미국 연방 정부가 내놓은 클라우드 중심의 상시 개방형 IT운영 체제로의 이전이 가속화되는 가운데 기관의 운영을 책임지는 테크놀로지 전문가
연방 정부 기관들은 더 이상 보안은 (과거에 그러했듯) 주어진 규제만 준수하면 되는, 일차원적 활동이 아니라는 점을 인지하게 됐다. 이제는 네트워크와 시스템에 대한 실시간의 모니터링이 요구되는 시대기 때문이다.
국토안보부와 연방총무청은 상시적 진단 및 해결 프로그램(CDM, Continuous Diagnostics and Mitigation Program)이라는 이름의 활동을 통해 이러한 과정을 규범화 하고 있다. 연방 정부는 CDM 프로그램(이는 현재 다단식 배포의 중간 단계에 와있다)을 통해 자체적으로 상용 보안 툴도 개발하려 하고 있다. 네트워크 전반으로 센서 도달 범위 확장, 결함 검색 자동화, 심각도에 따른 위협의 우선 순위 설정, 대시보드로 정보 전달을 통한 보안 상황 인식 역량 향상 등이 보안 툴 개발을 통해 연방 정부가 목표로 하는 사항들이다.
국토안보부의 연방 네트워크 복원 기능 담당 이사인 존 스트류퍼트는 “승인 권한을 네트워크의 특정 영역을 담당하는 작업자들에게만 제한적으로 제공하는 이러한 대시보드 다층-뷰 시스템을 개발한 배경에는 본부에 엄격한 보안 운영 권한을 보장하기에는 기존의 네트워크가 지나치게 복잡하고 광범위하다는 사실에 대한 기관의 인정이 있었다”고 밝혔다.
지난 주 열린 정부 IT 포럼에서 연사로 나선 스트류퍼트는 “CIO(와 CISO)의 역할은 부서의 보안 상황을 조망하는 것이다. 하지만 실상은 달랐다. 보안 활동은 중심 관리자의 통제를 벗어나 각 팀에 분산돼 이뤄졌다. 우리가 전하고픈 가장 핵심적인 교훈은 조직을 구성하는 모든 사람과 프로세스를 이해하고, 기관에 CDM 팀을 조직하라는 것이다”라고 말했다.
그는 자체 CDM 프로그램을 구성해 보안 부서와 비즈니스 영역에서 진행되는 솔루션 구매 과정의 안전을 담보하고 활동의 성공 여부를 평가하기를 원하는 기관들에게 그들이 고려해봐야 할 몇 가지 사항에 대한 조언도 전했다.
리스크 평가의 표준화
정부가 진행하는 모든 새롭고 열의 넘치는 프로그램(특히 보안과 같은 핵심 영역에서 이뤄지는)들이 그러하듯 CDM 프로그램 역시 책임을 명확히 측정해 배포가 이뤄져야 한다고 스트류퍼트는 강조했다. 그는 CIO와 CISO들에게 조직의 모든 사무국, 현업들이 향후 언제라도 참고할 수 있는 통일된 보안 취약성 평가 기준이 마련 되야 한다고 조언했다.
그는 “조직의 리스크 평가 기준을 표준화하라. 내각의 운영 부서들 사이에 기준의 차이로 인한 소통의 장애가 발생하는 일은 절대 지양해야 한다”라고 말했다.
여기에서 한 발 더 나아가 연방 CIO 위원회(CIO Council)는 이러한 ‘표준 정립’의 개념을 정부 전반으로 확장해 각 부처 간의 유의미한 비교를 가능케 하는 계획도 진행 중이라고 스트류퍼트는 덧붙였다.
안전한 거래 매입과 승인
국무부가 진행한 파일럿 프로젝트에서 스트류퍼트는 CDM 프로젝트가 현업 부성의 참여를 통해 효율을 높일 수 있다는 것을 발견했다.
스트류퍼트는 “CDM 프로그램에서는 등급 보고가 운영 보안의 책임자인 테크놀로지 리더와 보안 사고로 인한 잠재적인 직접 피해자가 될 수 있는 현업 관리자에게 동시에 이뤄졌다”라고 소개했다.
그 결과 조직을 구성하는 각 세부 부서의 부서장들은 자신들의 업무에 핵심적인 영향을 미치는 시스템과 관련한 취약성에 대해 이해할 수 있게 됐고, 보안이라는 개념을 더 이상 추상적인 문제로 받아들이지 않게 되며 IT 담당자들과 보다 긴밀한 관계를 구축할 수 있게 됐다.
스트류퍼트는 “등급 보고를 조직 전체에 전달하는 것은 조직의 모든 부분에 영향을 미칠 수 있는 리스크에 모든 구성원이 집중할 수 있도록 하는 가장 효과적인 방법이다”라고 설명했다.
그는 “보고가 보안 책임자를 넘어 보다 넓은 대상에게 이뤄진다 해도, 대시보드의 승인 수준을 설정함에 있어서는 주의를 기울일 필요가 있다. 누가 대시보드에, 그리고 그와 관련한 내부 보안에 접근할 것인지를 신중히 고민하라”고 덧붙였다.
성적표 전략
연방 정부의 보안 상황을 개선하고 주요 데이터와 시스템을 해커로부터 차단하는 것이 바로 CDM의 궁극적인 목표임을 부정하는 이는 없을 것이다.
하지만 정부가 진행하는 여느 대규모 변혁들과 마찬가지로 여기에도 일부 문화적 저항은 불가피했다. 이러한 저항은 그것을 다루는 이들을 때론 긍정적인 방향으로, 때론 부정적인 방향으로 자극하기도 한다.
변혁의 흐름이 직원들의 의욕을 북돋우는 자극제가 되도록 하기 위해 스트류퍼트가 제안하는 방법은 기관이 도입한 프로그램의 진행 상황을 평가하는 시스템을 적용하는 것이었다. 그는 “가장 큰 위협에 가장 큰 점수를 매기는 평가 프로그램을 개발한다면 낡은 시스템에 패치를 적용하는 과정을 좀더 효율적으로 진행할 수 있을 것이다. 구형 인터넷 익스플로러를 이용하는 워크스테이션들은 자신들의 자리가 ‘위협 점수 100 점’ 명단에 올라와 있는 것을 확인할 것이기 때문이다”라고 말했다.
이렇게 쌓인 점수는 기관 평가에 불이익을 주는 기준으로 삼는다면 비즈니스, 기술 부문 모두에게 리스크 관리에 관한 경각심을 일깨우고 교정을 행하게 하는 자극제가 될 것이라고 스트류퍼트는 설명했다.
유예 기간 제공
스트류퍼트는 또 CDM 시스템을 무작정 보안 운영의 주요 과정에 도입하기보단 사전 시험 운영을 거쳐볼 것을 CIO들에게 조언했다. 센서들의 대시보드 연결 상태 등을 확인, 조정하는 이 ‘유예 기간’은 6개월 정도가 적당할 것이라고 그는 제안했다.
그는 “(이 기간은) LAN 관리자와 보안 책임자들이 네트워크의 모든 기기에 대한 소유권이 확보되었음을, 그리고 센서들에 문제 가능성이 없음을 확인하게 하는 기간이 될 것이다”라고 유예 기간의 필요성을 설명했다.
일간 모니터링 시행
CDM 프로그램의 핵심은 ‘네트워크 속도’로 꾸준히 실시간으로 모니터링할 수 있다는 점이다. 이를 통해 정부는 리스크 상황에 대한 좀더 유연하고 탄력적인 대응 역량을 확보하게 될 것이다. 그러나 이를 위해 기관들은 네트워크 센서가 포착하는 위협 정보를 보다 효율적으로 분석하는 역량도 갖춰야 한다.
스트류퍼트는 “지금껏 소개한 모든 내용들이 공통적으로 제공하는 가치는, 우리가 지닌 리스크에 대한 보다 상시적인 이해와 접근을 가능하게 한다는 것이다. ‘이해하면 해결할 수 있다’라는 정부의 금언은 사이버 보안에도 마찬가지로 적용된다”라고 말했다.
그는 “이제는 의회에 매 3년마다 제출했던 보안 문제 보고서를 매일 제출할 수도 있게 됐다”라고 덧붙였다.
*Kenneth Corbin은 워싱턴 DC에 거주하며 정부 및 규제 이슈와 관련해 CIO닷컴에 기고문을 쓰고 있다. dl-ciokorea@foundryco.com
