6.1 유·무인 복합체계 개념 및 구성
유·무인 복합체계(MUM-T, Manned–Unmanned Teaming)는 유인기와 무인기가 실시간으로 통신 및 제어를 주고받으며 공동으로 임무를 수행하는 작전 개념을 의미한다. 이는 전장 유연성과 임무 효율성 향상을 목표로 하며, 유·무인 간의 정보 공유, 임무 분담, 제어 및 자율 운용 전환을 통해 복합적인 작전 환경에서 효과적인 임무 수행을 지원한다.
유·무인 복합체계의 주요 구성요소는 다음과 같다.
- 1) 유인기(Manned Air Vehicle) : 전투기, 헬기 등 조종사가 탑승한 항공 플랫폼으로 유·무인 복합체계 작전에서 핵심 전투력 투입과 임무 결정, UAV에 대한 제어 및 지휘 기능을 수행
- 2) 무인기(Unmanned Air Vehicle) : 고정익, 회전익 등 다양한 형태로 구성되며 정찰, 감시, 타격, 중계 등 전술 임무를 유연하게 수행하는 핵심 자산
- 3) 지상통제소(Ground Control Station) : 무인기의 제어, 임무 계획, 정보 분석 및 통합 운용을 담당하는 지상 기반 인프라
- 4) 위성/지상국 : 무인 플랫폼과 지상체계 간 장거리 통신을 중계하고, 외부 통신 경로 확보 및 전장 데이터를 수집·배포하는 핵심 통신 기반 영역
유·무인 복합체계 네트워크 기능
유·무인 복합체계 구성요소 간에는 다음과 같은 상호작용으로 기능이 수행된다.
- 1) 임무 수행 : 유·무인기가 협력하여 정찰, 감시, 타격 등 임무를 분산 수행한다.
- 2) 제어 : 유인기 또는 지상통제체계(GCS)에서 무인기를 원격 제어하거나 자율 운용으로 전환한다.
- 3) 통신 : 유·무인기 간 데이터·위치·제어 정보는 위성, AEW&C(Airborne Early Warning & Control), 지상체계를 통해 실시간 공유한다. 이를 통해 통신 안정성을 확보할 수 있다.
- 4) 지휘/통제 : UAV 센서 정보가 지상체계 및 유인기에 전달되어 상황 인식·판단에 활용한다.
- 5) 데이터/정보 제공 : 유인기 또는 C2(Command and Control)에서 무인기에게 임무를 분배하거나 역할을 조정, 실시간 상황에 따라 임무 흐름 변경을 지원한다.
6.3 유·무인 복합체계 네트워크 보안 대상 및 기능
유·무인 복합체계는 단일 자산이 아니라 유인기, 무인기, 지상통제체계, 임무계획시스템, 통신 인프라 등 다양한 구성요소가 상호 연결된 연계 구조를 기반으로 운용된다.
이러한 운용 환경에서는 보안 위협이 특정 자산 내부에서만 발생하는 것이 아니라, 전체 연계 구조 전반에서 발생할 수 있다. 따라서 단일 장비 수준의 안전성 확보를 넘어, 상호작용 전반에 걸친 보안 위협을 식별하고 관리할 수 있는 보안 체계가 필요하다.
현재 군수 분야의 표준은 운용 환경에 특화되어 있으나, 복잡한 연계 구조 전체를 대상으로 한 포괄적인 보안 평가 및 관리체계는 부족한 실정이다. 이에 따라 본 AC에서는 DO-326/356 표준과 NATO JAPCC 문서를 주요 참조 자료로 선정하여 적용한다.
DO-326/356은 항공 시스템 전반의 사이버 위협을 감항성 관점에서 평가·인증하기 위한 국제 표준으로, 내부 시스템뿐 아니라 외부 인터페이스, 통신 링크, 데이터 흐름 등 연계 전 구간을 평가 범위에 포함한다. 이를 통해 연계 구조 전반의 보안성을 정량적·체계적으로 평가할 수 있다.
NATO JAPCC 문서는 군사적 관점에서 UAS 주요 구성요소별 취약점과 이에 따른 사이버 위협 유형을 식별·분류하고 있으며, 이를 통해 군 운용 환경에서 발생할 수 있는 구체적인 보안 위험을 도출할 수 있다.
본 AC는 DO-326/356을 핵심 참조 표준으로 삼아 민·군수 간 표준 차이를 보완하고 NATO JAPCC 문서와 병행하여 군 환경에 적합한 보안 요구사항을 반영한다. 이를 통해 유·무인 복합체계 운용 구조 전반에 걸친 연계 기반 보안 요구사항을 도출하고 감항성 확보를 위한 통합 보안 체계를 제시한다.
<그림 1> 군용 항공기 보안 대상 범위
군용항공기의 보안 대상은 임무 수행과 안전 운용에 직결되는 핵심 구성요소로, 전장 환경에서의 정보보호와 시스템 안정성을 위해 필수적으로 관리되어야 한다. 이를 8개의 주요 요소와 3개의 보안 영역으로 구분하였다.
- 1) 위성(Satellite): 군 전용 위성을 통한 장거리 통신 및 전술 데이터 전송, 전장 상황, 위치, 임무 지시를 실시간으로 송수신함
- 2) 전술데이터링크(Tactical Data Link, TDL) : 항공기, 무인기, 지상부대 간 전술 정보를 실시간 교환하는 네트워크로, 작전 명령, 표적 정보, 위치 데이터를 전송함
- 3) 지휘통제체계(Command & Control, C2) : 지휘통제본부와 항공기 간 작전 지시·상황보고 채널. 임무 계획, 표적 정보, 긴급 명령 전송에 사용
- 4) 내부 환경제어장치(Temp./Pres. Ctr) : 항공기 내부 온도·압력 상태를 실시간 감시하여 승무원과 탑재 장비의 안전 운용을 보장함
- 5) 비행 데이터 기록 장치(Flight Data Recorder) : 운항 및 임무 관련 데이터, 센서 로그를 저장하며, 작전 분석 및 사고 조사에 활용됨
- 6) 비행 제어 인터페이스(Flight Control Interface) : 조종사의 입력과 항공기 제어 계통을 연결하는 인터페이스
- 7) 임무 컴퓨터/네트워크 브리지(Tactical Data Bridge / Mission Computer) : 전술 데이터 수집·처리·분배를 수행하며, 센서 정보와 네트워크를 연계함
- 8) 지상 전술링크/외부 네트워크 연결부(Ground Tactical Link / GCS Comm Link) : 지상통제체계와 항공기 간 데이터 송수신 구간
보안 위협 유형은 따라 다음과 같다.
- 1) 데이터링크 영역(적색) : 데이터 전송 구간에서 발생 가능한 위·변조, 무단 접근, 서비스 거부(DoS) 등 링크 기반 공격에 취약한 영역
- 2) 네트워크 기반 정보 유출, 명령 위·변조, 전송 경로 침해 등 통신 경로에서 발생 가능한 보안 위협
- 3) 지원 시스템 및 SW 영역(녹색) : 센서, 기록 장치, 임무 컴퓨터 등 내부 장비 및 소프트웨어 취약점을 악용한 공격 가능성이 있는 영역
이러한 범주별 위협 요소는 DO-326/356에서 정의한 항공기 기능 및 기능 인터페이스와 대응되며, 이들은 군용항공기에도 유사한 형태로 존재한다.
DO-326/356에서 식별된 항공기 기능 및 기능 인터페이스는 군 운용 환경에서도 동일하거나 유사한 형태로 존재하며 각 요소는 임무 수행 과정에서 다양한 보안 위협에 노출될 수 있다. DO-326/356 기능 및 기능 인터페이스 명세 중 군용항공기에서도 적용되며, 동시에 보안상 위협 가능성이 높은 기능 및 인터페이스를 선별하여 아래와 같은 보안 분석을 수행하였다.
6.4 유·무인 복합체계 보안 네트워크 관련 감항인증 활동
6.4.1 보안 네트워크 관련 인증 활동 정의
본 AC에서는 보안 네트워크 관련 인증 활동을 정의하기 위해, DO-326/356에서 제시하는 감항성 보안 활동 절차를 기준으로 단계별 인증 활동의 목적과 역할을 정리하였다.
항공기 수준(Aircraft Level)과 시스템 수준(System Level)에서 수행되는 보안 범위 정의, 위험 평가, 보안 조치 수립 절차를 단계별로 분석하고, 이러한 과정은 항공기 수준과 시스템 수준에서 수행되는 보안 활동을 구조화함으로써, 감항성 보안을 확보하기 위한 요구사항과 보안 네트워크 간의 연결성을 확보하고, 이를 뒷받침할 수 있는 입증 방안을 제시하도록 진행한다.
<그림 2> AWSP 및 감항성 보안 프로세스 활동
감항성 보안 프로세스 중 인증 및 문서화 활동의 목적 및 주요 정보는 다음과 같다.
- 1) 인증의 보안 측면에 대한 계획(PSecAC, Plan for Security Airworthiness Certification)
- 목적 : 보안 문제와 관련하여 감항성 규정 준수를 인증할 수 있는 수단 식별
- 변경 영향 분석 결과를 포함한 인증 기준을 결정하고 규제 요구사항에 따른 보안 해결책 제시
- 항공기 및 시스템 수준의 아키텍처 개요를 작성하여 보안 위험과 조치에 중점
- 보안 관련 인증 기준의 준수 방법을 제시하고 예비 보안 위험 평가 개요 포함
- 인증 기관이 제기한 문제를 해결하고 승인 획득 과정 관리
- 관련 데이터의 정의, 전달, 승인 책임 및 다른 인증 계획과의 관계 설정
- 2) 인증의 보안 측면에 대한 계획 요약(PSecAC Summary)
- 목적 : 보안 문제와 관련하여 인증 증거를 제시
- PSecAC에서 정의한 목표에 따라 수행된 보안 활동의 증거를 제시
- 항공기 보안 검증 및 테스트 결과와 일치하는 문서 작성
- 전체 인증 보안 계획의 완료 여부를 확인하는 요약본 제공
감항성 보안 프로세스 중 항공기 수준 보안 활동의 목적 및 주요 정보는 다음과 같다.
- 1) 항공기 보안 범위 정의(ASSD, Aircraft Security Scope Definition)
- 목적 : 정보 보안을 위해 항공기 운항 환경을 결정하고 보안 경계 및 자산을 정의
- 정보 인터페이스와 기존 보안 조치를 식별하여 체계화
- 항공기가 상호 작용하는 역할과 조직을 정의하고 전체 보안 환경 확립
- 신뢰 관계 및 보안 위험 식별 (역할 및 조직, 외부 도구 및 시스템, 외부 보안 조치)
- 항공기 보안 범위 식별을 통한 체계적인 보안 체계 구축
- 2) 예비 항공기 보안 위험 평가(PASRA, Preliminary Aircraft Security Risk Assessment)
- 목적 : 항공기 수준에서 모든 보안 위험을 식별 및 평가
- 항공기 자산과 관련된 모든 위험 조건을 식별하고 위험 조건 및 관련 자산의 영향 심각성 평가
- 항공기 보안 아키텍처와 요구사항 평가를 통해 기존 보안 조치의 효과성 확인
- 심각도와 위험 수준에 대한 위험 시나리오 결정 및 분류 체계 수립
- 의도적인 무단 전자 상호작용으로 인한 보안 위험을 평가하고 대응 방안 마련
- 3) 항공기 보안 아키텍처 및 조치 (ASAM, Aircraft Security Architecture and Measures)
- 목적 : 항공기 보안 아키텍처와 대책을 수립
- 항공기 보안 아키텍처와 대책을 결정하여 전체적인 보안 체계 확립
- 보안 조치에 대한 보안 요구사항을 결정하고 체계화
- 시스템 또는 운영자 지침에 보안 조치를 할당하여 책임 명확화
- 보안 문제와 관련하여 추가적으로 감항성 활동을 위한 수단 제공
- 4) 항공기 보안 운영자 지침(ASOG, Aircraft Security Operator Guidance)
- 목적 : 항공기 보안 운영자 지침 개발
- 항공기 보안 지침 개발을 통해 운영자에게 명확한 보안 관련 가이드라인 제공
- 항공기 운영 시 발생할 수 있는 보안 위협에 대한 대응 방안 제시
- 항공기 보안 범위와 관련하여 일관됨으로써 전체적인 보안 체계와 통합
- 항공기 요구사항 및 구현 측면에서 일관됨으로써 실제 운영 환경에 적용 가능
- 5) 항공기 보안 검증(ASV, Aircraft Security Verification)
- 목적 : 항공기 보안 요구사항을 준수하고 의도된 환경에 대한 항공기 보안 조치의 보안 효과 평가
- 항공기 보안 구현 및 항공기 보안 요구사항 준수 확인을 통한 체계적 보안 검증
- 보안 검증 및 테스트 계획 마무리를 통한 체계적인 검증 프로세스 구축
- 보안 검증 및 테스트 결과를 위해 문제 보고서 분석하여 취약점 대응 방안 마련
- 취약점 테스트 계획 확정 및 보안 위험 평가에서 위험 시나리오의 맥락에 따른 보안 요구사항 준수 평가
- 6) 항공기 보안 위험 평가(ASRA, Aircraft Security Risk Assessment)
- 목적 : 항공기의 보안 위험과 취약점을 식별하고 평가
- 항공기 보안 위험 평가 마무리를 통해 전체적인 보안 상태 확인
- 최종 보안 위험 평가를 통해 남아있는 보안 취약점 확인 및 대응 방안 마련
- 취약점 평가 및 취약점 문서 업데이트를 통한 체계적 보안 관리 강화
- 항공기 보안 위험은 허용 가능한 수준으로 관리되며 지속적인 모니터링 체계 구축
감항성 보안 프로세스 중 시스템 수준 보안 활동의 목적 및 주요 정보는 다음과 같다.
- 7) 시스템 보안 범위 정의(SSSD, System Security Scope Definition)
- 목적 : 정보 보안을 위한 시스템 운영 환경을 결정하고 보안 환경 수립
- 시스템 보안 환경을 정의하고 운영 및 유지보수 환경에 대한 가정 파악
- 시스템 관계 및 보안 위험 식별 (외부 도구 및 시스템, 외부 보안 조치 등)
- 시스템 보안 경계 및 자산 결정 (예: 무선 주파수 신호, SW 인터페이스, 정보 교환, 모든 물리적 경로 등)
- 시스템 보안 범위 식별을 통한 체계적 접근
- 8) 예비 시스템 보안 위험 평가(PSSRA, Preliminary System Security Risk Assessment )
- 목적 : 시스템 수준에서 모든 보안 위험을 식별하고 평가
- 시스템 자산과 관련된 모든 위험 조건을 식별하고 위험 조건 및 관련 자산의 영향 심각성 평가
- 항공기 보안 아키텍처와 요구사항 평가를 통해 시스템 수준의 보안 강화
- 기존 보안 조치를 식별하고 공격 경로를 분석하여 취약점 파악
- 심각도와 위험 수준에 대한 위험 시나리오 결정 및 분류를 통한 우선순위 설정
- 9) 시스템 보안 아키텍처 및 조치(SSAM, System Security Architecture and Measures)
- 목적 : 시스템 보안 아키텍처와 대책을 수립
- 시스템 보안 아키텍처와 대책을 결정하여 체계적인 보안 구조 확립
- 보안 조치에 대한 보안 요구사항을 결정하고 명확한 기준 마련
- 보안 조치를 하위 시스템 또는 보안 지침에 할당하여 책임 소재 명확화
- 지원하는 하위 수준 시스템 또는 항공 자산 식별을 통한 통합적 보안 관리
- 10) 시스템 보안 통합자 지침(SSIG, System Security Integrator Guidance)
- 목적 : 시스템 운영 및 유지보수를 위한 보안 통합자 지침 개발
- 시스템 보안 통합자 지침을 개발하여 시스템 통합 및 운영 과정에서의 보안 강화
- 외부 계약(운영자 요구사항, 유지관리 요구사항 등) 마무리를 통한 명확한 책임 체계 확립
- 시스템 통합 과정에서 발생할 수 있는 보안 취약점 식별 및 대응 방안제시
- 시스템 수준에서의 보안 강화를 위한 구체적인 가이드라인과 실행 방안 제시
- 11) 시스템 보안 검증(SSV, System Security Verification)
- 목적 : 시스템 보안 요구사항을 준수하고 의도된 환경에 대한 시스템 보안 조치의 보안 효과 평가
- 시스템 보안 구현 및 시스템 보안 요구사항 준수 확인을 통한 체계적 검증
- 보안 검증 및 테스트 계획 마무리, 위험 시나리오 커버리지 분석을 통한 종합적 접근
- 보안 검증 및 테스트 결과를 위해 문제 보고서 분석하여 시스템 취약점 개선
- 취약점 테스트 계획 확정 및 보안 위험 평가에서 위험 시나리오의 맥락에 따른 보안 요구사항 준수 평가
- 12) 시스템 보안 위험 평가(SSRA, System Security Risk Assessment)
- 목적 : 시스템의 보안 위험과 취약점을 식별하고 평가
- 시스템 보안 위험 평가 마무리를 통한 종합적 보안 현황 파악
- 하위 시스템 또는 항공의 보안 위험에 대한 구현을 평가하여 구체적 보안 조치 확인
- 최종 보안 위험 평가를 수행하여 잔존 위험 식별 및 후속 조치 계획 수립
- 시스템 보안 위험은 허용 가능한 수준으로 관리되며 지속적인 모니터링 프로세스 구축
본 AC에서 정의한 각 활동은 단일한 보안 절차로 존재하는 것이 아니라, 무기체계 개발 프로세스와 긴밀히 통합되어 병행되어야 한다. 이를 통해 기능 요구사항 분석, 아키텍처 설계, 구현 및 검증 단계마다 보안 활동이 상호 연계되어 수행됨으로써, 안전성과 더불어 보안성까지 일관되게 확보할 수 있다.
특히 예비 항공기 보안 위험 평가(PASRA) 단계에서는 항공기 자산과 위협 조건을 기반으로 보안 위험의 심각도를 평가하고 이를 토대로 SAL(Security Assurance Level) 등급이 최종적으로 결정된다. SAL은 이후 보안 아키텍처 설계 및 검증 단계 전반에 걸쳐 참조 기준으로 활용되며 연계된다. 따라서 SAL 도출 과정은 단순히 항공기 보안 위험 평가의 결과에 그치지 않고, 보안 네트워크 전체에 적용될 보안 수준을 정의하는 핵심 역할을 한다. 네트워크 경계 설정, 통신 경로 보호, 데이터 무결성 검증 등 구체적 보안 통제 수단이 SAL에 따라 강화되거나 조정되며 이를 통해 유·무인 복합체계의 통합 운용 환경에서 요구되는 체계적 보안 확보가 가능해진다.
6.4.2 보안 네트워크 관련 인증 활동 단계별 가이드라인
제시한 감항성 보안 활동들은 무기체계 개발 프로세스와 상호 연계되어 진행함으로써 기능 요구사항 분석, 아키텍처 설계, 구현 및 검증의 각 단계마다 보안 활동이 병행되면서 일관된 수준의 안전성과 신뢰성을 확보할 수 있다. 이러한 연계성은 감항성 보안 활동이 무기체계 개발 프로세스에 통합되는 방식으로 <그림 3>에 제시된다.
<그림 3> 감항성 보안 프로세스 (개발-보안 통합)
<그림 3>의 프로세스는 V 모델에서 왼쪽의 설계 및 개발 단계와 오른쪽의 검증 및 확인 단계로 구성되어 있으며 각 단계의 활동이 상호 연계되어 수행된다. 이러한 프로세스를 적용함으로써 유·무인 복합체계의 복잡한 네트워크 환경에 대응하여 체계적이고 실효성 있는 보안성 확보를 가능하게 한다. 또한, 감항인증 과정 전반에서 일관성과 신뢰성을 확보하는 데 중요한 기반을 제공한다.
이러한 각 단계에서 산출물에 대한 검토가 필요하다.
- [체계 요구사항 분석 단계] 보안 요구사항이 적절히 반영되었는가
- [아키텍처 설계 및 구현 단계] 개발자가 제시한 보안 설계·구현이 기준을 충족하는가
- [검증 및 시험 단계] 보안 관련 시험 및 평가를 통해 체계의 보안성이 감항성 수준을 만족하는가
6.4.3 보안 네트워크 관련 인증 활동 단계별 주요 산출물
개발 프로세스의 각 단계에서 수행되는 보안 활동을 명확히 정의하고 산출물과 연계할 필요가 있다. PASRA, PSSRA 등의 위험 식별 및 평가 활동을 통해 SAL을 결정하며 도출된 SAL 등급은 이후 설계, 구현, 검증 단계에서 요구되는 보안 대응 및 인증 수준의 기준이 된다. 이에 따라 보안 프로세스 산출물은 개발 단계의 요구사항 정의, 설계, 시험 산출물과 연계되어 보안 요구사항의 정당성을 부여하고 감항성 인증 근거로 활용될 수 있도록 통합적으로 관리되어야 한다.
무기체계 개발-보안 통합 프로세스에서는 각 단계별 보안 활동이 별도로 수행되지 않고 개발 프로세스를 통해 단계별 산출물 도출과 감항성 확인으로 진행된다. 위의 표 4에서와 같이 문서화된 산출물을 통해 검증 및 인증 과정에서 객관적인 근거를 확보하여야 하며, 이러한 산출물에 포함되어야 하는 내용은 붙임으로 제시된 산출물 템플릿을 통해 확인할 수 있다.