소기업 보안 위해 NIST가 반드시 나서야만 하는 법 통과

“소기업들이 쉽게 이해하고 적용할 수 있는 보안 ‘자원’ 제공하라”
그러나 소기업들의 자원 활용은 ‘선택의 문제’...실효성 의문 제기돼

[보안뉴스 문가용 기자] 미국의 트럼프 대통령의 NIST 소기업 사이버 보안법(NIST Small Business Cybersecurity Act)에 서명했다. 이는 메인스트리트 사이버 보안법(MAIN STREET Cybersecurity Act)이라고 알려졌던 것으로, “NIST가 소기업들을 도와 사이버 보안 위험들을 파악하고, 접근하고, 관리하고, 줄일 수 있도록 명확하고 간결한 자원들을 배포한다”는 내용을 담고 있다.

[이미지 = iclickart]

여기서 NIST가 제공해야 하는 자원은 주로 정보다. 이 자원들은 소기업들에 보편적으로 적용 가능해야 하며, 소기업들의 특성과 크기에 맞게 달라져야 하고, 사이버 보안과 관련된 인식을 제고시키고, 작업장에서의 사이버 보안 문화를 촉진시켜야 한다. 무엇보다 이 정보에는 실용적인 적용 전략이 포함되어 있어야 한다.

또한 특정 기술에 치우쳐있지 않아야 하고, 국제적인 표준과 1980년의 스티븐슨 와이들러 기술 혁신법(Stevenson-Wydler Technology Innovation Act)과도 상충해서는 안 된다. 하지만 소기업들이 이런 자원을 사용하는 건 필수가 아니다.

이 법안을 마련한 브라이언 샤츠(Brian Schatz) 상원 의원은 “기업들이 인터넷에 대한 의존도를 높여가는 때인지라 사이버 공격에 더 노출될 수밖에 없다”며 “대기업들은 충분한 자원을 투자해 안전하게 사이버 공간에서의 사업 활동을 진행할 수 있지만, 소기업들은 그렇지 못한 것이 현실”이라고 지적했다. “이번 법안이 통과됨에 따라 이제 작은 기업들도 사이버 보안 인프라 구축에 필요한 최소한의 자원을 확보할 수 있게 됐습니다.”

사이버 보안 커뮤니티는 이 소식을 반기고 있다. 보안 업체 사이트록(SiteLock)의 제시카 오르테가(Jessica Ortega)는 “소기업들에게 보안에 필요한 자원을 제공한다는 건 미국 전체 경제 향상에 큰 도움이 될 것”이라고 반겼다. “소기업들은 미국 고용주들의 99.7%를 차지합니다. 그리고 그 중 50%가 사이버 공격을 경험한 바 있습니다.”

“이번에 통과된 법은 소기업의 고용주들이 이해하고 사용하기 쉬운 보안 가이드라인과 자원을 제공한다는 것으로, 단순 기술적인 방법론이나 위협에 대한 첩보만이 아니라 기업 구성원들을 훈련시키고, 따라서 사이버 보안 문화를 구축하는 데에 필요한 정보도 포함하고 있어 굉장히 실용적일 것으로 보입니다.”

현재 미국은, NIST 보안 프레임워크(NIST Security Framework)라는 게 있어 기업의 보편적인 보안 가이드라인의 역할을 하고 있다. 그러나 중소기업들은 물론 대기업들도 프레임워크 준수에 적잖은 어려움을 호소한다. 이유는 기술부터 예산, 인원 부족에 정보의 난해함 등 다양하다. 보안 업체 시큐어셋(SecureSet)의 CEO 브렛 펀드(Bret Fund)는 “이번에 통과된 법을 통해 이러한 어려움들이 어느 정도 해소될 것으로 전망된다”고 밝혔다.

소기업들이 겪는 가장 큰 어려움은 사이버 보안 전문가나 자원을 스스로 구축하거나 갖출 수 없다는 것이다. 전문가의 몸값은 너무 비싸서 고용할 수 없고, 방화벽 장비나 보안 솔루션의 가격들도 만만치 않다. 게다가 “우리 같이 작은데 누가 공격하겠어?”라는 생각이 만연한 것도 큰 문제로 지적된다. 보안 업체 언탱글(Untangle)의 CPO인 더크 모리스(Dirk Morris)는 “소기업들이라고 공격에서 예외가 되지 않으며, 오히려 소기업이라 같은 공격을 받다라도 더 큰 피해를 입는다”고 경고한다.

보안 업체 카비린(Cavirin)의 부회장인 아누팜 사하이(Anupam Sahai)의 경우, “비율적으로 중소기업들이 대기업보다 더 큰 피해를 입는 게 사실”이라며, “중소기업과 대기업이 받는 공격의 빈도수도 크게 다르지 않다”고 설명한다. “게다가 중소기업은 월급을 대기업보다 더 많이 줄 수 없는데, 그렇기 때문에 내부에 ‘그레이 햇’이 더 많이 존재하는 것도 사실입니다.”

하지만 이 NIST 소기업 사이버 보안법에 대한 여론이 칭찬일색인 것만은 아니다. 특히 소기업의 자원 활용을 ‘옵션’으로 남겨두었다는 것이 큰 비판을 받고 있다. 오픈VPN의 CEO인 프란시스 딘하(Francis Dinha)는 “소기업들이 선택적으로 자원을 활용할 수 있게 해둔 것이 무슨 대단한 효과를 발휘할지 이해할 수 없다”는 반응이다. “소기업들의 가장 큰 문제는 보안을 모르고, 무시한다는 겁니다. 그런데 선택적으로 자원을 제공받으라? 결과는 두고봐야 알겠지만 솔직히 회의적입니다.”

그러면서 딘하는 “이번 법은 그저 NIST에게 소기업을 위한 자원을 따로 만들라는 것, 그 이상도 이하도 아니”라고 주장한다. “실제로 NIST가 어떻게 소기업에 다가가고, 어떤 식으로 자원을 제공해주며, 어디까지 보안을 관리하거나 조언을 해주어야 하는지 전혀 언급되어 있지 않습니다. 결국 소기업들이 능동적으로 움직일 것이라는 기대를 바탕으로 한 것인데요, 이게 얼마나 오래 갈까요?”

CISO들 사이에 유명한 말이 있다. 강제적이지 않으면 보안은 지켜지지 않는다는 것이다. “규정이 아니라면 보안은 일어나지 않는 일이 됩니다.” 그렇기에 딘하는 “다음 단계에서는 소기업들에 대한 감사가 가능하도록 하는 법안이 나와야 합니다. 그러면 이번에 통과된 법이 실효를 갖게 될 겁니다.”

3줄 요약
1. 갈수록 연결되는 사회와 경제 구조, 보안에 투자할 수 없는 소기업들이 문제.
2. 미국에서는 NIST가 소기업들의 보안 강화를 위해 여러 자원을 만들어 제공해야 한다는 법이 통과됨.
3. 그러나 NIST가 아무리 좋은 자원을 만들어도, 소기업들이 ‘선택적으로’ 그 자원을 활용하여야 하기 때문에 기대 효과는 그리 높지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)