Home > 전체기사

미국 정부, 19억 달러를 정부 기관 보안 강화에 쓸 예정인데 모자라다?

  |  입력 : 2021-08-19 15:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각 주, 시, 구별 행정 기관의 사이버 보안을 강화하자는 법안이 미국 상원에서 통과됐다. 무려 19억 달러라는 큰 돈도 투입될 것이라고 한다. 하지만 이걸 각 기관별로 나누다 보면 얼마 되지 않는다고 보안 전문가들은 불만을 제기하고 있다.

[보안뉴스 문가용 기자] 최근 미국 상원에서는 새로운 사이버 보안 법안이 통과됐다. 사회 기반 시설에 대한 투자 규모를 키우고 관련 일자리를 늘리자는 계획을 가지고 있는 법안이다. 특히 미국 사회 기반 시설의 보안을 강화하기 위해서 19억 달러를 투자하겠다는 세부 내용이 담겨져 있는데, 이 19억 달러라는 액수에 대한 전문가들의 시선이 곱지만은 않다. 턱없이 부족하다는 것.

[이미지 = utoimage]


보안 업체 크리티컬 인사이트(Critical Insight)의 CISO이자 창립자인 마이크 해밀턴(Mike Hamilton)은 “19억 달러의 절반 이상이 각 주와 시의 기관들로 분배된다는 내용을 담고 있는 법안”이라며 “50개 주 내의 각 도시들과, 그 도시 예하의 구, 카운티 등까지 다 고려하면 실제로 받는 돈은 적을 수밖에 없다”고 지적한다. “미국에는 지방 자치 단체에 포함되는 기관이 9만 개가 넘게 있습니다. 기관 하나 당 1만 1천 달러 정도의 예산이 추가되는 것일 뿐입니다. 주 정부와 같은 상급 기관이 1센트까지 똑같이 나눈다고 해도 말이죠.”

하지만 인디애나대학의 사이버 보안 및 인터넷 거버넌스 학부 교수인 스콧 셰켈포드(Scott Shackelford)는 “물론 예산이 턱없이 부족해 보일 수 있지만, 그렇다고 아무 것도 할 수 없을 정도의 푼돈도 아니”라고 반박한다. “사이버 보안의 모든 분야를 다 강화하겠다고 생각한다면 사실 아무리 돈을 가져다 부어도 모자랄 겁니다. 하지만 정말 중요한 문제 한두 가지에 집중한다면 어떨까요? 랜섬웨어에 대비해 효과적인 백업 인프라를 마련한다든가, 전 조직적인 다중인증 체제를 도입한다든가 하는 식으로 말이죠. 그러면 충분히 효과적일 수 있습니다.”

해밀턴 역시 한두 가지 분야에 집중하는 것이 19억 달러라는 예산을 가장 효과적으로 사용하는 방법임에 동의한다. “각 기관들마다 가장 크게 봐야 할 리스크의 종류가 다를 겁니다. 그러므로 늘어난 예산을 가지고 리스크 평가부터 수행하고, 그에 따른 보안 강화 분야를 선택하는 것이 효율적일 것입니다. 그것이 랜섬웨어든, 데이터 유출이든, 서비스 유지력 강화이든 말입니다.”

그러면서 해밀턴은 “보안 전문가들에 대한 투자를 하는 것도 현명할 수 있다”고 제안한다. 주어진 예산으로 보안 담당자 자리를 만들고, 보안 전문가를 초빙하여 장기적인 보안 강화 계획을 수립 및 실천해야 한다는 것이다. “이렇게 했을 때 사기업으로 가려고만 하는 보안 전문가들의 선택지를 넓힘으로써 공공 부문에서의 보안 인재 확보 문제도 해결할 수 있습니다. 물론 보안 담당자들에게 사기업 만큼의 보상을 해 주어야 하겠지만요.”

국가사이버보안연맹(National Cyber Security Alliance, NCSA)의 리사 플라지미어(Lisa Plaggemier)는 “사용자와 공공 기관 근무자들의 보안 인식을 제고하는 것이 가장 시급히 해결해야 할 문제”라고 지적한다. “기술 부문에 대한 업그레이드도 중요합니다. 하지만 보안의 측면에서 완전무결한 기술은 존재하지도 않고, 심지어 비쌉니다. 기술들이 불완전할 수밖에 없는 여러 이유 중 가장 큰 건 사람의 허술함입니다. 따라서 일반 사용자들의 인식 전환을 위한 사업을 벌이는 데에 예산의 일부가 반드시 투자되어야 할 것으로 보입니다.”

플라지미어는 “가장 손쉽게 할 수 있는 건 지역 내 대학이나 학교 등 교육 기관과 연계하여 훈련 프로그램을 만들거나 보완하는 것”이라고 제안한다. “이렇게 했을 때 이미 존재하거나 계획되어 있는 교육 프로그램을 활용할 수 있어 효율적이고, 학생들 중 더 진지하게 보안 공부를 이어갈 사람을 찾아 미래 보안 담당자를 한 명이라도 더 늘릴 수 있어 좋습니다. 백지서부터 교육 훈련 프로그램과 시설을 마련하는 건 어려운 일입니다만, 전문 기관들과 연계하면 충분히 해봄직한 일이 됩니다.”

셰켈포드 교수는 “돈 쓸 곳은 얼마든지 찾을 수 있다”며 “모든 곳에 다 투자할 수 없다는 걸 기억하고 가장 시급히 해결해야 할 문제를 정확히 짚어내는 게 지금으로선 최선”이라고 다시 한 번 강조한다. “법이 통과되고 시행되기까지 시간이 좀 남아 있습니다. 그 기간 동안 미리 리스크 평가를 진행해 투자할 곳을 몇 군데 정해놓는 게 현명할 것입니다. 예산을 받아놓고 생각하면 불필요한 시간이 흘러가고, 그 시간도 결국 낭비가 되니까요.”

3줄 요약
1. 미국에서 정부 기관 보안 강화 위해 19억 달러 예산 투입한다는 법안 통과될 듯.
2. 19억 달러를 전국의 기관들과 나눌 경우 얼마 되지 않음.
3. 그래서 가장 시급히 해결해야 할 분야 한두 가지를 골라 집중하는 것이 현명할 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화