Home > 전체기사

미국 CISA의 역발상, “보안에 나쁜 행위들” 목록으로 만든다

  |  입력 : 2021-06-30 14:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안 강화를 위해 지켜야 할 것들에 우리는 너무나 익숙하다. 하지만 보안에 나쁜 행위들이 공식적으로 집계돼 백서처럼 발간된 사례는 드물다. CISA는 아무리 좋은 행동을 해도 구멍을 막지 않으면 소용이 없다고 주장한다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 조직인 CISA가 조직을 위험하게 하는 ‘안 좋은 보안 습관’ 목록을 제작 중에 있다. 어느 조직에서나 일반적으로 적용할 수 있지만 특히 사회 기반 시설을 운영하는 조직들을 위한 작업이라고 한다.

[이미지 = utoimage]


보안 업계는 ‘보안 강화를 위해 반드시 지켜야 할 수칙 사항’을 목록화 하는 데에는 도가 텄다. CISA의 부국장인 에릭 골드스타인(Eric Goldstein)은 블로그를 통해 이같이 밝히며 “잘 하는 걸 아무리 잘 해도 구멍을 막지 못하면 소용이 없다”고 강조했다.

“보안의 측면에서 봤을 때 위험한 행동들은 경쟁과 시장성을 이유로 용인되는 경우가 많았습니다. 자원이 모자란다거나, 인력이 없다는 것으로도 용서가 됐죠. 하지만 그랬을 때 어떤 일이 일어났나요? 누군가 식수에 독을 풀고, 에너지 공급 라인을 마비시켰습니다.” 올해 미국서 발생한 양잿물 테러 사건과 콜로니얼 파이프라인(Colonial Pipeline)에 대한 이야기다.

“조직을 위험하게 하는 행동이 무엇인지 공개하고, 그것을 줄이려는 노력을 병행하는 것이 필요합니다. 보안 강화를 위한 행동을 강조하고 실천하는 것과 함께 말이죠. 둘은 서로를 대체할 수 없으며, 오히려 상호보완적인 관계를 갖습니다.” 현재 CISA는 ‘안 좋은 행위들’을 목록화 한 페이지를 운영 중에 있으며, 이 목록은 점진적으로 늘어날 전망이다.

이 목록이 담겨진 페이지는 여기(https://www.cisa.gov/BadPractices)서 열람이 가능하다. 가장 먼저 언급된 내용은 생애주기가 끝난 소프트웨어를 사용하는 것이다. CISA는 사회 기반 시설에서 이러한 소프트웨어가 사용될 때 위험 수위가 크게 높아진다고 강조하며, 이는 국가 안보와 보건, 국가 경제에 심각한 영향을 줄 수 있다고 썼다.

그 다음 위험한 행위로 언급된 건 쉬운 비밀번호를 변경하지 않고 계속 사용하는 것이다. 이 역시 주요 사회 기반 시설에서 사용될 경우 국가 안보와 경제를 위협하고 사회 혼란을 야기할 수 있을 것이라고 CISA는 강조했다. 첫 번째나 두 번째 모두 인터넷에 연결된 자산에서 나타날 때 특히 위험하다고 CISA는 덧붙였다.

CISA는 이 두 가지 행위는 사회 기반 시설만이 아니라 모든 조직에서 척결되어야 할 1순위 ‘나쁜 행위’라고 주장했다. 그러므로 모든 조직들이 이를 해결하기 위한 조치를 취해야 한다는 것이다. “이 목록이 사회 기반 시설을 위주로 만들어진 것이 사실이지만, 여기에 언급된 내용들이 다른 조직들에 전혀 나타나지 않는 것도 아니고, 다른 조직들에서는 용납 가능한 내용인 것도 아닙니다. 그러므로 모든 조직들에서 이 ‘나쁜 행위’들을 제거하기 위한 전략을 짜는 것이 권장됩니다.”

미국은 현재 바이든 대통령의 행정 명령을 받아 연방 정부 기관과 사회 기반 시설 강화에 서두르고 있다. 얼마 전 NIST는 핵심 자산이 되는 소프트웨어의 정의를 재정립했고, CISA는 이를 받아 구체적인 소프트웨어 명단을 만들 예정이다.

3줄 요약
1. 미국 CISA, 보안 실천 사항이 아니라 고쳐야 할 보안 버릇 목록 만듦.
2. 현재는 미완성이나 앞으로 목록을 계속 늘릴 예정.
3. 기반 시설을 위주로 만든 목록이지만 모든 조직들이 보편적으로 참고할 만한 내용들 포함될 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야