바이든 행정부의 사이버 보안 이니셔티브는 사이버 보안 복원력을 개선하는 것을 목표로 하고 있다. 그런 의미에서 ‘방어 가능하고 탄력적인 생태계’를 조성하기 위한 규정과 조치가 최근 늘어나고 있다.
바이든 행정부는 소프트웨어 및 공급망 보안, 제로 트러스트 및 인시던트 보고 등에 대한 미국의 사이버 보안 요구사항을 지속적으로 개발하고 있다. 이러한 프로젝트에는 종종 언급되지는 않으나 상당히 중요한 목표가 있다. 국가의 필수 인프라 사이버 보안의 회복 탄력성을 개선하는 것이다.
미국 국립표준기술연구소(The US National Institute of Standards and Technology, NIST)는 사이버 보안 회복 탄력성(cybersecurity resilience)을 ‘사이버 리소스를 사용하거나 이를 통해 활성화되는 시스템에 대한 불리한 조건, 스트레스, 공격 또는 손상을 예측, 견디고, 복구하고, 이에 적응하는 능력’으로 정의한다. 이때 사이버 보안 회복 탄력성의 핵심 목적은 ‘경쟁이 치열한 사이버 환경에서 사이버 리소스에 의존하는 미션 혹은 비즈니스 목표를 달성할 수 있도록 하는 것’이다.
회복 탄력성의 개념은 산업 사이버 보안 분야에서 상당히 중요한 문제다. 사이버 사고가 재앙적 결과를 가져올 수 있다는 점에서 특히 그렇다. 보안 컨설팅 기업 엠피어 인더스티얼 시큐리티(Ampere Industrial Security)의 CEO인 패트릭 밀러는 CSO와의 인터뷰를 통해 “회복 탄력성이란 공격을 견뎌내고 생존에 필요한 충분한 서비스 기능을 유지할 수 있는 능력”이라고 표현했다.
또한 그는 “모든 네트워크에서 분리되어 주변 영역이 공격을 받고 복구되는 동안 ‘터틀 모드(turtle mode)’로 가는 경우가 일반적이다. 이러한 작업은 안전 케이지(safety cage), 에어백, 크럼플 존(crumple zones), 자동차의 시어어웨이 드라이브트레인(shear-away drivetrain) 처럼 의도적인 설계를 필요로 한다. ‘터틀 모드’는 ‘인텔리전트 아일랜딩(intelligent islanding)’와 기본적으로 아이디어는 동일하다. 방대한 양의 계획 및 테스트 외에도 시스템에 대한 깊은 이해와 장기간에 걸쳐 시스템을 거의 수동적으로 작동하는 방법에 의존한다”라고 설명했다.
회복 탄력성은 광범위한 노력이 필요하다
회복 탄력성이라는 용어는 광범위한 개념을 담고 있다. 따라서 대부분 조직이 사이버 사고로부터 자신을 보호하고 사이버 사고를 완전히 피하기 위한 다양한 노력의 일부로 회복 탄력성이 자주 언급된다.
미국 국가 사이버 국장실(US Office of the National Cyber Director)의 국가사이버국장 대행인 켐바 월든은 신기술을 위한 규정을 비롯해 사이버 보안 회복 탄력성 개선을 위한 새로운 표준 및 공개 요건을 만드는 것의 어려움에 관해 이야기했다.
그는 바이든 행정부의 국가 사이버 보안 전략(National Cybersecurity Strategy)에 대해 “우리의 가치에 부합하는 방어 가능하고 탄력적인 사이버 생태계를 달성하기 위해 두 가지 근본적인 변화를 꾀할 수 있다. 이러한 근본적인 변화는 사이버 보안 방어에 대한 책임의 균형을 재조정하는 한편, 방어 가능하고 회복력 있는 생태계라는 목표를 달성하기 위한 것이다”라고 언급했다.
사이버 회복 탄력성 투자의 목표는 결국 모든 조직이 공평한 경쟁의 장에 서도록 모든 사람을 위한 기준선을 높여 취약점을 없애는 것이다. 그는 “보안 기준선에 대한 최소한의 항목을 높이기 위해 새로운 규정을 시행하는 동시에 현재 존재하는 규정을 조화시키고 있다. 기업에게 사이버 보안 요구 사항이나 사이버 보안 기준선을 충족하고 있다는 것을 증명하라고 반복해서 요구한 다음 체크박스에 체크한 후 일관성 없는 방식으로 이행하는 것은 비효율적이다”라고 지적했다.
대부분의 소프트웨어는 안전하지 않다
국가안전보장회의(National Security Council)의 사이버 및 신기술 담당 국가안보 부보좌관인 앤 뉴버거는 소프트웨어 대다수가 안전하지 않기 때문에 사이버 보안 사고가 발생하는 경우가 많다고 설명했다. 그는 “소프트웨어는 안전하게 구축되지 않았다. 빠르게 배포되고 소프트웨어 기준에 대한 요구사항이 없다”라고 설명했다. 바이든 대통령이 취임한 지 5개월 만에 연방정부 계약 요건에 안전한 소프트웨어 개발을 의무화하는 포괄적인 행정명령을 내린 이유는 여기에 있다고 그는 강조했다.
그는 “해당 명령은 이전에는 잘 사용하지 않았던 정말 강력한 도구다. 우리가 구매하는 모든 기술(기업 및 정부기관은 동일한 이메일 소프트웨어, 워드 프로세싱 소프트웨어 등을 구매하고 있다)이 특정 기준을 충족할 것을 요구할 것이다”라고 이야기했다.
최근 주목받는 사이버 보안 회복 탄력성 위협 요소에는 인공지능이 있다. 인공지능은 많은 사회적 이점을 제공함에도 불구하고 멀웨어 프로그램 딜리버리(program delivery) 가속화에 악용될 수 있다고 뉴버거는 설명한다.
뉴버거는 “공격자들이 더욱 신속하게 악성 코드를 생성하고 현재의 사이버 보안 기술이 탐지하는 것을 더욱 어렵게 하기 위해 조정 가능한 다형성 코드를 생성하고 있으며, 그 과정에서 AI가 도입되고 있다”라고 지적했다.
또한 그는 “바이든 행정부가 아직 이러한 위협을 해결하기 위한 조치를 도입하지는 않았으나, 백악관은 대통령이 할 수 있는 일과 의회와 협력해야 할 분야를 결정하기 위해 빠른 정책 프로세스를 검토하고 있다”라고 설명했다.
실현 가능한 사이버 회복 탄력성 정책을 시행해야 한다
미 증권거래 위원회(Securities and Exchange Commission, SEC) 집행부 이사인 거비 그뤼얼은 “사이버 회복 탄력성은 침해 및 사이버 사고가 발생할 가능성이 높으며 기업이 이때 적절히 대응할 준비 태세를 갖춰야 한다는 것을 인식하는 개념이다. 이는 ‘만약’의 문제가 아닌 ‘언제’의 문제다. 공기업, 브로커 딜러, 투자 자문가와 같은 SEC 등록자가 수많은 기업 및 개인에 대한 상당한 양의 전자 데이터를 보유하고 있는 우리 분야에서는 더욱 그렇다”고 지적했다.
또한 그는 “업계에서 사이버 사고 예방 및 대응을 위해 최선을 다하고 있다. 그러나 기업들은 현실 세계에서 작동하는 실질적인 정책을 마련하고 실제로 이러한 정책을 시행해야 한다. 항목 체크하기 같은 일반적인 기존 사이버 보안 정책으로는 충분치 않다”라고 언급했다.
그뤼얼은 최근의 SEC 집행 조치를 강조하며 “SEC 요구사항과 관련해 일부 기업은 립서비스만 하고 있다”라고 지적했다. SEC 관할 하에 있는 기업의 자문가는 이러한 최근 조치 중 일부를 살펴보아야 한다고 그는 제안한다. 그는 “이는 훌륭한 컴플라이언스가 무엇이며 등록자가 사이버 보안 의무과 관련해 어디에서 어떻게 미달했는가를 명확히 설명하고 있다”라고 언급했다.
신뢰할 수 있는 인프라를 전 세계에 배포하기
미 국무부 사이버 담당 대사인 네이트 픽은 국제적 차원에서의 사이버 보안 신뢰성의 중요성을 강조했다. 그는 “기술은 우리 삶의 모든 측면을 변화시키고 있다. 또한 외교 정책의 모든 부분을 변화시키고 있다. 우리는 내년 말까지 전 세계 모든 미국 대사관에 숙련된 사이버 및 디지털 담당자를 두는 절차를 준비하고 있다”고 설명했다.
또한 그는 “미국 및 소수의 동맹국들이 30년 전 통신 기술 분야에서 ‘막강한 우위’를 점했으나, 기업의 주의 산만, 정부의 안일함, 중국 정부의 전 세계 화웨이 및 ZTE에 대한 불법 보조금으로 인해 중국이 현재 이 분야를 지배하고 있다. 이로 인해 미국은 어려움을 겪고 있다. 5G, 케이블, 광섬유, 데이터 센터 및 위성을 포함해 신뢰할 수 있는 인프라를 가능한 한 어디에나 배포하는 게 목표다. 이 모든 게 스마트폰 혹은 집으로 들어오는 인터넷의 핵심이다”고 언급했다.
우크라이나는 사이버 보안 복원력, 특히 산업계와 정부 간의 협력적인 관계 구축과 관련하여 따라야 할 훌륭한 사례다. 픽은 “러시아는 우크라이나에 엄청난 사이버 공격을 가했으나 성공하지 못했다. 실패 이유는 우크라이나 정부, 타국 정부, 기업 간의 긴밀한 피드백 과정을 통해 패치 및 업데이트를 실시간으로 푸시 해 공격을 무력화시켰기 때문이다”라고 설명했다.
사이버 보안 업계에서 이런 협업은 혁신적이었다. 픽은 “우크라이나 정부가 열정적이고 젊으며 기술적 역량을 갖춘 유능한 이들을 정부로 데려와 문제 해결한 방식은 우리 모두 배워야 한다”고 설명했다.
2007년 러시아의 대규모 사이버 공격을 받은 에스토니아는 그 이후에는 사이버 보안 순 수입국에서 사이버 보안 순 수출국으로 성장했다. 에스토니아의 사례를 보면 우크라이나는 현재의 위기를 기회로 삼아 어려운 상황에서도 디지털 거버넌스를 선도하는 세계적인 리더가 될 수 있다. 픽은 “해당 목표를 달성하기 위해서는 많은 어려움이 있지만, 충분히 달성할 만한 가치가 있다”라고 언급했다.
dl-ciokorea@foundryco.com
