미국 바이든 정부, 사이버 보안 강화 행정명령 속 핵심내용은?

- Cybersecurity Executive Order 2021, May 12

​

​

지난 5월 12일, 미국 바이든 정부에서 보안업계에 굉장히 의미있는 행정명령을 발표했습니다.

최근 미국은 사상 최악의 해킹 사건이라고 불리는 ‘솔라윈즈(SolarWinds) 해킹 사건’을 시작으로, ‘마이크로소프트 익스체인지 취약점 사건’, 그리고 가장 최근에 발생한 ‘콜로니얼 파이프라인(Colonial Pipeline) 해킹 사건’까지 막대한 피해를 입고 있는 상황입니다.

이를 계기로 노후화 된 사이버 보안 체계 현대화, 정보 공유 장벽 제거, 소프트웨어 공급망 개선 등을 주요 골자로 사이버 보안 강화 관련 행정명령을 시행하게 된 겁니다. 이번 강화 대책은 주로 연방 정부 기관과 관련 계약업체 등을 대상으로 하고 있지만, 자연스럽게 점진적으로 민감 기업들에게도 당연히 영향을 주게 될 것으로 전문가들은 예측하고 있습니다.

 

 

미국 바이든 대통령은 행정명령을 통해 “공공 부문, 민간 부문, 그리고 궁극적으로 미국 국민들의 안보와 사생활을 위협하는 점점 더 정교하고 지속적인 악성 사이버 공격에 직면했다”며 “이런 활동을 추적하고 맞서고 식별해야 한다”고 강조했습니다. 이제 본격적으로 ‘사이버 전쟁’이 가속화되는 시기가 다가온 것 같습니다.

​

얼마 전에 있었던 문재인 대통령과 바이든 대통령의 한미정상회담에서도 관련 주제를 논의했습니다. 공개된 공동성명에 따르면, 양국은 사이버 안보에 대해서도 공조를 확대하기로 했다고 밝혔습니다. 이번 바이든 정부의 행정명령이 우리나라에도 상당한 영향을 미칠 것이라는 분석이 나오는 게 바로 이 부분 때문입니다.

 

 

그럼 이번 행정명령에 구체적으로 어떤 내용들이 명시돼 있는지 살펴볼까요?

무엇보다 이번 발표에 많은 이목이 집중되고 있는 건 특정 시한 내에 반드시 이뤄져야 할 내용들이 많기 때문입니다. 예를 들어, 180일 이내에 혹은 60일 이내에 무엇무엇을 조치해야 한다라고 구체적으로 명시돼 있어 최근 미국 연방 정부는 굉장히 바쁘게 돌아가고 있습니다.

​

유념해서 보셔야 할 항목들은 다음과 같습니다.

​

<연방 정부 사이버 보안의 현대화>

“본 행정명령 고시일로부터 90일 이내에, FCEB 기관의 장은 CISA 국장을 통해 대행하는 국토안보부 장관과 협의해, 각 기관의 미분류 데이터의 종류와 민감도를 평가하고, CISA 국장을 통해 국토안보부 장관에게 제공한다.

…중략…평가에서는 기관이 가장 민감하고 가장 위협적인 것으로 간주하는, 분류되지 않은 데이터와 해당 데이터에 대한 적절한 처리 및 저장 솔루션을 우선적으로 확인해야 한다”

“본 행정명령 고시일로부터 180일 이내에, 기관은 연방 기록법 및 기타 해당 법률과 일치하는 최대 범위까지 미사용 및 이동 중인 데이터에 대해 멀티 팩터 인증 및 암호화를 채택해야 한다”

 

 

해당 내용들, 낯설지는 않으시죠?

Fasoo가 계속해서 강조해 왔던 내용들이 이번 바이든 정부의 행정명령에 고스란히 포함돼 있습니다. 특히 보유하고 있는 데이터들을 식별 및 분류하는 것부터가 데이터 보안의 시작이라고 말씀 드렸던 내용이 <연방정부 사이버보안의 현대화> 항목에 담겨 있습니다. 또한, 항상 데이터 중심의 보안이 이뤄져야 한다고 Fasoo DRM을 통해 꽤 오랫동안 말씀드렸던 내용 역시 함께 담겨 있습니다.

 

Fasoo Data Radar (FDR)는 기업 및 기관이 보유한 여러 파일서버, PC, 모바일 등 다양한 저장소의 중요 비정형데이터를 식별하고, 위치를 파악합니다. 중요도에 따라 허가 권한을 통제하고, 사용 용도를 추적 및 분석하며, 취약점에 맞춰 다양한 보안 정책을 적용할 수 있습니다.

 

https://www.fasoo.com/document/data-visibility-for-privacy-security-kor

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

 

Fasoo Enterprise DRM (FED)은 이미 글로벌적으로도 증명된 강력한 전방위적 보안입니다. 최근에 글로벌 인포섹 어워드 2021에서도 차세대 DRM으로 선정된 바 있습니다. 데이터가 어디에 있든 항상 보안성을 유지하는 Data-centric Security (데이터 중심의 보안)는 이번 바이든 정부의 행정명령의 핵심을 관통하는 솔루션이기도 합니다.

 

https://www.fasoo.com/document/protect-first-approach-to-data-centric-security-kor

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

 

이 외에도 사이버 사고가 발생했을 때를 대비해 ‘사이버 안보 대응 플레이북 표준화’라는 내용도 있습니다. 이는 범정부적 대응 지침을 마련하라는 의미로 해석됩니다. 연방정부는 또한 정기적으로 클라우드 서비스 및 기타 사이버 인프라를 업그레이드 해야 한다고도 명시했습니다.

 

 

아직 보안 표준에 대한 명확한 가이드라인은 발표 전으로 추정됩니다. 다만, 미국 정부에서 직접 행정명령이라는 방법으로 사이버 보안 아니, ‘사이버 전쟁’에 대응한다고 공식적으로 선포하는 움직임은 상당히 이례적입니다.

아마도 이제부터는 글로벌적으로 각 국의 사이버 보안 강화를 위한 다양하고 구체적인 고민들이 시작될 것으로 보입니다. 미국 정부의 보안 표준에 대한 가이드라인이 발표되면 후속 콘텐츠로 찾아 뵙겠습니다.

 

​