미군 인터넷 및 전산망

미(美) 국방부 전산망과 미군 인터넷

미군 사무실에는 항상 인터넷이 잘된다. 그들이 쓰는 인터넷은 흔히 "니퍼" 또는 "니퍼넷"이라고 불렀는데, 비밀이나 보안상황이 요구되는 "씨퍼" 또는 "씨퍼넷"과 구분하여 사용되었다.

참고 : 니퍼넷 이란? https://en.wikipedia.org/wiki/NIPRNet

NIPRNet - Wikipedia

우리 다이만부대 사무실에도 일부 미군 DSN전화가 설치되었고, 미군 니퍼넷이 들어와서 우리 국방망이 깔리기 전에 미군 DSN 전화로 본국 작전과 전투참모와 통화도 하고, 니퍼넷으로 인터넷 개인 이메일을 확인하기도 했다.   

 

비행스케줄  또는 Soft/Hard Frag가 공유되는 씨퍼넷의 J-Drive에는 미국방망 비밀취급인가가 없어서 접근할 수없었지만 나머지 인터넷은 자유롭게 접속 가능했다.

 

 

==============================  

미 국방부의 전산망은 정보의 민감도에 따라 정보흐름의 경로를 분리하여 민감한 정보에 해서만 암호화하여 효율성을 극대화 하였고, NIPRNet만 인터넷에 연결하여 SIPRNet에 담겨있는 중요정보보호의 안전성을 보장하고 있다.

 

 

미군이 운용하고 있는 정보시스템 체계는 크게 다음의 그림과 같이 구성되어 있다.

 

① Global Command and Control System(GCCS)

지휘통제시스템

GCCS는 1995년 DISA(Defense Information System Agency)에서 다양한 제대에 속해있는 전투원의 지휘․통제․통신․정보(C3I)에 대한 요구를 충족시키기 위하여 설계하였다.

 

GCCS는 SIPRNet(Secure Internet Protocol Router Network)에 연결되어 운영되는데 각 전투원간 임무 및 책임을 공유할 수 있으며, 부대배치와 관련된 자료를 확인할 수 있다.

 

이러한 정보를 통하여 실시간 부대배치를 display할 수 있으며, 인력동원소요 분석, 전장정보 분석, 의무계획, 사무 자동화, 원격회의 등을 수행할 수 있다.

 

② Global Combat Support System(GCSS) 

전투지원시스템

GCSS는 GCCS와 유사하지만 업무절차 관리 매트릭스, 비용․스케줄 트래킹, 물자 적재 관리 등 물자의 취득 및 지원에 해 좀 더 특화된 시스템이다.

 

대체로 기능 환경 등은 GCCS와 동일하나 GCCS에게 우선권이 있다.

 

③ Defense Information Infrastructure Common Operating Environment(DII-COE)

정보보호 인프라 일반 작업 환경

SIPRNet, NIPRNet 시스템 개발의 기초가 되는 기반환경이다.

GCCS와 GCSS의 전투지원 어플리케이션, 전술 어플리케이션, 전략임무 어플리케이션 등의 개발 기반이 되었다.

미군 전산망에 쓰이는 모든 네트워크와 시스템은 DII-COE를 사용하여 개발하고 있으며 네트워크와 시스템간의 정보소통이 가능하도록 지원하고 있다.

DII-COE는 클라이언트-서버 방식의 공개 아키텍처로 개발되어 그 활용이 용이하다.

DII-COE는 개발환경 표준, 프로그램 세팅 등의 표준을 제공하여 인터페이스가 가능하도록 해당 정보를 수집 제공하고 있다.

 

④ Internet Protocol Router Network(~IPRNet)

현재 미군에서 사용하고 있는 네트워크는 크게 SIPRNet과 NIPRNet로 구분할 수 있다.

 

SIPRNet은 인터넷과 분리되어 있으며, SIPRNet으로 들어오는 모든 정보는 암호화되어 저장하고 있다.

따라서 악의적인 접근이나 실수에 의한 내부 정보의 유출사고가 발생하여도 그 내용을 확인할 수 없도록 설계되어 있다.

 

NIPRNet은 미 국방부와 정부 ․ 타 기관과의 정보교류를 위하여 구축하고 암호화하지 않아도 되는 민감도가 낮은 정보를 위주로 통신하고 있다. NIPRNet은 인터넷과 연결되어 있는데 미 국방부의 모든 사용자가 인터넷을 사용할 수 있는 것도 NIPRNet을 사용하기 때문이다.

 

미군의 전체 망의 구조는 인터넷과 GCCS(지휘통제시스템) ․ GCSS(전투지원시스템)등에 연결이 가능하도록 설계되어 있다. 그러나 정보의 중요도 및 민감도에 따라 정보의 흐름을 적절히 분리․운용함으로써 실제 각 사용자는 업무 상 필요한 정보까지만 접근이 가능하도록 하고 있다.

 

GCCS는 SIPRNet과 연결되어 있고 모든 정보를 암호화하여 통신하고 있으며 SIPRNet은 인터넷과 연결되지 않고 있다. 반면 GCSS는 중요도 및 민감도가 높은 정보는 SIPRNet 과 연결되어 있고, 중요도 및 민감도가 낮은 정보는 NIPRNet에 연결되어 있으며, 다시 NIPRNet은 인터넷과 연결되어 있다. 결국 하나의 단말기에 SIPRNet과 NIPRNet이 모두 연결될 수 있도록 하고 있는 미군의 경우에는 외부망과의 연결하여 운영하고 있는 개방적 구조라고 할수 있다. 다만 이런 개방적 구조로 인해 발생할 수 있는 위협과 취약성에 하여는 체계적인 보안관리체계와 대응통제를 통해 보호하고 있다.

 

전 세계적으로 부대를 운영하고 있는 미군은 모든 네트워크 및 시스템을 전용망과 상용망을 사용하여 연결하고 있으며, DII-COE을 기반으로 설계되고 네트워크는 IP기반으로 운영함으로써 이 기종 간에 자유로운 통신이 가능하도록 하고 있다. 개방적인 구조인데다 네트워크가 IP 기반이어서 외부로부터의 위협이 높은 편이나, 정보에 대한 철저한 등급 분류 및 그에 따라 민감한 정보에 대해서는 SIPRNet의 암호화된 통신을 사용함으로써 그 안전성은 보장하고 있다.

 

미군의 국방정보통신망을 보다 자세히 살펴보면, 미국은 세계적으로 전개되어 있는 전장공간속에서 전투원들이 실시간으로 멀티미디어 정보를 주고받을 수 있게 국방정보통신망인 DISN(Defense Information System Network)을 2010년을 목표로 구성 중에 있다. DISN 활용 시 평문 및 비문 정보에 대한 보호와 안전한 유통 방안이 요구되기 때문에 비문만 유통시키는 SIPRNet과 평문을 유통시킬 수 있는 NIPRNet으로 구분하여 구축/운영 중이며, DISN의 자체 보안을 위해 MISSI를 추진하고 있다.

 

1995년 DISN 구축 이전까지 운영되고 있던 미 국방부의 X.25기반 광역네트워크인 DDN (Defense Data Network)은 물리적으로 분리된 4개의 네트워크로 구성되어 있어 다른 등급 트래픽 간 통신을 지원하지 못하였다. 미 국방부는 상호운용이 가능하고 정보공유와 통합이 가능한 전송서비스 구현, 사용자에게 좀 더 빠르고 신속한 서비스 제공, 개방이고 비 독점적인 아키텍처 구현, 통신비용 절감 등을 목표로 DDN을 교체하는 새로운 네트워크 구축을 DISA에 요청하여 DISN을 구성하게 되었다.

 

DISN의 구조는 다음 그림과 같이 NIPRNet, SIPRNet, JWICS로 구성되어 있는데, NIPRNet(Sensitive But Unclassified Internet Protocol Router Network)은 평문이나 SBU(Sensitive But Unclassified)정보를 처리하며 SIPPNet(Secure Internet Protocol Router Network)은 비문을 처리하고 JWICS(Joint Worldwide Intelligence Communications System)는 일급비밀과 특수정보를 처리하고 있다.

 

한 DISN 계층에서 다른 DISN 계층으로 데이터 전송시는 E3 device라는 암호화 장비를 사용하여야 하는데, 비화영역 가입자가 NIPRNet을 이용하여 데이터 송신시에는 BLACKER라는 암호 장비를 사용하고 top secret 계층에서 SIPRNet을 이용하여 데이터 전송 시 NES라는 암호 장비를 사용한다.

 

그림설명 : 미군의 DISN 구조 개념도

 

SIPRNet은 전송로 사이에 KG, KIV 등의 비화장비를 설치하고, 전용 라우터를 이용하여 DISN 전송로에 연결되는데 인터넷과 직접 연결되지 않아 전송로가 외부로부터 보호되고 있다. 망 외부에서의 비인가 접근을 방지하기 위해 라우터 전후에 B2급 이상의 보안기능을 제공하는 침입차단시스템을 설치하여 운용 중이고 사용자의 체계 및 데이터에 대한 책임은 사용자에게 부과하고 있다.

 

NIPRNet은 전 세계적인 라우터기반 네트워크로 SBU(Sensitive But Unclassified)정보와 평문을 처리하기 위해 DISN내에서 운영되는 데이터 통신망이다. SIPRNet과 달리 NIPRNet은 DISN 전송로 사이에 비화장비는 설치되어 있지 않고, DISN을 통하여 인터넷에 접속할 수 있다. 사용자는 NIPRNet을 경유하여 인터넷과 접속하며 웹, 이메일, 뉴스, 파일전송 등 각종 서비스를 제공받게 된다. 망 외부에서의 비인가 근을 방지하기 위해 라우터 전후에 침입차단시스템을 설치하여 운용중이고, 적절한 보안조치를 전제로 하여 군사적 위협이 되지 않는 평문 및 SBU(Sensitive But Unclassified)정보 송수신에 대해 상용망 활용을 허용하여 국방정보통신망의 트래픽 부하를 감소시키고 인터넷 자료 검색 및 활용, 민간인과의 원활한 정보교환을 가능하게 하고 있다.

 

결론적으로 살펴보면 미군 전산망은 민감한 정보를 취급하는 망은 그 전체를 외부에 노출되지 않도록 물리적으로 분리하는 우리나라와는 달리 미국은 원칙으로는 개방적으로 운영을 하되, 민감도가 높은 정보가 어떤 것이 있는지 정확한 조사와 평가를 통해 해당하는 정보에 하여서는 분리(SIPRNet)하고 그에 한 보안통제(암호화 등)를 적용하는 방식으로 접근하고 있다. 이에 따라 전 세계에 걸쳐 존재하는 각 부대와의 자유로운 통신을 보장함과 동시에 필수적으로 보호해야 하는 정보에 대해서는 집중적으로 보호․통제하도록 하고 있다.

 

또한 미 국방부내 전산망 사용자는 SIPRNet과 NIPRNet을 모두 연결하여 사용하고 있다. 그러나 어떠한 시스템을 사용하여 어떠한 정보를 생성하고 유통시키려 하느냐에 따라 SIPRNet과 NIPRNet을 선택적으로 활용한다. 따라서 작전, 군수, 정보, 인사 등 현행작전과 밀접하고 중요한 정보는 SIPRNet으로 흘러가서 암호화되고 일반 공문, 정부 회람용 문서 등의 요도가 낮은 정보는 NIPRNet으로 흘러들어서 원하는 기관으로 전송하고 있다.

 

 

참고약어

GCCS : Global Command and Control System

GCSS : Global Combat Support System

SIPRNet : Secure Internet Protocol Router Network

NIPRNet : Sensitive But Unclassified Internet Protocol Router Network

DII-COE : Defense Information Infrastructure Common Operating Environment

 

 

 

======================

소개한 내용은 ‘Securing the U.S. Defense Information Infrastructure’을 요약하여 인용한 '전자정부통합망과 국방전산망 실시간 연계․통합운영 방안에 대한 연구' (국방부 연구용역사업 2007년 11월 컨설팅하우스(주) 이경호)를 참조하였다.

물론 당연하게 군사기밀에 해당하는 민감한 내용은 없으며 2020년 현재 업그레이드된 시스템을 반영하지는 못했다.