보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

미국의 바이든 행정부, 국가 사이버 보안 전략 구축 위한 계획서 발표

입력 : 2023-07-17 16:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
국가의 사이버 보안을 강화하겠다고 발표한 바이든 행정부가 이제는 구축 계획서까지 발표했다. 의문이 드는 부분이 없는 건 아니지만, 큰 방향에서는 모두가 고개를 끄덕이고 있다.

[보안뉴스 문가용 기자] 미국의 바이든 행정부가 57페이지에 달하는 사이버 보안 관련 문서를 발표했다. 지난 5월에는 ‘국가 사이버 보안 전략(National Cybersecurity Strategy)’을 발표하더니, 이번에는 ‘국가 사이버 보안 전략 구축 계획(National Cybersecurity Strategy Implementation Plan)’을 공개하며 백악관이 진심으로 국가 전체의 보안을 강화하려 한다는 것을 다시 한 번 상기시켰다. 앞으로 전략 도입은 수년 간 꾸준히 이어질 것이라고 한다.

[이미지 = gettyimagesbank]


구축을 위한 로드맵
보안 업계는 이번에 발표된 구축 계획이야말로 진정 중요한 바이든 행정부의 보안 관련 움직임이라고 평가한다. 특히 각 구축 목표에 할당된 ‘마감 일자’가 비교적 바튼 편이며, 이것이 보안 강화와 관련된 바이든 행정부의 공격적은 자세를 드러낸다고 입을 모은다. 하지만 이 계획은 아직까지도 공화당과 민주당 모두의 합치된 지지를 받지 못하고 있으며, 따라서 이에 필요한 예산도 할당되지 않은 상황이다. 따라서 이것이 정말로 실현될 수 있는지에 대해 의구심을 갖고 있는 사람들이 존재한다.

보안 업체 텔로스(Telos)의 로버트 듀프리(Robert DuPree)는 “사이버 보안 전략도 그렇고 이번 구축 계획도 그렇고 방향성에서는 틀림이 없다”고 말한다. “다만 가장 중요한 예산 관련 부분에 커다란 구멍이 뚫려 있습니다. 예를 들어 이번 구축 계획에는 각 연방 정부들에 ‘오래된 시스템들을 제거해야 한다’는 지침이 포함되어 있습니다. 하지만 이러한 프로젝트에 필요한 ‘기술현대화기금(Technology Modernization Fund, TMF)’의 경우 2017년에 승인이 났음에도 한 번도 효력을 발휘한 적이 없습니다. 2024년 회계연도 예산을 책정할 때 이 TMF에 2억 달러를 할당했습니다만 현재 벌써 지출이 다 된 걸로 알고 있습니다. 한 마디로 예산이 새로이 확보되지 않는다면 오래된 시스템을 제거하고 싶어도 못한다는 거죠. 바이든 행정부는 이 부분을 해결해야 할 겁니다.”

이번에 발표된 구축 계획 문서는 첫 번째 버전으로, 백악관은 이 문서가 매년 한 번씩 개정될 것이라고 밝히기도 했다. “사이버 보안과 위협 지형도가 계속해서 바뀌기 때문에 추가 조치가 꾸준히 있어야 할 것으로 예상되기 때문”이다. 그 첫 번째는 오래된 시스템 제거와 소프트웨어 취약점과 관련된 책임의 균형을 맞추는 것이라고 바이든 행정부는 지난 번 전략 보고서를 발표할 때 밝힌 바 있다. 소프트웨어 취약점에 의한 사고에서 소프트웨어 개발사의 책임을 없다 하지 않겠다는 것이었다.

이런 새로운 접근법을 포함해 국가 사이버 보안 전략이 내세운 다섯 가지 보완 및 강화 항목은 다음과 같았다.
1) 사회 기반 시설의 방어
2) 위협 행위자들의 와해와 해체
3) 보안과 복구 능력 강화를 위한 시장 전체의 분위기 조성
4) 보다 강력한 미래를 위한 투자 유치
5) 국제적 파트너십 강화

1)번인 사회 기반 시설 강화를 위해 바이든 행정부는 해당 분야에서 활동 중인 기업들에 적용될 새로운 보안 지침과 규정을 마련하고, 민간 협조 체계를 확대하며, 연방 사이버 보안 센터를 마련하는 등의 방안이 구축 계획을 제시했다.

2)번인 위협 행위자들의 와해와 해체를 위해서 바이든 행정부는 연방 정부 차원에서 할 수 있는 작전과 활동들을 명시했고, 첩보 공유의 속도와 효율을 높일 것과 미국 내 인프라를 범죄에 활용하지 못하도록 하는 방향성을 제시했다.

3)번인 ‘시장 전체의 강화’를 위해서는 소프트웨어 책임 문제의 균형을 새로 잡는 프레임워크를 장기적으로 마련해야 한다는 부분이 강조됐고, 소프트웨어 물자표인 SBOM을 보다 빠르게 정착시키는 것과 안전한 소프트웨어 개발 방법론 및 표준의 고착화 역시 제안됐다. 4)~5)번 역시 비슷한 맥락에서 여러 가지 제안이 있었고, 이런 모든 방법론과 제안은 2025년 안에 완료해야 한다고 바이든 행정부는 지시했다.

성공적인 방향성이긴 하지만
보안 업체 알레그로솔루션즈(Allegro Solutions)의 사이버 보안 컴플라이언스 전문가 카렌 월시(Karen Walsh)는 “이번 구축 계획에는 한 가지 중대한 문제가 있다”고 말한다. “이번 지침을 지킬 만한 방법이나 표준 등이 제시되지 않았다는 겁니다. 결론과 목표는 있는데 거기까지 어떻게 가야 할지를 알려주지 않고 있습니다. 그렇기 때문에 개별 산업과 조직이 알아서 목표 지점에 도달해야만 합니다. 이런 국가 차원의 사업에는 국회에서부터 산업의 주요 기관들까지 하나로 움직여야 제대로 효과가 납니다. 그러나 이번 구축 계획만 가지고는 그렇게 할 수가 없어 보입니다.”

또한 소프트웨어 취약점 문제에 대한 책임의 균형을 2~3년 안에 새롭게 마련해 시장 내에 도입하라는 지침은 지나치게 바트며, 따라서 비현실적이라고 월시는 지적한다. “소프트웨어 취약점에 대한 책임은 개발사도 어느 정도 져야 한다고 지시한다고 해서 하루아침에 소프트웨어 생태계가 바뀌지 않습니다. 게다가 소프트웨어 물자표 제도를 2025년까지 정착시키는 것 역시 불가능에 가깝습니다. 심지어 2026년도 간당간당합니다. 개발사에 더 높은 비중의 책임을 지게 하고, 물자표를 정착시킨다는 말은 간단하고 쉽지만 그것을 위해서 해야 할 일은 어마어마하게 복잡하고 많습니다.”

보안 업체 크리티컬인사이트(Critical Insight)의 CISO인 마이크 해밀턴(Mike Hamilton)은 “이번 구축 계획을 발표함으로써 큰 방향이 정해졌고, 그리로 한 걸음 정도 앞으로 나아간 것”이라고 보고 있다. “특히 사회 기반 시설 보안 강화나 위협 행위자 와해와 같은 부분에 있어서는 꽤나 큰 걸음을 옮겼다고도 할 수 있습니다. 다만 실제 기반 시설에 대한 공격에 대응하거나 위협 행위자를 와해함에 있어 정부는 민간 전문가들의 도움을 필요로 할 것이고, 따라서 특정 상황에서 어떤 사람들을 징집해야 하는지에 대한 규정 마련도 필요해 보입니다.”

3줄 요약
1. 미국 정부, 사이버 보안 전략에 이어 전략 구축 계획도 발표.
2. 구축 계획의 전체적인 방향성에는 모두가 동의하지만 세부 절차에 대해서는 아직 의문.
3. 구축 계획은 앞으로도 계속해서 업데이트 될 계획.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)