Offcanvas

CIO / CSO / 보안 / 분쟁|갈등

바이든의 사이버 보안 행정 명령 초안··· 전문가들 평가는 “실효성 글쎄”

2021.04.12 Cynthia Brumfield  |  CSO
러시아 해커들이 솔라윈즈(SolarWinds) 공급망 해킹을 통해 미국의 민간 및 정부 부문 전반에 걸쳐 맬웨어를 심었다는 파이어아이(FireEye)의 발표가 미국의 정부 및 IT 분야를 강타했다. 그러나 아직 출발 단계인 바이든 행정부는 이 침투에 대해, 그리고 1월 중국발로 추정되는 마이크로소프트 익스체인지(Microsoft Exchange) 서버 소프트웨어에 대한  공격에 대해 어떻게 대응할지 함구해 왔다. 

행정부가 적어도 수 주 동안 이들 사이버 보안 사안을 해결하기 위한 공식적인 행정 명령(EO ; executive order)을 발하지는 않을 것으로 보도됐다. 그러나 새로운 국토안보부(DHS) 장관 알레한드로 마요카스는 행정부가 해당 명령에 대한 약 12가지 조치를 수립하고 있음을 내비쳤다. 

그런데 해당 명령에 대한 일부 세부사항이 유출된 이후 많은 주요 사이버 보안 전문가들 사이에서 비판이 이어지고 있다.

EO로 인해 유출 보고, 소프트웨어 표준, 기초 사례가 필요하다
일부 언론인들이 입수한 행정 명령 초안에 따르면 정부 부서와 계약한 기업은 자체 네트워크 및 소프트웨어에 대한 공격 발견 후 며칠 안에 이를 연방정부 당국에게 보고해야 한다. 이는 EU의 GDPR에 따라 데이터 유출 발견 시 72시간 이내에 규제 당국에 보고해야 하는 것과 매우 유사하다. 

보도에 따르면 관련된 정부 당국은 보고된 데이터를 DHS의 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency, CISA)으로 전달하게 된다. 

이번 명령에는 또 연방 당국자들이 데이터 암호화와 이중 인증을 포함하여 특정 소프트웨어 표준 충족 및 기본 보안 지침을 요구해야 한다는 내용이 담겨 있다. 아울러 해당 명령에 따라 표면상으로 소프트웨어 제공업체는 빌드(Build) 시스템을 보호해야 한다. 소프트웨어의 인터넷 연결을 차단하고 해당 시스템을 개발한 개발자의 신원을 추적하는 방식을 통해서다.

EO는 클라우드를 인식하고 새로운 사고방식을 도입해야 한다
초기 버전의 EO를 본 한 사이버 보안 관계자는 다음과 같이 지적했다.

“우선, 클라우드 측면에 대해 충분히 인식하고 있지 않다는 생각이 들었다. 클라우드는 분명 미래의 공격에 대해 증가하는 벡터(Vector)가 될 것이다. 위험 영역의 세부사항에 대한 적절한 정보가 부족한 듯 보인다.”

그는 이어 “보안 표준도 좋고 안전한 개발도 좋다. 중요하다. 우리는 이에 관해 20년 동안 논쟁했다. EO 전체를 보지는 못했지만 안전한 개발에 대한 이 새로운 정책이 이전의 시도에서 어떤 교훈을 얻었는지 제대로 알지 못하고 있다는 점이 우려스럽다”라고 덧붙였다.

또한 그는 필수적인 소프트웨어와 필수적이지 않은 소프트웨어가 어떻게 정의되었는지에 관한 우려도 표명했다. “정확히 무엇이 필수적인 소프트웨어를 의미하는지 명확할 필요가 있다”라는 설명이다.

이 밖에 EO는 오래된 보안 방법에 의존하는 대신에 새로운 사고방식에 집중해야 한다고 그는 주문했다. “EO를 통해 ‘우리가 이 문제에 관해 다르게 생각해 보아야 한다. 단순히 사람들에게 무슨 일을 해야 하는지 제시하는 것만으로는 부족하다’라는 이야기가 나왔으면 좋을 것이다. 그러나 그렇게 될 가능성은 높지 않아 보인다”라고 그는 지적했다.

의무적인 유출 보고로 시간이 낭비될 수 있다
일부 전문가들은 의부적인 유출 보고 요건에 의한 부담, 특히 소프트웨어 및 하드웨어 제공자들이 사건 발생 후 며칠 내에 의무적으로 보고해야 하는지 경우에 관해 우려하고 있다. 

트러스티드섹(TrustedSec)의 연구 사례 책임자 카를로스 페레즈는 “긍정 오류가 많이 발생하기 때문에 우리는 매우 신중해야 한다. 예를 들어, 보고 요건이 3일 이내라고 한다면 시간이 짧다. 보안팀이 없는 소규모 기업에게는 특히 충분하지 않을 것이다”라고 말했다.

그는 이어 “누군가 이메일을 열었을 때 ‘이것이 정말로 악성이었는지 찾아내는 기한이 3일뿐인다’ 라고 생각할 수도 있을 것”이라고 밝혔다.

레드 벌룬 시큐리티(Red Balloon Security)의 설립자 겸 CEO 앙 쿠이도 그렇게 생각한다. 그는 “많은 사람들의 시간이 낭비될 것이다. 긍정 오류가 실제로 나타난다. 진짜 중요한 인프라의 보안 개선을 위해 우리가 정말로 해야 할 일이 무엇일까? 단순히 추가적인 비용과 요식 체계와 서류 작업만 발생할 뿐이다”라고 말했다.

쿠이는 이어 “이런 보안을 실제로 개선시키는 일을 해야 한다고 생각한다. 과거에 발생했던 같은 종류의 소프트웨어 공급망 해킹을 방지하는 것이 실질적인 보안에 도움이 되지 않을 수 있는 이유는 많다. 하지만 기본적으로 어제 있었던 일이 발생하지 않도록 하는 법안을 통과시키자고 말하는 것과 같다”라고 말했다.

쿠이는 소프트웨어 빌드 요건을 의무화하고 소프트웨어를 개발한 사람을 추적하는 것에 대해서도 비판적이다. “인간을 추적한다고 해서 그 사람이 안전한 코드를 작성하는 것이 아니다. 많은 시간과 자원이 낭비될까? 아마도 그럴 것이다”라고 그는 말했다.

정부가 같은 보안 실수를 반복할까?
사이버 정보 기업 프리베일리언(Prevailion)의 설립자 겸 CEO 카림 히자지는 연방 정부가 과거와 같은 실수를 반복할 수도 있다고 지적했다. 그는 “실수가 반복될까 봐 걱정스럽다. 산업의 성촉절(Groundhog Day )이 다시 한 번 오는 셈이다. (DHS 내부에서 개발된 상황 인식 시스템인) 아인슈타인(Einstein)이 온라인으로 연결되는 것을 보면서 정보 공유에 도움이 될 것이라는 희망을 가졌던 적 있다. 그러나 현실을 시간과 돈만 낭비되었을 뿐이었다”라고 말했다.

실제 문제는 시스템의 취약성을 확인하는 것이 아니라 적이 이미 네트워크 안에 들어와 있는 것이며, 히자지는 실제로 모든 주요 조직의 상황이 이렇다고 말했다. 

히자지는 바이든 행정부의 EO가 더 나은 사이버 보안에 도움이 될 것이라고 생각하지 않는다고 잘라 말했다. 그는 “이 단계에서는 같은 사람들에게 같은 각본을 반복해서 꺼내 보라고 요구하는 것과 마찬가지다. 더 어려운 문제를 해결해야 한다”라고 말했다.

다른 많은 사이버 보안 전문가들과 마찬가지로 히자지는 연방 정부가 솔라윈즈나 마이크로소프트 익스체인지 규모의 해킹을 감당할 수 있다고 보지 않았다. 

그는 다음과 같이 말했다.

“솔라윈즈 사태가 발생했을 때, CISA와 통화하고자 했다. 그러나 그들은 스스로 해킹을 당했다는 고통 때문에 통화를 취소했다. 그리고 에너지부가 전화하여 CISA가 ‘도움이 필요하다’고 말했다. CISA는 ‘지금 당장은 우리가 도와줄 수 없다. 우리 문제만으로도 바쁘다’라고 말했다. 그런 사람들이 이제 해결책 수립을 담당한다고?”
 
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.