최근 美 저명한 사이버 보안 전문가이자 ForAllSecure의 공동 설립자인 David Brumley 박사는 디펜스 no.1에 미국이 직면한 증가하는 사이버 위협에 대한 기사를 게재하며 바이든 행정부에 사이버 보안 부서를 설립할 것을 촉구한 것으로 알려졌다.

Brumley는 美 정부가 현재 사이버 보안을 관리하기 위해 단편적인 방식만을 채택하고 있다고 지적하며 바이든 정부의 긴급 보조금 신청서에 따르면 긴급 보조금은 연방 총무처, 사이버 보안 인프라 보안국, 연방 최고정보보안관, 美 디지털 서비스국 등 사이버 보안 관련 4개 부처에 지급되었으며 사이버 보안과 관련하여 이들 기관이 모든 책임을 가진 것처럼 보이나 옛말을 언급하며 “누구나 책임이 있다=아무도 책임이 없다”라는 것을 의미한다고 언급했다.

이 같은 내용을 지적하며 Brumley는 바이든 행정부와 美 의회가 근본적으로 이러한 사이버 보안 관련 분업을 중앙 집중식 부서인 사이버 보안 부서로 재통합해야한다고 주장했다. 그리고 이 부서가 설립되면 인력, 기술 및 프로세스의 세 가지 요소를 응집력 있게 통합할 수 있는 권한을 부여받아야 한다고 밝혔다.

현재 美는 오바마 행정부 당시 예산관리국 산하 연방 정보보안관 신설, 트럼프 행정부 당시 국토안보부 산하 사업부 신설 등을 통해 사이버 보안 업무를 추진하고 있으나 Brumley는 이제 이러한 기관을 통합하고 분권화된 힘을 모아 지속적인 노력을 기울여야 한다고 주장했다.

Brumley는 사이버 보안 부서가 창설되면 다음과 같은 이점이 있다고 밝혔다.

먼저 사이버 보안부서 직원이 연방정부 전체의 사이버 보안을 담당하게 되며 정부 전반에 걸쳐 보다 현대적인 DevSecOps 작업 모델을 만들고 사고 대응 및 방어 작전 중심의 역할을 할 수 있을 것이다.

또한 공급업체로부터 새로운 시스템을 구매하거나 기존 시스템을 현대화할 때 전문적인 평가 지식을 제공할 것으로 기대한다. 美는 매년 수십 억 달러의 IT 소프트웨어를 구매하고 있으며 이 때 소프트웨어가 충분히 안전한지 평가하는 데 도움을 줄 전문가가 필요하다. 이 때 사이버 보안부서가 사이버 보안 요구 사항이 있는지 확인하는 것 뿐만 아니라 특정 분야의 전문가를 파견하여 공급업체가 표준을 충족하는 지 여부를 평가할 수 있을 것이다.

마지막으로 사이버 보안부서가 사이버 및 인프라 보안국의 자연스러운 확장 역할을 하며 모든 수준의 정부와 업계에 적절한 사이버 보안 서비스를 제공할 것이라고 밝혔다. 산업체의 경우 사이버 보안 부서가 전산정보보안담당관을 주어 범정부적인 보안 운영센터를 운영할 수 있게 된다. 이 기능에는 명확한 사이버 보안 방어 작업이포함된다. 다만 사이버 보안기관이 법 집행기관이 되어서는 안되며 주로 국방을 담당할 것으로 보고 있다. 여전히 국내외 사이버 위협 행위자에 대한 행위는 기존 법집행기관이 담당하게 될 것이라고 밝혔다.

[출처 : 위엔왕싱크탱크 / 8.17.]