.jpg)
.gif)
보안의 책임을 각 기관 수장들에게 돌려...인재 양성 부분 추가
기본적으로는 지난 정부들의 그것을 그대로 답습해...실망했다는 반응도
[보안뉴스 문가용 기자] 미국 트럼프 대통령이 사이버 보안과 관련된 행정명령에 드디어 서명했다. 네트워크, 시스템, 데이터를 보호하는 총 책임이 정부 모든 기관 수장들에게 있으며, 미국 국가표준기술연구소(NIST)가 정한 정보보안 실천 프레임워크 역시 모든 기관에 반드시 도입되어야 한다는 내용이다.
.jpg)
ⓒ iclickart
트럼프 정부는 취임 초기부터 이 사이버 보안 행정명령을 검토하고 수정해왔다. 중요해서 신중을 기했다기보다 우선순위에서 계속해서 미뤄졌다고 보는 편이 맞다. 게다가 석 달 만에 나온 것치고는 내용도 이전 정부들의 그것과 별반 다를 것이 없다. 기존 오바마 행정부의 사이버 보안 행정명령인 “미국 사이버 보안 및 주요 기반시설 강화”에 대한 업계 반응이 좋았기 때문에 이번 트럼프 행정명령도 큰 반발 없이 넘어갈 것으로 보인다. 다만 ‘발전이 없다’는 싫은 소리를 들을 가능성도 높아졌다.
이번 행정명령의 골자는 1) 정부 기관 네트워크와 기반시설을 현대화한다, 2) 미국 국방부에 기술 공급 사슬에 내재된 위험에 대해 보고한다, 3) 주요 기반시설의 사이버 보안을 지원한다, 4) 국가 전력망에 대한 공격이나 정전사태에 대해 평가한다, 5) 사이버 보안 인재를 육성 및 보강한다,라고 볼 수 있다. 또한 모든 정부기관의 수장들은 즉시 NIST가 정한 주요 인프라의 사이버 보안 강화 표준을 도입해야 하며, 90일 내에 국토 안보부 장관에게 위험 관리 보고서를 제출해야 한다.
뷰포스트(Viewpost)의 CSO인 크리스토퍼 피어슨(Christopher Pierson)은 이번 행정명령에 대해 더 간단히 요약한다. “결국 보안의 책임에 관한 문제를 다룬 문건입니다.” 보안의 모든 책임은 기관의 최고 책임자에게 돌아갔고, 이는 단순히 사건이 생겼을 때 사퇴하라는 게 아니라 평소부터 보안 강화를 위한 시간, 인력, 재정의 투자를 적절히 해야 한다는 숙제가 부여된 것과 같다. “즉 이제 사이버 보안도 최고 책임자의 할 일 중 하나가 된 것입니다. 어느 조직에 있던지요. 이제 적어도 ‘책임질 사람이 누군가’로 골치 아플 일은 없겠네요.”
미국 연방정부의 네트워크와 시스템은 끊임없는 공격에 노출되어 왔다. 가장 큰 충격을 준 사건은 이른바 OPM(인사관리처) 해킹 사건이다. 2014~2015년 사이, 인사관리처가 해킹을 당해 주요 공무원들 2천 2백만 명의 신상정보가 고스란히 누군가의 손에 넘어간 사건을 말한다. 여기에는 바이오메트릭스 정보까지도 포함된 것으로 알려져 있다.
보안 전문업체 사이버난스(Cybernance)의 CEO인 마이크 슐츠(Mike Shultz)는 “모든 정부 기관들이 알아서, 재량껏, 독자적으로 보안을 강화해온다고 했지만, 사실 국가적인 기밀을 다수 담고 있는 정부 네트워크가 항상 뚫리고 공격당한다는 건 공공연한 비밀 아니겠는가”라고 말한다. “이번 행정명령을 통해 책임자가 확실해졌으니, 보안 능력의 실제적인 강화가 일어날 것으로 기대하고 있습니다. 솔직히 ‘보안의 책임자’를 먼저 결정하고 들어섰다는 게 꽤나 신선한 일입니다.”
오바마 행정부에서 정보보안을 담당했던 마이클 다니엘(Michael Daniel)은 “결국 부시 행정부와 오바마 행정부때부터 존재해왔던 행정명령을 상속받은 거나 다름없다”며 “신선할 것도, 새로울 것도 없다”고 못 박는다. “물론 행정명령이란 게 앞으로 세울 계획에 대한 계획이라, 앞으로 어떤 정책이 등장할지 지켜봐야 합니다만 솔직히 큰 변화가 있을 것이라고 보지는 않습니다.”
보안 전문업체 파사이트 시큐리티(Farsight Security)의 CEO인 폴 빅시(Paul Vixie)는 “보안 전문가 및 인재에 관한 항목이 행정명령에 추가된 건 새로운 일”이라고 반박한다. “대통령 행정명령에 인력에 관한 내용이 이렇게 직접 언급된 적은 없습니다.” 폴 빅시의 말대로 이번 문건을 통해 트럼프 대통령은 상업부, 국토안보부, 국방부, 노동부, 교육부, 인사관리처에 미국의 교육 과정과 사이버 보안 인재 양성 과정의 현재 운영 상황 등을 보고할 것을 지시했다. “초등과정부터 대학까지, 모든 훈련 프로그램과 커리큘럼에 대해 상세히 조사할 것을 명령했죠.” 이 보고서 제출 기한은 앞으로 120일 이내이다.
IT 분야의 씽크탱크인 ITIF(정보기술 및 혁신 재단)는 이번 행정명령에 대해 실망감을 표현했다. “아직 너무 ‘큰 그림’에만 머물러있습니다. 구체성도 없고, 미국이란 국가에 진짜 필요한 것들이 언급되지도 않았어요. 계획을 위한 계획서, 그 이상 이하도 아닙니다.” ITIF의 부회장인 다니엘 카스트로(Daniel Castro)의 설명이다. “지난 오바마 행정명령에는 ‘액션 플랜’이라는 게 있었습니다. 뭔가 즉시 시작되어야만 할 것 같은 것이었죠.”
[국제부 문가용 기자(globoan@boannews.com)]
기본적으로는 지난 정부들의 그것을 그대로 답습해...실망했다는 반응도
[보안뉴스 문가용 기자] 미국 트럼프 대통령이 사이버 보안과 관련된 행정명령에 드디어 서명했다. 네트워크, 시스템, 데이터를 보호하는 총 책임이 정부 모든 기관 수장들에게 있으며, 미국 국가표준기술연구소(NIST)가 정한 정보보안 실천 프레임워크 역시 모든 기관에 반드시 도입되어야 한다는 내용이다.
ⓒ iclickart
트럼프 정부는 취임 초기부터 이 사이버 보안 행정명령을 검토하고 수정해왔다. 중요해서 신중을 기했다기보다 우선순위에서 계속해서 미뤄졌다고 보는 편이 맞다. 게다가 석 달 만에 나온 것치고는 내용도 이전 정부들의 그것과 별반 다를 것이 없다. 기존 오바마 행정부의 사이버 보안 행정명령인 “미국 사이버 보안 및 주요 기반시설 강화”에 대한 업계 반응이 좋았기 때문에 이번 트럼프 행정명령도 큰 반발 없이 넘어갈 것으로 보인다. 다만 ‘발전이 없다’는 싫은 소리를 들을 가능성도 높아졌다.
이번 행정명령의 골자는 1) 정부 기관 네트워크와 기반시설을 현대화한다, 2) 미국 국방부에 기술 공급 사슬에 내재된 위험에 대해 보고한다, 3) 주요 기반시설의 사이버 보안을 지원한다, 4) 국가 전력망에 대한 공격이나 정전사태에 대해 평가한다, 5) 사이버 보안 인재를 육성 및 보강한다,라고 볼 수 있다. 또한 모든 정부기관의 수장들은 즉시 NIST가 정한 주요 인프라의 사이버 보안 강화 표준을 도입해야 하며, 90일 내에 국토 안보부 장관에게 위험 관리 보고서를 제출해야 한다.
뷰포스트(Viewpost)의 CSO인 크리스토퍼 피어슨(Christopher Pierson)은 이번 행정명령에 대해 더 간단히 요약한다. “결국 보안의 책임에 관한 문제를 다룬 문건입니다.” 보안의 모든 책임은 기관의 최고 책임자에게 돌아갔고, 이는 단순히 사건이 생겼을 때 사퇴하라는 게 아니라 평소부터 보안 강화를 위한 시간, 인력, 재정의 투자를 적절히 해야 한다는 숙제가 부여된 것과 같다. “즉 이제 사이버 보안도 최고 책임자의 할 일 중 하나가 된 것입니다. 어느 조직에 있던지요. 이제 적어도 ‘책임질 사람이 누군가’로 골치 아플 일은 없겠네요.”
미국 연방정부의 네트워크와 시스템은 끊임없는 공격에 노출되어 왔다. 가장 큰 충격을 준 사건은 이른바 OPM(인사관리처) 해킹 사건이다. 2014~2015년 사이, 인사관리처가 해킹을 당해 주요 공무원들 2천 2백만 명의 신상정보가 고스란히 누군가의 손에 넘어간 사건을 말한다. 여기에는 바이오메트릭스 정보까지도 포함된 것으로 알려져 있다.
보안 전문업체 사이버난스(Cybernance)의 CEO인 마이크 슐츠(Mike Shultz)는 “모든 정부 기관들이 알아서, 재량껏, 독자적으로 보안을 강화해온다고 했지만, 사실 국가적인 기밀을 다수 담고 있는 정부 네트워크가 항상 뚫리고 공격당한다는 건 공공연한 비밀 아니겠는가”라고 말한다. “이번 행정명령을 통해 책임자가 확실해졌으니, 보안 능력의 실제적인 강화가 일어날 것으로 기대하고 있습니다. 솔직히 ‘보안의 책임자’를 먼저 결정하고 들어섰다는 게 꽤나 신선한 일입니다.”
오바마 행정부에서 정보보안을 담당했던 마이클 다니엘(Michael Daniel)은 “결국 부시 행정부와 오바마 행정부때부터 존재해왔던 행정명령을 상속받은 거나 다름없다”며 “신선할 것도, 새로울 것도 없다”고 못 박는다. “물론 행정명령이란 게 앞으로 세울 계획에 대한 계획이라, 앞으로 어떤 정책이 등장할지 지켜봐야 합니다만 솔직히 큰 변화가 있을 것이라고 보지는 않습니다.”
보안 전문업체 파사이트 시큐리티(Farsight Security)의 CEO인 폴 빅시(Paul Vixie)는 “보안 전문가 및 인재에 관한 항목이 행정명령에 추가된 건 새로운 일”이라고 반박한다. “대통령 행정명령에 인력에 관한 내용이 이렇게 직접 언급된 적은 없습니다.” 폴 빅시의 말대로 이번 문건을 통해 트럼프 대통령은 상업부, 국토안보부, 국방부, 노동부, 교육부, 인사관리처에 미국의 교육 과정과 사이버 보안 인재 양성 과정의 현재 운영 상황 등을 보고할 것을 지시했다. “초등과정부터 대학까지, 모든 훈련 프로그램과 커리큘럼에 대해 상세히 조사할 것을 명령했죠.” 이 보고서 제출 기한은 앞으로 120일 이내이다.
IT 분야의 씽크탱크인 ITIF(정보기술 및 혁신 재단)는 이번 행정명령에 대해 실망감을 표현했다. “아직 너무 ‘큰 그림’에만 머물러있습니다. 구체성도 없고, 미국이란 국가에 진짜 필요한 것들이 언급되지도 않았어요. 계획을 위한 계획서, 그 이상 이하도 아닙니다.” ITIF의 부회장인 다니엘 카스트로(Daniel Castro)의 설명이다. “지난 오바마 행정명령에는 ‘액션 플랜’이라는 게 있었습니다. 뭔가 즉시 시작되어야만 할 것 같은 것이었죠.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)