바이든이 떠나고 그의 행정명령이 남았다. 임기 초부터 마지막까지 보안 사고에 시달렸던 그는 보안을 실질적으로 강화하기 위해 여러 가지 제안들을 해왔고, 그것이 마지막 행정명령에 고스란히 정리되어 있다.
3줄 요약
1. “중국은 해킹 국가다.”
2. “보안에는 돈이 든다.”
3. “소프트웨어 개발사가 더 잘해야 한다.”
[보안뉴스 문가용 기자] ‘사이버 보안 대통령’이었던 바이든이 물러났다. 취임 때부터 저 유명한 솔라윈즈(SolarWinds) 사태가 터진 데다가 임기 기간 동안 미국 사회 기반 시설이 잦은 사이버 공격의 표적이 되는 바람에 보안에 대해 민감할 수밖에 없었다. 인공지능 문제도 불거졌다. 그의 행정부는 그런 상황에 부응하듯 여러 행정명령을 통해 보안 강화에 나섰다. 소프트웨어 개발사가 보안에 더 큰 책임을 져야 한다거나, 소프트웨어 구성표(SBOM) 제도를 정착시켜야 한다는 등 보안의 근간을 뒤흔드는 변화도 적잖이 시도했었다.
[사진 = 연합뉴스]
게다가 떠나는 순간에도 그의 행정명령에 ‘보안 강화’가 잔뜩 포함되어 있었다. 미국 통신망들이 중국발 해킹 공격에 유린되고 있었기 때문이다. 물론 미국은 가장 많이 해킹을 당하는 나라라 어느 정권이라도 사이버 보안을 무시할 수 없다. 하지만 시작과 끝을 보안으로 꽉 채운 대통령은 바이든이 처음이다. 그를 떠나보내며 그의 마지막 ‘보안’ 행정명령을 짚어본다.
제1조. 정책.
적대국과 범죄자들은 계속해서 미국과 미국 국민을 겨냥한 사이버 캠페인을 진행하고 있으며, 이 가운데 중화인민공화국은 미국 정부, 민간 부문, 그리고 주요 인프라 네트워크에 대해 가장 활발하고 지속적인 사이버 위협을 가하고 있다. 이러한 캠페인은 수십억 달러의 손실을 초래하며, 미국 국민의 안전과 사생활을 위협하고 있다. 따라서 국가 사이버 보안을 더욱 강화하기 위한 조치가 필요하다.
관전 포인트 : 중국을 공격자로 정확히 지목하고 있다.
제2조. 서드파티 소프트웨어 공급망의 투명성과 보안의 실질적 구현
연방 정부와 국가 주요 인프라는 소프트웨어 제공업체에 의존하고 있다. 하지만 보안이 취약한 소프트웨어는 제공업체와 사용자 모두에게 지속적인 문제를 초래하며, 연방 정부와 주요 인프라 시스템을 악의적인 사이버 사고에 취약하게 만든다. 연방 정부는 안전한 소프트웨어를 구매하는 관행을 계속 채택하고, 소프트웨어 제공업체가 보안이 강화된 소프트웨어 개발을 유지할 수 있도록 조치를 취해야 한다. 이를 통해 제공되는 소프트웨어의 취약성과 심각성을 줄여야 한다
관전 포인트 : 소프트웨어 개발사가 보안에 더 큰 책임을 져야 한다는 기조가 유지되고 있다.
제3조. 연방 시스템의 사이버 보안 강화
연방 정부는 보안 위협에 대한 가시성을 높이고 클라우드 보안을 강화하기 위해, 신원 및 접근 관리를 포함한 업계의 검증된 보안 관행을 채택해야 한다. 미래의 혁신적인 신원 기술과 프로세스, 피싱 저항 인증 옵션에 대한 투자를 우선적으로 고려하기 위해, 연방민간행정기관들은 행정명령 14028 이후 관리예산국과 CISA가 개발하고 배포한 내용을 기반으로, 웹오슨(WebAuthn) 같은 상용 피싱 저항 표준을 사용해야 한다.
관전 포인트 : 연방 정부 기관에 더 엄격한 보안 규정과 실천사항(관행)을 적용한다는 점도 바이든 정부가 늘 보여주었던 태도다
제4조. 연방 통신 보안
적대적인 국가와 범죄자로부터 연방 정부 통신의 보안을 강화하기 위해, 연방 정부는 임무 요구 사항과 실현 가능성을 고려하여, 현대적이고 표준화된 상용 알고리즘과 프로토콜을 사용해 강력한 신원 인증과 암호화를 구현해야 한다. 양자컴퓨터에 대한 대비책도 마련되어야 한다.
관전 포인트 : 통신을 보호하려면 암호화 기술을 강화시켜야 한다고 지적하고 있다. 그러면서 자연스럽게 양자컴퓨터도 다루고 있다.
제5조. 사이버 범죄 및 사기 방지를 위한 해결책
범죄 집단들이 도용된 신원이나 가짜 신원을 사용해 공공 혜택 프로그램에서 체계적으로 사기를 치는 것은 세금과 연방 정부 자금 낭비를 야기한다. 이러한 범죄를 해결하기 위해 행정부는 신원 확인이 필요한 공공 혜택 프로그램에 접근할 때 디지털 신원 문서의 수용을 강력히 장려하는 정책을 채택하고 있다. 다만, 이는 취약 계층의 광범위한 프로그램 접근을 보장하고 개인정보 보호, 데이터 최소화, 상호 운용성의 원칙을 지원하는 방식으로 진행되어야 한다.
관전 포인트 : 사이버 범죄 전반을 다룬다기 보다 신원 도용에 치중하고 있다. 신원 확인 절차 강화에 대한 이야기가 나오는데, 그러면서도 이를 너무 강화하여 취약 계층이 손해보는 일이 없도록 해야 한다고 빠짐없이 짚어낸다.
제6조. 인공지능과 보안 촉진
인공지능은 사이버 보안을 혁신할 잠재력을 가지고 있다. 새로운 취약점을 빠르게 식별하고, 위협 탐지 기술의 규모를 확대하며, 사이버 방어를 자동화할 수 있기 때문이다. 연방 정부는 인공지능 개발 및 배치를 가속화하고, 중요 인프라의 사이버 보안을 개선할 방법을 모색하며, 인공지능과 사이버 보안이 교차하는 분야에서 연구를 가속화해야 한다.
관전 포인트 : 인공지능 개발과 발전에 있어 다소 보수적인 스탠스를 유지하고 있다.
제7조. 정책과 실천의 합치
기관의 중요한 임무를 지원하는 IT 인프라와 네트워크는 현대화가 필요하다. 기관의 정책은 네트워크 가시성 및 보안 통제를 개선하고 사이버 위험을 줄이기 위한 투자와 우선순위를 일치시켜야 한다. 이 명령서 발효일로부터 3년 이내에, 예산관리국 이사는 필요한 지침을 발행하여, 연방 정보 시스템 및 네트워크에서의 중요한 위험을 다루고 현대적인 관행과 아키텍처에 적응하도록 해야 한다.
관전 포인트 : 보안 강화 실천에는 돈이 든다는 것을 명확히 짚고, 대책을 마련하고 있다.
제8조. 국가안보시스템 및 중요 시스템
이 명령서 발효일로부터 90일 이내에, 국가안보시스템과 중요 시스템이 가장 최신의 보안 조치로 보호될 수 있도록 하기 위해, 국방부, NSA, 국가정보국, 국가안보시스템위원회(CNSS), 예산관리국, 대통령 안보 담당 보좌관실은 보안 요구 사항을 고안해야 한다 또한 연방 정보 시스템에 대한 효과적인 거버넌스 및 감독을 강화하기 위해, 이 명령서 발효일로부터 90일 이내에 예산관리국 이사는 각 기관이 모든 주요 정보 시스템의 목록을 작성하고 이를 CISA, 국방부 또는 국가안보시스템 국가 관리자에게 제공하도록 요구하는 지침을 발행해야 한다.
관전 포인트 : 국가 안보 강화를 위해 주어진 임무가 마무리 되어야 하는 기간은 단 90일이다. 관련 기관과 단체들이 서둘러 움직일 수밖에 없다.
그래서?
바이든의 이번 ‘보안 강화 행정명령’ 원문에서 눈에 띄는 건 중국을 정확히 지적하고 있다는 것과, 예산관리국을 거의 모든 사업에 포함시켰다는 것이다. 보안 강화에 돈을 아끼지 않겠다는 의지를 내비쳤다고 볼 수 있다. 또한 인공지능과 양자컴퓨터, 우주 과학 등 미래 기술에 대한 보안 역시 고려하고 있기도 하다. 보안의 중요 화두인 해킹 국가, 예산, 미래 기술이 고루 들어가 있다는 게 인상적이다.
다만 이러한 내용들이 다음 정권에 그대로 지켜질 것인지는 불투명하다. 이미 인공지능과 관련해서는 바이든이 선택한 방향성을 반대하는 쪽을 택할 것으로 보이는데, 그 과정에서 보안이 실질적으로 얼마나 많은 것을 잃거나 얻을 것인지 가늠하는 게 한 동안 관전 포인트가 될 전망이다.
바이든의 마지막 행정명령의 보다 상세한 내용은 이번 주 23일에 발행되는 보안뉴스 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. “중국은 해킹 국가다.”
2. “보안에는 돈이 든다.”
3. “소프트웨어 개발사가 더 잘해야 한다.”
[보안뉴스 문가용 기자] ‘사이버 보안 대통령’이었던 바이든이 물러났다. 취임 때부터 저 유명한 솔라윈즈(SolarWinds) 사태가 터진 데다가 임기 기간 동안 미국 사회 기반 시설이 잦은 사이버 공격의 표적이 되는 바람에 보안에 대해 민감할 수밖에 없었다. 인공지능 문제도 불거졌다. 그의 행정부는 그런 상황에 부응하듯 여러 행정명령을 통해 보안 강화에 나섰다. 소프트웨어 개발사가 보안에 더 큰 책임을 져야 한다거나, 소프트웨어 구성표(SBOM) 제도를 정착시켜야 한다는 등 보안의 근간을 뒤흔드는 변화도 적잖이 시도했었다.
[사진 = 연합뉴스]
게다가 떠나는 순간에도 그의 행정명령에 ‘보안 강화’가 잔뜩 포함되어 있었다. 미국 통신망들이 중국발 해킹 공격에 유린되고 있었기 때문이다. 물론 미국은 가장 많이 해킹을 당하는 나라라 어느 정권이라도 사이버 보안을 무시할 수 없다. 하지만 시작과 끝을 보안으로 꽉 채운 대통령은 바이든이 처음이다. 그를 떠나보내며 그의 마지막 ‘보안’ 행정명령을 짚어본다.
제1조. 정책.
적대국과 범죄자들은 계속해서 미국과 미국 국민을 겨냥한 사이버 캠페인을 진행하고 있으며, 이 가운데 중화인민공화국은 미국 정부, 민간 부문, 그리고 주요 인프라 네트워크에 대해 가장 활발하고 지속적인 사이버 위협을 가하고 있다. 이러한 캠페인은 수십억 달러의 손실을 초래하며, 미국 국민의 안전과 사생활을 위협하고 있다. 따라서 국가 사이버 보안을 더욱 강화하기 위한 조치가 필요하다.
관전 포인트 : 중국을 공격자로 정확히 지목하고 있다.
제2조. 서드파티 소프트웨어 공급망의 투명성과 보안의 실질적 구현
연방 정부와 국가 주요 인프라는 소프트웨어 제공업체에 의존하고 있다. 하지만 보안이 취약한 소프트웨어는 제공업체와 사용자 모두에게 지속적인 문제를 초래하며, 연방 정부와 주요 인프라 시스템을 악의적인 사이버 사고에 취약하게 만든다. 연방 정부는 안전한 소프트웨어를 구매하는 관행을 계속 채택하고, 소프트웨어 제공업체가 보안이 강화된 소프트웨어 개발을 유지할 수 있도록 조치를 취해야 한다. 이를 통해 제공되는 소프트웨어의 취약성과 심각성을 줄여야 한다
관전 포인트 : 소프트웨어 개발사가 보안에 더 큰 책임을 져야 한다는 기조가 유지되고 있다.
제3조. 연방 시스템의 사이버 보안 강화
연방 정부는 보안 위협에 대한 가시성을 높이고 클라우드 보안을 강화하기 위해, 신원 및 접근 관리를 포함한 업계의 검증된 보안 관행을 채택해야 한다. 미래의 혁신적인 신원 기술과 프로세스, 피싱 저항 인증 옵션에 대한 투자를 우선적으로 고려하기 위해, 연방민간행정기관들은 행정명령 14028 이후 관리예산국과 CISA가 개발하고 배포한 내용을 기반으로, 웹오슨(WebAuthn) 같은 상용 피싱 저항 표준을 사용해야 한다.
관전 포인트 : 연방 정부 기관에 더 엄격한 보안 규정과 실천사항(관행)을 적용한다는 점도 바이든 정부가 늘 보여주었던 태도다
제4조. 연방 통신 보안
적대적인 국가와 범죄자로부터 연방 정부 통신의 보안을 강화하기 위해, 연방 정부는 임무 요구 사항과 실현 가능성을 고려하여, 현대적이고 표준화된 상용 알고리즘과 프로토콜을 사용해 강력한 신원 인증과 암호화를 구현해야 한다. 양자컴퓨터에 대한 대비책도 마련되어야 한다.
관전 포인트 : 통신을 보호하려면 암호화 기술을 강화시켜야 한다고 지적하고 있다. 그러면서 자연스럽게 양자컴퓨터도 다루고 있다.
제5조. 사이버 범죄 및 사기 방지를 위한 해결책
범죄 집단들이 도용된 신원이나 가짜 신원을 사용해 공공 혜택 프로그램에서 체계적으로 사기를 치는 것은 세금과 연방 정부 자금 낭비를 야기한다. 이러한 범죄를 해결하기 위해 행정부는 신원 확인이 필요한 공공 혜택 프로그램에 접근할 때 디지털 신원 문서의 수용을 강력히 장려하는 정책을 채택하고 있다. 다만, 이는 취약 계층의 광범위한 프로그램 접근을 보장하고 개인정보 보호, 데이터 최소화, 상호 운용성의 원칙을 지원하는 방식으로 진행되어야 한다.
관전 포인트 : 사이버 범죄 전반을 다룬다기 보다 신원 도용에 치중하고 있다. 신원 확인 절차 강화에 대한 이야기가 나오는데, 그러면서도 이를 너무 강화하여 취약 계층이 손해보는 일이 없도록 해야 한다고 빠짐없이 짚어낸다.
제6조. 인공지능과 보안 촉진
인공지능은 사이버 보안을 혁신할 잠재력을 가지고 있다. 새로운 취약점을 빠르게 식별하고, 위협 탐지 기술의 규모를 확대하며, 사이버 방어를 자동화할 수 있기 때문이다. 연방 정부는 인공지능 개발 및 배치를 가속화하고, 중요 인프라의 사이버 보안을 개선할 방법을 모색하며, 인공지능과 사이버 보안이 교차하는 분야에서 연구를 가속화해야 한다.
관전 포인트 : 인공지능 개발과 발전에 있어 다소 보수적인 스탠스를 유지하고 있다.
제7조. 정책과 실천의 합치
기관의 중요한 임무를 지원하는 IT 인프라와 네트워크는 현대화가 필요하다. 기관의 정책은 네트워크 가시성 및 보안 통제를 개선하고 사이버 위험을 줄이기 위한 투자와 우선순위를 일치시켜야 한다. 이 명령서 발효일로부터 3년 이내에, 예산관리국 이사는 필요한 지침을 발행하여, 연방 정보 시스템 및 네트워크에서의 중요한 위험을 다루고 현대적인 관행과 아키텍처에 적응하도록 해야 한다.
관전 포인트 : 보안 강화 실천에는 돈이 든다는 것을 명확히 짚고, 대책을 마련하고 있다.
제8조. 국가안보시스템 및 중요 시스템
이 명령서 발효일로부터 90일 이내에, 국가안보시스템과 중요 시스템이 가장 최신의 보안 조치로 보호될 수 있도록 하기 위해, 국방부, NSA, 국가정보국, 국가안보시스템위원회(CNSS), 예산관리국, 대통령 안보 담당 보좌관실은 보안 요구 사항을 고안해야 한다 또한 연방 정보 시스템에 대한 효과적인 거버넌스 및 감독을 강화하기 위해, 이 명령서 발효일로부터 90일 이내에 예산관리국 이사는 각 기관이 모든 주요 정보 시스템의 목록을 작성하고 이를 CISA, 국방부 또는 국가안보시스템 국가 관리자에게 제공하도록 요구하는 지침을 발행해야 한다.
관전 포인트 : 국가 안보 강화를 위해 주어진 임무가 마무리 되어야 하는 기간은 단 90일이다. 관련 기관과 단체들이 서둘러 움직일 수밖에 없다.
그래서?
바이든의 이번 ‘보안 강화 행정명령’ 원문에서 눈에 띄는 건 중국을 정확히 지적하고 있다는 것과, 예산관리국을 거의 모든 사업에 포함시켰다는 것이다. 보안 강화에 돈을 아끼지 않겠다는 의지를 내비쳤다고 볼 수 있다. 또한 인공지능과 양자컴퓨터, 우주 과학 등 미래 기술에 대한 보안 역시 고려하고 있기도 하다. 보안의 중요 화두인 해킹 국가, 예산, 미래 기술이 고루 들어가 있다는 게 인상적이다.
다만 이러한 내용들이 다음 정권에 그대로 지켜질 것인지는 불투명하다. 이미 인공지능과 관련해서는 바이든이 선택한 방향성을 반대하는 쪽을 택할 것으로 보이는데, 그 과정에서 보안이 실질적으로 얼마나 많은 것을 잃거나 얻을 것인지 가늠하는 게 한 동안 관전 포인트가 될 전망이다.
바이든의 마지막 행정명령의 보다 상세한 내용은 이번 주 23일에 발행되는 보안뉴스 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
