미국 NIAC 보고서, “사이버 보안 = 사이버 안보”

5월의 대통령 행정명령으로 현재 사이버 상태 조사한 NIAC
민간 기업들, 사이버 안보 최전선에 있지는 않지만 감당해야 할 몫 있어

[보안뉴스 문가용 기자] 세계에서 해킹 공격을 가장 많이 당하는 국가는 미국이다. 그래서 큰 해킹 사고가 일어났다 싶으면 대부분 미국이다. 민간 업체만이 아니라 사회의 기반시설과 정부 기관에까지 공격이 들어오고, 적잖이 성공한다. 이러니 오바마든 트럼프든 미국 대통령의 자리에 오르면 사이버 안보에 신경을 쓰지 않을 수가 없다.

[이미지 = iclickart]

그래서 미국에는 국가 기간시설 자문위원회(National Infrastructure Advisory Council)라는 기구가 존재한다. 강한 미국을 부활시키겠다는 트럼프 대통령은 지난 5월 ‘연방 네트워크와 주요 사회 기반시설의 사이버 보안 강화’를 위한 대통령 명령에 서명한 바 있다. 말 그대로 정부 기관들에 저장된 민감한 정보들을 보호하기 위한 조치를 취하라고, 대통령이 직접 명령을 내린 것이다.

내용 중에는 1) NIST의 가이드라인을 따를 것과 2) NIAC은 현재 사이버 보안 상태를 정확히 평가하여 대통령에게 보고하라는 것이 포함되어 있었다. NIAC은 세 가지 중요한 사실을 발견해 보고했다. 이는 민간 부문의 CEO들도 알아둘 내용이라고 한다.

1) NIAC은 현재 미국의 사이버 보안 상태를 ‘9/11 테러가 일어나기 전’과 똑같다고 표현한다. 이는 미국인들에게 있어 꽤나 뼈아픈 지적이다. 게다가 얼마 전 사실상 미국 내 전 가족들에게 피해를 끼친 에퀴팩스(Equifax) 해킹 사고가 터져 이러한 말에 반박도 할 수 없다. 9/11 이전과 같은 사이버 보안의 상태라는 건 어떤 의미인가? ‘안전 불감증’이다. 최소한의 안전 장치만 마련해놓고 ‘우리는 안 걸리겠지’라는 막연한 희망을 보안의 핵심 전략으로 삼고있다는 것이다. 왜? 그게 더 싸기 때문에.

NIAC은 이러한 ‘효율성 위주의 보안 전략’이 전반적으로 퍼져 있기 때문에 국가 전체의 사이버 안보가 흔들린다고 평가하고 있다. 그러면서 어떠한 공격이라도 막거나 빠르게 조치를 취할 수 있도록 제대로 투자하는 편이 “더 싸다”고 주장한다. 사실상 모든 CEO들과 CISO들을 향한 메시지라고 해석이 되는 부분이다. “에퀴팩스랑 직접 거래를 한 기업들만 피해를 본 게 아니”라는 NIAC의 보고서 내용은 ‘모든 기업들이 빠짐없이 보안 강화에 참여해야 한다’는 메시지도 들어있다.

2) NIAC은 “CEO들이 정보 및 첩보 공유 활동에 참여하기를 꺼려한다”는 부분도 지적한다. 특히 정부 기관과의 협력 체계를 구축하는 것에 미온적이라고 한다. 하지만 사업을 벌이는 데에 필요할지도 모르는 중요한 정보를 누군가와 나눔으로써 발생할 수 있는 리스크와 데이터를 관리하고 책임질 법적인 책임 사이에서 CEO들이 갈팡질팡 할 수밖에 없다고 NIAC은 설명을 추가했다. 첩보를 공유할 만한 기반 자체가 약하다는 것이다.

하지만 이에는 쉬운 해결책이 존재하지 않는다. 작년엔 테러리스트의 아이폰 잠금 해제 기술을 두고 FBI와 애플이 지리한 법정 공방을 벌이기도 했다. 그나마도 흐지부지 종결돼 이렇다 할 선례가 되지도 못했다. 보안 업체 사이버넌스(Cybernance)의 CEO 마이크 슐츠(Mike Shultz)는 SC매거진과의 인터뷰를 통해 “그 공방이 그렇게 끝났다는 게 더 아쉬운 부분”이라며 “의회와 민간 부문이 답을 도출하기 위해 이 문제를 더 활발히 이야기해야 한다”고 지적했다.

3) NIAC은 트럼프 대통령의 행정명령에서처럼 “모든 기업들이 NIST의 사이버 보안 프레임워크(Cyber Security Framework, CSF)를 따를 것”을 권고하고 있다. 하지만 어디까지나 ‘권고’다. NIAC이 보고서에 설명한 대로 민간 기업은 사이버 안보의 최전선에 속하지 않기 때문에 NIST의 CSF를 강제할 수 없기 때문이다. 그래서 NIAC은 “NIST CSF를 제대로 도입한 기업에게는 세금 혜택을 주는 방안”을 제안하기도 한다. 결국 민간 부문의 경제 환경을 지켜내는 것 역시 ‘사이버 안보’의 중요한 요소라는 것이다.

NIAC은 “사이버 안보를 위해 민간 부문이 해야 할 일이 분명히 있다”는 메시지를 전달하고 있다. 그리고 그건 “자기 영역 책임지고 보호하기”이다. 타깃(Target) 해킹 사건도, 소니 해킹 사건도, 에퀴팩스 해킹 사건도, 결국 국민 대부분에게 영향을 준 사건이었고, 그러므로 전 국가적인 일이라는 논지다. 위협은 분명히 존재하고, 민간에서도 국가 안보 강화에 참여해야 한다는 메시지가 트럼프 대통령에게 전달됐다.

옳든 그르든, 미국에서 “CEO들도 ‘국가의 사이버 안보’라는 차원에서 자기 회사 보안을 생각해야 한다”는 메시지가 나온 건 의미심장하다. 북한과 미국의 마찰로 전쟁 위험의 한 가운데 위치하게 된 한국에서도 필요한 메시지일 수도 있다. 국가 간 긴장상태가 이어지고, 사이버 전쟁이 지속된다면 사‘이버 보안’과 ‘사이버 안보’가 동일하게 취급될 가능성도 높아 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)