미국에서는 보안 등급을 제품에 붙이기 위한 움직임이 본격적으로 시작됐다. 소비자들이 좀 더 안전한 제품을 자발적으로 고르게 하기 위해서다. 개인 소비자들과 소기업들에 큰 도움이 될 것으로 예상되지만, NIST는 잠도 못자고 있는 상황이다.
[보안뉴스 문가용 기자] 소비자들을 위한 보안 등급 표시 제도가 사물인터넷 제품들에서부터 시작하여 여러 IT 제품들에까지 확장될 전망이다. 이는 이번 주 미국의 국립표준기술연구소(NIST)가 진행한 “소비자들을 위한 사이버 보안 등급 프로그램 : 사물인터넷 장비와 소프트웨어” 워크숍을 통해 드러난 것으로, 바이든 행정부의 강력한 보안 강화 의지가 구체적으로 실현되고 있다고 볼 수 있다.
[이미지 = utoimage]
제품들에 보안 등급 표시를 부착하는 건 구매자들이 보안과 관련된 전략을 짜고 계획을 실행해 나가는 과정을 돕기 위한 것이다. “가격과 성능만이 아니라 보안도 구매를 결정하는 중요한 요소로서 정착시키겠다는 것이 궁극적인 목표라고 볼 수도 있습니다.” NIST의 표준 서비스 부문 책임자인 워런 머켈(Warren Merkel)의 설명이다. “잘 실행되기만 한다면 보안 향상에 큰 도움이 될 것이라고 모두들 예상하고 있습니다. 다만 등급의 기준이 무엇이 될 것인가, 세계적인 흐름 및 추세에 어떻게 맞출 것인가 하는 문제가 남아있긴 합니다.”
지난 5월 바이든 행정부는 대통령 행정명령을 통해 “NIST는 현존하는 소비 제품 대상 보안 등급 표시 프로그램을 활성화하여 사물인터넷 장비를 구매하고 소프트웨어를 개발하는 데 있어 보안이 중요한 고려 요소가 되도록 교육한다”고 지시한 바 있다. 또한 “생산자들과 개발자들이 이 프로그램에 참여할 마음이 들도록 하는 인센티브 제도도 마련하라”는 주문도 있었다.
지금 당장의 움직임은 개인 소비자들에 초점이 맞춰져 있다. 하지만 소기업들 역시 중요한 고려 대상이다. “두 집단에는 공통점들이 있습니다. 예외가 가끔 있습니다만 운용할 수 있는 자금이 많지 않고, 따라서 이들의 구매력이 판매자들에게 큰 영향을 주지 않는다는 겁니다. 보안의 측면에서 보면 전문성이 아무래도 덩치 큰 조직보다 떨어지죠. 그러니 개인 소비자들에게 ‘물건 살 때 보안도 고려해서 신중하게 고르세요’라고 가르치려는 프로젝트가 소기업들에도 통할 메시지가 됩니다.” 보안 업체 베라코드(Veracode)의 크리스 와이소팔(Chris Wysopal)의 설명이다.
“소기업들은 소비자용 혹은 개인용 소프트웨어들을 주로 구매하죠. 가격 때문에 기업용을 전혀 선택하지 못하는 상황인 곳이 대부분입니다. 그렇다는 건 이들이 사용하는 소프트웨어 대부분이 고급 보안 기능을 갖추지 못했다는 뜻입니다. 게다가 보안 전문성을 넉넉히 갖추지 못했기 때문에 자체 보안 평가가 불가능하기도 하지요. 개인 소비자들과 소기업들은 보안 등급이 표시되는 것으로부터 큰 이익을 얻을 것으로 보입니다.”
이 ‘라벨링 프로젝트’의 또 다른 목적은 제품을 기획할 때부터 보안 기능을 도입하는 문화를 정착시키는 것이다. 따라서 설계에서부터 개발, 유지에까지 보안이 자연스럽게 녹아들지 않는다면 좋은 등급을 받을 수 없을 것으로 예상된다. NIST가 지난 5월 이와 관련하여 발표한 백서에도 “보안에 대한 다양한 접근 방식을 점검하겠다”는 내용이 있는데, 이 역시 등급을 받기 위한 시험 과정이 녹록치 않겠다는 걸 의미한다. 소비자들의 보안 인식을 높인다는 목적을 가지고 있으니, 시험 기분이 엄격해야 함은 당연하다. 설렁설렁한 기준으로 평가된 점수는 아무도 믿지 않는다.
아직까지 결정된 것에 의하면 미국 내 유통되는 모든 장비와 소프트웨어에 등급 표시가 붙는 건 아니다. 원하는 제조사들만 신청해서 등급을 받을 수 있다. 하지만 그렇기 때문에 등급 표시를 부착한다는 것 자체가 강력한 메시지를 소비자들에게 준다고도 볼 수 있다. “우리는 자신이 있어서 스스로 평가를 신청했다”는 뜻이 되기 때문이다. NIST는 이런 분위기가 확대되는 것 자체를 반길 것으로 보인다. 등급 표시를 부착한 것만으로도 ‘이 회사는 보안에 자신이 있다’는 인식이 퍼지면 제조사들을 압박할 것이기 때문이다.
하지만 와이소팔은 “NIST 내부에서는 평가의 균형성에 대한 고민을 깊이 하고 있을 것”이라고 보고 있다. “너무 엄격하게 평가하면 자발적으로 평가에 임하는 기업들이 줄어들 것이고, 너무 너그럽게 평가하면 보안 등급에 대한 신뢰도 자체가 낮아질 것이니까요. 그래서 처음에는 기본적인 것을 위주로 보면서 평가를 진행하다가 시간이 흐름에 따라 난이도를 높이지 않을까 예상합니다. 모든 정책과 법은 시간에 따라 조금씩 해석과 규모, 엄격함 등이 달라지니까 이상한 일이 아닙니다.”
와이소팔은 기본적인 것만 봐줘도 어디냐는 입장이다. “지금 사물인터넷 시장을 보면 보안이 처참한 수준입니다. 기본 중의 기본을 갖추지 않은 제품들이 거의 대다수라고 보면 됩니다. 하드웨어나 소프트웨어나 모두 마찬가지입니다. 처음부터 평가 난이도를 높이는 건, 지금이 너무 엉망인 상태라 실효를 거두기 어려울 수 있습니다.”
평가에 관한 NIST의 최초 제안은 10월에 발표될 예정이다. 그리고 그에 대한 업계와 대중의 피드백을 연말까지 접수할 것이라고 한다. 머켈은 현 시점에 가장 문제가 되는 건 ‘시간’이라고 말한다. “대통령 행정명령에서 나왔다시피 이번 프로젝트의 목적은 대중들을 교육하는 것입니다. 하지만 일반 소비자들에게 특정 메시지를 전달하고 교육시킨다는 건 대단히 어려운 일입니다. 그런 일의 초석이 될 일을 단 몇 개월 안에 준비한다는 것에 압박이 큽니다.”
3줄 요약
1. 미국의 NIST, 보안을 중요한 요소로 인식시키기 위한 프로젝트 시작.
2. 방법은 사물인터넷 제품과 소프트웨어에 보안 등급 표시를 붙이는 것.
3. NIST는 평가 방법과 실천 계획을 10월까지 수립해야 해서 압박받는 중.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 소비자들을 위한 보안 등급 표시 제도가 사물인터넷 제품들에서부터 시작하여 여러 IT 제품들에까지 확장될 전망이다. 이는 이번 주 미국의 국립표준기술연구소(NIST)가 진행한 “소비자들을 위한 사이버 보안 등급 프로그램 : 사물인터넷 장비와 소프트웨어” 워크숍을 통해 드러난 것으로, 바이든 행정부의 강력한 보안 강화 의지가 구체적으로 실현되고 있다고 볼 수 있다.
[이미지 = utoimage]
제품들에 보안 등급 표시를 부착하는 건 구매자들이 보안과 관련된 전략을 짜고 계획을 실행해 나가는 과정을 돕기 위한 것이다. “가격과 성능만이 아니라 보안도 구매를 결정하는 중요한 요소로서 정착시키겠다는 것이 궁극적인 목표라고 볼 수도 있습니다.” NIST의 표준 서비스 부문 책임자인 워런 머켈(Warren Merkel)의 설명이다. “잘 실행되기만 한다면 보안 향상에 큰 도움이 될 것이라고 모두들 예상하고 있습니다. 다만 등급의 기준이 무엇이 될 것인가, 세계적인 흐름 및 추세에 어떻게 맞출 것인가 하는 문제가 남아있긴 합니다.”
지난 5월 바이든 행정부는 대통령 행정명령을 통해 “NIST는 현존하는 소비 제품 대상 보안 등급 표시 프로그램을 활성화하여 사물인터넷 장비를 구매하고 소프트웨어를 개발하는 데 있어 보안이 중요한 고려 요소가 되도록 교육한다”고 지시한 바 있다. 또한 “생산자들과 개발자들이 이 프로그램에 참여할 마음이 들도록 하는 인센티브 제도도 마련하라”는 주문도 있었다.
지금 당장의 움직임은 개인 소비자들에 초점이 맞춰져 있다. 하지만 소기업들 역시 중요한 고려 대상이다. “두 집단에는 공통점들이 있습니다. 예외가 가끔 있습니다만 운용할 수 있는 자금이 많지 않고, 따라서 이들의 구매력이 판매자들에게 큰 영향을 주지 않는다는 겁니다. 보안의 측면에서 보면 전문성이 아무래도 덩치 큰 조직보다 떨어지죠. 그러니 개인 소비자들에게 ‘물건 살 때 보안도 고려해서 신중하게 고르세요’라고 가르치려는 프로젝트가 소기업들에도 통할 메시지가 됩니다.” 보안 업체 베라코드(Veracode)의 크리스 와이소팔(Chris Wysopal)의 설명이다.
“소기업들은 소비자용 혹은 개인용 소프트웨어들을 주로 구매하죠. 가격 때문에 기업용을 전혀 선택하지 못하는 상황인 곳이 대부분입니다. 그렇다는 건 이들이 사용하는 소프트웨어 대부분이 고급 보안 기능을 갖추지 못했다는 뜻입니다. 게다가 보안 전문성을 넉넉히 갖추지 못했기 때문에 자체 보안 평가가 불가능하기도 하지요. 개인 소비자들과 소기업들은 보안 등급이 표시되는 것으로부터 큰 이익을 얻을 것으로 보입니다.”
이 ‘라벨링 프로젝트’의 또 다른 목적은 제품을 기획할 때부터 보안 기능을 도입하는 문화를 정착시키는 것이다. 따라서 설계에서부터 개발, 유지에까지 보안이 자연스럽게 녹아들지 않는다면 좋은 등급을 받을 수 없을 것으로 예상된다. NIST가 지난 5월 이와 관련하여 발표한 백서에도 “보안에 대한 다양한 접근 방식을 점검하겠다”는 내용이 있는데, 이 역시 등급을 받기 위한 시험 과정이 녹록치 않겠다는 걸 의미한다. 소비자들의 보안 인식을 높인다는 목적을 가지고 있으니, 시험 기분이 엄격해야 함은 당연하다. 설렁설렁한 기준으로 평가된 점수는 아무도 믿지 않는다.
아직까지 결정된 것에 의하면 미국 내 유통되는 모든 장비와 소프트웨어에 등급 표시가 붙는 건 아니다. 원하는 제조사들만 신청해서 등급을 받을 수 있다. 하지만 그렇기 때문에 등급 표시를 부착한다는 것 자체가 강력한 메시지를 소비자들에게 준다고도 볼 수 있다. “우리는 자신이 있어서 스스로 평가를 신청했다”는 뜻이 되기 때문이다. NIST는 이런 분위기가 확대되는 것 자체를 반길 것으로 보인다. 등급 표시를 부착한 것만으로도 ‘이 회사는 보안에 자신이 있다’는 인식이 퍼지면 제조사들을 압박할 것이기 때문이다.
하지만 와이소팔은 “NIST 내부에서는 평가의 균형성에 대한 고민을 깊이 하고 있을 것”이라고 보고 있다. “너무 엄격하게 평가하면 자발적으로 평가에 임하는 기업들이 줄어들 것이고, 너무 너그럽게 평가하면 보안 등급에 대한 신뢰도 자체가 낮아질 것이니까요. 그래서 처음에는 기본적인 것을 위주로 보면서 평가를 진행하다가 시간이 흐름에 따라 난이도를 높이지 않을까 예상합니다. 모든 정책과 법은 시간에 따라 조금씩 해석과 규모, 엄격함 등이 달라지니까 이상한 일이 아닙니다.”
와이소팔은 기본적인 것만 봐줘도 어디냐는 입장이다. “지금 사물인터넷 시장을 보면 보안이 처참한 수준입니다. 기본 중의 기본을 갖추지 않은 제품들이 거의 대다수라고 보면 됩니다. 하드웨어나 소프트웨어나 모두 마찬가지입니다. 처음부터 평가 난이도를 높이는 건, 지금이 너무 엉망인 상태라 실효를 거두기 어려울 수 있습니다.”
평가에 관한 NIST의 최초 제안은 10월에 발표될 예정이다. 그리고 그에 대한 업계와 대중의 피드백을 연말까지 접수할 것이라고 한다. 머켈은 현 시점에 가장 문제가 되는 건 ‘시간’이라고 말한다. “대통령 행정명령에서 나왔다시피 이번 프로젝트의 목적은 대중들을 교육하는 것입니다. 하지만 일반 소비자들에게 특정 메시지를 전달하고 교육시킨다는 건 대단히 어려운 일입니다. 그런 일의 초석이 될 일을 단 몇 개월 안에 준비한다는 것에 압박이 큽니다.”
3줄 요약
1. 미국의 NIST, 보안을 중요한 요소로 인식시키기 위한 프로젝트 시작.
2. 방법은 사물인터넷 제품과 소프트웨어에 보안 등급 표시를 붙이는 것.
3. NIST는 평가 방법과 실천 계획을 10월까지 수립해야 해서 압박받는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
