제로 트러스트 확장, 오픈소스 공급망 보안, 보안 인력 양성 등에 5년간 100억 원 투자
[보안뉴스 이상우 기자] 구글이 제로 트러스트 프로그램 확장, 소프트웨어 공급망 확보 지원, 오픈소스 보안 강화 등 사이버 보안 강화를 위해 향후 5년간 100억 달러를 투자할 계획이라고 발표했다. 또한, 구글 커리어 인증서 프로그램을 통해 IT 지원 및 데이터 분석과 같은 분야에서 10만 명에 대해 데이터 개인정보보호 및 보안을 포함한 현장 맞춤형 기술을 교육한다.
[이미지=utoimage]
오늘날 사이버 공격은 점점 더 기업과 개인의 데이터와 사회 인프라 등을 위험에 빠뜨리고 있다. 기업은 최신 IT 및 보안 트렌드를 반영하는 대신 취약한 전통적 인프라와 소프트웨어에 계속 의존하고 있는 상황이다.
또한, 국가지원 해커조직, 사이버 범죄자 등은 소프트웨어 공급망의 약점을 계속 표적으로 하고 있으며 대다수의 기관 및 기업은 이를 막을 도구나 전문지식이 미흡한 실정이다. 정부 역시 이러한 위협을 예측하고 대처할 수 있는 인력이 부족하다.
이러한 상황에서 구글은 지난 2년간 ‘보안’을 제품 전략의 초석으로 삼았다고 밝혔다. 단순히 보안 약점을 발굴하는 것이 아니라 서비스를 이용하는 소비자와 기업에 대한 전체 위협 계층을 제거하기 위해 노력하고 있다는 설명이다. 기본적으로 모든 제품을 안전하게 보호함으로써 멀웨어, 피싱 시도, 스팸 메시지 및 잠재적 사이버 공격 등을 효과적으로 차단하고 있다고 설명했다. 또한, 컴퓨터 보안, 개인정보보호 및 남용 방지 등에 대한 160개 이상의 학술 연구 논문을 발표했으며, 다른 소프트웨어 개발사에 시스템의 약점에 대해 경고해왔다. 뿐만 아니라 위협분석그룹 등의 전담팀은 구글과 사용자에 대한 사이버 공격에 대응하기 위해 노력하고 있으며 모든 사람이 인터넷을 더 안전하게 사용할 수 있도록 지원하고 있다고 강조했다.
제로 트러스트 보안 모델 확장
제대로 구현된 제로 트러스트 컴퓨팅은 조직에 가장 높은 수준의 보안을 제공할 수 있다. 제로 트러스트 모델 도입은 생산 환경에 대한 접근방식을 변화시킨다. 공격자는 관리자 권한을 탈취해 기업의 개발·생산 환경에 접근을 시도한다. 제로 트러스트는 이러한 접근을 차단하기 위한 수단이다. 미국 정부는 행정명령 구현 프로세스에서 제로 트러스트 지침 및 참조 아키텍처 언어를 확장해 생산환경에도 이를 포함하도록 장려할 계획이다. 이는 소프트웨어 세분화 외에도 조직의 대응전략을 실질적으로 향상시킬 수 있다.
소프트웨어 공급망 보안
솔라윈즈 사태 이후 소프트웨어 업계는 공급망 공격의 실제 위험과 파급 효과를 배웠다. 오늘날 대부분의 최신 소프트웨어 개발은 오픈소스를 주로 사용하고 있으나, 해당 소프트웨어의 보안을 유지하기 위한 공식적인 요구사항이나 표준은 부재한 실정이다. 알려진 취약점 수정을 포함해 오픈소스 소프트웨어의 보안을 강화하기 위한 대부분의 작업은 임시적으로만 수행되고 있다.
이에 구글은 오픈소스 보안재단(OpenSSF)과 협력해 소프트웨어 공급망을 확보하기 위한 입증된 프레임워크 소프트웨어 아티팩트 공급망 지침(SLSA)을 개발 및 출시했다. 구글은 향후 SLSA 프레임워크의 광범위한 지원 및 채택을 통해 전체 소프트웨어 생태계에 대한 보안기준을 높일 계획이다. 오픈소스 소프트웨어의 핵심 구성 요소를 보호하기 위해 SLSA 프레임워크의 응용 프로그램 확장에 투자하며, 오픈소스 보안 우선순위를 관리하고 취약점을 해결하는 데 도움이 될 수 있도록 OpenSSF 등의 공익재단에도 1억 달러를 지원할 계획이다.
디지털 보안 기술 강화
강력한 사이버 보안은 궁극적으로 담당자가 이를 구현하도록 하는데 달려 있다. 여기에는 사이버 보안 솔루션을 설계하고 실행할 수 있는 디지털 기술을 가진 사람뿐만 아니라 더 많은 사람들에게 사이버 보안 위험 및 보안 프로토콜에 대한 인식을 높이는 것이 포함된다. 즉, 점점 강화된 보안교육이 요구된다는 의미다.
이에 구글은 향후 3년 동안 10만 명의 미국인이 IT 지원 및 데이터 분석과 같은 분야에서 구글 커리어 인증서를 획득해 데이터 개인정보보호 및 보안을 포함한 맞춤형 기술을 배울 수 있도록 지원할 계획이다. 커리어 인증서는 고임금, 고성장 일자리를 얻는데 필요한 기술을 갖췄다는 자격증명이다. 현재까지 졸업생 절반 이상이 기술에서 소외된 환경에 있었으며, 졸업생의 46%는 저소득자다. 하지만 졸업생의 82%는 졸업 후 6개월 이내 경력에 긍정적인 영향을 줬다는 조사결과도 나왔다. 이에 구글은 2023년까지 1,000만 명 이상의 교육생을 배출할 예정이다.
자사 블로그에서 구글은 “사이버 보안 분야에서 세계를 선도하는 것은 국가안보에 매우 중요하다. 백악관에서 열린 회의는 우리가 직면한 위협에 대한 인정과 이를 해결하기 위한 조치를 촉구했다. 사이버 보안을 글로벌 필수 요소로 강조하고 정부, 산업 및 학계 전반에 걸쳐 새로운 사고 방식과 파트너십을 장려했다. 우리는 사이버 보안의 새로운 시대를 정의하고 추진하기 위해 행정부를 비롯한 많은 조직들과 협력하기를 기대한다. 우리의 집단 안전, 경제 성장 및 미래 혁신은 여기에 달려 있다”고 밝혔다.
[이상우 기자(boan@boannews.com)]
[보안뉴스 이상우 기자] 구글이 제로 트러스트 프로그램 확장, 소프트웨어 공급망 확보 지원, 오픈소스 보안 강화 등 사이버 보안 강화를 위해 향후 5년간 100억 달러를 투자할 계획이라고 발표했다. 또한, 구글 커리어 인증서 프로그램을 통해 IT 지원 및 데이터 분석과 같은 분야에서 10만 명에 대해 데이터 개인정보보호 및 보안을 포함한 현장 맞춤형 기술을 교육한다.
[이미지=utoimage]
오늘날 사이버 공격은 점점 더 기업과 개인의 데이터와 사회 인프라 등을 위험에 빠뜨리고 있다. 기업은 최신 IT 및 보안 트렌드를 반영하는 대신 취약한 전통적 인프라와 소프트웨어에 계속 의존하고 있는 상황이다.
또한, 국가지원 해커조직, 사이버 범죄자 등은 소프트웨어 공급망의 약점을 계속 표적으로 하고 있으며 대다수의 기관 및 기업은 이를 막을 도구나 전문지식이 미흡한 실정이다. 정부 역시 이러한 위협을 예측하고 대처할 수 있는 인력이 부족하다.
이러한 상황에서 구글은 지난 2년간 ‘보안’을 제품 전략의 초석으로 삼았다고 밝혔다. 단순히 보안 약점을 발굴하는 것이 아니라 서비스를 이용하는 소비자와 기업에 대한 전체 위협 계층을 제거하기 위해 노력하고 있다는 설명이다. 기본적으로 모든 제품을 안전하게 보호함으로써 멀웨어, 피싱 시도, 스팸 메시지 및 잠재적 사이버 공격 등을 효과적으로 차단하고 있다고 설명했다. 또한, 컴퓨터 보안, 개인정보보호 및 남용 방지 등에 대한 160개 이상의 학술 연구 논문을 발표했으며, 다른 소프트웨어 개발사에 시스템의 약점에 대해 경고해왔다. 뿐만 아니라 위협분석그룹 등의 전담팀은 구글과 사용자에 대한 사이버 공격에 대응하기 위해 노력하고 있으며 모든 사람이 인터넷을 더 안전하게 사용할 수 있도록 지원하고 있다고 강조했다.
제로 트러스트 보안 모델 확장
제대로 구현된 제로 트러스트 컴퓨팅은 조직에 가장 높은 수준의 보안을 제공할 수 있다. 제로 트러스트 모델 도입은 생산 환경에 대한 접근방식을 변화시킨다. 공격자는 관리자 권한을 탈취해 기업의 개발·생산 환경에 접근을 시도한다. 제로 트러스트는 이러한 접근을 차단하기 위한 수단이다. 미국 정부는 행정명령 구현 프로세스에서 제로 트러스트 지침 및 참조 아키텍처 언어를 확장해 생산환경에도 이를 포함하도록 장려할 계획이다. 이는 소프트웨어 세분화 외에도 조직의 대응전략을 실질적으로 향상시킬 수 있다.
소프트웨어 공급망 보안
솔라윈즈 사태 이후 소프트웨어 업계는 공급망 공격의 실제 위험과 파급 효과를 배웠다. 오늘날 대부분의 최신 소프트웨어 개발은 오픈소스를 주로 사용하고 있으나, 해당 소프트웨어의 보안을 유지하기 위한 공식적인 요구사항이나 표준은 부재한 실정이다. 알려진 취약점 수정을 포함해 오픈소스 소프트웨어의 보안을 강화하기 위한 대부분의 작업은 임시적으로만 수행되고 있다.
이에 구글은 오픈소스 보안재단(OpenSSF)과 협력해 소프트웨어 공급망을 확보하기 위한 입증된 프레임워크 소프트웨어 아티팩트 공급망 지침(SLSA)을 개발 및 출시했다. 구글은 향후 SLSA 프레임워크의 광범위한 지원 및 채택을 통해 전체 소프트웨어 생태계에 대한 보안기준을 높일 계획이다. 오픈소스 소프트웨어의 핵심 구성 요소를 보호하기 위해 SLSA 프레임워크의 응용 프로그램 확장에 투자하며, 오픈소스 보안 우선순위를 관리하고 취약점을 해결하는 데 도움이 될 수 있도록 OpenSSF 등의 공익재단에도 1억 달러를 지원할 계획이다.
디지털 보안 기술 강화
강력한 사이버 보안은 궁극적으로 담당자가 이를 구현하도록 하는데 달려 있다. 여기에는 사이버 보안 솔루션을 설계하고 실행할 수 있는 디지털 기술을 가진 사람뿐만 아니라 더 많은 사람들에게 사이버 보안 위험 및 보안 프로토콜에 대한 인식을 높이는 것이 포함된다. 즉, 점점 강화된 보안교육이 요구된다는 의미다.
이에 구글은 향후 3년 동안 10만 명의 미국인이 IT 지원 및 데이터 분석과 같은 분야에서 구글 커리어 인증서를 획득해 데이터 개인정보보호 및 보안을 포함한 맞춤형 기술을 배울 수 있도록 지원할 계획이다. 커리어 인증서는 고임금, 고성장 일자리를 얻는데 필요한 기술을 갖췄다는 자격증명이다. 현재까지 졸업생 절반 이상이 기술에서 소외된 환경에 있었으며, 졸업생의 46%는 저소득자다. 하지만 졸업생의 82%는 졸업 후 6개월 이내 경력에 긍정적인 영향을 줬다는 조사결과도 나왔다. 이에 구글은 2023년까지 1,000만 명 이상의 교육생을 배출할 예정이다.
자사 블로그에서 구글은 “사이버 보안 분야에서 세계를 선도하는 것은 국가안보에 매우 중요하다. 백악관에서 열린 회의는 우리가 직면한 위협에 대한 인정과 이를 해결하기 위한 조치를 촉구했다. 사이버 보안을 글로벌 필수 요소로 강조하고 정부, 산업 및 학계 전반에 걸쳐 새로운 사고 방식과 파트너십을 장려했다. 우리는 사이버 보안의 새로운 시대를 정의하고 추진하기 위해 행정부를 비롯한 많은 조직들과 협력하기를 기대한다. 우리의 집단 안전, 경제 성장 및 미래 혁신은 여기에 달려 있다”고 밝혔다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
