Offcanvas

보안

미 군대가 기업에게 배우는 사이버 보안 교훈

2011.07.18 Tim Greene  |  Network World
민간 기업들의 정보보호 전략의 근간이 되는 '민첩성', '라이프사이클 관리' 및 '공급망 보호'가 미 국방부로 확산됐다. 펜타콘이 최근 발표한 새로운 사이버 방어 전략에 '민첩성, 라이프사이클 관리 및 공급망 보호'를 주요 내용으로 담은 것으로 확인됐다. 

미 국방부의 새로운 사이버 방어 전략은 사용자가 직접 컴퓨팅을 보호하도록 하고 네트워크를 설계하며 네트워크를 보호하도록 하는 ‘산업의 베스트 프랙티스’가 될 것으로 기대된다.

미 국방부는 '네트워크 보호를 위한 민간 기업의 프랙티스를 따를 것'을 요구할 방침이다. "미국 국방부는 민간 분야의 자체의 컴퓨팅 기기를 더욱 견고하게 하고 사이버 상태의 베스트 프랙티스를 유지하는 지속적인 리뉴얼 방법을 통합할 것이다"라고 국방부는 밝혔다.

"모든 사람이 모든 상황에 대해 사이버 상태에 대응하도록 연습해야 한다. 개개인들이 그들 자신을 보호하는 데에 집중하는 것은 보안 소프트웨어와 OS를 지속적으로 업데이트하는 것만큼이나 중요하다"는 것이 이 미 국방부가 강조하는 내용이다.

가장 먼저 요구되는 작업은 보안 목표를 달성하기 위한 민간 기업의 노력이다. 예를 들면, 군 네트워크에 영향을 미치는 리스크를 완화시키기 위해 정부와 함께 일하는 ISP들의 노력이 필요하다는 것이다.  

이 전략은 민간 기업계가 공급망을 뒷받침하고 다른 나라들과 기업이 제공하는 제품과 서비스로 야기된 리스크를 최소화할 것을 요구한다. 미 국방부는 가짜 제품 역시 리스크를 일으킨다고 지적했다.

군대는 민간업계가 사용하는  제품 라인에 빠진 네트워크 인프라의 라이프사이클을 단축시킬 것이다. 군대의 네트워크 라이프사이클은 12개월에서 36개월인 반면, 민간 기업의 주기는 7~8년이다.

미 국방부는 민간 영역과 역동성과 새롭게 떠오르는 컴퓨팅 개념을 받아들이기 위해, 국방부의 정보 기술 프로세스 도입에 5가지 이론을 적용하겠다고 밝혔다.

이 이론들은 다음과 같다:

*기술 개발 라이프사이클에 프로세스 도입을 맞춘다

*단일 시스템을 개발하는 것보다는 테스팅과 개발을 더 많이 활용하라.

*도입 시기를 다소 늦추더라도 안전을 중시하라.


*중요한 시스템의 우선순위를 감시 기반 부서의 서로 다른 수준을 부과하라.

*모든 새로운 시스템에 대한 보안 측정 수준을 높여라. “외부에서 침투하도록 허술한 구멍이 있지 확인하라; 테스트 모듈이라도 허락 없이 작동하도록 내버려 두지 말라.”


펜타곤은 보안 훈련을 구상하는 것과 더불어 일부에 대해 무엇에 우선순위를 둘 지에 대해 기업에서 배워야 하는 것들도 언급했다. 이들은 너무 모호해서 직접 취하기에 명확한 단계를 제공하기는 어렵다고 덧붙였다.

*악의적인 공격에 대응하기 위해 훈련하고 더 높은 패널티를 부과해 정보 보호 문화를 구축하라.

*보안 클라우드 컴퓨팅을 활용하라. (문서에는 그것이 클라우드 자원을 얼마나 잘 보호하고 기업 IT보안 전문가들의 도전을 지속할 수 있는 지 자세하게 언급하지 않음)

*보안 아키텍처와 운영 개념을 더 많이 개발하라. (문서는 그들이 무엇을 하는지에 대해서는 자세하게 언급하지 않음)


펜타곤은 인터넷이 작동하는 방법을 변화시키고 방어를 강화할 수 있는 신기술을 빠르게 도입하기 위해 실리콘 밸리의 기술을 도입할 것이라고 밝혔다. “국방부는 시스템의 악의적인 공격에 대한 대응력을 좀더 높이기 위해 새로운 아키텍처를 포함한, 접근을 변환시킬 개념을 널리 퍼뜨릴 것이다. 또한 사이버 공간의 기술적인 기반에 대해 다시 생각할 혁명적인 기술을 추구할 것이다”라고 사이버공간 대응 전략은 언급했다. “그렇게 함으로써 국방부는 새롭고 안전하며 보안할 사이버 공간 역량을 개발하는 선도 과학 연구 기관과 함께 일할 것이다. 그 결과 악의적인 공격에 대응할 것이다”라고 펜타곤은 덧붙였다.

이러한 전략은 특히 신 기술을 개발하는 데 빠르게 행동하는 하이테크 기업들에게 득이 될 수 있다. “국방부는 SMB들에게도 기회를 제공하며 실리콘 밸리와 다른 미국 기술 혁신 허브의 대기업들과도 함께 일할 것이다. 혁신적인 생각에서 빠르게 개념을 전환해 시범 프로그램을 만들고 국방부 전체로 확장해 도입할 것이다”라고 펜타곤은 밝혔다.

이 작업은 대학과 다른 정부 기관들과도 협력해 진행될 예정이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.