미국 국방부 보안 검토
본 서비스가 제공하는 내용 및 자료가 사실임을 보증하지 않습니다. 시스템은 언제나 실수를 할 수 있습니다. 중요한 의사결정 및 법리적 해석, 금전적 의사결정에 사용하지 마십시오.
미국 국방부 보안 검토는 사이버 공격과 소프트웨어 공급망 위협의 증가에 대응하여 국방 관련 기술 및 정보의 안전성을 확보하기 위한 일련의 정책과 체계를 의미한다. 미국 국방부는 소프트웨어 조달 시스템을 전면 개편하고 방위산업 공급망 전반에 엄격한 보안 기준을 적용하고 있다. 주요 전략으로는 보안을 기본값으로 내재화하는 'SW 패스트트랙(SWFT) 이니셔티브', 방산 기업의 보안 수준을 인증하는 '사이버보안 성숙도 모델 인증(CMMC)', 그리고 데이터 자체의 보호에 집중하는 '데이터 중심 보안 모델' 등이 포함된다.
소프트웨어 조달 체계 개편
미국 국방부는 사이버 공격과 소프트웨어(SW) 공급망 위협에 대응하기 위해 조달 시스템을 전면 개편하고 있다. 이를 위해 'SW 패스트트랙(SWFT)' 이니셔티브를 수립하여 소프트웨어의 획득, 테스트, 승인 전 과정에 보안을 기본값으로 내재화하는 것을 목표로 한다.
- 투명성 강화: 소프트웨어 코드 구성요소의 출처, 오픈소스 및 외부 라이브러리 목록, 패치 이력 및 취약점 관리 상태를 식별하는 체계를 구축한다.
- 공급망 위험 관리(SCRM): 소프트웨어 개발과 공급망 리스크가 정교해짐에 따라 관련 관행을 지속적으로 진화시킨다.
사이버보안 성숙도 모델 인증(CMMC)
미국 국방부는 민감한 국방 정보(CUI)를 보호하기 위해 방위산업 공급망(DIB)에 참여하는 기업들을 대상으로 CMMC 인증 제도를 시행한다.
| 구분 | 주요 내용 |
|---|---|
| 대상 | 미국 국방부와 계약하는 약 6만 8,000여 개의 협력업체 |
| 핵심 요건 | 다중인증(MFA), 암호화, 패치 관리 등 110개의 보안 통제 항목 충족 |
| 목적 | 국방 관련 민감 정보의 유출 방지 및 보안 자격 검증 |
해당 규제는 중소 협력업체들에게 높은 보안 장벽으로 작용하고 있으며, 이에 대응하기 위한 보안 자동화 기술의 도입이 논의되고 있다.
데이터 중심 보안 모델
미국 정보당국과 국방부는 기존의 네트워크 중심 보안에서 벗어나 '데이터 중심 보안 모델(Data-centric security model)'로 전환하고 있다. 이는 데이터가 저장된 위치나 방식과 관계없이 데이터 접근 자체를 보호하는 방식이다.
- 접근 제어: 잠재적 위협 행위자가 네트워크에 침입하더라도 데이터를 복사하거나 파일을 열 수 없도록 제한한다.
- 절차 중앙화: 여러 부서가 개별적으로 수행하던 하드웨어 및 소프트웨어 승인 절차를 중앙 집중화하여 효율성을 높인다.
인공지능(AI) 보안 및 통제
인공지능 기술이 전장에 도입됨에 따라 AI 모델의 보안과 신뢰성 확보가 주요 과제로 부상했다. 특히 민간 AI 기술에 대한 의존도가 높아지면서 다음과 같은 리스크 관리가 강조된다.
- 데이터 오염 방지: 적대 세력이 데이터를 조작하여 AI가 잘못된 판단을 내리게 하는 공격을 차단한다.
- 지속적 업데이트: AI 시스템의 특성상 발생하는 지속적인 업데이트 과정에서의 보안 취약점을 관리한다.
- 신뢰성 확보: AI의 성능보다 시스템을 얼마나 안전하게 통제하고 보호할 수 있는지를 우선시한다.