바이든 행정부가 이번 달 발표한 사이버 보안 전략이 계속해서 보안 전문가들 사이에서 화두가 되고 있다. 반갑다는 이들도 있고, 우려 섞인 반응들도 나오는 중이다. 특히, 보안의 책임 문제를 다시 정립한다는 부분에 있어서 정부의 고민이 엿보인다.
[보안뉴스 문정후 기자] 이번 달 바이든 행정부는 새로운 ‘국가사이버보안전략(National Cybersecurity Strategy)’을 발표했다. 보안 책임을 새롭게 배분하고, 국가 전체의 안보를 강화하기 위해 해야 할 일들을 다시 정립한다는 내용을 담고 있었다. 미국 보안 업계는 국가가 정립한 이 방향성 때문에 크게 술렁댔지만 대체로 환호하는 분위기였다.
![[보안뉴스 / 3.20.] 미국의 국가사이버보안전략, 보안 업계의 반응은 어떨까](http://www.boannews.com/media/upFiles2/2023/03/705147775_4789.jpg)
[이미지 = utoimage]
전략은 크게 다섯 가지 항목으로 나눠져 있었다.
1) 사회 기반 시설의 보안 강화
2) 위협 행위자들의 공격 인프라 무력화
3) 보안과 복구력 강화를 위한 시장 내 분위기 조성
4) 미래 위협에 대한 저항력 강화에 투자
5) 공통의 목표 달성을 위한 국제 파트너십 강화
이 목표를 달성하기 위해 정부는 채찍보다는 당근을 준다는 방침이다. 여태까지는 보안 규정 안 지키면 벌금을 물게 하겠다는 게 정부의 한결 같은 입장이었는데, 이제는 보안을 지키면 많은 혜택을 주는 방식으로 선회하겠다고 한다. 그리고 보안 전문가들 중 많은 이들이 이러한 접근 방식에 찬성하고 있다.
책임의 재분배
현재 사이버 보안에 대한 책임은 대부분 테크놀로지의 ‘사용자’들이 지고 있다. 이 ‘사용자’들은 개개인 소비자들이기도 하고, 소규모 기업이기도 하며, 지역 정부기관이기도 하다. 벤더사로부터 기술을 사들여 사용하는 기업들도 포함된다. 보안 업체 인트루젼(Intrusion)의 CEO 토니 스콧(Tony Scott)은 “소프트웨어 개발사, 하드웨어 제조사, 통신사 등은 기술 발전으로 인해 맺히는 가장 달콤한 열매를 맺는 자들이지만, 그 기술을 안전하게 하려고 하지는 않는다”고 말한다. “오히려 사용자들이 안전 수칙을 지켜야 한다고 주장하죠.”
보안 업체 맨디언트(Mandiant)의 글로벌 보안 정책 및 전략 총괄인 스테이시 오마라(Stacy O’Mara)의 경우 “이번 정권이 불공평한 보안 책임의 문제를 지적했다는 건 꽤나 칭찬할 만한 일”이라고 말한다. “지금은 보안의 책임이 불공평하도록 한 쪽에만 치우쳐 있습니다. 아니, 더 큰 문제는 보안 사고에 책임을 져야 할 주체들을 정확하게 찾아내는 방법 자체가 우리에게 없다는 겁니다. 정부가 다루려는 게 그 부분일 거라고 생각합니다. 사용자들에게 너무나 많이 몰려 있는 책임 문제를 배분하겠다는 것이죠.”
당근 더 주기
하지만 정부가 하란다고 해서 벤더들이 갑자기 더 많은 책임을 떠안고 싶어할 리 없다. 그렇기 때문에 미국 정부는 당근을 이번 전략에 숨겨 두었다. 국가사이버국장실의 대변인은 “보안을 강화하고, 소프트웨어 취약점에 대한 본질적이고 장기적인 해결을 추구할 때 얻는 것이 있어야 책임을 분배한다는 계획이 현실화 된다”고 설명한다. “문제의 표면이 아니라 뿌리를 해결하는 데 기업들이 부담 없이 투자할 수 있도록 하려 합니다.”
그렇다고 마냥 당근만 주려는 건 아니다. 규제도 같이 들어간다. 채찍이 있어야 당근이 더 맛있어 보이고, 당근이 있어야 채찍을 피해가는 게 억지스럽지 않게 된다. 위의 국가사이버국장실 대변인은 “자발적 참여로만 일을 진행해서는 이뤄지는 사례가 거의 없다는 걸 알고 있으므로, 최대한 현실적인 방안을 선택했다”고 설명을 덧붙이기도 했다.
세계적인 로펌 퍼킨스코이(Perkins Coie)의 프라이버시 및 보안 부문 변호사인 데이비드 아론(David Aaron)은 “필수 사항들을 규정으로 정해서 밀어붙이기만 하는 건 경제적으로 악영향을 미친다”고 말한다. “왜냐하면 규제 대상들이 최소한의 필수 조건만 억지로 억지로 달성하거든요. 규제를 지키면 비용이 든다는 인식이 형성됩니다. 책임이 자연스럽게 경제 피라미드의 아래쪽으로 떠넘겨집니다. 원청 기업은 하청 기업에, 하청 기업은 그 하청 기업에, 그러면서 나중에는 보안에 정말 아무 돈도 투자할 여력이 없는 조직에서 책임을 다 받아서 사라지죠. 규정으로 보안을 하는 건 이런 결과만 낳습니다.”
그런 현상을 많이 지켜봤던 아론은 “그래서 당근과 채찍을 같이 준다는 이번 전략이 괜찮아 보인다”고 말한다. “이제 막 큰 틀의 전략이 선포된 상황입니다. 따라서 벌써부터 완벽하다고 평가할 수는 없겠지만, 적어도 여태까지 규정에만 힘써왔던 모습을 탈피하려 한다는 것 자체가 반갑습니다. 하면 안 될 것, 그러므로 반드시 지켜야 할 것들을 지정해 주면서 동시에 자발적인 보안 강화에 보상도 해준다는 것은 규정 위주의 보안 강화 전력이 가지고 있는 한계를 정부가 드디어 인지했다는 것이니까요.”
공공 부문과 민간 부문의 협동
공공과 민간 부문의 관계자들의 협동 문제는 바이든 행정부가 이전부터 보안을 강조하면서 추구해 왔던 것이다. 이번 전략에서도 역시나 강조됐다. 오마라는 “지금 많은 기업들이 이번 전략 선포 때문에 추가 규정이 생겼다고 부담을 느낄 것”이라고 짚는다. “그래서 더더욱 공공 기관들과 가까워져야 합니다. 공공 기관들도 마찬가지고요. 서로가 서로를 규정이라는 것으로만 이해하고, 규정만이 유일한 만남의 매개체가 된다면 영원히 단절된 상태일 수밖에 없습니다. 지금 이렇게 정부가 민관의 협력을 강조할 때 더 가까워져서 국가적인 보안 강화를 함께 도모해야 합니다.”
IT 서비스 및 컨설팅 업체 액센추어(Accenture)의 총괄 이사인 아론 폴크너(Aaron Faulkner)는 “민과 관의 협업이 대단히 중요한 건 사실”이라고 말하지만 “관계된 단체의 수가 너무나 많고, 그 다양성도 엄청나서 물리적으로 가능하긴 한 건가 의심된다”고 말한다. “각 기업과 기관은 고유한 특성을 가지고 있고, 사이버 보안 솔루션들도 종류가 수없이 많습니다. 누가 어떤 기술을 가지고 협업을 해야 최적의 형태가 나올 수 있을까요?”
그럼에도 폴크너는 제안할 것이 있긴 하다. “정책 입안자들과 보안 산업에 계신 분들이 협업을 해야 한다고 했을 때 제일 먼저 현재 산업 내 표준들을 분석하고, 표준의 변경이 이뤄진다면 어떤 영향을 미칠지, 그리고 어떻게 해야 안전해질 수 있는지를 정립했으면 합니다. 일단 우리가 가지고 있는 여러 표준들부터 정리하고 통일했으면 좋겠습니다. 그렇게 큰 그림들부터 구성해 나가야 세부적인 협업을 진행할 수 있을 것입니다.”
글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>