세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[설문조사] 트럼프 행정부는 새로운 사이버 보안 전략 마련하는데
  |  입력 : 2017-11-01 16:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
5월에 대통령이 서명한 행정명령의 연장선 될 것...NIST 프레임워크 위주로
한국의 사이버 안보 상황도 미국의 그것과 비슷...새로운 지침서 나와야 할까?


[보안뉴스 문가용 기자] 백악관의 국토 안보 보좌관인 톰 보서트(Tom Bossert)가 새로운 사이버 보안 전략을 마련 중에 있다고 팔로알토 네트웍스(Palo Alto Networks)가 주최한 사이버 보안 컨퍼런스에서 밝혔다. 오바마 행정부가 마련해 놓은 보안 전략으로는 이미 충분치 않은 때가 됐다는 분석이 이어졌다. 보서트는 “정확한 시기와 내용은 정해지지 않았지만 5월에 대통령이 서명한 행정명령을 기반으로 할 것”이라고 말했다.

[이미지 = iclickart]


행정명령에 기반을 한다면 이번 사이버 보안 전략은 세 가지 항목으로 크게 구분지어질 가능성이 높다고 보서트는 밝혔다. “연방 정부 기관의 컴퓨터 네트워크를 강화하는 것이 하나고, 정부의 자원을 활용해 보다 튼튼한 사회 기반시설을 구축하는 것이 둘, 사이버 공간 내에서 할 수 있는 ‘좋은 행동’과 ‘나쁜 행동’을 규정짓는 것이 셋입니다. 사회 기반시설이란 공장, 병원, 은행 등을 포함한 말입니다.”

오바마 행정부도 세 차례나 사이버 보안 강화를 위해 작업을 진행한 바 있다. 2009년에는 사이버 보안 정책을 검토했고, 이를 바탕으로 여러 계획과 전략을 발표했다. 2011년에는 ‘사이버 공간을 위한 국제 전략(International Strategy for Cyberspace)’를 발표했으며, 2016년에는 ‘사이버 보안 국가 행동 계획(Cybersecurity National Action Plan)’을 수립하기도 했다.

보서트는 “오바마 행정부의 노력이 당대에는 효과적이었을 수도 있으나 사이버 공간에서 벌어지는 일들의 특성상 이미 그 유효기간이 지나갔다”며 “예를 들어 양자 컴퓨팅 기술 개발로 인한 위협이나 블록체인 기술의 등장으로 새롭게 생긴 위협들은 다루고 있지 못하다”고 말했다. 업데이트가 불가피하다는 것이다.

그러면서 “사이버 보안 역사에 길이 남을 위대한 업적을 남기자는 게 아니”라며 “이번 새 전략의 목표는 현재 우리에게 주어진 위험들을 ‘관리할만한 수준’으로 낮추어 효과적으로 막아내는 것”이라고 말했다. “이번 전략 한 방으로 모든 사이버 범죄를 깨끗하게 소멸시키려는 게 우리의 목적이 아닙니다. 그런 얼토당토않은 목표는 웃음거리만 될 뿐이죠.”

5월의 행정명령
지난 5월, 트럼프 대통령은 사이버 보안에 관한 행정명령에 서명한 바 있다. 내용은 1) 정부 네트워크 기술 및 인프라의 현대화 및 강화, 2) 기술 공급망 자체에 있는 위험의 경우 미국 국방성으로 보고, 3) 중요 사회 인프라의 보안 지원, 4) 전기 공급망을 겨냥한 사이버 공격 및 방해 행위의 분석, 5) 사이버 보안 인력 양성으로 이뤄져 있었다. 발효 시기는 ‘즉시’였다.

당시 사이버 보안 커뮤니티는 찬성과 반대가 적절히 섞인 반응을 내비쳤다. 사이버 보안에 대한 주인의식을 다룬, 적절한 명령이라는 의견과 특정 컴퓨터나 일부 부서 등 국한된 범위에서의 보안 강화 조치가 아니라 근본적이고 전체적인 조치라는 평은 찬성하는 측에서 나왔다. 사이버 보안의 문화 자체를 다루는 내용이라는 것이었다. 당시 미국 정부 기관은 각종 해킹 사고에 시달리며 ‘가장 큰 보안 구멍’으로 여겨졌다.

하지만 반대측은 “이전 사이버 보안 관련 정책과 크게 다를 바가 없다”고 반박했다. 구체적인 가이드라인이 없어(NIST의 프레임워크를 제시하긴 했지만) 각 연방 기관들이 알아서 예산을 운영하고 인재를 채용해 보안 강화 조치를 실천해나갈 수박에 없다는 점도 지적을 받았다. 지금도 그렇지만 사이버 보안 인재를 구한다는 것이 하늘의 별 따기와 같던 때, ‘알아서 하라’는 행정명령이 얼마나 실효성이 있을까 의심된다는 의견도 많았다. 아이디어만 좋지 현실을 반영 못한 명령이라는 뜻.

한국의 사이버 안보 상황도 비슷?
5월의 행정명령은 여러 요인으로 인해 탄생한 것이었다. 먼저는 오바마 행정부가 남긴 모든 흔적들을 지워내고 싶어 하는 트럼프 대통령의 국정 운영 방향성이 반영됐고, 2014년과 2015년의 충격적인 OPM 해킹 사건과 2016년 대선 당시의 러시아 해킹 정황이 드러나 전 국가적으로 ‘사이버 보안, 이대로 둘 수만은 없다’는 분위기가 형성된 것도 중요하게 작용했다.

현재의 한국 역시 비슷한 상황이다. 현 정부는 ‘적폐 청산’이라는 목적 아래 지난 정부의 흔적들을 전부 지워내는 작업을 진행 중에 있고, 국민 대부분도 그걸 바라고 있다. 게다가 최근 국방부와 대우조선이 북한의 해킹 공격에 당해 군사 기밀 문건이 다량 유출되기도 하면서 “사이버 보안 능력, 이대로는 안 되겠다”는 목소리들이 나오기 시작했다. 국가 차원에서 새로운 사이버 보안 전략을 수립하고, 보안 문화를 정립해나가기에 더없이 좋은 시기일 수도 있다는 뜻이다.

북한의 해킹 능력은 이미 해외 정부들 사이에서 공포의 대상으로 부상했다. ‘공포’까지가 아니더라도 성가신 존재쯤은 충분히 되고도 남는다. 세계적인 경제제재를 가해도 비트코인 탈취 등을 통해 새로운 살 길을 모색할 수도 있을 정도다. 사이버 보안이 ‘국책 사업’으로 진행되어도 부족하지 않을 때다.

다만 지금 이 시점에 새롭게 사이버 보안 지침서가 등장한다면 어떤 부분을 다뤄야 할 것인가? 보다 광범위하고 전체적이면서 ‘보안 문화’를 전반적으로 다룬 내용의 지침서가 나와야 할까? 아니면 누구나 시급하게 따라해 가며 개선할 수 있는 ‘실천 위주의’ 내용이 담겨야 할까? 본지의 설문조사를 통해 독자들의 의견을 구하니 많은 참여를 부탁드린다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)