보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 보안에도 마감이 있나요? 네, 있습니다

입력 : 2024-05-28 20:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국에서는 다가오는 6월과 9월부터 새롭게 적용되는 규정들이 있다. 이 때문에 여러 기업과 기관들이 긴장하며 준비하고 있다. 하지만 이 규정이 정착하면 보안에 대한 철학 자체가 전반적으로 바뀔 수 있을 것으로 기대된다.

[보안뉴스= 칼 맷슨 CISO, Noname Security] 세계가 디지털화의 물결에 이미 한참 빠져들었다. 이 흐름 속에 가장 큰 이득을 보고 있는 건 악성 행위자들이다. 신기술 속에 있는 구멍들을 찾거나, 신기술을 악용하는 방법을 찾거나, 어느 쪽으로든 이들은 피해자들의 주머니를 털어 자신들의 것을 채운다. 데이터 침해 사고와 랜섬웨어 사건은 꾸준히 증가하고 있어, 현재 39초에 한 번씩 사고가 발생한다는 통계가 있을 정도이다. 시급히 대응책을 마련해야 한다.

[이미지 = gettyimagesbank]


디지털 기술이 실생활 깊숙한 곳까지 들어온 이상 사이버 공격이 돈이나 명성에 생채기를 낸다는 것에만 우리의 생각이 국한되어 있어서는 안 된다. 이제 사이버 공격은 우리의 실생활, 즉 물리적 공간에도 지대한 영향을 미치게 됐다. 이미 2021년 랜섬웨어 공격으로 인해 콜로니얼파이프라인(Colonial Pipeline)이 마비되었을 때 연료 부족 현상에 일부 지역 주민 전체가 큰 불편을 겪게 됨을 본 바 있다. 사이버 공격은 정말로 실질적인 공격이다.

사이버 공격자들이 노리는 건 기본적으로 ‘데이터’다. 그렇기 때문에 데이터를 보관하고 있는 논리 인프라가 계속해서 공격에 시달리고 있다. 그런 가운데 인공지능이라는 기술이 등장하면서 사이버 공격자들은 전에 없던 대단한 무기를 손에 쥐게 됐다. 해커들이 인공지능을 완벽히 깨우친 건 아닐 것이다. 다만 자신들이 하던 공격을 훨씬 정교하고 정확하게, 더 대량으로 할 수 있을 정도로 할 수는 있게 됐다. 그러므로 방어를 충분히 까다롭게 만들고 있다.

그래서 정부 기관들과 산업 규제 기관들은 인공지능과 관련된 규정들을 마련하고 있고, 좀 더 안전한 방향으로 인공지능을 개발하고 활용할 수 있도록 틀을 갖추고 있다. 여기에 더해 보안 사고 발생 시 책임을 져야 할 주체들을 새롭게 지정하려는 작업도 이루고 있어, 앞으로 사이버 보안의 양상은 적잖이 달라질 것으로 예상된다. 각 기업들은 이런 변화에 빠르게 대응해야 할 것이다. ‘마감일’이 빠르게 다가오고 있기 때문이다.

곧 정착할 필수 규정들
미국의 기업들이라면 가장 먼저 확인해야 하는 게 증권거래위원회(SEC)의 새로운 ‘침해 사고 공개’ 규정이다. 6월 15일까지 이 규정을 준수할 수 있도록 모든 준비를 갖춰야 한다. 이미 지난 12월부터 공개 기업들을 대상으로 시행되어 왔던 것이고, 6월 15일부터는 규모가 좀 더 작은 회사들로도 확장 적용된다. 대중 주식보유량이 2억 5천만 달러 미만 기업들이 여기에 해당되며, 연간 수익이 1억 달러 미만(2023년 기준)도 포함된다.

여기에 해당되는 기업이라면 사이버 보안 사고가 발생했을 때 그 내용을 상세히 보고해야만 한다. 어떤 일이 있었는지, 어떤 성격의 공격이었는지, 피해 범위가 어느 정도인지, 공격 시기와 기관이 어떻게 되는지, 구체적으로 어떤 영향을 받았는지 등이 보고 내용 안에 전부 포함되어야 한다고 증권거래위원회는 분명하게 명시하고 있다.

보고는 그냥 하면 되지 무슨 준비를 더 해야 할까, 라고 궁금해 할 수 있는데 실제로 보안 사고 보고를 연방 기관이나 산업 규제 기관에 하는 게 얼마나 복잡한 일인지 해본 사람은 알 것이다. 위에 언급된 내용을 파악한다는 건 상당히 어려운 일이다. 보안 사건을 정확히 조사할 능력이 되어야 위의 정보들을 추출해 제공하는 게 가능하다. 피해 현황을 정확히 집계한다는 것도 만만치 않은 일이며, 가시성과 자산의 목록이 미리 갖춰져 있지 않다면 애매한 추정치만 제출했다가 추가 보고서를 요구 받아 업무량이 불어나는 기적을 맛보게 된다.

보고를 잘 못하게 되면 어떤 일이 일어날까? 시장에서 그 기업의 신뢰도는 크게 훼손된다. 하지만 이건 그 기업이 혼자서 감내할 수 있다면 큰 문제가 되지 않는다. 더 큰 문제는, 아무리 작은 기업들이라도 공급망 안에서 나름의 역할을 하고 있기 때문에 보안 사고 보고로 인해 업무와 생산에 차질이 빚어지기라도 한다면 같은 공급망에 걸쳐 있는 수많은 기업들과 소비자들이 덩달아 피해를 본다는 것이다. 공급망이 얼마나 취약한지, 그리고 얼마나 치명적인지, 우리는 코로나 시대를 지나며 여실히 깨달았다. 괜히 미국 정부가 공급망을 미국 근처로 이전시킨다고 아직까지 어마어마한 투자를 하고 있는 게 아니다.

그 다음은 연방 기관들에 해당하는 건데, 바로 9월 30일까지 제로트러스트를 도입해야 한다는 규정이다. 2022년 미국의 관리예산국은 제로트러스트 프레임워크를 구축해 데이터와 정보 시스템을 보호하라는 내용의 명령을 각 연방 기관들에 전달했다. 구체적으로 19개의 특수 과제를 완료해야 하는데, 그것의 마감일이 9월 30일이다.

그 과제들 중 눈에 띄는 건 연방 기관 전용 애플리케이션 보안 시험 프로그램을 반드시 가동해야 한다는 것과, 애플리케이션 보안을 전문으로 하는 민간 기업을 선정하여 서드파티 평가도 진행해야 한다는 것이다. 이는 API를 겨냥한 규정으로, 연방 기구를 안전하게 보호한다고 했을 때 API가 이렇게 전면에 등장했다는 건 시사하는 바가 크다고밖에 할 수 없다. API는 애플리케이션과 소프트웨어로 구성된 현대 사이버 공간에서 빼놓을 수 없는 요소이며, 최근에는 이 API를 노리거나 API를 통한 사이버 공격이 빈번하게 발생하고 있다.

따라서 연방 기관들은 9월 30일 이전까지 API라는 것을 진지하게 검토하여 보안 대책을 마련해야 하는 상황이다. 그러려면 조직 내에 어떤 API가 사용되고 있는지부터 꼼꼼하게 알아내야 할 것이다. API와 관련된 현황을 파악한다는 건, 결국 조직 내에 어떤 데이터가 어떤 규모와 어떤 경로로 움직이는지까지도 파악한다는 뜻이 된다. 매우 고되고 힘든 작업이 될 것이지만 한 번 하고나면 조직 내의 데이터에 대한 가시성이 확보될 것이므로 결국에는 도움이 될 것이 분명하다. 다만 시간이 적잖이 걸리는 일일 텐데 연방 기관들이 2022년부터 지금까지 일을 잘 수행했는지는 9월 말일에 가봐야 알 수 있을 것이다.

이 두 가지 규정은 미국이라는 국가 내에 문화로, 상식으로, 혹은 관례로 남아있는 보안의 기조를 바꾸는 데 큰 역할을 할 것으로 기대되고 있다. 보안 사고를 반드시, 상세하게 보고해야 한다는 것과, 제로트러스트를 반드시 도입해야 한다는 것은 보안에 대한 기본적인 철학을 달리하는 것이다. 따라서 지금 당장은 이 규정의 대상이 되는 조직들이 따로 정해져 있지만 그 영향이 여러 다른 조직들로도 퍼져갈 전망이다. 결국 그 끝에 가서 우리는 보안 사고 소식을 빠르게 공유하고, 제로트러스트가 기본 상식처럼 굳어진 디지털 사회에 살게 될 것을 희망할 수 있다.

글 : 칼 맷슨(Karl Mattson), CISO, Noname Security
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)