미국 정부, 19억 달러를 정부 기관 보안 강화에 쓸 예정인데 모자라다?

각 주, 시, 구별 행정 기관의 사이버 보안을 강화하자는 법안이 미국 상원에서 통과됐다. 무려 19억 달러라는 큰 돈도 투입될 것이라고 한다. 하지만 이걸 각 기관별로 나누다 보면 얼마 되지 않는다고 보안 전문가들은 불만을 제기하고 있다.

[보안뉴스 문가용 기자] 최근 미국 상원에서는 새로운 사이버 보안 법안이 통과됐다. 사회 기반 시설에 대한 투자 규모를 키우고 관련 일자리를 늘리자는 계획을 가지고 있는 법안이다. 특히 미국 사회 기반 시설의 보안을 강화하기 위해서 19억 달러를 투자하겠다는 세부 내용이 담겨져 있는데, 이 19억 달러라는 액수에 대한 전문가들의 시선이 곱지만은 않다. 턱없이 부족하다는 것.

[이미지 = utoimage]

보안 업체 크리티컬 인사이트(Critical Insight)의 CISO이자 창립자인 마이크 해밀턴(Mike Hamilton)은 “19억 달러의 절반 이상이 각 주와 시의 기관들로 분배된다는 내용을 담고 있는 법안”이라며 “50개 주 내의 각 도시들과, 그 도시 예하의 구, 카운티 등까지 다 고려하면 실제로 받는 돈은 적을 수밖에 없다”고 지적한다. “미국에는 지방 자치 단체에 포함되는 기관이 9만 개가 넘게 있습니다. 기관 하나 당 1만 1천 달러 정도의 예산이 추가되는 것일 뿐입니다. 주 정부와 같은 상급 기관이 1센트까지 똑같이 나눈다고 해도 말이죠.”

하지만 인디애나대학의 사이버 보안 및 인터넷 거버넌스 학부 교수인 스콧 셰켈포드(Scott Shackelford)는 “물론 예산이 턱없이 부족해 보일 수 있지만, 그렇다고 아무 것도 할 수 없을 정도의 푼돈도 아니”라고 반박한다. “사이버 보안의 모든 분야를 다 강화하겠다고 생각한다면 사실 아무리 돈을 가져다 부어도 모자랄 겁니다. 하지만 정말 중요한 문제 한두 가지에 집중한다면 어떨까요? 랜섬웨어에 대비해 효과적인 백업 인프라를 마련한다든가, 전 조직적인 다중인증 체제를 도입한다든가 하는 식으로 말이죠. 그러면 충분히 효과적일 수 있습니다.”

해밀턴 역시 한두 가지 분야에 집중하는 것이 19억 달러라는 예산을 가장 효과적으로 사용하는 방법임에 동의한다. “각 기관들마다 가장 크게 봐야 할 리스크의 종류가 다를 겁니다. 그러므로 늘어난 예산을 가지고 리스크 평가부터 수행하고, 그에 따른 보안 강화 분야를 선택하는 것이 효율적일 것입니다. 그것이 랜섬웨어든, 데이터 유출이든, 서비스 유지력 강화이든 말입니다.”

그러면서 해밀턴은 “보안 전문가들에 대한 투자를 하는 것도 현명할 수 있다”고 제안한다. 주어진 예산으로 보안 담당자 자리를 만들고, 보안 전문가를 초빙하여 장기적인 보안 강화 계획을 수립 및 실천해야 한다는 것이다. “이렇게 했을 때 사기업으로 가려고만 하는 보안 전문가들의 선택지를 넓힘으로써 공공 부문에서의 보안 인재 확보 문제도 해결할 수 있습니다. 물론 보안 담당자들에게 사기업 만큼의 보상을 해 주어야 하겠지만요.”

국가사이버보안연맹(National Cyber Security Alliance, NCSA)의 리사 플라지미어(Lisa Plaggemier)는 “사용자와 공공 기관 근무자들의 보안 인식을 제고하는 것이 가장 시급히 해결해야 할 문제”라고 지적한다. “기술 부문에 대한 업그레이드도 중요합니다. 하지만 보안의 측면에서 완전무결한 기술은 존재하지도 않고, 심지어 비쌉니다. 기술들이 불완전할 수밖에 없는 여러 이유 중 가장 큰 건 사람의 허술함입니다. 따라서 일반 사용자들의 인식 전환을 위한 사업을 벌이는 데에 예산의 일부가 반드시 투자되어야 할 것으로 보입니다.”

플라지미어는 “가장 손쉽게 할 수 있는 건 지역 내 대학이나 학교 등 교육 기관과 연계하여 훈련 프로그램을 만들거나 보완하는 것”이라고 제안한다. “이렇게 했을 때 이미 존재하거나 계획되어 있는 교육 프로그램을 활용할 수 있어 효율적이고, 학생들 중 더 진지하게 보안 공부를 이어갈 사람을 찾아 미래 보안 담당자를 한 명이라도 더 늘릴 수 있어 좋습니다. 백지서부터 교육 훈련 프로그램과 시설을 마련하는 건 어려운 일입니다만, 전문 기관들과 연계하면 충분히 해봄직한 일이 됩니다.”

셰켈포드 교수는 “돈 쓸 곳은 얼마든지 찾을 수 있다”며 “모든 곳에 다 투자할 수 없다는 걸 기억하고 가장 시급히 해결해야 할 문제를 정확히 짚어내는 게 지금으로선 최선”이라고 다시 한 번 강조한다. “법이 통과되고 시행되기까지 시간이 좀 남아 있습니다. 그 기간 동안 미리 리스크 평가를 진행해 투자할 곳을 몇 군데 정해놓는 게 현명할 것입니다. 예산을 받아놓고 생각하면 불필요한 시간이 흘러가고, 그 시간도 결국 낭비가 되니까요.”

3줄 요약
1. 미국에서 정부 기관 보안 강화 위해 19억 달러 예산 투입한다는 법안 통과될 듯.
2. 19억 달러를 전국의 기관들과 나눌 경우 얼마 되지 않음.
3. 그래서 가장 시급히 해결해야 할 분야 한두 가지를 골라 집중하는 것이 현명할 것.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)