A trend of open source software in the defence area


▪ 국방 선도국인 미국은 보안성 강화 및 특정 SW에 의존도를 낮추기 위해 공개 SW를 국방영역에 활용하고자 하는 다양한 정책을 추진하고 있음
▪ 국내도 국방 영역에 공개SW를 활용하고자 하는 시도가 있으며 특정 SW에 의존도를 낮추고 보안성을 강화하기 위한 공개SW 확산 연구가 필요함
▪ The U.S., the leading defense nation, is pursuing various policies to utilize free and open source SW(FOSS) in defense areas to enhance security and reduce dependence on specific softwares.
▪ Domestic efforts have already made to use FOSS in the defense area, and a research of the diffusion of FOSS is needed to reduce dependence on specific SW and to enhance security.


■ 국방 영역에서 공개SW 활용의 해외 현황

  • 미국 비영리기관인 MITRE는 2003년 1월에 미국 국방부(DoD)*에서 자유SW와 공개SW (FOSS**)의 사용에 대한 중요성을 언급한 보고서1를 발간하였음

- 해당 문서를 통해 FOSS 및 독점 소프트웨어를 동등하게 취급하는 현재 미국 국방부의 정책이 유도되었으며, MITRE는 공개SW가 미국 국방부에서 훨씬 더 중요한 역할을 한다고 주장하였음
* 미국 국방부(Department of Defense, 이하 DoD)는 미국의 방위를 담당하는 정부 기관으로, 육군, 해군, 공군 및 해병대를 모두 총괄하고 있음, 건물 모양이 오각형이라 펜타곤이라고 불리기도 함
** FOSS(Free and Open-Source Software)는 자유SW와 공개SW를 모두 지칭하는 것으로 소스 코드를 공개하여 누구나 복제, 변경, 배포할 수 있는 소프트웨어를 총칭

  • 미국 국방부의 CIO인 데이비드(David M. Wennergren)는 2009년 10월에 공개SW에 관한 지침2을 제공하는 메모를 공개함

- 해당 안내지침을 통 해 국 방 분 야에서 임무를 효 과적으로 수 행하기 위해 S W를 적극적으로 활용하여야 하며, 공개 SW의 사용이 장점을 제공할 수 있다고 기재함

<그림 1> MITRE의 공개SW 사용 관련 문서  <그림 2> 미국 국방부의 공개 SW관련 메모

  • 미국 국방부는 2017년 2월에 공개SW 실험(Experiment)인‘Code.mil’을 발표하였음3

- Code.mil은 미 연방정부가 수행하는 비 기밀 국방부 프로젝트에 전 세계의 개발자들이 협력하여 공동 작업을 할 수 있게 하는 공개SW 계획(Initiative)임
- 미국 국방부 프로젝트에 전 세계 개발자들이 코드 검토 및 개선사항을 제안할 수 있으며, 공개된 코드는 개인과 공공 프로젝트에서 재사용 할 수 있음

  • 지형이나 모델링 및 시뮬레이션과 관련된 군 전용 공개 SW가 개발되어 활용되고 있음

- (FalconView) 조지아텍 연구소에서 1994년 개발한 PC기반 지도제작 애플리케이션으로 2008년에 공개SW버전을 개발하기 위해 자금을 지원받아 2009년 버전을 공개함
- (OSSIM, Open Source Software for Imagery & Mapping) 지형 공간 영상 뷰어 (플러그인 포함)로 1996년에 개발되었으며 2015년 12월에 Github로 소스 코드를 이전함
- (OMAR, OSSIM Mapping ARchieve System) 동영상 색인 관련 프로그램으로 지형 공간 경계, 센서, 수집기 및 시간을 기반으로 데이터를 검색할 수 있게 함
- ( BRL-CAD) 미군에서 20여 년간 활용하고 있는 고체 모형 생성 CAD(Computer Aided Design) 시스템으로 윈도우, OS X, BSD, 리눅스 등 다양한 플랫폼을 지원하고 있음 1984년에 출시된 이후 2004년 12월에 공개SW 프로젝트로 전환됨
- (Delta3d) 공개SW 기반 게임 및 시뮬레이션 엔진 API로 교육, 시각화 및 엔터테인먼트를 비롯한 다양한 용도에 활용 가능하며, 군사용으로는 훈련 시뮬레이션에 사용됨

■ 보안 강화가 필요한 일반/국방 분야의 폐쇄(Closed) SW

  • (일반) 소스코드의 공개를 통해 발견하지 못한 악성 코드의 취약점을 발견됨

- Borland의 Interbase(DB 프로그램)는 7년간 백도어(Backdoor)를 내장4하고 있었으나 SW를 공개한 이후 5개월 만에 해당 취약점이 발견되어 수정됨
· 특정 사용자 이름(politically)과 암호(correct)를 입력하는 경우, 요청자에게 데이터베이스에 대한 제어권을 즉시 부여하였음

  • (국방) 미국 국방부의 국방 디지털 서비스(Defense Digital Service, DDS)팀은 다양한 보안 관련 프로젝트를 수행하고 있음

- 국방부, 공군, 해군의 보안을 시험하기 위한 SW 오류 보상금 프로젝트를 수행하여 국방 분야의 폐쇄 SW의 취약점을 발견하고 해결하였음

1) ‘ 펜타곤을 해킹하라(Hack The Pentagon)’

- DDS는 2016년 4월 18일부터 5월 12일까지 국방 장관(Ash Carter)의 강력한 지지하에 ‘ 펜타곤을 해킹하라’라는 SW 오류 보상금(Bug Bounty)5 시범사업을 수행하였음
-‘ 펜타곤을 해킹하라’는 미국 연방정부 역사상 최초의 SW 오류 보상금 사업으로, 펜타곤의 보안을 시험하기 위한 행사이며, <그림 5>와 같이 행사가 시작된 지 13분 만에 오류가 발견되고, 6시간 만에 200개가 수집되었으며 전 세계에서 해커 1,410명이 참여하였음
- 향후 3년 동안 SW 오류 보상금 플랫폼 회사인 해커원(HackerOne)과 미국 국방부는 크라우드소싱(Crowdsourcing) 보안 계획을 다른 부처에 제공하기 위해 협력할 예정임

2‘) 공군을 해킹하라(Hack the Air Force) 2.0’

- 두 번째 공군의 SW 오류 보상금 대회인‘공군을 해킹하라 2.0’을 통해 취약점 110개가 보고되어 해결6되었으며, 총 125,000달러 상금을 수여함
- 해커들은 미국, 캐나다, 영국, 스웨덴, 네덜란드, 벨기에, 라트비아 등 32개국에서 참여하였음

<그림 3>‘펜타곤을 해킹하라’  <그림 4>‘공군을 해킹하라 2.0’소개

<그림 5> 제1회‘펜타곤을 해킹하라’의 결과

  • 미국 국방부는 디지털 취약점 공개 정책과‘군을 해킹하라(Hack the Army)’사업을 착수함

- 미국 국방부는‘펜타곤을 해킹하라’이후, 여전히 SW에 취약점이 있다는 것을 인식하고 보상금을 제공하진 않지만 국방부의 공개 웹 사이트와 프로그램에 관련하여 언제든지 오류를 제출할 수 있도록 허용하고 있음7
- 즉, 취약점 공개 정책(Vulnerabilities Disclosure Policy)을 통해 펜타곤의 보안 시스템을 해킹하여 취약점을 보고하는 것이 합법화됨으로써 보안 정책 방향의 큰 전환점으로 볼 수 있음

■ 미국 국방 영역에서 공개SW 활용을 위한 법안을 검토하고 있음

  • 존 매케인 상 원의원은 국방 분 야에서 개발된 일부 소 프트웨어 및 자 료가 공 개 SW로 관리되어야 한다는 법률을 발의하여 논의가 진행되고 있음

- National Defense Authorization Act for Fiscal Year 2018의 2320a에서 공개 소프트웨어의 사용에 관련한 부분이 존재, 해당 법은 존 매케인(John McCain) 상원의원이 발의한 상태로 2018년 3월 22일에 상원에서 검토가 진행되고 있음
· 무기 수출 관리법 제38조(22 U.S. Code 2778)에 의해 규제되지 않고, 사용자 정의로 개발된 소프트웨어 및 관련 기술 자료는 관련 집행자가 특별히 면제하지 않는 한 공개SW로 관리되어야 한다는 부분이 포함되어 있음

<그림 6> National Defense Authorization Act 일부

■ 국내 국방 분야에서 공개SW(개방형 OS) 관련 정책 추진 현황

  • 국방부의 경우, 2016년 7월 부 로 육 군, 해군, 공 군 8개 부대에 총 69대의 공 개SW인 하모니카 OS*를 설치하여 운영하는 시범사업을 수행하였음

- 이는 2015년 과기정통부(미래부)의 개방형 OS 시범사업 중 국방부에서 추진하는 2개 사업에 해당하는 것으로 군내 인터넷 환경인 화상면회체계, 사이버지식정보방을 대상으로 하였음
* 하모니카 OS(HamoniKR)는 과기정통부와 정보통신산업진흥원이 2014년에 개발한 개방형OS로 ‘리눅스 민트’17 마테 버전에 한글화 지원 서비스, 메뉴 수정 등이 추가되었음

  • 2018년 5월, 해군사관학교는 국가보안기술연구소가 개발한 개방형OS인 구름플랫폼*을 활용한 클라우드 기반 원격교육시스템 구축 사업을 수행함

- 해당 사업을 통해 클라우드 기반 원격교육 시스템을 구축하여 원격 강의 및 콘텐츠를 활용한 교육으로 교수인력 부족현상을 해결하고자 함
- 또한 공급자(Vendor) 독립적인 개방형 OS 사용으로 클라우드 기반 안전한 군 업무환경 도입 가능성을 확인하고자 함
* 구름플랫폼은 과기정통부와 한국전자통신연구원 산하 국가보안기술연구소가 2015년부터 윈도우 독점 상황을 개선하기 위해 개발한 보안 기능이 강화된 개방형 OS임

■ 시사점

  • 국방 선도국인 미국은 국방 분야에서 공개SW를 적극적으로 사용하고 있으며, 공개SW를 활용하고자 하는 다양한 정책을 수행하고 있음

- 미국 국방부는 국방 분야에서 공개 SW의 활용성을 높이기 위해 Code.mil과 같은 정책뿐만 아니라 관련 법제도 도입을 진행하고 있음
- 특히 보안성을 높이기 위해 국방 디지털 서비스 팀(DSS)을 중심으로 다양한 프로젝트를 도입하여 전 세계 개발자로부터 문제점을 공개적으로 수집하여 취약점을 개선하고 있음

  • 국내에서도 국방 분야의 보안성 강화와 특정 폐쇄 SW의 종속성 및 외산 SW의 의존성 등을 해결하기 위해 공개 SW의 다양한 활용에 대한 연구와 도입 실험이 필요함

1  Use of Free and Open-Source Software(FOSS) in the U.S. Department of Defense, The MITRE Corporation, 2003.01.
2  Clarifying Guidance Regarding Open Source Software, DoD, 2009.10.
3  DoD Announces the Launch of“Code.mil,”an Experiment in Open Source, U.S. Department of Defense, 2017.02.
4  http://dodcio.defense.gov/Open-Source-Software-FAQ/
5  버그 바운티 : 보안 취약점 신고 포상제
6  Hack the Air Force 2.0 uncovers over 100 vulnerabilities, ZDNet, 2018.02.
7  DOD Announces Digital Vulnerability Disclosure Policy and“Hack the Army”Kick-Off, U.S. DoD, 2016.11.

 

국방 공개SW 월간SW중심사회 2018년 5월호