| 내용 |
트럼프 대통령의 최근 사이버보안 행정명령의 주요 목표는 개별 기관이 임의적인 결정을 내리는 것보다는 전체 정부차원에서 사이버보안 위험을 관리하는 것에 맞추어져 있다고 대통령 사이버 자문관이 말했다. 현재 예산상의 제약 혹은 잘못된 사이버 관리 등의 결과로 상당수의 연방정부 기관들이 보안과 공격에 취약한 오래된 소프트웨어를 사용하고 있다고 백악관 사이버보안 조정관인 밥 조이스(Bob Joyce)가 국가안보정보통신자문위원회(National Security Telecommunication Advisory Committee)에 보고했다. 조이스는 예를 들어 윈도우 XP 운영 시스템을 소규모 연방정부 기관에서 아직도 사용하고 있어 최근 발생한 워너크라이 랜섬웨어 공격의 목표가 되었다고 말했다. MS社는 윈도우 XP를 목표로 하는 해커공격에 대응하기 위한 패치 배포를 2014년도에 중단했지만, 랜섬웨어 사건 이후 이달 다시 응급 패치를 배포했다. 트럼프 행정부의 목표는 오래된 혹은 위험한 시스템이 어디에 존재하는지 찾아내고, 그러한 위험이 수용가능한 수준인지, 수용할 수 있는 수준이 아니라면 해당 시스템을 업데이트하기 위해 자원을 재조종해야 하는지 정부 차원의 결정을 내리는 것이라고 그는 말했다. 만일 개별 기관과 부서가 스스로를 보호하도록 허용한다면, 연방정부 네트워크 사이에 상호 연결된 가장 취약한 링크를 최소공통분모로 갖게 될 것이라고 그는 말했다. 최근 발표된 사이버보안 행정명령은 개별 연방정부 기관으로 하여금 국가표준기술연구소(National Institute of Standards and Technology, NIST)가 개발한 사이버보안 프레임워크를 준수하도록 하고 있으며, 보안문제가 발생할 경우 각 기관의 장에게 그 책임을 묻도록 하고 있다. 행정명령은 또한 국토안보부(Department of Homeland Security, DHS)와 상무부(Department of Commerce, DoC)가 민간 기업 및 기타 이해관계자들과 협력하여 봇넷 공격에 충분히 대비할 수 있는 인터넷 인프라를 조성하도록 하고 있다. 봇넷은 말웨어에 감염된 컴퓨터가 연결된 것으로, 해커들은 이를 이용해 사이버공격을 수행한다. 애초 행정명령에 사이버보안 강화를 위해 산업계에 대한 강제적인 의무 준수조항이 포함될 것이라는 우려가 있었지만, 최종 행정명령에서는 업계가 자발적으로 협력할 수 있도록 유도하고 있다. 한편 조이스는 민간 분야 자문위원회 위원들에게 봇넷과 대응할 수 있는 방안을 백악관과 공유하도록 요청했다. 역자의견: 나날이 진화하는 사이버보안 위협에 효과적으로 대응하기 위해서는 민간 분야의 적극적인 정보공유와 협력이 절대적이다. 민간부문이 소유하고 관리하며, 서비스를 제공하는 정보통신 인프라가 대부분이기 때문이다. 미국의 사례를 검토하여 우리가 벤치마킹할 사안이 없는지 살펴보는 것이 필요하다. |
