보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

미국 정부가 발표한 국가사이버보안전략, 보안의 새로운 지평 열까

입력 : 2023-03-03 19:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
백악관이 고심 끝에 새로운 사이버 보안 전략을 수립하고 발표했다. 전략이 규정이 되고, 그것이 표준이 되며, 현실 세계에 적용되기까지 많은 시간이 걸리겠지만, 중요한 한 걸음이라는 평가가 지배적이다.

[보안뉴스 문가용 기자] 미국 정부가 새로운 국가사이버보안전략(National Cybersecurity Strategy)을 발표했다. 소프트웨어 제품을 개발하는 주체에 좀 더 많은 책임을 부여하고, 사회 기반 시설 분야에 적용될 최소한의 사이버 보안 필수 사항을 새롭게 규정한 것이 눈에 띈다. 개인들의 각종 정보를 다루는 조직들의 경우 그런 데이터들이 어떤 식으로 보호받고 또 운영되는지 이전보다 면밀하게 모니터링 될 것이라는 내용도 포함되어 있다.

[이미지 = utoimage]


이번 전략을 통해 구체화시키고자 하는 주요 목표 중 하나는 보안을 강화할 만한 동기를 부여하는 것이다. 보다 향상된 보안 기능과 정책 등을 도입한 기업들에 세금으로 혜택을 주는 방안이 첫 손에 꼽히고 있지만, 그 외에 다른 방법들도 정부는 계속해서 모색할 것으로 보인다.

사이버 보안의 책임, 다시 분배돼
발표된 문서의 서문을 통해 바이든 대통령은 다음과 같은 말로 현재 사이버 보안 문제를 진단하고 있다. “일반 개인 사용자들에게 너무나 많은 책임이 지워지고 있다.” 그러면서 “사이버 보안에 대한 책임을 재분배할 필요가 있고, 이는 산업, 민간 단체, 정부 기관, 공공 기관, 지역 사회의 협업을 통해 효과적으로 이뤄낼 수 있다”고도 썼다.

바이든 행정부의 전략은 예나 지금이나 보안에 관련된 모든 조직과 분야들의 협업을 위주로 하고 있다. 이번에 발표된 문서를 통해서 이 협업이 특히 다음 다섯 가지 영역에서 이뤄져야 할 것이라고 강조했다.
1) 사회 기반 시설 보호
2) 위협 행위자들의 공격 인프라 무력화
3) 소프트웨어 개발사 및 개인정보 관리/처리 조직들을 위한 ‘향상된 보안’ 촉진
4) 회복력과 복구력 강한 기술들에 대한 투자
5) 사이버 보안 활동과 관련된 국제 협력

인프라에 대한 강조
이 다섯 가지 중 단시일에 체감되는 변화를 일으킬 것은 ‘사회 기반 시설 보호’ 영역과 ‘소프트웨어 벤더와 데이터 처리 조직에 보다 무거운 책임을 부여’ 영역일 것으로 예상된다. 전자를 위해 바이든 행정부는 기반 시설 관리 및 운영 단체가 지켜야 할 최소한의 사이버 보안 수준을 지정할 예정이다. 이전의 그것보다 엄격해지고 범위도 넓어질 것이라고 하는데, NIST가 발표한 기반시설보안향상프레임워크(Framework for Improving Critical Infrastructure Cybersecurity)와 CISA의 사이버보안실적목표(Cybersecurity Performance Goals)가 기초가 될 것으로 보인다.

“자발적인 보안 강화 제도를 유지했을 때 유의미한 향상이 없던 것은 아니지만, 법적 강제성이 부족하다 보니 좋은 결과라고 할지라도 안정적으로, 혹은 지속적으로 나오지는 않았습니다.” 이번 전략 보고서에 등장한 문구 중 하나다. 강제성이 없을 때 보안은 여유로운 기업들만의 선택지로 남을 가능성이 다분하다. 보안에도 자원을 투자해야 하는데, 경쟁성을 유지하기도 빠듯한 기업에 있어 보안에 투자해서 얻을 것은 그리 많지 않기 때문이다. 이 때문에 이번 전략을 통해 미국 정부는 보안을 강화할 때 얻을 수 있는 혜택도 고심했고, 앞으로도 그럴 것이라고 한다..

보안 업체 클래로티(Claroty)의 부회장 조슈아 코먼(Joshua Corman)은 “정부가 새로 수립한 보안 기조가 사회 기반 시설을 우선시 하고 있다는 게 중요한 포인트”라고 짚는다. “사회 기반 시설을 성공적으로 공략했을 때 국민들이 겪는 불편이 얼마나 커질 수 있는지 정부는 여러 차례 목도한 바 있습니다. 물, 식량, 연료, 의료 시설 등이 공격에 노출되었을 때 심각한 사회적 혼란이 야기될 수도 있다는 걸 뼈저리게 알게 된 것이죠. 이런 표적들이 노릴 만한 가치는 풍부한데 반해 방어 능력은 굉장히 모자라다는 것도요.”

IT 업체 텔로스(Telos)의 정부 업무 담당자인 로버트 듀프리(Robert DuPree)는 “이번에 수립된 전략이 제대로 구현되어 효과를 보려면 의회의 지원을 받는 게 중요하다”고 강조한다. “사회 기반 시설의 기본적인 보안 요구 사항을 바꿀 때, 의회의 승인이 필요한 경우도 있습니다. 의회의 승인을 받는 절차가 대단히 길게 늘어지는 경우가 대부분이라 걱정이 되는 게 사실입니다. 정치인들 대부분 계획의 내용은 잘 보지 않고 이게 우리 당이 낸 안이냐 반대 당이 낸 안이냐만 보거든요. (민주당의) 바이든 행정부가 발표한 전략이니 공화당이 곱게 통과시키지 않을 겁니다.”

소프트웨어 업체들에 넘겨지는 책임
바이든의 이번 보안 전략에서 특히 눈에 띄는 건 소프트웨어 개발사들이 보안에 대해 좀 더 많은 책임을 지게 됐다는 것이다. 이제 특정 소프트웨어나 서비스에서 보안 사고가 일어나 사용자들이 고통을 겪을 때, 개발사들이 직접적으로 물어내게 하겠다는 것이 정부의 계획이다. 사고에 대한 결과도 사용자에게 지워지는데, 그 이유가 사용자가 부주의해서 그런 것이라는 소리를 들어야 하는 상황을 정부가 두고보지 않겠다는 뜻이기도 하다. 안전하지 않은 소프트웨어와 서비스를 만든 사람들이 보다 큰 책임을 지는 게 맞다고 바이든 행정부는 보고 있다.

그래서 바이든 행정부는 의회와 협조하여 새로운 규정을 도입하려 하고 있다. 시장 점유율이 높아 영향력이 강한 기업들이 면책 문구 하나 집어넣는 것만으로 모든 책임으로부터 자유로워지는 것을 막는 규정이다. 이런 간편한 장치가 있기 때문에 기업들이 보다 안전한 소프트웨어와 서비스를 굳이 개발하지 않아도 되는 것이라고 정계는 판단하고 있는 것이다. 이번 전략 문서를 통해 미국 정부는 “너무나 많은 기업들이 제품을 안전하게 개발하고, 안전하게 출시하고, 안전하게 설정하려는 노력을 하지 않고 있다”고 지적하기도 했다.

개발사만이 문제가 아니다 개인의 정보(특히 위치 정보와 의료 기록)를 다루는 모든 조직들이 반드시 지켜야 할 보안 요구 사항의 수위도 높아질 것이라고 예고가 되었다. 일반 사용자들이 보다 안심할 수 있는 환경을 전반적으로 구성하겠다는 의지가 엿보인다.

보안 업체 소나타입(Sonatype)의 CTO인 브라이언 폭스(Brian Fox)의 경우 “정계는 보안 사고 책임을 소프트웨어 개발사 쪽으로 넘기려고 계속해서 시도해 왔다”고 말한다. “다만 그 시도라는 게 꾸준하지는 못했습니다. 최소 지난 10년 동안 그런 시도를 하다 말다 했어요. 심지어 요즘 화제가 되고 있는 소프트웨어 물자표(SBOM)도 이미 2013년에 관련 법안이 제출된 적이 있지요. 통과는 못했습니다. 여태까지는 소프트웨어가 미칠 수 있는 위험에 대해 그리 심각하게 인지하지 못해서 그랬는데, 이제는 소프트웨어의 위험성이 널리 알려졌으니 실질적인 변화가 있을 거라고 생각합니다.”

당근과 채찍
미국 정부는 채찍만 준비하지 않았다. 당근도 이번 전략에 같이 포함됐다. 규정만으로 소프트웨어 벤더사들을 조이는 게 아니라 정부가 가진 막강한 구매력도 같이 이용할 것이라고 한다. 벤더사와 대형 구매 계약을 맺되, 계약서에 보안과 관련된 규정을 이전보다 빡빡하게 넣는 것이다. 그 외에도 정부가 관리하는 등급 부여 시스템이라든가, 면세 혜택 등도 동반될 것이라고 한다. 보안에 투자했을 때 실질적으로 얻어가는 게 있을 수 있도록 환경을 조성하겠다는 게 정부의 생각이다.

보안 업체 알레그로솔루션즈(Allegro Solutions)의 사이버 보안 컴플라이언스 전문가 카렌 월시(Karen Walsh)는 “이번에 발표된 전략이 의도 대로 적용되기만 한다면 보안을 바라보는 기업들의 마음가짐 자체를 바꿀 수 있게 될 것”이라고 기대하고 있다. “지금은 ‘보안 안 지키면 처벌’이라는 인식이 거의 100%입니다. 이걸 ‘보안 잘 지키면 상’으로 바꿀 필요가 있습니다. 후자가 좀 더 기꺼이 움직이게 되거든요.”

가만히 맞고만 있지 않기
그 외에도 이번 전략에서 눈에 띄는 건 공격자들이 사용하는 공격 인프라를 무력화시키겠다는 강력한 의지가 표현됐다는 것이다. 정부 차원에서 공격 인프라 무력화 능력을 향상시키고, 범죄 인프라 무력화를 위한 공조의 절차 역시 향상시키겠다는 계획이 담겨 있었다. 무엇보다 공격자들이 미국의 사이버 인프라를 활용해 자신들의 악의적인 목적을 달성하는 걸 힘들 게 만들겠다는 것도 전략 중 하나였다.

시장 조사 업체 포레스터(Forrester)의 분석가 앨리 멜렌(Allie Mellen)은 “공격자들을 무력화시키겠다는 것이 광범위하게 실천되지는 않을 것으로 보인다”는 입장이다. “보복 해킹과 거의 비슷한 개념인데, 이게 구체화시키기에는 여간 어려운 게 아니거든요. 이론 상 공격자들을 무력화시키는 건 큰 효과를 갖습니다만, 현실에서는 여러 가지 장애를 극복해야만 합니다.”

그래서 멜렌은 “정부가 사회 기반 시설을 보호하겠다고 선언한 것이 가장 중요한 부분이고, 공격자들을 무력화하겠다는 건 그보다 중요도가 떨어지는 내용”이라고 진단한다.” 코먼 역시 “이번에 발표된 전략 중 일부 내용은 꽤나 큰 논란을 불러일으킬 수도 있어 보인다”고 말하지만 정확히 어느 부분이 그런지는 언급하지 않았다. “논란은 중요합니다. 필요한 논란은 거쳐가야 하는 게 맞습니다. 논란 무서워서 아무 문제도 건드리지 못하는 게 더 무서운 겁니다. 이번에 발표된 전략이 논란을 두려워하지 않은 것처럼 보여서 만족스럽습니다.”

3줄 요약
1. 백악관의 ‘미국 전체 사이버 보안 전략’이 새롭게 발표됨.
2. 사회 기반 시설 강화하고 소프트웨어 개발사들의 책임을 더 무겁게 만들 계획.
3. 보복 해킹 암시하는 부분도 있는데, 이 부분의 구현은 어려워 보이는 게 현실.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)