[우주 사이버안보] 뉴스페이스 시대, 우주강국은 어떤 우주보안 정책 마련했나
2021-11-01 00:10
해외에서 활발한 민간 우주개발...국내도 누리호 이후 본격화될 전망
위성 역시 사이버공격 대상 될 수 있어 보안정책 마련 필요
미국 SPD-5는 위성 보안에 대한 구체적 사항 명시...국내에선 위성으로 수집한 정보보안에 집중
위성 역시 사이버공격 대상 될 수 있어 보안정책 마련 필요
미국 SPD-5는 위성 보안에 대한 구체적 사항 명시...국내에선 위성으로 수집한 정보보안에 집중
민간이 주도하는 우주개발, 이른바 뉴스페이스 시대가 본격적으로 열리고 있다.
미국 스페이스X는 저궤도 위성을 이용한 우주인터넷 '스타링크'를 위해 2021년 현재 1671기를 궤도에 올려놓았으며, 클라우드 기업 아마존웹서비스(AWS)는 지난해 7월 말, 미국연방통신위원회로부터 '프로젝트 카이퍼'에 대한 승인을 받고 100억 달러(약 12조원)를 투자할 계획을 밝혔다. 영국 원웹, 캐나다 텔레샛, 프랑스 유텔샛 등 세계 곳곳의 기업도 소형 인공위성을 이용해 국경을 넘는 차세대 인프라 구축에 나섰다.
한국에선 최근 순수 국내기술로 완성한 누리호를 발사했다. 누리호의 임무는 지구 저궤도 진입과, 1.5t 무게의 인공위성 더미(dummy, 모사체)를 궤도에 올려놓는 일이다. 목표한 높이(약 700㎞)까지 도달하면서 발사체 기술을 입증했지만, 인공위성 더미를 궤도에 올려놓는 임무는 미완으로 마쳤다. 항공우주연구원은 내년 5월 2차발사를 계획 중이며, 2027년까지 총 6번의 발사를 준비하고 있다.
위성 역시 사이버공격 대상 될 수 있어...국내외 보안 대책은?
민간 기업이 위성 등 우주사업에 속속 진출하면서, 위성 자체에 대한 사이버보안 우려가 떠오르고 있다. 가령, 위성 자체를 해킹해 특정 지역의 사진이나 영상을 촬영한 뒤 유출할 수 있고, 위성 궤도를 조작해 서로 충돌시키는 등의 공격이 발생할 수 있다.
미국은 지난 2020년 9월, 우주정책지침(SPD-5)을 통해 공공·민간 우주기관이 시스템을 보호하도록 사이버보안 원칙을 발표했다. 내용도 구체적이다. 위성 부품 공급망을 관리해 하드웨어 백도어가 설치되지 않도록 하고, 스푸핑을 예방하는 암호화 통신도 지원해야 한다. 우주선·위성·지상기지국에 논리적·물리적 망분리도 필요하다. 무엇보다 중요한 것은 업데이트다. 궤도에 있는 우주선이나 위성에 대해 물리적으로 접근할 수 없기 때문에 원격에서 보안 업데이트를 수행하고 사고에 대응할 수 있는 기능을 우주선 설계 시 반드시 포함해야 한다.
SPD-5와 달리 국내에서는 위성으로 수집한 정보의 활용이나 반출을 주로 다룬다. 우선 올해 1월 개정된 국가정보원법으로 국정원 주요 업무에 우주정보에 대한 활동이 포함됐다. 우주개발진흥법은 위성과 관련한 행정규칙을 통해 위성으로 촬영한 사진이나 영상물에 대해 해상도나 반출 시 처리사항 등에 대해 규정하고 있다. 이와 달리 위성이나 우주선 자체에 대한 보안 규정은 미흡하다.
과기정통부는 지난해 말 정보통신망법 개정으로 가전, 교통, 금융, 스마트도시, 제조 등의 산업도 정보보호 대상으로 삼았다. 사물인터넷 등 기존 산업과 네트워크의 융합으로 사이버공격 위협이 커졌기 때문이다. 향후 새로운 통신 인프라로 자리잡을 인공위성 역시 공격대상이 될 수 있으며, 지상과는 또 다른 환경에서 운영된다. 때문에 민간위성에 대한 보안 정책을 마련하고, 사각지대가 없도록 선제적 대응이 필요하다.
과기정통부 관계자는 "현재 위성정보 반출을 요청하는 민간기업이 많아 전파연구원, 항공우주연구원, 국토부 등과 정보 활용 측면에서 협의하고 있다"며, "민간이 위성을 발사할 경우 공공에 적용하는 사이버보안 수준을 준수하도록 할 계획이다. 아직 민간이 직접 해보지 않은 영역이기 때문"이라고 말했다.
미국은 지난 2020년 9월, 우주정책지침(SPD-5)을 통해 공공·민간 우주기관이 시스템을 보호하도록 사이버보안 원칙을 발표했다. 내용도 구체적이다. 위성 부품 공급망을 관리해 하드웨어 백도어가 설치되지 않도록 하고, 스푸핑을 예방하는 암호화 통신도 지원해야 한다. 우주선·위성·지상기지국에 논리적·물리적 망분리도 필요하다. 무엇보다 중요한 것은 업데이트다. 궤도에 있는 우주선이나 위성에 대해 물리적으로 접근할 수 없기 때문에 원격에서 보안 업데이트를 수행하고 사고에 대응할 수 있는 기능을 우주선 설계 시 반드시 포함해야 한다.
SPD-5와 달리 국내에서는 위성으로 수집한 정보의 활용이나 반출을 주로 다룬다. 우선 올해 1월 개정된 국가정보원법으로 국정원 주요 업무에 우주정보에 대한 활동이 포함됐다. 우주개발진흥법은 위성과 관련한 행정규칙을 통해 위성으로 촬영한 사진이나 영상물에 대해 해상도나 반출 시 처리사항 등에 대해 규정하고 있다. 이와 달리 위성이나 우주선 자체에 대한 보안 규정은 미흡하다.
과기정통부는 지난해 말 정보통신망법 개정으로 가전, 교통, 금융, 스마트도시, 제조 등의 산업도 정보보호 대상으로 삼았다. 사물인터넷 등 기존 산업과 네트워크의 융합으로 사이버공격 위협이 커졌기 때문이다. 향후 새로운 통신 인프라로 자리잡을 인공위성 역시 공격대상이 될 수 있으며, 지상과는 또 다른 환경에서 운영된다. 때문에 민간위성에 대한 보안 정책을 마련하고, 사각지대가 없도록 선제적 대응이 필요하다.
과기정통부 관계자는 "현재 위성정보 반출을 요청하는 민간기업이 많아 전파연구원, 항공우주연구원, 국토부 등과 정보 활용 측면에서 협의하고 있다"며, "민간이 위성을 발사할 경우 공공에 적용하는 사이버보안 수준을 준수하도록 할 계획이다. 아직 민간이 직접 해보지 않은 영역이기 때문"이라고 말했다.