Offcanvas

CIO / 랜섬웨어 / 보안 / 비즈니스|경제

前 CISA 국장 "美 사이버안보, CIO들의 역할이 중요하다"

2021.11.01 Paula Rooney  |  CIO
“美 정부의 사이버보안 행정명령을 간과하는 CIO는 위험을 감수해야 한다.” 미국 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency; CISA) 前 국장 크리스 크렙스가 ‘가트너 IT 심포지엄/엑스포(Gartner IT Symposium/Xpo)’ 기조연설에서 강조한 내용이다.

크렙스는 지난 5월 발표된 바이든 행정부의 사이버보안 행정명령을 언급하면서, “CIO가 이 행정명령의 기본 규정 준수를 우려하기보다는 향후 예상되는 공격 증가와 추가적인 사이버보안 명령에 대비해 인프라를 최대한 강화해야 한다”라고 말했다. 
 
ⓒGetty Images

이어서 그는 “미국 경제의 연속성과 밀접한 관련이 있는 중요 산업들이 위험에 처해 있다. 또 지난 몇 년간의 사건을 본다면 이러한 컴플라이언스 체제는 강화될 것이라고 예상한다”라면서, “보안 프로그램에 들어가는 비용을 지출하고 있기 때문에 체크리스트 기반의 접근법만 사용하는 환경을 원하지 않을 것이다”라고 전했다.

작년 말 美 전역을 뒤흔든 솔라윈즈 해킹 사건부터 올해 미국 송유관 업체 콜로니얼 파이프라인과 정육 업체 JBS에서 랜섬웨어 공격으로 각각 미화 440만 달러, 1,100만 달러의 몸값을 지불해야 했던 사건까지 사이버보안 문제가 계속 심각해지면서 바이든 행정부는 긴급 조치에 나섰다. 

지난 5월 소프트웨어 조달 및 MFA 아키텍처 도입 의무화에 관한 새로운 명령과 공공 및 민간 자산을 보호하기 위한 일련의 요구사항을 포함하는 행정명령을 발표한 것이다.

크렙스는 모든 사이버 공격이 국가 안보를 위협하기 때문에 CISA는 CIA, FBI, 국가안보국(NSA), 국가안전보장회의(NSC)와 함께 민관 협력을 조정하고, 확대하며, 행정명령을 시행하고 있다고 밝혔다.

공공 및 민간 부문의 CIO들도 인프라 보안에 앞다퉈 나서고 있다. 

포브스 CIO 넥스트(Forbes CIO Next) 행사에서 나사(NASA)의 CIO 제프 시튼은 “사이버 보안은 거대하다”라면서, “모든 것이 온라인으로 이동하고 있다. 그래서 온라인 세계에 존재하는 위협이 더 커지고 있다. 개인적으로나 기업 차원에서나 이는 주요 관심사다”라고 언급했다. 

8개월 동안 직무대행직을 수행한 후 지난 1월 CIO로 취임한 시튼은 “예전엔 공격을 하려면 공격 대상에 물리적으로 근접해야 했다. 하지만 이제는 지구 반대편에서도 이런 일이 벌어질 수 있다. 이러한 상황을 진지하게 받아들여야 한다”라고 권고했다.

사이버보안 요건의 재구성
크렙스는 키노트에서 美 정부가 민관 보안 파트너십을 강화하기 위해 수행하고 있는 4가지 역할, 즉 ▲소비자(consumer), ▲집행자(enforcer), ▲방어자(defender) ▲고문(advisor)으로서의 역할을 간략히 설명했다.

그에 따르면 바이든 대통령의 행정명령으로 민간이든 (미국의 최대 IT 소비자인) 국방부이든 상관없이 정부 기관이 수행하는 소프트웨어 조달에 관한 보안 요건이 상향 조정됐다. 

크렙스는 “미국 정부가 구매하는 소프트웨어, 서비스, 제품은 섹터나 세그먼트를 불문하고 민간 부문에서 구매하는 것과 동일한 SKU이자 제품이다”라면서, 소프트웨어를 자사 제품에 접목하는 제조업체도 (이 행정명령에) 영향을 받을 것이라고 언급했다. 

또한 그는 이 행정명령이 모든 제조업체의 소프트웨어 개발 라이프사이클 전체에 걸쳐 품질 관리 기준을 높인다면서 다음과 같이 말했다. “이러한 명령의 수혜자가 정부만은 아니다. 소비자 측면에서는 모두가 해당된다. 공격자가 공급망을 노리고 있다는 사실을 안다면 결함 있는 자동차와 같은 안전하지 않은 제품을 생산할 때 IT 공급업체에 책임을 묻지 않겠는가?” 

美 국회의사당 경찰국 CIO와 정부 입법부 의장을 역임했고 현재는 롬 어드바이저스(Roam Advisors)의 CEO인 히스 앤더슨은 모두에게 이익이기 때문에 민간 부문은 행정명령을 피하려고 하지 말고 적극적으로 다가가야 한다고 권고했다. 

그는 “공공 부문, 특히 연방 정부에 소프트웨어/서비스를 제공하는 공급업체가 사이버보안 사고와 관련된 동시에 소프트웨어 무결성, 고객 데이터, 공급망에 영향을 미치는 투명성, 보고 및 협력에 적극적인 태도를 보여야 한다”라면서, 행정명령은 ‘사이버보안 안전검토위원회(Cybersecurity Safety Review Board)’를 구성하여 민관 협력을 위한 프레임워크 갖추고 있다고 전했다. 

이어서 앤더슨은 “민간 부문의 적극적인 참여가 향후 사고 대응 및 복구를 개선하는 데 중요하다”라며, “아울러 정부 측에서는 제로 트러스트 아키텍처(ZTA)로의 전환과 안전한 클라우드 서비스로의 이행 등을 추진하고 있다”라고 밝혔다.

집행자 및 고문으로서의 정부
집행기관은 행정명령상 각종 규정 위반을 찾아다닐 것이다. 여기에는 사법기관(예: FBI 등)뿐만 아니라 증권거래위원회(SEC), 연방에너지규제위원회(Federal Energy Regulatory Commission)와 같은 규제기관도 포함된다.

크렙스에 의하면 “CISA는 감시단체가 아니라 가치 중심 조직이기 때문에 실제로는 민간 부문이나 (최소한) 시장 참여자처럼 보인다. 또한 사이버보안 기관의 투자 그리고 행정명령은 민간 부문의 이익을 위한 정부의 R&D 지출에 ‘낙수 효과’를 가져올 것이다.” 

“미국 정부는 R&D 분야를 계속 추진해야 하지만 국방 및 국가안보 분야뿐만 아니라 더 넓은 민간 분야에서도 그렇게 해야 한다”라고 그는 덧붙였다. 

크렙스는 “기업과 관련해서는 모든 기업이 VPN을 패치하고, MFA를 배포해야 한다”라며, “바이든의 행정명령은 정부 기관에 위험 관리 관행을 제공하고 필요할 때 민간 기업을 도울 수 있는 영향력을 제공한다”라고 말했다.

“사이버 보안은 더 이상 기술적인 위험이 아니다. 콜로니얼 사태의 교훈은 랜섬웨어가 고객에게 중요한 자산을 제공하고 주주 및 기타 이해관계자를 보호하는 데 있어 비즈니스 연속성 위험과 운영 중단을 초래한다는 것이다”라고 그는 설명했다.

앤더슨도 민간 부문이 행정명령을 간과하지 않아야 한다고 동의했다. 그는 “랜섬웨어 공격 또는 서비스 및 고객에 영향을 미치는 기타 사이버보안 사고와 관련해 정부와 협력하여 계약 언어를 강화하고, 고객에게 투명하며, 적절한 법 집행기관에 보고해야 할 필요가 있다”라고 전했다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.