영국 국가 기반 기설(critical national infrastructure, CNI) 목록에 데이터센터가 추가되면서 에너지 및 수도 시스템과 함께 클라우드 및 온프레미스 환경에도 추가 보호 조치가 이뤄질 전망이다.
영국 정부가 지난 12일(현지시각) 데이터센터를 CNI 목록에 추가했다. 2015년 우주 및 국방 부문을 추가한 이후 CNI 목록의 변화는 처음 있는 일이다.
피터 카일 영국 기술부 장관은 성명에서 “데이터센터를 수도, 에너지, 응급 서비스 시스템과 동등한 위치에 두는 것은 데이터센터가 이제 중요한 사고로부터 회복하고 예측하는 데 있어 정부 지원을 더 많이 기대할 수 있다는 의미다. 영국에서 사업을 시작하는 기업이 더 안심할 수 있고 모두를 위한 경제 성장을 촉진하는 데 도움이 될 것”이라고 밝혔다. 카일 장관은 “CNI 지정은 예를 들어 잠재적 위협을 모니터링하고 예측하는 고위 정부 관리로 구성된 전담 CNI 데이터 인프라 팀을 설치하고, 국가 사이버 보안 센터를 포함한 보안 기관에 우선 액세스를 제공하며, 사고 발생 시 응급 서비스에 대한 접근을 조정할 수 있다”라고 전했다.
영국 정부는 물리적 데이터센터와 마이크로소프트, AWS, 구글 클라우드와 같은 클라우드 업체를 CNI 지정 대상에 포함했다.
카일 장관은 성명에서 “예를 들어 중요한 NHS 환자 데이터를 호스팅하는 데이터센터에 대한 공격이 발생할 경우, 정부는 환자 예약이나 수술 등 필수 서비스의 피해 위험을 완화하기 위한 비상 계획이 마련되도록 개입할 것”이라고 밝혔다.
한편 지난 10일 아마존은 영국 데이터센터에 대규모 투자를 단행한 바 있다.
신뢰도 향상 기대
영국 정부는 CNI 지정으로 인한 새로운 보호 조치가 영국에 투자를 고려하는 기업들의 신뢰를 높일 것으로 기대하고 있다.
영국 정부는 추가 보호 조치로 정전, 사이버 공격, 악천후 시 영국에 저장된 데이터가 손상될 가능성이 줄어들 것이라고 밝혔다. 하지만 실제 가치가 낮은 표적에 대한 사이버 공격을 막는 데는 도움이 될지 몰라도, 데이터센터에 국가 행위자가 관심을 갖는 데이터나 피싱 또는 랜섬웨어 공격의 대상이 되는 고가치 정보가 있는 경우 큰 차이를 만들지는 못할 가능성이 높다.
사이버 보안 컨설팅 회사 조지타운 그룹의 창립 파트너이자 전 FBI 요원인 에릭 오닐은 영국의 지정과 지원 서비스가 “사이버 공격 횟수를 줄일 가능성은 낮다”라며 “이번 지정이 공격을 막는 데 도움이 되지는 않을 것”이라고 말했다.
오닐은 오히려 공격자들을 도발함으로써 정반대의 영향이 나타날 가능성이 높다고 주장했다. 그는 “공격자들은 자신들이 얼마나 대단한지 알리기를 원한다. 온라인에서 친구들과 함께 화젯거리를 만드는 것에 대해 자부심을 갖는다”라고 지적했다.
전 정부 변호사이자 현재 언스트앤영(EY)의 상무이사인 브라이언 레빈은 영국의 조치가 바람직하다고 언급하면서도, 제공할 지원의 세부 사항을 구체적으로 명시하지 않았기 때문에 “문제는 세부 사항에 있다”라고 말했다.
용어의 남용
레빈은 “’중요 인프라’라는 용어가 정부에 의해 자주 남용된다. 중요 인프라의 정의는 다소 모호하다. 이 경우 데이터센터를 포함하는 것은 타당할 수 있지만, 정부가 실제로 무엇을 할 것인지에 달려 있다”라고 설명했다.
예를 들어 미국은 광범위한 중요 인프라 분야를 명시하고 있지만 데이터센터를 지정하지는 않았다. 하지만 정보 기술, 의료, 금융 서비스 등 거의 모든 주요 클라우드 환경에 절대적인 영향을 미칠 수 있는 다양한 분야를 지정하고 있다.
레빈은 “고객 정보의 일부에서 이러한 분야를 포함하지 않는 데이터센터는 거의 없다”라고 말했다.
다른 정부 차원의 보안 노력과 마찬가지로, 이는 데이터센터의 보안이 취약한 기업에만 도움이 될 가능성이 높다. 레빈은 “데이터센터에 이미 합리적인 보안과 이중화가 갖춰져 있다면 별다른 영향이 없을 수 있다. 소규모 기업에는 큰 영향을 미칠 수 있지만, 그렇다고 모든 대기업이 고객이 원하는 수준의 보안을 갖추고 있다고 가정해서는 안 된다”라고 말했다.
포레스터의 선임 애널리스트인 앨빈 응우옌 역시 영국의 조치를 칭찬했지만, 실질적으로 상황을 변화시킬 것인지에 대해서는 회의적이라고 밝혔다.
응우옌은 “이번 조치가 큰 변화를 가져올 가능성은 낮다. 대규모 조직이나 국가의 사이버 공격에는 이미 상당한 자원이 뒷받침되고 있다. 정부 자원을 동원할 수 있다는 점은 도움이 되겠지만 데이터센터의 중요한 디지털 시스템에 대한 사이버 공격을 없애지는 못할 것이다. 이로 인해 모범 사례가 개선된다면 데이터센터를 활용하는 기업이 피싱과 같은 단순한 공격을 완화하는 데 도움이 될 수 있지만, 데이터센터의 고가치 표적에 대한 더 크고 조직적인 공격은 막기 어렵다. 향후에는 데이터센터에 대한 더 나은 방어 체계로 발전해 실제 사이버 위험을 줄일 수 있더라도 아직까지는 확실하지 않다”라고 말했다.
CNI 조치의 영향력
응우옌은 영국의 조치가 다른 정부로 하여금 유사한 조치를 취하도록 영향을 미칠 수 있다고 말했다.
그는 “상황에 대한 관심을 불러일으키고 데이터센터 보안의 위험과 어려움에 대한 가시성을 제공하는 공공 차원의 조치다. 사이버 위험을 즉각적으로 줄이는 데는 영향을 미치지 않을 수 있지만, 첫 단계로 간주하고 현재 및 미래의 사이버 공격에 대한 새로운 모범 사례 개발과 함께 후속 조치를 취한다면 다른 국가들도 같은 조치를 취할 것으로 예상한다”라고 전했다.
한편 영국 정부의 성명서는 CNI가 어떤 종류의 문제를 완화할 수 있는지 보여주는 사례로 크라우드스트라이크 서비스 중단 사태를 언급했다.
카일 장관은 “올 여름 초 크라우드스트라이크 사태은 환자의 예약 세부 정보, 처방전, 건강 기록을 보유한 소프트웨어에 영향을 미쳐 1차 의료 기관 60%에 영향을 미쳤으며, IT 및 사이버 위협이 사람들의 삶에 미치는 치명적인 영향을 보여줬다. 현재 영국은 서유럽에서 최다 데이터센터를 보유하고 있다”라고 설명했다. dl-ciokorea@foundryco.com
