치명적으로 높아진 공공 부문 사이버 위험... 기존 프레임워크 ‘실패’ 공식 시인
수십 년 방치된 노후 IT, 기술 부채로 규정... 자산 목록·취약점 전수 조사
NHS·학교 마비 사건 계기로 인프라 쇄신 가속... 단순 방어 넘는 체질 개선
[보안뉴스 김형근 기자] 영국 정부는 그동안 유지해 온 공공 부문 사이버 보안 방식이 불충분했음을 시인하고 이를 전면 개편하기 위한 ‘정부 사이버 액션 플랜’(Government Cyber Action Plan)을 의회에 보고했다.
[자료: gettyimagesbank]
정부는 현재 공공 부문이 직면한 사이버 위험 수준이 ‘치명적으로 높음’(Critically High) 단계에 도달했다고 공식적으로 인정했다.
또 기존 프레임워크 아래에선 2030년까지 모든 정부 기관을 알려진 취약점으로부터 보호하겠다는 목표를 달성하는 것이 불가능하다는 결론을 내렸다.
보고서는 그간 정부 모든 수준에서 사이버 위험에 대한 책임 소재가 불분명했기 때문에 시스템적으로 실패가 반복됐다고 분석했다.
새 전략은 구속력 없는 지침을 내리던 과거 방식에서 벗어나, 중앙에서 통제하고 의무화하는 모델로 전환이 골자다.
이를 위해 내년까지 이러한 전략을 이끌어갈 정부사이버유닛을 신설해 정책 방향을 설정하고 공공 부문의 단일 책임 창구 역할을 수행하게 할 계획이다.
이번 발표는 사이버보안및회복력법안(CSRB)의 의회 상정 시점과 맞물리면서 추진력을 얻고 있다.
영국 정부는 중대 사고가 발생할 경우 중앙에서 대응을 조율하는 체계를 정비하고, 전략적 공급사들에게 더 강력한 보안 계약 조건을 요구할 방침이다.
특히 이번 계획은 정부 부처 전반에 걸친 기술적 부채 문제, 즉 노후화된 IT 시스템 문제를 정면으로 다룬다.
수십 년 간 이어진 투자 부족으로 보안에 취약해진 노후 시스템들을 관리하기 위해 명확한 자산 목록을 작성하고 취약점을 파악할 예정이다.
또 정부는 사이버 전문 인력을 전문직으로 전환해 우수한 인재를 유치하고 유지함으로써 부처 간 역량 격차를 해소하겠다는 목표를 세웠다.
일각에선 이번 계획이 공공 부문 상당수가 CSRB 법안의 적용 범위에서 제외됐다는 치명적인 한계를 가리기 위한 것이란 분석도 나온다
유럽연합(EU)이 NIS2 지침을 통해 공공 부문을 보안 의무 대상에 포함시킨 것과 비교해 영국도 대응 수준을 맞추려는 의도로 풀이된다.
아울러 영국 우주국(UKSA)은 비상 서비스 네트워크의 사각지대를 해소하기 위해 스페이스X 스타링크(Starlink) 등 위성 통신 서비스 도입을 검토 중이다.
최근 하이엄레인중등학교에 대한 사이버 공격으로 학교가 폐쇄되고 전화와 서버가 마비되는 등 공공 교육 인프라의 취약성도 여실히 드러났다. 6월 발생한 국민보건서비스(NHS) 전문가 그룹의 대규모 보안 침해 사고 역시 이번 정책 개편의 주요한 촉매제가 됐다.
영국 정부는 사이버 위협이 더 이상 기술적 부채를 방치할 수 없는 수준에 이르렀음을 인정하고, 국가 차원의 인프라 쇄신에 속도를 내고 있다.
[김형근 기자(editor@boannews.com)]
수십 년 방치된 노후 IT, 기술 부채로 규정... 자산 목록·취약점 전수 조사
NHS·학교 마비 사건 계기로 인프라 쇄신 가속... 단순 방어 넘는 체질 개선
[보안뉴스 김형근 기자] 영국 정부는 그동안 유지해 온 공공 부문 사이버 보안 방식이 불충분했음을 시인하고 이를 전면 개편하기 위한 ‘정부 사이버 액션 플랜’(Government Cyber Action Plan)을 의회에 보고했다.
[자료: gettyimagesbank]
정부는 현재 공공 부문이 직면한 사이버 위험 수준이 ‘치명적으로 높음’(Critically High) 단계에 도달했다고 공식적으로 인정했다.
또 기존 프레임워크 아래에선 2030년까지 모든 정부 기관을 알려진 취약점으로부터 보호하겠다는 목표를 달성하는 것이 불가능하다는 결론을 내렸다.
보고서는 그간 정부 모든 수준에서 사이버 위험에 대한 책임 소재가 불분명했기 때문에 시스템적으로 실패가 반복됐다고 분석했다.
새 전략은 구속력 없는 지침을 내리던 과거 방식에서 벗어나, 중앙에서 통제하고 의무화하는 모델로 전환이 골자다.
이를 위해 내년까지 이러한 전략을 이끌어갈 정부사이버유닛을 신설해 정책 방향을 설정하고 공공 부문의 단일 책임 창구 역할을 수행하게 할 계획이다.
이번 발표는 사이버보안및회복력법안(CSRB)의 의회 상정 시점과 맞물리면서 추진력을 얻고 있다.
영국 정부는 중대 사고가 발생할 경우 중앙에서 대응을 조율하는 체계를 정비하고, 전략적 공급사들에게 더 강력한 보안 계약 조건을 요구할 방침이다.
특히 이번 계획은 정부 부처 전반에 걸친 기술적 부채 문제, 즉 노후화된 IT 시스템 문제를 정면으로 다룬다.
수십 년 간 이어진 투자 부족으로 보안에 취약해진 노후 시스템들을 관리하기 위해 명확한 자산 목록을 작성하고 취약점을 파악할 예정이다.
또 정부는 사이버 전문 인력을 전문직으로 전환해 우수한 인재를 유치하고 유지함으로써 부처 간 역량 격차를 해소하겠다는 목표를 세웠다.
일각에선 이번 계획이 공공 부문 상당수가 CSRB 법안의 적용 범위에서 제외됐다는 치명적인 한계를 가리기 위한 것이란 분석도 나온다
유럽연합(EU)이 NIS2 지침을 통해 공공 부문을 보안 의무 대상에 포함시킨 것과 비교해 영국도 대응 수준을 맞추려는 의도로 풀이된다.
아울러 영국 우주국(UKSA)은 비상 서비스 네트워크의 사각지대를 해소하기 위해 스페이스X 스타링크(Starlink) 등 위성 통신 서비스 도입을 검토 중이다.
최근 하이엄레인중등학교에 대한 사이버 공격으로 학교가 폐쇄되고 전화와 서버가 마비되는 등 공공 교육 인프라의 취약성도 여실히 드러났다. 6월 발생한 국민보건서비스(NHS) 전문가 그룹의 대규모 보안 침해 사고 역시 이번 정책 개편의 주요한 촉매제가 됐다.
영국 정부는 사이버 위협이 더 이상 기술적 부채를 방치할 수 없는 수준에 이르렀음을 인정하고, 국가 차원의 인프라 쇄신에 속도를 내고 있다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
