2014.08.28

美 연방 CIO들이 구상 중인 보안 모니터링 개선 계획 5선

Kenneth Corbin | CIO


미국 연방 정부가 내놓은 클라우드 중심의 상시 개방형 IT운영 체제로의 이전이 가속화되는 가운데 기관의 운영을 책임지는 테크놀로지 전문가들이 가장 많은 신경 쓰는 영역 가운데 하나는 단연 보안이다.

연방 정부 기관들은 더 이상 보안은 (과거에 그러했듯) 주어진 규제만 준수하면 되는, 일차원적 활동이 아니라는 점을 인지하게 됐다. 이제는 네트워크와 시스템에 대한 실시간의 모니터링이 요구되는 시대기 때문이다.

국토안보부와 연방총무청은 상시적 진단 및 해결 프로그램(CDM, Continuous Diagnostics and Mitigation Program)이라는 이름의 활동을 통해 이러한 과정을 규범화 하고 있다. 연방 정부는 CDM 프로그램(이는 현재 다단식 배포의 중간 단계에 와있다)을 통해 자체적으로 상용 보안 툴도 개발하려 하고 있다. 네트워크 전반으로 센서 도달 범위 확장, 결함 검색 자동화, 심각도에 따른 위협의 우선 순위 설정, 대시보드로 정보 전달을 통한 보안 상황 인식 역량 향상 등이 보안 툴 개발을 통해 연방 정부가 목표로 하는 사항들이다.

국토안보부의 연방 네트워크 복원 기능 담당 이사인 존 스트류퍼트는 “승인 권한을 네트워크의 특정 영역을 담당하는 작업자들에게만 제한적으로 제공하는 이러한 대시보드 다층-뷰 시스템을 개발한 배경에는 본부에 엄격한 보안 운영 권한을 보장하기에는 기존의 네트워크가 지나치게 복잡하고 광범위하다는 사실에 대한 기관의 인정이 있었다”고 밝혔다.

지난 주 열린 정부 IT 포럼에서 연사로 나선 스트류퍼트는 “CIO(와 CISO)의 역할은 부서의 보안 상황을 조망하는 것이다. 하지만 실상은 달랐다. 보안 활동은 중심 관리자의 통제를 벗어나 각 팀에 분산돼 이뤄졌다. 우리가 전하고픈 가장 핵심적인 교훈은 조직을 구성하는 모든 사람과 프로세스를 이해하고, 기관에 CDM 팀을 조직하라는 것이다”라고 말했다.

그는 자체 CDM 프로그램을 구성해 보안 부서와 비즈니스 영역에서 진행되는 솔루션 구매 과정의 안전을 담보하고 활동의 성공 여부를 평가하기를 원하는 기관들에게 그들이 고려해봐야 할 몇 가지 사항에 대한 조언도 전했다.

리스크 평가의 표준화
정부가 진행하는 모든 새롭고 열의 넘치는 프로그램(특히 보안과 같은 핵심 영역에서 이뤄지는)들이 그러하듯 CDM 프로그램 역시 책임을 명확히 측정해 배포가 이뤄져야 한다고 스트류퍼트는 강조했다. 그는 CIO와 CISO들에게 조직의 모든 사무국, 현업들이 향후 언제라도 참고할 수 있는 통일된 보안 취약성 평가 기준이 마련 되야 한다고 조언했다.

그는 “조직의 리스크 평가 기준을 표준화하라. 내각의 운영 부서들 사이에 기준의 차이로 인한 소통의 장애가 발생하는 일은 절대 지양해야 한다”라고 말했다.

여기에서 한 발 더 나아가 연방 CIO 위원회(CIO Council)는 이러한 ‘표준 정립'의 개념을 정부 전반으로 확장해 각 부처 간의 유의미한 비교를 가능케 하는 계획도 진행 중이라고 스트류퍼트는 덧붙였다.




2014.08.28

美 연방 CIO들이 구상 중인 보안 모니터링 개선 계획 5선

Kenneth Corbin | CIO


미국 연방 정부가 내놓은 클라우드 중심의 상시 개방형 IT운영 체제로의 이전이 가속화되는 가운데 기관의 운영을 책임지는 테크놀로지 전문가들이 가장 많은 신경 쓰는 영역 가운데 하나는 단연 보안이다.

연방 정부 기관들은 더 이상 보안은 (과거에 그러했듯) 주어진 규제만 준수하면 되는, 일차원적 활동이 아니라는 점을 인지하게 됐다. 이제는 네트워크와 시스템에 대한 실시간의 모니터링이 요구되는 시대기 때문이다.

국토안보부와 연방총무청은 상시적 진단 및 해결 프로그램(CDM, Continuous Diagnostics and Mitigation Program)이라는 이름의 활동을 통해 이러한 과정을 규범화 하고 있다. 연방 정부는 CDM 프로그램(이는 현재 다단식 배포의 중간 단계에 와있다)을 통해 자체적으로 상용 보안 툴도 개발하려 하고 있다. 네트워크 전반으로 센서 도달 범위 확장, 결함 검색 자동화, 심각도에 따른 위협의 우선 순위 설정, 대시보드로 정보 전달을 통한 보안 상황 인식 역량 향상 등이 보안 툴 개발을 통해 연방 정부가 목표로 하는 사항들이다.

국토안보부의 연방 네트워크 복원 기능 담당 이사인 존 스트류퍼트는 “승인 권한을 네트워크의 특정 영역을 담당하는 작업자들에게만 제한적으로 제공하는 이러한 대시보드 다층-뷰 시스템을 개발한 배경에는 본부에 엄격한 보안 운영 권한을 보장하기에는 기존의 네트워크가 지나치게 복잡하고 광범위하다는 사실에 대한 기관의 인정이 있었다”고 밝혔다.

지난 주 열린 정부 IT 포럼에서 연사로 나선 스트류퍼트는 “CIO(와 CISO)의 역할은 부서의 보안 상황을 조망하는 것이다. 하지만 실상은 달랐다. 보안 활동은 중심 관리자의 통제를 벗어나 각 팀에 분산돼 이뤄졌다. 우리가 전하고픈 가장 핵심적인 교훈은 조직을 구성하는 모든 사람과 프로세스를 이해하고, 기관에 CDM 팀을 조직하라는 것이다”라고 말했다.

그는 자체 CDM 프로그램을 구성해 보안 부서와 비즈니스 영역에서 진행되는 솔루션 구매 과정의 안전을 담보하고 활동의 성공 여부를 평가하기를 원하는 기관들에게 그들이 고려해봐야 할 몇 가지 사항에 대한 조언도 전했다.

리스크 평가의 표준화
정부가 진행하는 모든 새롭고 열의 넘치는 프로그램(특히 보안과 같은 핵심 영역에서 이뤄지는)들이 그러하듯 CDM 프로그램 역시 책임을 명확히 측정해 배포가 이뤄져야 한다고 스트류퍼트는 강조했다. 그는 CIO와 CISO들에게 조직의 모든 사무국, 현업들이 향후 언제라도 참고할 수 있는 통일된 보안 취약성 평가 기준이 마련 되야 한다고 조언했다.

그는 “조직의 리스크 평가 기준을 표준화하라. 내각의 운영 부서들 사이에 기준의 차이로 인한 소통의 장애가 발생하는 일은 절대 지양해야 한다”라고 말했다.

여기에서 한 발 더 나아가 연방 CIO 위원회(CIO Council)는 이러한 ‘표준 정립'의 개념을 정부 전반으로 확장해 각 부처 간의 유의미한 비교를 가능케 하는 계획도 진행 중이라고 스트류퍼트는 덧붙였다.


X