.gif)
스스로 잘 하지 못하면 나라는 법이라는 강력한 장치를 동원할 수밖에 없다. 여러 금융 사고가 있었기에 금융 분야도 규정으로 빡빡한 곳이 됐다. 사이버 보안도 비슷한 흐름을 탈 수 있다. 아니, 그 직전이다.
[보안뉴스 문가용 기자] 정부 기관들의 분위기가 심상치 않다는 경고가 나왔다. 기업들이 계속해서 해커들에게 당하고 보안 사고의 피해자가 된다면 정부가 나서서 강력한 규제를 하는 수밖에 없다는 것이고, 실제 그런 방향의 이야기들이 슬슬 나오고 있다는 것이다.
[이미지 = gettyimagesbank]
이는 얼마 전 개막한 사이버 보안 행사인 블랙햇유럽(Black Hat Europe)에서, 행사의 주최자인 제프 모스(Jeff Moss)가 한 말이다. 이는 비단 제프 모스의 나라인 미국이나 이번 행사 주최국인 영국의 이야기가 아니라고 덧붙였다. “공격이 민간 부문을 넘어 사회 기반 시설들로도 빠르게 퍼지고 있기 때문에 어느 나라 정부들이건 보안에 주목할 수밖에 없게 됐다”는 게 그의 설명이다.
“지금은 사회 기반 시설을 담당하는 민간 기업들이 보안의 열쇠를 쥐고 있고 정부 기관들도 이를 인정하고 있습니다. 그러네 그 담당자들이 보안 사고를 막지 못하면 어떻게 될까요? 어느 순간 한계점에 도달할 테고, 정부가 열쇠를 가져가게 될 겁니다. 지금 우리는 규제로 얽매이기 직전의 상황에서 마지막 ‘자기 통제’의 기회를 놓치는 중이라고 봐도 무방합니다.”
그러면서 모스는 2001년 미국에서 시행되기 시작한 사베인즈옥슬리법(Sarbanes Oxley)을 예로 들었다. 엔론(Enron)이라는 기업이 도산한 것을 것을 계기로 투자자들을 보호하기 위해 마련된 장치로, 상장된 기업들을 대상으로 하고 있다. 미국에서 상장한 기업들이라면 사베인즈옥슬리법을 반드시 준수해야 하는데, 그러기 위해서는 각종 보고서들을 작성해 제출함으로써 회사 재정 상황이 건강하다는 걸 입증해야 한다. 이 과정이 대단히 고단하고 지진한 것으로 알려져 있다.
모스는 “우리가 데이터나 기업을 제대로 지키지 못하고, 그래서 사회 인프라까지 자꾸만 공격을 당하게 된다면 각 기업들이나 보안 담당자들이 각종 보고서를 매번 정부 기관에 제출해가면서 보안 강화를 해야 하는 때가 올 것”이라고 예언했다.
뒤를 이어 우버에서 CISO를 역임했었다가 2016년 보안 사고를 겪으면서 유관 기관에 제대로 알리지 않아 사기죄로 유죄 판결을 받았던 조 설리반(Joe Sullivan)이 기조 연설자로 나서서 다시 한 번 규제와 규정에 대해 이야기 했다. 그는 “규제 기관은 사건에 대한 책임을 누구에게 물을 것인지, 더 나아가 사람들을 안전하게 지킬 책임이 누구에게 있는지 결정할 때 좀 더 차분해져야 할 필요가 있다”며 “데이터 침해와 방어가 현장에서 어떤 식으로 이뤄지는지도 알 필요가 있다”고 강조했다.
“소셜엔지니어링에 속아서 데이터 침해 사고가 일어났다면, 그 사람은 감옥에 가야 할까요? 회사 은행 계좌에 이중인증 장치를 적용하지 않아 해킹 공격을 쉽게 허용한 CFO라면 벌금을 얼마나 내야 할까요? 결국 나중에 가서 랜섬웨어 공격을 허용하게 된 직원은 어떻게 처리해야 할까요? 공격을 당한 조직의 보안 팀에는 어떤 책임이 있을까요? 누가 왜 얼마나 책임을 져야 할까요?”
그러면서 설리반은 최근 미국 증권거래위원회가 도입한 데이터 침해 통보 관련 규정을 예로 들었다. “데이터 침해 사고가 발생했을 경우 증권거래위원회의 감독 아래 있는 기업이나 금융 기관들이라면 반드시 알려야 한다는 취지의 규정이었습니다. 의도는 나쁘지 않죠. 게다가 위원회는 안을 먼저 공개하고 피드백을 받아 수정하는 기간도 가졌습니다. 하지만 그런 과정을 통하고서도 실제 현장에서 고군분투하는 사람들의 의견을 담아내지는 못했습니다.”
그러면서 그는 “보안 업계가 피드백을 소극적으로 전달한 것으로 알고 있다”고 짚었다. “사건의 피해자들이 적극적으로 의견을 피력했지요. 그래서 지금의 규정은 철저히 피해자들을 주인공으로 삼고 있지 현장에서 모든 사고 뒷처리와 해결을 손수 도맡고 있는 실질적인 작업자들의 입장은 고려하지 않고 있습니다. 그러니 보안의 ‘ㅂ’도 모르고, CISO와 단 한 마디도 얘기해본 적 없었을 사람들이 현실과 동떨어진 규정을 마련할 수밖에요. 우리가 좀 더 나서서 우리의 입장을 열심히 알려야 합니다. 특히 규정을 만드는 사람들을 대상으로요.”
설리반은 “올바른 규정, 현실이 정확히 반영된 규정은 상황을 개선시키는 힘을 가지고 있다”며 “입법자들이 귀를 완전히 닫고 있다면 우리에겐 꿈도 희망도 없겠지만, 일단 형식상으로라도 그런 상황은 아니기 때문에 우리가 입을 벌리고 목소리를 내는 게 중요하다”고 강조했다. “어차피 ‘대 규정의 시대’는 들이닥치게 됩니다. 그럴 때 어떤 규정 아래 있고 싶으세요? 지금 우리가 할 수 있는 일은 미래의 규정들에 긍정적인 영향을 주는 겁니다.”
그 역시 모스와 같은 의견이었다. “지금 여러 정부 기관들이 사이버 보안과 관련하여 여러 규정을 만들고 보안 업계 사람들을 만나고 있습니다. 누가 어떤 사람을 만나든 메시지는 한결 같아 보입니다. 스스로 안전을 지키지 못한다면 정부가 대신 하겠다는 것입니다. 미국이나 유럽에서 이런 일이 시작되면 전 세계에도 영향을 줄 겁니다.”
3줄 요약
1. 얼마 전 개최된 블랙햇 유럽에서 규제에 관한 이야기가 주로 등장.
2. 지금은 우리 스스로 보호할 수 있는 때이지만, 이 기회를 못 잡으면 정부가 보호하려 나설 것.
3. 정부가 보호하는 수단은 규정이고, 조만간 보안 분야가 규정으로 가득 찰 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 정부 기관들의 분위기가 심상치 않다는 경고가 나왔다. 기업들이 계속해서 해커들에게 당하고 보안 사고의 피해자가 된다면 정부가 나서서 강력한 규제를 하는 수밖에 없다는 것이고, 실제 그런 방향의 이야기들이 슬슬 나오고 있다는 것이다.
[이미지 = gettyimagesbank]
이는 얼마 전 개막한 사이버 보안 행사인 블랙햇유럽(Black Hat Europe)에서, 행사의 주최자인 제프 모스(Jeff Moss)가 한 말이다. 이는 비단 제프 모스의 나라인 미국이나 이번 행사 주최국인 영국의 이야기가 아니라고 덧붙였다. “공격이 민간 부문을 넘어 사회 기반 시설들로도 빠르게 퍼지고 있기 때문에 어느 나라 정부들이건 보안에 주목할 수밖에 없게 됐다”는 게 그의 설명이다.
“지금은 사회 기반 시설을 담당하는 민간 기업들이 보안의 열쇠를 쥐고 있고 정부 기관들도 이를 인정하고 있습니다. 그러네 그 담당자들이 보안 사고를 막지 못하면 어떻게 될까요? 어느 순간 한계점에 도달할 테고, 정부가 열쇠를 가져가게 될 겁니다. 지금 우리는 규제로 얽매이기 직전의 상황에서 마지막 ‘자기 통제’의 기회를 놓치는 중이라고 봐도 무방합니다.”
그러면서 모스는 2001년 미국에서 시행되기 시작한 사베인즈옥슬리법(Sarbanes Oxley)을 예로 들었다. 엔론(Enron)이라는 기업이 도산한 것을 것을 계기로 투자자들을 보호하기 위해 마련된 장치로, 상장된 기업들을 대상으로 하고 있다. 미국에서 상장한 기업들이라면 사베인즈옥슬리법을 반드시 준수해야 하는데, 그러기 위해서는 각종 보고서들을 작성해 제출함으로써 회사 재정 상황이 건강하다는 걸 입증해야 한다. 이 과정이 대단히 고단하고 지진한 것으로 알려져 있다.
모스는 “우리가 데이터나 기업을 제대로 지키지 못하고, 그래서 사회 인프라까지 자꾸만 공격을 당하게 된다면 각 기업들이나 보안 담당자들이 각종 보고서를 매번 정부 기관에 제출해가면서 보안 강화를 해야 하는 때가 올 것”이라고 예언했다.
뒤를 이어 우버에서 CISO를 역임했었다가 2016년 보안 사고를 겪으면서 유관 기관에 제대로 알리지 않아 사기죄로 유죄 판결을 받았던 조 설리반(Joe Sullivan)이 기조 연설자로 나서서 다시 한 번 규제와 규정에 대해 이야기 했다. 그는 “규제 기관은 사건에 대한 책임을 누구에게 물을 것인지, 더 나아가 사람들을 안전하게 지킬 책임이 누구에게 있는지 결정할 때 좀 더 차분해져야 할 필요가 있다”며 “데이터 침해와 방어가 현장에서 어떤 식으로 이뤄지는지도 알 필요가 있다”고 강조했다.
“소셜엔지니어링에 속아서 데이터 침해 사고가 일어났다면, 그 사람은 감옥에 가야 할까요? 회사 은행 계좌에 이중인증 장치를 적용하지 않아 해킹 공격을 쉽게 허용한 CFO라면 벌금을 얼마나 내야 할까요? 결국 나중에 가서 랜섬웨어 공격을 허용하게 된 직원은 어떻게 처리해야 할까요? 공격을 당한 조직의 보안 팀에는 어떤 책임이 있을까요? 누가 왜 얼마나 책임을 져야 할까요?”
그러면서 설리반은 최근 미국 증권거래위원회가 도입한 데이터 침해 통보 관련 규정을 예로 들었다. “데이터 침해 사고가 발생했을 경우 증권거래위원회의 감독 아래 있는 기업이나 금융 기관들이라면 반드시 알려야 한다는 취지의 규정이었습니다. 의도는 나쁘지 않죠. 게다가 위원회는 안을 먼저 공개하고 피드백을 받아 수정하는 기간도 가졌습니다. 하지만 그런 과정을 통하고서도 실제 현장에서 고군분투하는 사람들의 의견을 담아내지는 못했습니다.”
그러면서 그는 “보안 업계가 피드백을 소극적으로 전달한 것으로 알고 있다”고 짚었다. “사건의 피해자들이 적극적으로 의견을 피력했지요. 그래서 지금의 규정은 철저히 피해자들을 주인공으로 삼고 있지 현장에서 모든 사고 뒷처리와 해결을 손수 도맡고 있는 실질적인 작업자들의 입장은 고려하지 않고 있습니다. 그러니 보안의 ‘ㅂ’도 모르고, CISO와 단 한 마디도 얘기해본 적 없었을 사람들이 현실과 동떨어진 규정을 마련할 수밖에요. 우리가 좀 더 나서서 우리의 입장을 열심히 알려야 합니다. 특히 규정을 만드는 사람들을 대상으로요.”
설리반은 “올바른 규정, 현실이 정확히 반영된 규정은 상황을 개선시키는 힘을 가지고 있다”며 “입법자들이 귀를 완전히 닫고 있다면 우리에겐 꿈도 희망도 없겠지만, 일단 형식상으로라도 그런 상황은 아니기 때문에 우리가 입을 벌리고 목소리를 내는 게 중요하다”고 강조했다. “어차피 ‘대 규정의 시대’는 들이닥치게 됩니다. 그럴 때 어떤 규정 아래 있고 싶으세요? 지금 우리가 할 수 있는 일은 미래의 규정들에 긍정적인 영향을 주는 겁니다.”
그 역시 모스와 같은 의견이었다. “지금 여러 정부 기관들이 사이버 보안과 관련하여 여러 규정을 만들고 보안 업계 사람들을 만나고 있습니다. 누가 어떤 사람을 만나든 메시지는 한결 같아 보입니다. 스스로 안전을 지키지 못한다면 정부가 대신 하겠다는 것입니다. 미국이나 유럽에서 이런 일이 시작되면 전 세계에도 영향을 줄 겁니다.”
3줄 요약
1. 얼마 전 개최된 블랙햇 유럽에서 규제에 관한 이야기가 주로 등장.
2. 지금은 우리 스스로 보호할 수 있는 때이지만, 이 기회를 못 잡으면 정부가 보호하려 나설 것.
3. 정부가 보호하는 수단은 규정이고, 조만간 보안 분야가 규정으로 가득 찰 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
