능동적 방어와 보복 해킹, 같은 의미로 왜곡되는 경우 많아
연방 정부 기관과 민간 기업들, 어디서부터 방어 행위인지 결정해야
[보안뉴스 문가용 기자] 조지워싱턴대학의 사이버 및 국토방위 센터(CCHS)의 능동적 방어를 위한 태스크 포스(Active Defense Task Force)팀이 “미국 정부는 민간 부문의 조직들이 보복 해킹 행위를 할 수 없도록 하되 능동적인 방어를 할 수 있게끔 지원해야 한다”는 주장이 담긴 보고서를 발표했다. 해당 보고서에 따르면 능동적 방어와 보복 해킹은 완전히 다른 개념. 이를 같은 의미로 사용하는 예가 많은데, 반드시 고쳐져야 한다고 보고서는 주장한다. 이 태스크 포스는 30명의 다양한 전문가들로 구성되어 있다.
.jpg)
보고서에 따르면 능동적인 방어란 공격자와 방어자가 기술적으로 조우하고 상호작용하는 것을 의미한다. 공격자에 대한 첩보를 수집하고, 악성 행위자의 행동 특성들을 정책에 적용하는 것과 같은 행위를 허용한다. 싱크홀, 하니팟, 무선 항법 방해, 위협 사냥, 다크웹에서의 첩보 수집 등도 여기에 포함된다. 하지만 CCHS의 부회장인 크리스천 베크너(Christian Beckner)는 “기업들은 능동적인 방어를 전혀 하고 있지 않거나, 음지에서 과도하게 행하고 있거나 둘 중 하나”라고 설명한다.
이런 현상이 발생하는 건 기업 고유의 ‘선택의 자유’ 문제이기도 하지만, 사이버 보안 관련 법 조항이 애매하거나 부재하기 때문이라고 베크너는 분석한다. “솔직히, 능동적인 방어를 하면 법을 위반할 가능성이 큽니다. 윤리적이나 기술적인 문제가 아니라 단순히 법을 적용했을 때 불리해지는 것이죠.” 그렇다고 마냥 능동적 방어를 허락해줄 수도 없는 일이다. “자기가 무슨 일을 하는 줄 잘 모르고 하거나 파장에 대한 고려 없이 능동적 방어를 실시하다가 외교적 마찰을 일으키기도 합니다. 혹은 불필요한 자극을 해커 커뮤니티에 전달해 총동원 공격을 받거나요.”
그렇다고 법 개정을 빠르게 기대할 수도 없는 노릇이다. 태스크 포스 팀은 이 지점에서 미국 연방 정부와 민간 부문 기업들을 위한 15가지 단기 실천 목록을 작성했다. 이 목록 작성의 목표는 하나, 민간 기업들이 합법적으로 능동 방어 체계를 구축하여 보다 안전하게 사업을 진행할 수 있게 하는 것이었다. 이중 몇 가지를 발췌하면 다음과 같다.
1. 사법부는 민간 사업자들을 위한 분명한 가이드라인을 제공해야 한다. 민법 재판 및 사법 재판에 부쳐지는 경우가 어떤 것인지 분명한 경계선을 그어 그 안에서 기업들이 마음껏 능동적인 방어를 할 수 있게 해야 한다. 사법부가 여태까지 만든 모든 가이드라인 중 이 기능을 수행하는 건 없다.
2. 국토안보부는 능동적인 방어를 공공 기관과 민간 기업이 함께 이뤄나갈 수 있도록 운영 체계를 개발해야 한다. 이때 산업 내 이미 존재하는 각종 ISAC이나 ISAO 등과 협력 체계를 이룬다면 효과가 더욱 좋을 것으로 기대된다.
3. 국방부는 해외의 정부 및 협력 기관들과 함께 능동적 방어에 대한 표준과 규범을 수립해야 한다.
4. 백악관은 각 연방 정부 기관에 지침을 내려 민간 기업들이 능동적 방어를 하는 데에 어떤 지원을 합법적으로 할 수 있는지 파악해 가이드라인을 수립하도록 한다. 은행과 같은 큰 조직들은 연방 정부의 개입을 오히려 껄끄러워할 수도 있고, 반대로 작은 기업들은 정부의 도움에 목마를 수도 있으니 이에 대한 균형을 고려해야 한다.
5. NIST는 능동적 방어를 실제적으로 수행함에 있어 알아두어야 할 위험 수준 분류, 관련 인증서들, 다양한 기술적 내용들을 포괄하는 가이드라인을 제작해 배포해야 한다.
6. 연방 정부 기관들은 능동적 방어에 더 투자하거나 지원할 수 있는 방법들을 기능별로 마련해야 한다. 특히 공격 당사자를 찾아내는 툴에 대한 수요가 매우 높다는 것을 이해할 필요가 있다고 베크너는 강조했다.
7. 사이버보안 관련 법(컴퓨터 사기와 남용에 관한 법, 사이버보안법)을 1차적으로라도 개정해서 능동적 보안의 기초라도 도입할 수 있도록 해야 한다.
8. 민간 업체들 중 인터넷 서비스 제공업체와 호스팅 업체, 클라우드 업체는 특히 능동 보안의 공동 전선을 펼 수 있도록 협의해 구체적인 전략을 마련해야 한다. 이런 업체들은 대부분 사이버 보안이라는 전체 생태계에서 매우 중요한 위치를 차지하고 있다.
하지만 이런 제안들에 태스크 포스 팀 30명 전부가 동의하고 있는 건 아니다. 보고서 부록에 반대 의견 혹은 상충되는 의견들이 수록되어 있는데, 오코너(O’Connor)라는 인물은 “해당 보고서 내용이 내가 개인적으로 생각하는 적정선을 크게 웃돌고 있다”고 적었으며 “프라이버시와 보안을 오히려 손상시킬 가능성도 있어 보인다”고 덧붙였다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
연방 정부 기관과 민간 기업들, 어디서부터 방어 행위인지 결정해야
[보안뉴스 문가용 기자] 조지워싱턴대학의 사이버 및 국토방위 센터(CCHS)의 능동적 방어를 위한 태스크 포스(Active Defense Task Force)팀이 “미국 정부는 민간 부문의 조직들이 보복 해킹 행위를 할 수 없도록 하되 능동적인 방어를 할 수 있게끔 지원해야 한다”는 주장이 담긴 보고서를 발표했다. 해당 보고서에 따르면 능동적 방어와 보복 해킹은 완전히 다른 개념. 이를 같은 의미로 사용하는 예가 많은데, 반드시 고쳐져야 한다고 보고서는 주장한다. 이 태스크 포스는 30명의 다양한 전문가들로 구성되어 있다.
보고서에 따르면 능동적인 방어란 공격자와 방어자가 기술적으로 조우하고 상호작용하는 것을 의미한다. 공격자에 대한 첩보를 수집하고, 악성 행위자의 행동 특성들을 정책에 적용하는 것과 같은 행위를 허용한다. 싱크홀, 하니팟, 무선 항법 방해, 위협 사냥, 다크웹에서의 첩보 수집 등도 여기에 포함된다. 하지만 CCHS의 부회장인 크리스천 베크너(Christian Beckner)는 “기업들은 능동적인 방어를 전혀 하고 있지 않거나, 음지에서 과도하게 행하고 있거나 둘 중 하나”라고 설명한다.
이런 현상이 발생하는 건 기업 고유의 ‘선택의 자유’ 문제이기도 하지만, 사이버 보안 관련 법 조항이 애매하거나 부재하기 때문이라고 베크너는 분석한다. “솔직히, 능동적인 방어를 하면 법을 위반할 가능성이 큽니다. 윤리적이나 기술적인 문제가 아니라 단순히 법을 적용했을 때 불리해지는 것이죠.” 그렇다고 마냥 능동적 방어를 허락해줄 수도 없는 일이다. “자기가 무슨 일을 하는 줄 잘 모르고 하거나 파장에 대한 고려 없이 능동적 방어를 실시하다가 외교적 마찰을 일으키기도 합니다. 혹은 불필요한 자극을 해커 커뮤니티에 전달해 총동원 공격을 받거나요.”
그렇다고 법 개정을 빠르게 기대할 수도 없는 노릇이다. 태스크 포스 팀은 이 지점에서 미국 연방 정부와 민간 부문 기업들을 위한 15가지 단기 실천 목록을 작성했다. 이 목록 작성의 목표는 하나, 민간 기업들이 합법적으로 능동 방어 체계를 구축하여 보다 안전하게 사업을 진행할 수 있게 하는 것이었다. 이중 몇 가지를 발췌하면 다음과 같다.
1. 사법부는 민간 사업자들을 위한 분명한 가이드라인을 제공해야 한다. 민법 재판 및 사법 재판에 부쳐지는 경우가 어떤 것인지 분명한 경계선을 그어 그 안에서 기업들이 마음껏 능동적인 방어를 할 수 있게 해야 한다. 사법부가 여태까지 만든 모든 가이드라인 중 이 기능을 수행하는 건 없다.
2. 국토안보부는 능동적인 방어를 공공 기관과 민간 기업이 함께 이뤄나갈 수 있도록 운영 체계를 개발해야 한다. 이때 산업 내 이미 존재하는 각종 ISAC이나 ISAO 등과 협력 체계를 이룬다면 효과가 더욱 좋을 것으로 기대된다.
3. 국방부는 해외의 정부 및 협력 기관들과 함께 능동적 방어에 대한 표준과 규범을 수립해야 한다.
4. 백악관은 각 연방 정부 기관에 지침을 내려 민간 기업들이 능동적 방어를 하는 데에 어떤 지원을 합법적으로 할 수 있는지 파악해 가이드라인을 수립하도록 한다. 은행과 같은 큰 조직들은 연방 정부의 개입을 오히려 껄끄러워할 수도 있고, 반대로 작은 기업들은 정부의 도움에 목마를 수도 있으니 이에 대한 균형을 고려해야 한다.
5. NIST는 능동적 방어를 실제적으로 수행함에 있어 알아두어야 할 위험 수준 분류, 관련 인증서들, 다양한 기술적 내용들을 포괄하는 가이드라인을 제작해 배포해야 한다.
6. 연방 정부 기관들은 능동적 방어에 더 투자하거나 지원할 수 있는 방법들을 기능별로 마련해야 한다. 특히 공격 당사자를 찾아내는 툴에 대한 수요가 매우 높다는 것을 이해할 필요가 있다고 베크너는 강조했다.
7. 사이버보안 관련 법(컴퓨터 사기와 남용에 관한 법, 사이버보안법)을 1차적으로라도 개정해서 능동적 보안의 기초라도 도입할 수 있도록 해야 한다.
8. 민간 업체들 중 인터넷 서비스 제공업체와 호스팅 업체, 클라우드 업체는 특히 능동 보안의 공동 전선을 펼 수 있도록 협의해 구체적인 전략을 마련해야 한다. 이런 업체들은 대부분 사이버 보안이라는 전체 생태계에서 매우 중요한 위치를 차지하고 있다.
하지만 이런 제안들에 태스크 포스 팀 30명 전부가 동의하고 있는 건 아니다. 보고서 부록에 반대 의견 혹은 상충되는 의견들이 수록되어 있는데, 오코너(O’Connor)라는 인물은 “해당 보고서 내용이 내가 개인적으로 생각하는 적정선을 크게 웃돌고 있다”고 적었으며 “프라이버시와 보안을 오히려 손상시킬 가능성도 있어 보인다”고 덧붙였다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
