Home > 전체기사

미국 CISA의 역발상, “보안에 나쁜 행위들” 목록으로 만든다

  |  입력 : 2021-06-30 14:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 강화를 위해 지켜야 할 것들에 우리는 너무나 익숙하다. 하지만 보안에 나쁜 행위들이 공식적으로 집계돼 백서처럼 발간된 사례는 드물다. CISA는 아무리 좋은 행동을 해도 구멍을 막지 않으면 소용이 없다고 주장한다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 조직인 CISA가 조직을 위험하게 하는 ‘안 좋은 보안 습관’ 목록을 제작 중에 있다. 어느 조직에서나 일반적으로 적용할 수 있지만 특히 사회 기반 시설을 운영하는 조직들을 위한 작업이라고 한다.

[이미지 = utoimage]


보안 업계는 ‘보안 강화를 위해 반드시 지켜야 할 수칙 사항’을 목록화 하는 데에는 도가 텄다. CISA의 부국장인 에릭 골드스타인(Eric Goldstein)은 블로그를 통해 이같이 밝히며 “잘 하는 걸 아무리 잘 해도 구멍을 막지 못하면 소용이 없다”고 강조했다.

“보안의 측면에서 봤을 때 위험한 행동들은 경쟁과 시장성을 이유로 용인되는 경우가 많았습니다. 자원이 모자란다거나, 인력이 없다는 것으로도 용서가 됐죠. 하지만 그랬을 때 어떤 일이 일어났나요? 누군가 식수에 독을 풀고, 에너지 공급 라인을 마비시켰습니다.” 올해 미국서 발생한 양잿물 테러 사건과 콜로니얼 파이프라인(Colonial Pipeline)에 대한 이야기다.

“조직을 위험하게 하는 행동이 무엇인지 공개하고, 그것을 줄이려는 노력을 병행하는 것이 필요합니다. 보안 강화를 위한 행동을 강조하고 실천하는 것과 함께 말이죠. 둘은 서로를 대체할 수 없으며, 오히려 상호보완적인 관계를 갖습니다.” 현재 CISA는 ‘안 좋은 행위들’을 목록화 한 페이지를 운영 중에 있으며, 이 목록은 점진적으로 늘어날 전망이다.

이 목록이 담겨진 페이지는 여기(https://www.cisa.gov/BadPractices)서 열람이 가능하다. 가장 먼저 언급된 내용은 생애주기가 끝난 소프트웨어를 사용하는 것이다. CISA는 사회 기반 시설에서 이러한 소프트웨어가 사용될 때 위험 수위가 크게 높아진다고 강조하며, 이는 국가 안보와 보건, 국가 경제에 심각한 영향을 줄 수 있다고 썼다.

그 다음 위험한 행위로 언급된 건 쉬운 비밀번호를 변경하지 않고 계속 사용하는 것이다. 이 역시 주요 사회 기반 시설에서 사용될 경우 국가 안보와 경제를 위협하고 사회 혼란을 야기할 수 있을 것이라고 CISA는 강조했다. 첫 번째나 두 번째 모두 인터넷에 연결된 자산에서 나타날 때 특히 위험하다고 CISA는 덧붙였다.

CISA는 이 두 가지 행위는 사회 기반 시설만이 아니라 모든 조직에서 척결되어야 할 1순위 ‘나쁜 행위’라고 주장했다. 그러므로 모든 조직들이 이를 해결하기 위한 조치를 취해야 한다는 것이다. “이 목록이 사회 기반 시설을 위주로 만들어진 것이 사실이지만, 여기에 언급된 내용들이 다른 조직들에 전혀 나타나지 않는 것도 아니고, 다른 조직들에서는 용납 가능한 내용인 것도 아닙니다. 그러므로 모든 조직들에서 이 ‘나쁜 행위’들을 제거하기 위한 전략을 짜는 것이 권장됩니다.”

미국은 현재 바이든 대통령의 행정 명령을 받아 연방 정부 기관과 사회 기반 시설 강화에 서두르고 있다. 얼마 전 NIST는 핵심 자산이 되는 소프트웨어의 정의를 재정립했고, CISA는 이를 받아 구체적인 소프트웨어 명단을 만들 예정이다.

3줄 요약
1. 미국 CISA, 보안 실천 사항이 아니라 고쳐야 할 보안 버릇 목록 만듦.
2. 현재는 미완성이나 앞으로 목록을 계속 늘릴 예정.
3. 기반 시설을 위주로 만든 목록이지만 모든 조직들이 보편적으로 참고할 만한 내용들 포함될 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화