 핵심이 되는 체계로 복잡한 연산을 실시간으로 구현하기 위해 첨단 IT 기술이 집약된 독립 체계들이 상호 연동하며 통합된 System of systems이다[1].
전투체계는 최신 민간 기술의 적시적 수용과 체계 간 상호운용성, 이식성 및 확장성을 극대화하기 위해 개방형 구조(OA, Open Architecture)를 기반으로 개발되었고 COTS(Commercial-of-the-shelf) 제품군을 적극 도입하였다. 그 결과 전투체계는 현대 해군의 전투 수행을 위한 성능적 요구조건을 만족하게 되었으나 사이버보안 측면에서 민간 SW, HW에 내재한 취약점들이 전투체계에도 발생하는 문제점이 발생하게 되었다.
전투체계는 타 네트워크와 연동 없이 함정 자체 폐쇄망으로 운용되기에 사이버보안 측면에서 군 인트라넷, 인터넷 대비 예산 투자, 보안 관제 등에 대한 관심도가 낮았으나 최근 들어 분명한 공격목표와 의도를 가진 공격자에게는 폐쇄망도 결코 안전할 수 없다는 국내외적 사례와 연구를 기반으로 전투체계 보안에 대한 연구가 활발히 진행되고 있다.
전투체계 특성상 이미 개발 완료된 전투체계의 보안 요구사항을 분석하고 보안 기능을 추가하는 것은 많은 비용이 소모된다. 따라서 전투체계 보안 강화를 위해서는 요구분석 및 개발 단계부터 체계적인 방법론 적용을 통해 도출한 보안 요구사항이 사전에 식별·반영되어야 하며 무기체계 수명주기 전체에 지속적인 보안 수준 평가가 수반되어야 한다. 이전 연구들은 전투체계 보안 관련 기술적, 제도적 개선방안을 제시하고 일부 연구의 경우 발생 가능한 공격 시나리오를 도출하는 등 성과를 거두었으나[2-8] 전투체계의 데이터흐름과 고유 특징을 분석하여 실무자 관점에서 전투체계 개발·운용단계에 활용할 수 있는 보안 요구사항을 도출하는 연구는 부재했다.
본 논문에서는 국내·외 최초로 전투체계의 데이터흐름(Data Flow)를 분석하고 위협 모델링 방법론을 적용해 전투체계 보안 요구사항을 도출하고자 한다. 이를 위해 2장에서는 함정 전투체계 개념, 보안내재화 및 위협 모델링 관련 연구 동향을 소개하고 이어서 함정 전투체계 보안 관련 연구를 소개한다. 3장에서는 DFD 작성 후 STRIDE 위협 모델링을 적용하여 보안 위협 및 위험 분석을 수행하고, Attack Tree 작성을 통해 보안 요구사항 Check List를 도출한다. 4장에서는 NIST 800-53 보안 통제항목을 통해 도출한 Check List 의 충분성을 점검하고 Check List의 활용방안에 대해 소개하며, 마지막 5장에서는 결론 및 향후 연구방향을 제시한다.
2. 관련연구
2.1 함정 전투체계
함정 전투체계란 “함정에 탑재된 장비로부터 획득한 모든 전술자료를 실시간 제공하여 지휘결심을 용이하게 하며, 효율적인 무장통제로 함정의 전투 임무 수행을 극대화하기 위한 통합된 무기체계”(해군용어사전, 2011)로서 함정 탑재장비를 통합하고 표적 탐지-지휘결심-교전 과정을 자동화하여 현대 해군 함정의 두뇌 역할을 수행하는 핵심 체계이다. Fig. 1은 함정 전투체계의 운용개념을 나타낸다.
우리 해군은 1990년대 영국 BAE Systems사 SSCS Mk7 전투체계를 광개토대왕급 구축함(DDH-I)에 최초로 도입하였다. 이후 미국 LOCKHEED MARTIN사 ACS(Aegis Combat System)을 세종대왕급 구축함에 도입하는 등 외국산 전투체계를 수입하여 운용하다가 2002년 국방과학연구소가 네덜란드 Thales사와 기술협력하여 LPH 전투체계를 연구 개발했다. 2003년에는 순수 국내기술만으로 PKG-A 전투체계 개발에 착수하여 2008년 전력화하였고 FFG-I/II, LST-II, MLS-II, PKG-B 및 장보고-III 잠수함 전투체계를 국방과학연구소와 국내 방산업체 주도 연구개발을 완료하였다. 향후 FFG-III, 차기구축함(KDDX)까지 국내 개발 전투체계가 지속 탑재된다. 함형별 세부 구성은 상이하나 함정 전투체계의 일반적인 구성은 Fig. 2와 같다.
소스코드를 확인할 수 없어 Secure SDLC 적용이 제한되었던 외국산 전투체계와는 달리 국내 개발 전투체계의 경우 전투체계 개발 단계부터 운용단계까지 전 수명 주기별 Secure SDLC 적용이 가능하다. 따라서 현재 해군은 무기체계 소요제기 단계부터 RFP 및 보안대책 작성 시 Secure Coding 적용 등 보안 요구사항을 명시하고, 요구사항 준수 여부를 시험평가 및 산출물 검증을 통해 확인하고 있으며, 체계 운용 중에도 보안점검 결과 이상 발생 시 이를 즉각 수정하며 보안 위협에 대응하고 있다.
2.2 보안내재화
보안내재화(Security by Design)란 기능 분석 및 설계와 같이 초기 개발 단계부터 보안을 고려함으로써 체계 복잡도를 감소시켜 제품의 신뢰성(Trustworthiness)을 달성하는 것을 말한다. 이와 같이 보안내재화 개념을 반영한 개발 프로세스를 Secure SDLC(Secure SW Development Life Cycle) 또는 보안공학 프로세스(Security Engineering Process)라고 하며[11] 소프트웨어 개발 시 요구사항 분석/설계/구현/테스트/유지보수로 이어지는 소프트웨어 생명주기(SDLC) 각 단계별로 수행되어야 할 보안활동을 정의한다.
Microsoft, IBM 등 산업계에서는 2000년대 초부터 Secure SDLC를 민간에 전파하기 시작했다. 특히 Microsoft는 MS-SDL(Microsoft Security Development Lifecycle)을 Windows VISTA 개발부터 적용하였고 SDL 을 위한 전용 도구를 개발하는 등 활발한 연구를 진행하고 있다[12,13].
군 무기체계의 경우 과학기술 발전에 따라 무기체계 내 SW가 차지하는 비중이 급격히 증가했으며, 개발∙운용∙정비 효율성 고려 무기체계 HW/SW는 대부분 개방형 OS 등 COTS(Commercial On-The-Shelf) 기반 컴퓨터, 네트워크로 구성되었다. 또한 통합·연동 경향 심화로 타체계-타군-타국 간 안정적인 상호운용성 확보가 무기체계 개발·운용 시 핵심 화두가 되었다. 그러나 군 내 COTS 사용에 따라 민간에서 사용하는 제품에 내재한 보안취약점이 군 내에도 위협이 되고 있으며, 무기체계 상호운용성 확보에 따른 연동접점 증대로 개별 무기체계 내 존재하는 보안 위협이 타체계에도 영향을 미쳐 연동된 전체 무기체계의 보안 위협으로 작용하고 있다.
이에 대응하기 위해서는 무기체계와 보안기술을 별도로 개발하여 적용하던 사후 대응방식(Bolt-On)에서 무기체계 개발 단계부터 연동접점 등을 포함한 보안 위협을 종합적으로 검토하여 보안 기능을 통합 개발하는 사전 대응방식(Built-In)으로 군의 보안 대응 전략 변화가 필요하다. Secure SDLC는 무기체계 보안내재화를 실현하기 위해 적합한 수단이다.
2.3 위협 모델링
위협 모델링은 체계의 데이터흐름에 따라 내부 정보를 체계적으로 분석하고, 발생할 수 있는 전반적인 보안 위협을 식별하는 방법론이다. 설계 시점부터 발생 가능한 위협을 조기에 식별하여 제거하고 체계 전반 보안성을 강화하기 위해 사용한다. 또한 위협 모델링은 잠재적 피해 및 영향을 포함한 보안 위협의 완화 전략을 구상하는 과정이다[14-17].
특히 Microsoft사는 1999년 자체적으로 활용하는 STRIDE 방법론을 소개한 이후 현재까지 해당 방법론을 지속 발전시키고 있고 방법론을 지원하는 도구들도 개발하고 있다[13]. 이외에도 개인정보 위협 식별에 특화된 LINDDUN[18], Carnegie Mellon University의 OCTAVE[19], OctoTrike의 Trike[20], OWASP의 PASTA[21] 같이 위협 모델링을 실시할 체계의 특성, 사용 목적 등을 고려한 여러 위협 모델링 방법론이 존재한다.
일반적으로 위협 모델링을 활용하여 보안 위협을 분석할 경우 대상 체계 분석, 구성요소별 최신 위협 수집, Attack Tree 작성[22], 위협 완화 및 정보보증을 위한 보안 요구사항 Check List 도출 순으로 진행한다.[17] 현재 국내외 학계, 산업계에는 위협 모델링을 이용하여 보안 위협을 체계적으로 분석한 다양한 연구결과가 존재한다. 또한 군 체계를 대상으로 위협 모델링을 적용한 국외 사례와 공군 전투기를 대상으로 한 국내 사례가 존재한다.[23-25] 그러나, 해군 체계를 대상으로 위협 모델링 기법을 적용한 국내 연구사례는 부재한 상황이다.
2.4 함정 전투체계 보안 연구
임종인[26]은 해군이 4차 산업혁명 첨단 기술 적용한 체계 탑재 및 운용을 통해 스마트 네이비 정책을 추진함에 따라 사이버 공격 대상과 범위가 대폭 확대된 것을 언급하며 무기체계 소프트웨어 개발 단계부터 보안내재화(Security by Design)을 구현하고 RMF(Risk Management Framework)를 적용하여 무기체계 수명주기 전반 위협을 경감시키고 주요 전력에 대한 사이버 회복탄력성을 확보해야 함을 강조했다.
이수원, 이재연, 홍석준[27]은 함정 전투체계 네트워크, 서버, 단말, 보안정책 분야별 보호방안을 제시하였다. 그러나, 함정 전투체계 데이터흐름, 체계구성에 대한 분석 없이 각 분야별 일반적인 단말기 보안설정 수준의 대책만을 제시했다는 한계가 있다.
이철규, 김영갑[28]은 전투체계 소프트웨어 중요성 대비 현 한국군의 사이버보안 분야 시험과 검증은 체계 자체 성능/기능 검증에 비해 우선순위가 낮은 점과 보안성 시험이 응용프로그램만을 대상으로 실시 중인 한계를 설명하며, 이를 개선하기 위해 전투체계 특성을 반영한 미들웨어 및 운영체제에 대한 보안성 시험 및 검증 항목을 제안하였고 보안성 시험 지침 정립 등 제도적 개선이 병행되어야 함을 설명하였다.
또한 이철규, 김영갑은 위 연구주제를 더욱 발전시킨 논문[29]에서 전투체계 개발 단계에 체계적이고 실용적인 보안성 시험이 필요함을 환기하는 동시에 전투체계 특성을 반영한 보안성 시험 카테고리와 세부 항목을 제시하였다.
장재욱, 선희갑, 황재룡[30]은 함정 전투체계와 유사한 구조를 가진 ICS/SCADA 시스템에 대한 사이버공격 사례를 통해 전투체계 내 발생 가능한 사이버 위협과 실현 가능성을 분석하고 제도적, 기술적 발전방안을 제시했다. 또한 SW 전 생애주기 간 정보보증, 사이버복원력을 보장할 수 있는 한국형 RMF를 개발하고 전투체계 가용성을 침해하지 않는 범위 내에서 엄격한 시큐어 코딩룰과 암호화 알고리즘을 적용해야 한다고 설명했다. 해당 논문은 전투체계와 유사한 참조 사례 식별 및 전투체계 구조 분석을 통해 전투체계에서 발생 가능한 공격을 식별하였으나, 실제 전투체계를 기획·개발하는 실무자가 안전한 전투체계를 구축하기 위해 참조할 수 있는 보안 요구사항 도출까지는 이르지 못했다는 한계점이 존재한다.
3. 함정 전투체계 위협 모델링
본 논문에서는 함정 전투체계 보안 요구사항 도출을 위해 위협 모델링을 수행한다. DFD(Data Flow Diagram)를 작성하여 전투체계 내 데이터흐름을 추상화하고 STRIDE로 Element 내 발생 가능한 일반적 위협을 식별한다. 그리고 사전에 공개된 위협을 수집한 Attack Library를 기반으로 Attack Tree를 작성하여 전투체계에서 발생 가능한 위협을 구체화하고 Misuse Case를 통해 이를 검증하여 최종적으로 전투체계에 적용 가능한 보안요구사항 Check List를 도출한다. Fig. 3은 본 논문의 전투체계 위협모델링 절차를 나타낸다.
3.1 고려사항
본 논문은 군 무기체계인 함정 전투체계 보안 요구사항을 분석하는 연구로서 군 보안규정에 저촉되지 않는 범위 내에서 연구를 수행한다.
본 논문에서 추상화된 전투체계는 특정 함형에 탑재된 전투체계를 의미하지 않는다. 특허/학술대회/학술지/학위논문 등 공개된 출처에 나타난 전투체계 데이터흐름과 구조를 분석하였고, 그 결과를 바탕으로 탐지(Detect) - 통제(Control) - 교전(Control)이라는 전투체계 핵심 프로세스를 중심으로 일반적인 함정 전투체계를 재구성하였다. Fig. 4, 5는 각각 공개된 논문에 명시된 전투체계 아키텍쳐, 교전흐름이다[9,10,31-45].
3.2 Data Flow Diagram(DFD) 작성
함정 전투체계 위협 모델링의 첫 단계로 체계의 전반적인 구조 파악, 구성요소 식별 및 데이터 흐름 분석을 위해 DFD를 작성하였다. DFD 사용 시 복잡한 분석 대상 시스템의 구성과 정보흐름을 도식화할 수 있는 장점이 있다. DFD의 주요 구성요소는 Table 1과 같다.
DFD는 시스템을 구체화하는 정도에 따라 Level을 구분하여 작성한다. Context Level의 경우 분석 대상 시스템을 중심에 표기 후 상호작용하는 모든 외부 객체를 표기한다. Level 0은 주요 프로세스를 서브 시스템 단위로 분리하며, Level 1은 분석 대상 시스템을 모듈 단위로 분리하여 각 프로세스가 수행하기 위해 필수적으로 수행해야 하는 기능을 표현한다. Level 2는 프로세스를 모듈 내 구성 함수 단위로 분리하여 각각의 프로세스로 표현한다.
DFD를 Level 2 단위까지 분석하기 위해서는 소스코드 등 전투체계 설계 관련 산출물들에 대한 분석이 필요하다. 그러나, 본 논문은 해군의 핵심 무기체계인 함정 전투체계의 특성 고려, 공개된 자료를 기반으로만 분석을 수행하였기에 Level 1 수준의 DFD까지만 작성하였다. 여러 선행 연구들을 통해 Level 1 수준의 분석 혹은 Level을 구분하지 않은 단일 DFD 분석을 통해서도 분석 대상 시스템의 보안 요구사항 도출에 유의미한 성과를 거둔 사례를 확인할 수 있었다[46-49].
Fig. 6은 Context Level로써 함정 전투체계의 핵심이자 좁은 범위의 전투체계인 지휘무장통제체계를 중심으로 넓은 범위에서 전투체계의 범주에 속하는 연동체계들의 상호작용을 표현하였다.
Fig. 7은 Level 0으로써 전투체계 핵심 프로세스인 탐색 - 결심 - 교전 프로세스와 전투체계 관리 기능을 기술하고 있다.
Fig. 8은 Level 1로써 전투체계 핵심 프로세스의 세부 프로세스를 표현하였고 5개의 Entity, 31개의 Process, 10개의 Data Store, 1개의 Data Flow를 식별하였다. Table 2는 Level 1 DFD의 각 Element를 정리한 표이다. DFD 작성 시, Microsoft사에서 제작한 공개 SW인 Microsoft Threat modelling Tool 2016을 사용하였다.
3.3 Attack Library 수집
Attack Library는 분석 대상 시스템에 발생 가능한 보안 위협들의 리스트로서, 일반적으로 알려진 취약점(CVE, CWE, NVD 등), 기술 보고서, 발표 자료 등을 통해 수집한다. Attack Library는 DFD 각 요소별 발생 가능한 보안 위협을 정확하게 식별했는지 판단할 수 있는 근거를 제공하며 추후 STRIDE 분석 시 개연성 있는 분석을 가능케 한다.
함정 전투체계 관련 Attack Library 수집 시, 센서/무장 체계 연동 및 프로세스 간 실시간 통신을 위해 사용되는 Middleware(DDS, Data Distribution Service) 보안[2,51] 등 전투체계/무기체계와 연관된 요소를 분석한 연구뿐만 아니라[3-8,23,50] 함정 항해·운용을 위한 장비(GPS, AIS 등)가 전투체계와 직접 연동됨에 따라 발생할 수 있는 위협[52-54], 전투체계 전반 COTS(Commercial Of The Shelf) 구성품 사용에 따른 공급망 공격 가능성[55-60], 전투체계가 함정 전투를 위해 각종 시스템을 제어하는 체계라는 관점에서 ICS 측면의 특성[61,62]을 종합적으로 고려하였다.
다만, 본 논문에서는 군 보안규정 준수를 위해 가능성 수준을 넘어 전투체계에 대한 직접적인 공격으로 이어질 수 있는 전투체계 OS, Middleware, Applications 등 SW, 특정 HW에 대한 구체적인 취약점 지표(CVE, CWE, CVSS 등)는 Attack Library 수집 시 배제하였다. Table 3은 전투체계 보안 관련 자료들을 조사하여 정리한 Attack Library이다.
3.4 STRIDE 분석
STRIDE는 Microsoft사에서 1999년 제안한 위협 모델링 방법론으로 앞서 작성한 DFD 각 구성요소에 내재한 위협을 총 6가지 카테고리(Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege)로 구분, 식별할 수 있는 수단을 제공한다. 각각의 위협은 정보보호 목표인 Authentication, Integrity, Non-repudiation, Confidentiality, Availability, Authorization에 대응된다. 시스템 위협 분석 시 STRIDE 방법론을 활용할 경우, 발생 가능한 위협 전 범위에 대해 공백없는 분석이 가능하고 분석자 역량이 분석 결과에 미치는 영향은 최소화할 수 있다[16].
본 논문에서는 STRIDE per Element 기법을 적용하여 총 199개의 위협을 식별하였다. Table 4는 STRIDE 기법을 통해 식별한 위협의 일부를 보여준다. 그러나, 이는 단순히 전투체계에 발생 가능한 위협을 나열한 것으로, 식별한 위협이 공격자가 특정 목표를 달성하는데 어떻게 활용될 수 있는지 구체화 시킬 필요가 있다.
3.5 Attack Tree 작성
Attack Tree는 시스템 내 발생 가능한 위협 경로들을 나타낸다. Root node는 위협 목표를 나타내고 Leaf node는 목표를 달성하기 위한 방법을 의미한다. 각각의 노드는 그 자체로서 Subgoal이 되고 자식 노드는 Subgoal 달성을 위한 방법이 될 수 있다. Attack Tree 사용 시 STRIDE를 통해 식별한 위협과 공개된 보안 위협을 수집한 Attack Library를 기반으로 위협 목표와 수단과의 개연성을 확인하고 시나리오를 도출할 수 있다[22].
본 논문에서는 서버/콘솔/디스플레이에 대한 위협, 연동체계에 대한 위협, 네트워크에 대한 위협 총 3가지 Category로 Attack Tree를 작성하였다. Attack Tree 작성 시, 발생 가능한 시나리오를 글로 표현하여 앞서 도출한 STRIDE 항목들과의 매핑을 통해 위협과의 연계성을 검증하였고 그 결과를 Tree 형태로 표현하였다. Table 5는 Attack Tree를 나타낸 표이며, Fig. 9, 10, 11은 각각 해당 구성에 대한 Attack Tree를 의미한다.
3.6 Misuse case 작성
Use case는 시스템의 요구사항을 모델링하는 기술의 하나로서 개발 중인 소프트웨어 및 기타 제품의 필수 동작을 지정하며 소프트웨어의 정상적인 동작 및 사용을 자세히 설명하는 구조화된 시나리오이다. 반면 Misuse case는 Misactor 관점의 Use case로서, Use case 가 분석 대상 System과 Actor의 상호작용을 통해 원하는 목표를 달성하기 위한 긍정적 시나리오를 보여준다면 Misuse case는 System 목표가 정상적으로 성취되지 않기를 바라는 Misactor와 System의 부정적인 상호작용을 보여준다.
Use case scenario는 DFD(Data Flow Diagram) 작성 시 적절성 검증을 위해 사용이 가능한데 Misuse case 는 이러한 Use case의 기능을 가지면서도 보안적 측면에서 발생해서는 안 되는 상황과 이미 식별된 위협을 평가함으로써 System 보안 요구사항을 구체화하는 근거를 제공한다[63-66].
본 논문에서는 DFD 및 STRIDE를 기반으로 작성된 Attack Tree를 통해 전투체계에서 발생 가능한 위협을 구체화하였고, 해당 위협이 전투체계에 적용되는 시나리오를 Misuse case를 통해 검증하였다. Table 6은 내부자 위협 사례에 대한 일부 Misuse case를 서술한 Table이다.
3.7 Check List 작성
앞 절에서 정리한 DFD, Attack Library, STRIDE, Attack Tree, Misuse case를 기반으로 10개 Category, 총 206개의 보안 요구사항 Check List를 작성하였다.
보안 요구사항 Category는 Attack Tree를 통해 도출한 서버/콘솔/디스플레이, 연동체계, 네트워크에 대한 보안위협 전체에 대응할 수 있도록 선정하되 보안 요구사항 항목들이 중복되지 않도록 구성하였다. 기본적인 시스템 및 네트워크 관련 Category 외, 내부자에 의한 위협과 COTS(Commercial-Of-The-Shelf) 구성품 내 발생할 수 있는 공급망 위협 대응을 위해 Insider security, Supply Chain Protection을 Category로 추가하였으며, 연동체계 보안위협이 전투체계 전체에 미치는 영향을 고려하여 Interfaced Systems Category를 추가하였다. 전투체계 구성요소 별 공통적으로 적용되어야 할 보안설정·정책 및 물리적 조치사항은 Security Settings and Policies, Physical Security and Emergency Response Category를 통해 정리하였다.
Table 7은 Check List의 Category와 Category 별 보안 요구사항 개수를 나타내며, Table 9는 Check List Category 별 세부 항목을 보여준다.
4. 함정 전투체계 보안 요구사항 검증 및 활용방안
4.1 Check List ↔ NIST 800-53(R5) 매핑
NIST Special Publication 800-53(Security and Privacy Controls for Information Systems and Organizations)은 미 연방정부기관에 도입되는 정보시스템과 해당 조직의 보안 통제항목을 정의한다. Revision 5를 기준으로 총 20개 카테고리와 298개의 Base Control, 각 Base Control 을 보충 및 구체화하는 721개의 Control Enhancement 를 정의하고 있다[67]. Table 8은 NIST 800-53의 Base Control Family를 나타낸다.
본 논문에서는 위협 모델링 방법론을 통해 도출한 전투체계 보안 요구사항 Check List의 범위적, 내용적 충분성을 점검하기 위해 NIST 800-53의 Base Control 과 매핑을 실시하였다. 그 결과 PL 등 법령(국방부 훈령 등) 및 해군 규정을 통해 정의되어야 할 항목, 인터넷 기반 서비스 및 모바일 그리고 개인정보 처리에 관한 항목(PT) 등 전투체계와 직접적인 관련이 없는 항목 82개를 제외한 216개 Base Control과의 연관성을 확인하였고 도출된 Check List가 실제 전투체계 설치, 운용 간 적용할 수 있는 수준의 보안 요구사항임을 검증하였다. Table 8 내 괄호는 NIST 800-53의 Base Control과 매핑된 Check List Category를 나타내며 Table 9는 Check List와 NIST 800-53 보안 통제항목의 매핑 결과를 보여준다.
4.2 보안 요구사항의 활용방안
본 논문에서는 STRIDE 위협 모델링을 적용하여 함정 전투체계의 보안 요구사항을 도출하였다. 향후 함정 전투체계 소요기획 단계부터 본 논문에서 제시하는 보안 요구사항을 적용하여 보안대책을 강구한다면 보안 기능을 무기체계 개발과 동시에 Built-in으로 개발할 수 있어 전투체계 보안 수준이 크게 향상될 것이다. 또한 이미 건조되어 운용 중인 함정들도 각종 검열, 감사, 진단 및 임무 시작 전 본 Check List를 커스터마이징하여 활용한다면 해당 시점 함정 전투체계 보안 수준을 효과적으로 진단할 수 있을 것이다.
5. 결 론
함정 전투체계 사이버 보안을 향상시키기 위해서는 보안내재화 관점에서 최초 전투체계 설계 단계부터 전투체계 특성이 반영된 보안 요구사항이 주요 기능과 함께(Built-in) 구현되어야 한다. 보안 요구사항에 대한 고려 없이 독립적으로 개발된 전투체계에 Bolt-on 형태로 보안 SW를 설치하거나 보안 기능을 추가 적용하는 방식은 전투체계 자체의 복잡도를 높이고 함 생존성 향상 및 임무 수행 측면에서 우선적으로 보장되어야 할 전투체계 가용성을 현저히 떨어뜨릴 수 있다. 또한 설치된 보안 SW가 함정 전투체계의 보안 위협을 충분히 커버하지 못하거나 내부 기능과 충돌할 경우 전투체계 기밀성 및 데이터 무결성에도 영향을 미칠 수 있다.
기존 함정 전투체계 보안 관련 연구들은 보안내재화 구현 및 RMF 필요성을 제시하고 범용적으로 적용 가능한 보안 요구사항을 도출하거나 전투체계와 유사한 시스템의 공격 사례를 통해 전투체계 내 발생 가능한 사이버 위협을 분석했다. 그러나 위협 모델링과 같은 체계적인 방법을 적용하여 전투체계 설계 단계부터 발생 가능한 위협을 식별하고 보안 요구사항을 도출한 연구는 부재했다.
본 논문에서는 국내·외 최초로 함정 전투체계에 위협 모델링 방법론을 적용하여 소요 기획 및 설계 단계부터 적용 가능한 함정 전투체계 보안 요구사항을 체계적으로 도출하였다. 특허·학술지·학술대회·학위논문 및 인터넷 검색자료 등 공개자료를 참고하여 함정 전투체계 DFD(Data Flow Diagram)을 작성하였고 Microsoft STRIDE 분석을 통해 전투체계 내 발생 가능한 199개의 위협을 식별했다. 사전에 수집한 Attack Library를 기반으로 Attack Tree 및 Misuse case를 작성하여 206개의 Check List를 도출하였고 NIST 800-53 보안 통제항목과의 매핑을 통해 도출한 Check List를 검증하였다. 본 연구를 통해 도출한 Check List는 함정 전투체계 소요 기획 및 체계 구축 시 함정 전투체계의 보안 수준을 점검하는 평가 척도로 사용 가능하다.
향후 연구주제로 본 연구를 통해 도출한 전투체계 보안 요구사항 중 우선적으로 구현·보완되어야 할 항목을 식별하기 위한 연구를 진행하고자 한다. 가장 이상적인 것은 식별된 모든 보안 요구사항이 빠짐없이 전투체계 내 반영·구현되는 것이지만 실제 전투체계 소요 기획, 설계, 구현, 운용이 이루어지는 현장에서는 주어지는 예산, 인력, 시간이 한정되어 있기 때문에 각 보안 요구사항별 중요도를 고려하여 우선 순위를 식별하고 순차적으로 구현·조치할 필요가 있다. 보안 요구사항의 우선순위를 사전에 식별할 경우 구현하지 못한 보안 요구사항의 위험을 완화시키기 위한 대체 방안을 조기에 검토할 수 있고 가용 자원 내에서 전투체계 보안성 향상의 효율을 최대화할 수 있다.