이번 주 상원 통과한 정보공유법, 여전한 오해와 진실
[보안뉴스 문가용] 사이버보안 정보 공유 법, Cybersecurity Information Sharing Act(이하 CISA)가 미국 상원을 통과했다. 프라이버시를 옹호하는 사람들 입장에서는 그토록 반발해왔던 일이 실제로 벌어진 것. 하지만 이는 예견된 일이었다. 이미 연초에 하원에서 같은 법안이 통과했었기 때문이다. 이제 CISA가 정식으로 발효되기 전까진 한 단계만 남았다. 오바마 대통령.
.jpg)
아직 실제 법이 된 것도 아닌데 미국은 이미 진즉부터 이 주제를 놓고 시끄러웠다. 시끄러우니 오해도 쌓이고 사실이 왜곡되기도 하며 진실은 점점 파묻히고 있다. 그래서 몇 가지 흔하게 오해하는 일 몇 가지를 바로잡아 본다.
IT 업체들은 전부 반대한다?
애플, 드롭박스, 세일즈포스(Salesforce), 트위터 등 굵직한 이름들이 죄다 이 법안에 반대한다는 기사가 여러 차례 등장했고, 실제로 그랬다. 정보보안에 몸담고 있던 주요 인물들 역시 비슷한 입장이었다. 하지만 전부가 그런 건 아니었다. 오히려 보안 전문가들 중 이 법안을 지지하는 이들도 많았다. 특히 위협 첩보 관련 전문가들이 그랬다.
CISA의 취지는 민간 조직들이 사이버 공격의 징후나 첩보를 공유하고 퍼트리는 데 있어서 법의 제약을 없애자는 데에 있다. 위협 첩보라면 보통 실제 공격이 발생한 후에 발견되는 정보라 필연적으로 ‘어디에 누가 당했고, 피해가 얼마큼 되더라’라는 식의 정보를 포함하기 마련인데, 이는 실제 그 피해를 본 기업이나 조직 입장에서는 밝히기 꺼려지는 내용이다. 내용에 따라 법적 책임을 물을 수도 있는데, 그 때문에 많은 첩보가 공유되고 있지 않다고 미국 정부는 판단한 것.
前 백악관 사이버보안 고문관이자 위협 첩보 공유 전문기업인 트러스타(TruSTAR)의 CEO인 폴 커츠(Paul Kurtz)는 CISA가 상원을 통과한 것에 대해 “현재 계속 심각해지고 있는 사이버 위기에 대응하기 위해 중요한 한 발을 디뎠다”고 표현했다. “법안이 통과되고 효력을 발휘하기 시작하면 조직과 기업들은 혜택을 많이 누리게 될 것입니다. 여러 분들께서 프라이버시의 침해를 걱정하고 있는데요, CISA와 프라이버시는 크게 상관이 없을 거라고 봅니다. 이번엔 정부가 ‘첩보 공유하는 게 불법 아닌 걸로 해줄 테니 마음껏 공유하라’고 장을 열어준 것 뿐이거든요. 프라이버시가 침해되느냐 아니냐는 이 법을 활용하는 사람들이 어떻게 하느냐에 달렸습니다.”
“위협 첩보 시장이 지금은 훨씬 활성화되어 있습니다. 그럼에도 해결이 어려워 보이는 장애물들도 있지요. 바로 공유하려는 정보에 얽힌 사람들 간의 협의를 도출하기가 어렵다는 것이었는데요, CISA가 통과되었다고 이 문제가 해결될 것인가, 라고 묻는다면 전 아니라고 답할 것입니다.” 로그리듬(LogRhythm)의 CTO인 크리스 피터슨(Chris Petersen)의 설명이다. “첩보를 공유한다는 건 ‘법’으로 해결할 게 아니라 관계자들 사이의 협의에 의해 활성화되어야 합니다.”
건강정보신탁연합(HITRUST) 역시 오늘 CISA를 지지한다고 발표했다. “저희 건강정보신탁연합도 정보 공유를 법제화시키는 것에 대해 크게 반갑지 않은 입장이었습니다. 특히 그것이 프라이버시나 시민의 자유를 약화시키는 것이라면 더더욱 그렇지요. 하지만 CISA에서는 그런 위험이 없다고 판단되었고, 그래서 지지하게 되었습니다.”
사실은 감시를 위한 법안이다?
CISA에는 표면상 ‘프라이버시를 보호한다’는 문구가 들어있긴 하다. 그러나 다른 부분에는 민간부분과 공공부문이 협동하여 감시 활동을 비밀리에 진행할 수 있게 된다고 명시되어 있기도 하다. 문구를 하나하나 살펴보자면 일단 4조에는 다음과 같은 문구가 들어있다(번역본마다 표현에 차이가 있을 수 있음).
“연방정부와 조직기관들이 위협을 나타내는 지표들이나 방어수단을 관찰하고 운영하고 공유하려면 허가 없는 접근이나 취득을 막기 위한 보안 통제 절차를 밟아야 하며 공유 전에 개인의 정보나 개인을 식별할 수 있도록 해주는 정보를 제거해야 한다.”
한편 5조는 다음과 같은 내용이다. 역시 번역에 따라 세부 표현은 조금씩 다를 수 있다.
사이버 위협 지표나 방어수단을 연방정부, 지방정부, 주정부와 공유하려면 자발적으로 해야 하며 해당 내용이 대중에게 폭로되거나 널리 공개되어서도 안 된다. 대중과의 공유가 강제되는 법이 있다면 CISA에 의해 면제된다.
“보안과 프라이버시 모두를 잡아야 합니다. 그 절묘한 균형을 맞추는 게 제일 중요하죠.” 피터슨의 말이다. “대규모 사이버 공격이 무차별로 일어나고 있을 때, 그리고 그것에 대한 유일한 대응책이 ‘공유’라는 결론이 난다면 프라이버시가 별 문제되지 않을 겁니다. 좋든 싫든 지금은 이런 사이버전이 무차별적으로 벌어지고 있는 시대에 들어섰습니다. 또한 그 사이버전이란 게 국방과도 직결되는 때입니다. 그런 시대 상황을 감안해서 균형을 잡아야 합니다.”
에드워드 스노우든은 CISA에 대해 레딧(reddit)에 “실제로 공격을 막는 데에는 전혀 쓸모가 없는 법안이며 시민을 안전하게 지켜주지도 못할 것이다”라고 단호하게 말했다. “감시를 목적으로 한 법안일 뿐, 그 이상도 이하도 아닙니다. 결국 페이스북이나 AT&T와 같은 기업들이 당신도 모르는 새에 사적인 정보와 기록을 정부와 공유하고 있을 겁니다. 이 법안이 발효되면요.”
초당파적인 지지를 얻고 있다?
CISA는 지난 화요일 74-21의 엄청난 득표차이를 보이며 통과했다. 반대의 경우 14표가 민주당, 6표가 공화당의 것이었다. 1표는 독립 정당의 것이었다. 상원의 콜린스(Collins) 의원은 “지금은 사이버전이 국방과 아주 가깝게 연결되었기 때문에 당파 싸움으로 번지지 않을 수 있었다”며 “현재 미국 정부는 출신 당과 상관없이 사이버 보안을 심각하게 받아들이고 있다”고 정리했다. 즉, 이는 오해가 아니라 올바로 알려진 바다.
CISA가 통과되면 규제가 빡빡해질 것이다?
이번에 통과된 CISA 법안에 따르면 국토 안보부 장관이 치명적인 인프라에 대한 대단위 공격을 방어하고 재앙과 같은 피해를 최소화시킬 수 있는 전략을 반드시 개발하도록 되어있다. 여기서 재앙과 같은(catastrophic) 피해란 2500명 이상의 인명 피해나 500억불 이상 되는 피해를 주는 경우를 말한다. 혹은 국방에 심각한 저하를 가져온 사건도 이에 해당한다. 뿐만 아니라 미국 국토방위부는 주요 인프라에 대한 보안 점검을 실시해야 하기도 한다고 명시되어 있다.
미국 은행협회는 이 부분에 크게 동의하는 분위기다. 하지만 동시에 우려 섞인 반응도 보이고 있다. 국토방위부가 주요 시설 및 인프라에 대한 사이버보안 표준을 정립하도록 하면 부작용이 예상된다는 것이다. “국토방위부가 점검을 할 수는 있게 해주되 표준 정립 및 정책 마련의 권한까지는 줄 필요가 없어 보인다”는 게 미국 은행협회의 입장이다.
해외 무역 및 정보 공유를 저해할 수 있다?
미국 전국소매협회, 소매업리더협회, 상공회의소는 전부 CISA를 지지하는 입장이다. 그러나 미국 정부의 이런 움직임이 다른 나라와의 관계에서 반드시 긍정적으로 작용할 것만 같지는 않다는 게 이들의 우려사항이다. 즉 미국의 기업들이 의도치 않은 피해를 볼 수도 있다는 가능성이 걱정된다는 것이다.
사설 클라우드 제공업체인 아셀리온(Accellion)의 CEO 요르겐 에드홀름(Yorgen Edholm)은 “CISA가 통과됨으로써 프라이버시만 흔들리게 된 것이 아니다”라며 “경제의 중요한 부분도 흔들어버렸다”고 평가했다. “유럽과의 정보 교역이 최근 세이프 하버(Safe Harbor) 조약의 사실상 폐지로 힘들어졌는데, 여기에 더 안 좋은 영향을 미치게 생겼습니다. 유럽과 미국의 정보 공유에 대한 정서와 철학은 대단히 다르거든요. 유럽은 CISA를 두고 프라이버시 침해법이라고 보고 있으며, 이 때문에 사업 파트너로서의 관계 맺기를 주저할 것입니다. 미국의 국제적인 기업들이 원활히 사업을 못하게 되면 경제적인 타격이 적지 않을 것입니다.”
라드웨어(Radware)의 부회장이자 前 공군장교인 칼 허버거(Carl Herberger)는 “CISA가 법으로서 정착하느냐 마느냐와는 별개로 현재 미국은 프라이버시 관련 법도 필요하다”는 의견이다. “시민 한 사람 한 사람의 보호는 물론 경제적인 이유에서도요.”
그 상세 이유는 다음과 같다. “프라이버시를 보호하는 법적 장치가 없다면 사람들은 계속해서 중요한 자산을 빌린답시고 훔쳐서 돈으로 환전할 겁니다. 프라이버시는 모든 의미를 상실할 것이고요. 프라이버시를 지킨다는 건 인간의 존엄성뿐만 아니라 국가의 경제를 보호한다는 의미도 담고 있습니다. 프라이버시가 있어야 경쟁도 있죠. 이런 장치가 없을 때 생기는 손해는 금융기관이 제일 크게 부담할 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용] 사이버보안 정보 공유 법, Cybersecurity Information Sharing Act(이하 CISA)가 미국 상원을 통과했다. 프라이버시를 옹호하는 사람들 입장에서는 그토록 반발해왔던 일이 실제로 벌어진 것. 하지만 이는 예견된 일이었다. 이미 연초에 하원에서 같은 법안이 통과했었기 때문이다. 이제 CISA가 정식으로 발효되기 전까진 한 단계만 남았다. 오바마 대통령.
아직 실제 법이 된 것도 아닌데 미국은 이미 진즉부터 이 주제를 놓고 시끄러웠다. 시끄러우니 오해도 쌓이고 사실이 왜곡되기도 하며 진실은 점점 파묻히고 있다. 그래서 몇 가지 흔하게 오해하는 일 몇 가지를 바로잡아 본다.
IT 업체들은 전부 반대한다?
애플, 드롭박스, 세일즈포스(Salesforce), 트위터 등 굵직한 이름들이 죄다 이 법안에 반대한다는 기사가 여러 차례 등장했고, 실제로 그랬다. 정보보안에 몸담고 있던 주요 인물들 역시 비슷한 입장이었다. 하지만 전부가 그런 건 아니었다. 오히려 보안 전문가들 중 이 법안을 지지하는 이들도 많았다. 특히 위협 첩보 관련 전문가들이 그랬다.
CISA의 취지는 민간 조직들이 사이버 공격의 징후나 첩보를 공유하고 퍼트리는 데 있어서 법의 제약을 없애자는 데에 있다. 위협 첩보라면 보통 실제 공격이 발생한 후에 발견되는 정보라 필연적으로 ‘어디에 누가 당했고, 피해가 얼마큼 되더라’라는 식의 정보를 포함하기 마련인데, 이는 실제 그 피해를 본 기업이나 조직 입장에서는 밝히기 꺼려지는 내용이다. 내용에 따라 법적 책임을 물을 수도 있는데, 그 때문에 많은 첩보가 공유되고 있지 않다고 미국 정부는 판단한 것.
前 백악관 사이버보안 고문관이자 위협 첩보 공유 전문기업인 트러스타(TruSTAR)의 CEO인 폴 커츠(Paul Kurtz)는 CISA가 상원을 통과한 것에 대해 “현재 계속 심각해지고 있는 사이버 위기에 대응하기 위해 중요한 한 발을 디뎠다”고 표현했다. “법안이 통과되고 효력을 발휘하기 시작하면 조직과 기업들은 혜택을 많이 누리게 될 것입니다. 여러 분들께서 프라이버시의 침해를 걱정하고 있는데요, CISA와 프라이버시는 크게 상관이 없을 거라고 봅니다. 이번엔 정부가 ‘첩보 공유하는 게 불법 아닌 걸로 해줄 테니 마음껏 공유하라’고 장을 열어준 것 뿐이거든요. 프라이버시가 침해되느냐 아니냐는 이 법을 활용하는 사람들이 어떻게 하느냐에 달렸습니다.”
“위협 첩보 시장이 지금은 훨씬 활성화되어 있습니다. 그럼에도 해결이 어려워 보이는 장애물들도 있지요. 바로 공유하려는 정보에 얽힌 사람들 간의 협의를 도출하기가 어렵다는 것이었는데요, CISA가 통과되었다고 이 문제가 해결될 것인가, 라고 묻는다면 전 아니라고 답할 것입니다.” 로그리듬(LogRhythm)의 CTO인 크리스 피터슨(Chris Petersen)의 설명이다. “첩보를 공유한다는 건 ‘법’으로 해결할 게 아니라 관계자들 사이의 협의에 의해 활성화되어야 합니다.”
건강정보신탁연합(HITRUST) 역시 오늘 CISA를 지지한다고 발표했다. “저희 건강정보신탁연합도 정보 공유를 법제화시키는 것에 대해 크게 반갑지 않은 입장이었습니다. 특히 그것이 프라이버시나 시민의 자유를 약화시키는 것이라면 더더욱 그렇지요. 하지만 CISA에서는 그런 위험이 없다고 판단되었고, 그래서 지지하게 되었습니다.”
사실은 감시를 위한 법안이다?
CISA에는 표면상 ‘프라이버시를 보호한다’는 문구가 들어있긴 하다. 그러나 다른 부분에는 민간부분과 공공부문이 협동하여 감시 활동을 비밀리에 진행할 수 있게 된다고 명시되어 있기도 하다. 문구를 하나하나 살펴보자면 일단 4조에는 다음과 같은 문구가 들어있다(번역본마다 표현에 차이가 있을 수 있음).
“연방정부와 조직기관들이 위협을 나타내는 지표들이나 방어수단을 관찰하고 운영하고 공유하려면 허가 없는 접근이나 취득을 막기 위한 보안 통제 절차를 밟아야 하며 공유 전에 개인의 정보나 개인을 식별할 수 있도록 해주는 정보를 제거해야 한다.”
한편 5조는 다음과 같은 내용이다. 역시 번역에 따라 세부 표현은 조금씩 다를 수 있다.
사이버 위협 지표나 방어수단을 연방정부, 지방정부, 주정부와 공유하려면 자발적으로 해야 하며 해당 내용이 대중에게 폭로되거나 널리 공개되어서도 안 된다. 대중과의 공유가 강제되는 법이 있다면 CISA에 의해 면제된다.
“보안과 프라이버시 모두를 잡아야 합니다. 그 절묘한 균형을 맞추는 게 제일 중요하죠.” 피터슨의 말이다. “대규모 사이버 공격이 무차별로 일어나고 있을 때, 그리고 그것에 대한 유일한 대응책이 ‘공유’라는 결론이 난다면 프라이버시가 별 문제되지 않을 겁니다. 좋든 싫든 지금은 이런 사이버전이 무차별적으로 벌어지고 있는 시대에 들어섰습니다. 또한 그 사이버전이란 게 국방과도 직결되는 때입니다. 그런 시대 상황을 감안해서 균형을 잡아야 합니다.”
에드워드 스노우든은 CISA에 대해 레딧(reddit)에 “실제로 공격을 막는 데에는 전혀 쓸모가 없는 법안이며 시민을 안전하게 지켜주지도 못할 것이다”라고 단호하게 말했다. “감시를 목적으로 한 법안일 뿐, 그 이상도 이하도 아닙니다. 결국 페이스북이나 AT&T와 같은 기업들이 당신도 모르는 새에 사적인 정보와 기록을 정부와 공유하고 있을 겁니다. 이 법안이 발효되면요.”
초당파적인 지지를 얻고 있다?
CISA는 지난 화요일 74-21의 엄청난 득표차이를 보이며 통과했다. 반대의 경우 14표가 민주당, 6표가 공화당의 것이었다. 1표는 독립 정당의 것이었다. 상원의 콜린스(Collins) 의원은 “지금은 사이버전이 국방과 아주 가깝게 연결되었기 때문에 당파 싸움으로 번지지 않을 수 있었다”며 “현재 미국 정부는 출신 당과 상관없이 사이버 보안을 심각하게 받아들이고 있다”고 정리했다. 즉, 이는 오해가 아니라 올바로 알려진 바다.
CISA가 통과되면 규제가 빡빡해질 것이다?
이번에 통과된 CISA 법안에 따르면 국토 안보부 장관이 치명적인 인프라에 대한 대단위 공격을 방어하고 재앙과 같은 피해를 최소화시킬 수 있는 전략을 반드시 개발하도록 되어있다. 여기서 재앙과 같은(catastrophic) 피해란 2500명 이상의 인명 피해나 500억불 이상 되는 피해를 주는 경우를 말한다. 혹은 국방에 심각한 저하를 가져온 사건도 이에 해당한다. 뿐만 아니라 미국 국토방위부는 주요 인프라에 대한 보안 점검을 실시해야 하기도 한다고 명시되어 있다.
미국 은행협회는 이 부분에 크게 동의하는 분위기다. 하지만 동시에 우려 섞인 반응도 보이고 있다. 국토방위부가 주요 시설 및 인프라에 대한 사이버보안 표준을 정립하도록 하면 부작용이 예상된다는 것이다. “국토방위부가 점검을 할 수는 있게 해주되 표준 정립 및 정책 마련의 권한까지는 줄 필요가 없어 보인다”는 게 미국 은행협회의 입장이다.
해외 무역 및 정보 공유를 저해할 수 있다?
미국 전국소매협회, 소매업리더협회, 상공회의소는 전부 CISA를 지지하는 입장이다. 그러나 미국 정부의 이런 움직임이 다른 나라와의 관계에서 반드시 긍정적으로 작용할 것만 같지는 않다는 게 이들의 우려사항이다. 즉 미국의 기업들이 의도치 않은 피해를 볼 수도 있다는 가능성이 걱정된다는 것이다.
사설 클라우드 제공업체인 아셀리온(Accellion)의 CEO 요르겐 에드홀름(Yorgen Edholm)은 “CISA가 통과됨으로써 프라이버시만 흔들리게 된 것이 아니다”라며 “경제의 중요한 부분도 흔들어버렸다”고 평가했다. “유럽과의 정보 교역이 최근 세이프 하버(Safe Harbor) 조약의 사실상 폐지로 힘들어졌는데, 여기에 더 안 좋은 영향을 미치게 생겼습니다. 유럽과 미국의 정보 공유에 대한 정서와 철학은 대단히 다르거든요. 유럽은 CISA를 두고 프라이버시 침해법이라고 보고 있으며, 이 때문에 사업 파트너로서의 관계 맺기를 주저할 것입니다. 미국의 국제적인 기업들이 원활히 사업을 못하게 되면 경제적인 타격이 적지 않을 것입니다.”
라드웨어(Radware)의 부회장이자 前 공군장교인 칼 허버거(Carl Herberger)는 “CISA가 법으로서 정착하느냐 마느냐와는 별개로 현재 미국은 프라이버시 관련 법도 필요하다”는 의견이다. “시민 한 사람 한 사람의 보호는 물론 경제적인 이유에서도요.”
그 상세 이유는 다음과 같다. “프라이버시를 보호하는 법적 장치가 없다면 사람들은 계속해서 중요한 자산을 빌린답시고 훔쳐서 돈으로 환전할 겁니다. 프라이버시는 모든 의미를 상실할 것이고요. 프라이버시를 지킨다는 건 인간의 존엄성뿐만 아니라 국가의 경제를 보호한다는 의미도 담고 있습니다. 프라이버시가 있어야 경쟁도 있죠. 이런 장치가 없을 때 생기는 손해는 금융기관이 제일 크게 부담할 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
