Offcanvas

데이터센터 / 보안

블로그 | 국가 IT인프라 보호에 대한 단상

2013.02.21 Scott Bradner  |  Network World
미국 정부 IT인프라 보호에 앞장섰던 상원의원이 퇴임하고 오바마 미 대통령은 IT인프라 보호에 주저하는 듯이 보인다.

미 상원의원 조 리버맨이 1월 다사 다난했던 24년을 뒤로 한 채 퇴임했다. 지난 수 년 동안 그가 집중했던 문제는 ‘미국의 주요 인프라 보호’였다. 리버맨은 수잔 콜릭스 상원의원과 함께 이런 인프라를 위한 일정 수준의 보호를 요구하는 일련의 법안을 발의했으며, 마지막 발의 안이 올 11월에 투표에 붙여질 예정이다.

현재 오바마 대통령은 ‘중요 인프라의 보안 및 회복’에 대한 ‘대통령 정책명령’을 발의한 상태다. 이 명령에는 ‘주요 인프라의 사이버 보안 개선’ 행정명령이 수반되었다. 애석하게도 대통령의 이런 노력은 리버맨의 노력과 같은 결과를 얻을 것으로 보인다.

리버맨 상원의원의 노력은 2012년에 선거가 진행되면서 수포로 돌아갔다. 하지만 그의 법안에 대한 반대 의견의 핵심은 기업들로 인한 위험을 기업들이 책임져야 한다고 실제로 주장한데 있다. 존 맥케인 상원의원은 반대파의 선봉으로 이렇게 말했다. "선거로 임명된 게 아닌 국토안보부(DHS)의 관료들은 중요 사이버 인프라의 약 90%를 소유하고 있는 미국의 기업들에 대한 권위적인 규범을 공포할 수 있었다."

리버맨/콜린스 법안이 DHS에 중요 인프라의 보호 책임을 떠맡겼다면 해당 제안을 그렇게까지 심각하게 받아들이지는 않았을 것이다 (알다시피, 보안은 미국 국토안보부 산하 교통안전청 (TSA)의 전문 영역이다). 하지만 우리의 발전소, 병원, 교통, 금융 네트워크를 운영하는 사람들이 갑자기 스스로 각성하여 아무런 생각 없이 노출된 채로 보유하고 있는 인프라를 보호하기 시작할 것이라는 맥케인의 가정은 신뢰성이 부족하다.

오바마의 행정명령에 따르면, 문제가 되는 중요 인프라는 사이버 보안 사고가 공공의 보건 또는 안전, 경제적 안보, 또는 국가 안보에 비극적인 지역 또는 국가적 영향을 끼칠 수 있다. 독자 여러분은 ‘비극적인.... 영향’ 부분에서 필자의 생각을 읽었을 것이다. 필자의 맥에 설치되어 있는 사전에는 ‘비극적’이라는 단어는 "갑작스러운 엄청난 피해 또는 고통을 포함 또는 유발한다"고 쓰여 있다. 조엘 브레너(Joel Brenner)는 자신의 저서 ‘미국, 그 취약함(America the Vulnerable)’에서 이런 점을 기술했다. 많은 사람들이 죽고, 경제가 붕괴된다... 이것이 주요 골자다.

현재 전력회사가 발전소를 해킹으로부터 보호해야 할 책임을 요구하는 실제적인 법적 제재는 마련되어 있지 않다. 또한 발전소에서 일하는 누군가가 보안의 취약성을 구성하는 IT업체의 어리석음을 해결하기 위해 노력해야 한다는 상식을 강제하는 개인적인 법적 책임도 존재하지 않는다. 또한 의도적으로 안전하지 않은 제품을 생산하고 고객에게 이를 밝히지 않은 업체의 법적 책임을 물을 수도 없다.

병원이 진료기록을 보호하고 대학이 학생들의 성적을 보호할 책임을 규정한 법규는 있지만 전력회사가 발전용량을 유지하거나 병원이 기록만큼이나 환자를 돌보는데 필수적인 물리적인 설비를 보호할 책임을 규정한 법규는 존재하지 않는다. 달라스 주에 있는 한 병원에 위독한 환자가 입원해있는데 이 병원에서 8월 중순에 정전이 발생하는 상황을 상상해보자. 이런 경우에 해커는 감옥에 가지만, 인터넷을 통해 접근할 수 있는 방식으로 AC 제어장치를 설치한 병원의 기술자에게는 무슨 일이 일어날까? 개인적으로 그들도 책임이 있다고 생각한다.

오바마의 노력은, 선거운동 기부자들의 재정을 보호하는 것을 우리의 보건과 안전보다 우선시하는 의회의 의원들 때문에 물거품이 되고 있다. 이것은 비통할 뿐 아니라 우리 모두에게 명백한 위협이 되고 있다. 전망: 수 년 동안 그 필요성을 각인시키는 일련의 사건을 겪은 후에야 실제적인 요건과 법적 책임이 법률로 제정될 것이다. 즉, 사망자 수를 기준으로 규제를 마련하는 미국연방항공국(Federal Aviation Administration)의 전처를 밟게 될 것이다.

덧붙이며 : 하버드대학은 이들 시설이 안전하다고 자신했지만, 필자는 그 시설 중 어느 것 하나도 중요 인프라의 객관적인 정의에 부합하지 않는다고 생각한다. 어찌되었던, 필자는 하버드대학으로부터 이 주제에 관해 어떠한 의견도 들은 바 없으며, 상기의 행정 및 의회의 무기력에 대한 통탄은 필자 자신의 생각이다.

*Scott Bradner는 네트워크 월드 기자다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.