이미 역사적으로 손꼽힐 만한 해킹 사건을 세 건이나 연속으로 겪은 바이든 대통령이 행정명령을 서명했다. 세 가지 영역에서 ‘긴급한’ 보안 강화를 이뤄내야 하기 때문이라고 설명하면서였다. 얼마나 실효성이 있을까? 업계의 반응을 조사했다.
[보안뉴스 문가용 기자] 미국의 바이든 대통령이 사이버 보안 강화와 관련된 행정명령에 서명했다. 바이든 대통령은 임기 초부터 지금까지 솔라윈즈(SolarWinds) 사태, 익스체인지(Exchange) 사태, 콜로니얼 파이프라인(Colonial Pipelline) 사태라는 대형 보안 사건들을 연달아 겪어오고 있다.
[이미지 = utoimage]
이번 행정명령에는 여러 가지 보안 강화 대책이 포함되어 있는데, 주로 연방 정부 기관들을 대상으로 하고 있다. 또한 민과 관의 정보 공유 활성화, 소프트웨어 보안 향상, 사건 대응의 표준화와 관련된 내용이 명시되어 있기도 하다. 연방 정부 기관들 및 관련 계약자들에만 효력이 발휘되지만, 시간이 흐름에 따라 여러 가지 형태로 민간 기업들에도 영향을 줄 것으로 예상된다.
바이든은 이러한 행정명령을 서명할 수밖에 없는 이유에 대해 “점점 더 고도화 되는 악성 사이버 캠페인이 지속적으로 행해지고 있기 때문”이라고 설명했다. “이는 결국 미국 전체의 국가 안보와 직결된 문제”이며 “점진적 향상을 가지고는 미국이 필요로 하는 수준의 보안 능력을 갖출 수 없다”고 주장하기도 했다. 따라서 “과감한 투자를 통해 대담한 변화가 필요하다”고 판단했다고 한다.
이번 행정명령 내용 중 보안 업계에서 가장 많은 관심을 끄는 건,
1) 연방 정부 기관이 구매하는 소프트웨어가 지켜야 할 최소한의 보안 수준 향상
2) 위협 첩보 공유에 있어서 방해가 되는 난관들 제거
3) 사이버 사건 대응을 위한 연방 차원에서의 표준 플레이북 생성,
으로 정리되고 있다.
소프트웨어 보안
먼저 소프트웨어의 기본 보안 수준 향상이라는 측면에서 행정명령은 “연방 기관이 정한 최소한의 보안 표준에 못 미치는 소프트웨어를 개발자들은 연방 기관에 판매할 수 없다”고 명시하고 있다. 앞으로 정부에 소프트웨어를 조달하려면 정부가 요구하는 보안 기능을 전부 넣어야 한다는 뜻이다. 높은 권한을 요구하는 소프트웨어일수록 이 부분이 더 엄격히 감사될 것이라고 한다. 보안이 사업적 수익에 직접적인 영향을 미치게 되었다.
그 최소한의 보안 표준이라는 건 미국 상무부와 NIST가 공동으로 결정해 발표할 것으로 보인다. 문제는 이 표준의 발표가 언제 있을 것인가, 이다. 또한 ‘보안 표준’이라는 것의 특성상 자주 최신화 해야 하는데, 정부가 그것을 염두에 두고 있느냐 역시 의문점으로 남아 있다. 현장에서는 소프트웨어 개발 방법이 계속해서 바뀌고 있는데, 그것에 정부가 발을 맞출 수 있겠느냐는 것이다. 이번 행정명령이 성급하게 집행된다면 미래 소프트웨어 개발에 악영향이 있을 수 있다는 우려가 나오고 있다.
첩보와 정보 공유
행정명령에는 민간 부문과 공공 분야 간 사이버 첩보 공유도 중요하게 다뤄지고 있다. 특히 정부 기관과 계약을 맺고 프로젝트를 진행하는 업체 입장에서 계약 조건 때문에 정보를 공유하고 싶어도 하지 못할 때가 많다는 것을 행정명령은 먼저 짚었다. 그래서 바이든 대통령은 앞으로 60일 내에 이러한 계약 조건을 대체할 방법을 찾아 배포하겠다고 행정명령을 통해 밝혔다. 정부와 계약을 맺은 회사라 하더라도, 보안 사고가 났을 때 관련 정보를 활발히 공유할 수 있도록 법적 장치를 두 달 안에 마련하겠다는 것이다.
보안 업체 CI 시큐리티(CI Security)의 CISO인 마이크 해밀턴(Mike Hamilton)은 “이전에도 정보 공유와 관련된 행정명령이 있었는데, 이번 것은 기존과 다르다”고 말한다. “이번 행정명령은 발상을 달리하고 있어요. 정부와 계약을 맺고 IT 서비스를 공급하려면 오히려 네트워크를 모니터링해서 로그를 수집하고, 수사가 필요할 때 이를 (필요한 곳에) 제공해야한다고 명시하고 있으니까요.”
하지만 이러한 필수 조건에 부합하는 조직이 어떤 곳인지는 명확히 명시되어 있지 않다. 예를 들어 백악관 네트워크를 모니터링하거나 보안 관제를 하는 업체라면 당연히 여기에 포함이 된다. “하지만 예를 들어 통신사들은 어떻게 봐야 할까요? 이들은 연방 정부 기관에 IT 서비스를 제공하는 곳인가요 아닌가요? 이런 부분이 보다 명확해져야 합니다.”
사건 대응 절차의 표준화
사건이 터졌을 때의 대응 절차 역시 표준화 한다는 계획이 이번 행정명령에 담겨 있다. 각 정부 기관들이 통일성 있게 움직이고 대응함으로써 보다 효율적으로 문제를 해결하겠다는 게 그 의도다. 사건 대응의 표준은 NIST가 CISA, NSA, 국토안보부 등과 협조하여 정립할 예정이다. 하지만 업계에서는 “너무 늦은 조치”라는 반응이 나오고 있다. 오히려 정부 기관들이 가지고 있는 리스크들을 파악해 관리하는 쪽으로 가야한다는 게 보안 업체 라피드7(Rapid7)의 수석 국장인 할리 가이저(Harley Geiger)의 주장이다.
“제로트러스트 도입, 엔드포인트 탐지, 대응 기술 구축, 클라우드 서비스 도입 등 결국 사이버 보안 사고 대응 체계를 보다 현대화 하겠다는 게 이번 행정명령의 골자입니다. 하지만 철이 지나도 너무 지난 내용입니다.”
보안 업체 일루미오(Illumio)의 제품 관리 부문 부회장인 맷 글렌(Matt Glenn)은 “올해 초 발생한 솔라윈즈 사태와 마이크로소프트 익스체인지 사태를 지나치게 의식해서 나온 결과물로 보인다”고 말한다. “당연히 갖춰야 할 내용이고 반대할 건 없지만, 그것이 전부가 아님을 정부가 알고 있는지 모르겠습니다. 이번 행정명령에 명시된 기본기들을 갖춘 후의 움직임이 진짜 정부의 의지를 나타낼 겁니다.”
또 다른 문제들
그 외에 “지나치게 규범적”이라거나 “보안 강화에 있어 정부의 책임은 간과되어 있다”는 지적도 나오고 있다. 보안 업체 트레이서블(Traceable)의 CEO인 지오티 반살(Jyoti Bansal)은 “소프트웨어 개발과 판매, 정부와의 계약을 진행할 때 맞춰야 할 조건이 너무나 많아지고 있다”며 “명령이 아니라 가이드라인 형태로 민과 관의 관계와 파트너십을 확장시키는 방향을 취해야 했다”고 주장한다. “가장 적합한 형태로 정보를 공유하고 소프트웨어 보안 수준을 높이는 법을 알아가야 하는 시점에서 지나치게 딱딱하고 엄중한 방식이 결론처럼 나와버렸습니다.”
해밀턴의 경우는 “정작 정부는 쏙 빠진 느낌을 지울 수가 없다”고 말한다. “특정 상황에서 당연히 정부가 뭔가를 해야만 합니다. 모든 걸 연방 기관들에만 맡길 수는 없지요. 이번에 FBI가 취약한 익스체인지 서버를 하나하나 찾아서 웹셸을 없앤 작전을 벌였죠. 일이 끝난 후에 대중들에게 공개했고, 사실상 아무도 모르게 은밀히 진행한 작전이었습니다. 매우 애매하죠. 보기에 따라 FBI가 해킹을 한 것이나 다름이 없을 수도 있으니까요. 이런 결정은 정부가 주도적으로 내려서 기준을 만들어야 합니다.”
3줄 요약
1. 임기 초부터 대규모 사이버 공격에 시달린 바이든 대통령, 행정명령에 서명.
2. 소프트웨어 보안 수준 강화, 정보 공유 활성화, 사건 대응 표준화를 담고 있음.
3. 하지만 아직 부족한 부분들 눈에 띄어 보안 업계가 지적하는 중.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 미국의 바이든 대통령이 사이버 보안 강화와 관련된 행정명령에 서명했다. 바이든 대통령은 임기 초부터 지금까지 솔라윈즈(SolarWinds) 사태, 익스체인지(Exchange) 사태, 콜로니얼 파이프라인(Colonial Pipelline) 사태라는 대형 보안 사건들을 연달아 겪어오고 있다.
[이미지 = utoimage]
이번 행정명령에는 여러 가지 보안 강화 대책이 포함되어 있는데, 주로 연방 정부 기관들을 대상으로 하고 있다. 또한 민과 관의 정보 공유 활성화, 소프트웨어 보안 향상, 사건 대응의 표준화와 관련된 내용이 명시되어 있기도 하다. 연방 정부 기관들 및 관련 계약자들에만 효력이 발휘되지만, 시간이 흐름에 따라 여러 가지 형태로 민간 기업들에도 영향을 줄 것으로 예상된다.
바이든은 이러한 행정명령을 서명할 수밖에 없는 이유에 대해 “점점 더 고도화 되는 악성 사이버 캠페인이 지속적으로 행해지고 있기 때문”이라고 설명했다. “이는 결국 미국 전체의 국가 안보와 직결된 문제”이며 “점진적 향상을 가지고는 미국이 필요로 하는 수준의 보안 능력을 갖출 수 없다”고 주장하기도 했다. 따라서 “과감한 투자를 통해 대담한 변화가 필요하다”고 판단했다고 한다.
이번 행정명령 내용 중 보안 업계에서 가장 많은 관심을 끄는 건,
1) 연방 정부 기관이 구매하는 소프트웨어가 지켜야 할 최소한의 보안 수준 향상
2) 위협 첩보 공유에 있어서 방해가 되는 난관들 제거
3) 사이버 사건 대응을 위한 연방 차원에서의 표준 플레이북 생성,
으로 정리되고 있다.
소프트웨어 보안
먼저 소프트웨어의 기본 보안 수준 향상이라는 측면에서 행정명령은 “연방 기관이 정한 최소한의 보안 표준에 못 미치는 소프트웨어를 개발자들은 연방 기관에 판매할 수 없다”고 명시하고 있다. 앞으로 정부에 소프트웨어를 조달하려면 정부가 요구하는 보안 기능을 전부 넣어야 한다는 뜻이다. 높은 권한을 요구하는 소프트웨어일수록 이 부분이 더 엄격히 감사될 것이라고 한다. 보안이 사업적 수익에 직접적인 영향을 미치게 되었다.
그 최소한의 보안 표준이라는 건 미국 상무부와 NIST가 공동으로 결정해 발표할 것으로 보인다. 문제는 이 표준의 발표가 언제 있을 것인가, 이다. 또한 ‘보안 표준’이라는 것의 특성상 자주 최신화 해야 하는데, 정부가 그것을 염두에 두고 있느냐 역시 의문점으로 남아 있다. 현장에서는 소프트웨어 개발 방법이 계속해서 바뀌고 있는데, 그것에 정부가 발을 맞출 수 있겠느냐는 것이다. 이번 행정명령이 성급하게 집행된다면 미래 소프트웨어 개발에 악영향이 있을 수 있다는 우려가 나오고 있다.
첩보와 정보 공유
행정명령에는 민간 부문과 공공 분야 간 사이버 첩보 공유도 중요하게 다뤄지고 있다. 특히 정부 기관과 계약을 맺고 프로젝트를 진행하는 업체 입장에서 계약 조건 때문에 정보를 공유하고 싶어도 하지 못할 때가 많다는 것을 행정명령은 먼저 짚었다. 그래서 바이든 대통령은 앞으로 60일 내에 이러한 계약 조건을 대체할 방법을 찾아 배포하겠다고 행정명령을 통해 밝혔다. 정부와 계약을 맺은 회사라 하더라도, 보안 사고가 났을 때 관련 정보를 활발히 공유할 수 있도록 법적 장치를 두 달 안에 마련하겠다는 것이다.
보안 업체 CI 시큐리티(CI Security)의 CISO인 마이크 해밀턴(Mike Hamilton)은 “이전에도 정보 공유와 관련된 행정명령이 있었는데, 이번 것은 기존과 다르다”고 말한다. “이번 행정명령은 발상을 달리하고 있어요. 정부와 계약을 맺고 IT 서비스를 공급하려면 오히려 네트워크를 모니터링해서 로그를 수집하고, 수사가 필요할 때 이를 (필요한 곳에) 제공해야한다고 명시하고 있으니까요.”
하지만 이러한 필수 조건에 부합하는 조직이 어떤 곳인지는 명확히 명시되어 있지 않다. 예를 들어 백악관 네트워크를 모니터링하거나 보안 관제를 하는 업체라면 당연히 여기에 포함이 된다. “하지만 예를 들어 통신사들은 어떻게 봐야 할까요? 이들은 연방 정부 기관에 IT 서비스를 제공하는 곳인가요 아닌가요? 이런 부분이 보다 명확해져야 합니다.”
사건 대응 절차의 표준화
사건이 터졌을 때의 대응 절차 역시 표준화 한다는 계획이 이번 행정명령에 담겨 있다. 각 정부 기관들이 통일성 있게 움직이고 대응함으로써 보다 효율적으로 문제를 해결하겠다는 게 그 의도다. 사건 대응의 표준은 NIST가 CISA, NSA, 국토안보부 등과 협조하여 정립할 예정이다. 하지만 업계에서는 “너무 늦은 조치”라는 반응이 나오고 있다. 오히려 정부 기관들이 가지고 있는 리스크들을 파악해 관리하는 쪽으로 가야한다는 게 보안 업체 라피드7(Rapid7)의 수석 국장인 할리 가이저(Harley Geiger)의 주장이다.
“제로트러스트 도입, 엔드포인트 탐지, 대응 기술 구축, 클라우드 서비스 도입 등 결국 사이버 보안 사고 대응 체계를 보다 현대화 하겠다는 게 이번 행정명령의 골자입니다. 하지만 철이 지나도 너무 지난 내용입니다.”
보안 업체 일루미오(Illumio)의 제품 관리 부문 부회장인 맷 글렌(Matt Glenn)은 “올해 초 발생한 솔라윈즈 사태와 마이크로소프트 익스체인지 사태를 지나치게 의식해서 나온 결과물로 보인다”고 말한다. “당연히 갖춰야 할 내용이고 반대할 건 없지만, 그것이 전부가 아님을 정부가 알고 있는지 모르겠습니다. 이번 행정명령에 명시된 기본기들을 갖춘 후의 움직임이 진짜 정부의 의지를 나타낼 겁니다.”
또 다른 문제들
그 외에 “지나치게 규범적”이라거나 “보안 강화에 있어 정부의 책임은 간과되어 있다”는 지적도 나오고 있다. 보안 업체 트레이서블(Traceable)의 CEO인 지오티 반살(Jyoti Bansal)은 “소프트웨어 개발과 판매, 정부와의 계약을 진행할 때 맞춰야 할 조건이 너무나 많아지고 있다”며 “명령이 아니라 가이드라인 형태로 민과 관의 관계와 파트너십을 확장시키는 방향을 취해야 했다”고 주장한다. “가장 적합한 형태로 정보를 공유하고 소프트웨어 보안 수준을 높이는 법을 알아가야 하는 시점에서 지나치게 딱딱하고 엄중한 방식이 결론처럼 나와버렸습니다.”
해밀턴의 경우는 “정작 정부는 쏙 빠진 느낌을 지울 수가 없다”고 말한다. “특정 상황에서 당연히 정부가 뭔가를 해야만 합니다. 모든 걸 연방 기관들에만 맡길 수는 없지요. 이번에 FBI가 취약한 익스체인지 서버를 하나하나 찾아서 웹셸을 없앤 작전을 벌였죠. 일이 끝난 후에 대중들에게 공개했고, 사실상 아무도 모르게 은밀히 진행한 작전이었습니다. 매우 애매하죠. 보기에 따라 FBI가 해킹을 한 것이나 다름이 없을 수도 있으니까요. 이런 결정은 정부가 주도적으로 내려서 기준을 만들어야 합니다.”
3줄 요약
1. 임기 초부터 대규모 사이버 공격에 시달린 바이든 대통령, 행정명령에 서명.
2. 소프트웨어 보안 수준 강화, 정보 공유 활성화, 사건 대응 표준화를 담고 있음.
3. 하지만 아직 부족한 부분들 눈에 띄어 보안 업계가 지적하는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
