미국에서는 16개 산업에 새로운 사이버 보안 관련 명령이 떨어졌다. 사이버 사건이 발생할 경우 반드시 정부에 알려야 한다는 것이다. 이 16개 산업에 속한 기업이라면 이제 사건을 은폐하거나 축소할 수 없게 됐다. 또한 민과 관의 대화가 좀 더 활발해질 것으로 예상된다.

[보안뉴스 문가용 기자] 이번 주 미국의 바이든 대통령은 새로운 법안에 서명을 했다. 그러면서 ‘사이버 사건 보고 법(Cyber Incident Reporting Act)’이라는 규정을 시행하기 시작했다. 사이버 사건 보고 법이란, 사회 기반 시설에 해당하거나 그러한 시설을 관리하는 기업들에서 사이버 보안 사건이 발생할 경우 72시간 내에, 랜섬웨어 공격자들에게 돈을 지불했을 경우에는 24시간 안에 CISA에 보고하도록 하는 규정이다.


중요한 건 이 법안이, 비록 전반적인 데이터 보안을 다 다루는 건 아니라고 할지라도, 의회 내에서 만장일치로 통과되었다는 것이다. 게다가 이 법은 16개 산업을 공식적으로 지정하고 있어 경제적인 관점에서도 꽤나 광범위하게 영향을 미칠 것으로 예상되고 있다. 예를 들어 16개 산업 중 하나인 국방 분야만 하더라도 10만 개 이상의 기업들을 포함하고 있다. 보안 업계는 이 규정이 시행되기 시작한 것을 ‘중요한 사건’으로 보고 있다.

게임 체인저
VM웨어의 사이버 보안 전략가인 톰 켈러만(Tom Kellerman)은 “게임 체인저(game changer : 판을 뒤흔들 정도로 결정적인 요인)”라고 이 규정을 묘사한다. “근본적인 변화를 가져올 보안 전략을 연방 정부 차원에서 도입했기 때문입니다. 보안 사고를 정부 기관과 세상에 공개한다는 건 많은 기업들이 애써서 기피해왔던 것입니다. 고지의 의무가 없으니 감추고 덮고 축소하고 심지어 부정하기 일쑤였죠. 그게 통하니 보안에 최선을 다하지 않아도 됐고요. 연방 정부 차원에서 빠른 고지를 명령했다는 건 부정과 축소로 일관됐던 기업의 보안 전략이 처음부터 바뀌어야 한다는 뜻입니다.”

켈러만은 개인적으로 사이버 사건 보고 법이 시행되면서 기업들이 CISO라는 자리를 만들어 인재를 고용할 수밖에 없을 것으로 보고 있기도 하다. “그리고 그 CISO에게 예산도 주고 결정권도 주게 될 것으로 봅니다. 정부에 ‘보안을 중요하게 생각하고 있다’는 걸 행동으로 보여주어야 할 때거든요. 사건이 터졌다고 고지한다는 건 ‘그 동안 우리 나름 애써왔다’는 걸 같이 증명해야 한다는 부담이 생긴다는 뜻이기 때문입니다. 임원진들 사이에서 보안 관련 규정들을 좀 더 학습하고 이해하려는 노력도 있을 것으로 보고, 보안 업계와의 파트너십을 모색하는 기업들도 늘어날 것이라고 생각합니다.”

이 규정 덕분에 앞으로 CISA는 사이버 보안 사고 혹은 랜섬웨어 사건을 제대로 보고하지 않는 기업을 소환할 권한도 가지게 됐다. 그리고 이 소환에 응하지 않는 기업은 사법부에 기소된다고 한다. CISA는 새로운 권한을 가진 만큼 새로운 보안 강화 프로그램을 진행해야 한다. 랜섬웨어 공격자들이 활발히 익스플로잇 하는 취약점들에 대해 기업들에 알리고, 랜섬웨어 공격을 무력화시키기 위한 민관 합동 태스크포스 팀을 만들어 운영해야 한다. 그렇기 때문에 CISA에 25억 9천만 달러라는 예산이 이번에 새롭게 배정됐다.

보안 업체 태니엄(Tanium)의 CIO인 크리스 크루즈(Chris Cruz)는 “러시아와 우크라이나의 전쟁 때문에 미국을 비롯한 서방 국가의 사회 기반 시설을 겨냥한 사이버 공격이 급증할 것으로 예상되는 가운데 취해진 적절한 조치”라고 말한다. “크렘린을 뒤에 업은 사이버 공격자들은 발전소나 병원, 은행 등 사회에 혼란을 가져올 수 있는 것들을 노릴 것으로 보안 업계는 예상하고 있습니다.”

리포지터리의 중앙화
CISA에는 새로운 권한과 함께 책임도 부여됐다. 위협 행위자들의 계획이나 움직임에 대한 정보를 중앙에서 관리하는 것이 그 중 하나다. “중앙에서 CISA가 정보를 보관하고 관리할 경우 사법부나 FBI 등과 같은 사이버 사건과 관련된 다른 중요 정부 기관들과도 정보 공유가 원활하게 이뤄질 것으로 전망됩니다. 그러면서 사건 대응, 수사, 재판에 대한 표준적인 절차와 방법론이 형성될 것으로 보이고요.”

보안 업체 발틱스(Valtix)의 수석 보안 연구원인 데이비스 맥카시(Davis McCarthy)는 “정부 기관에 무조건 보고하도록 하는 규정이지만, 결국에는 민관 협조 체계를 강화하는 밑바탕이 될 것”이라고 예상하고 있다. “고지든 보고든, 결국 사기업이 공공 기관과 더 많이 대화를 할 수밖에 없게 만드는 법입니다. 보다 능동적으로 협업을 하게 될 것으로 보이며, 사이버 보안 업계는 더 큰 힘을 받을 것입니다.”

맥카시는 “고지가 강제됨에 따라 정보가 더 널리 공유된다는 것도 무시 못할 효과”라고 분석한다. “사이버 공격 전략이나 공격자들의 동향에 대한 보다 통합적인 지식이 우리 안에 쌓이게 될 거라고 봅니다. 그러면 자연스럽게 공동의 대응을 할 수 있게 되겠죠. 사이버 범죄자들이 서로 간의 지식 공유로 보다 강력한 공격을 할 수 있게 된 것과 마찬가지로 말입니다.”

켈러만은 “앞으로 랜섬웨어 공격자들에 돈을 지불한 경우와 암호화폐 생태계 관리라는 측면에서 보다 엄격한 규정이 있어도 될 것”이라는 입장이다. “악성 행위자와 암호화폐 생태계 간에는 밀접한 연관성이 있습니다. 랜섬웨어 공격자들에게 돈을 내기로 한 조직과, 그 돈의 유통 통로가 되는 암호화폐 거래소들을 한데 묶어 관찰하다 보면 공격자들로 안내하는 길이 나올 것으로 예상하고 있습니다. 지금은 그 길이 잘 보이지 않죠.”

3줄 요약
1. 미국에서는 일부 산업들에 “보안 사건을 반드시 정부에 고지해야 한다”는 규정이 적용됨.
2. 민과 관의 대화 창구가 하나 더 확보된 것으로, 보다 능동적인 협업 체계 형성될 것으로 예상됨.
3. 또한 고지를 반드시 해야 하니 사건을 은폐하고 축소하려는 기업들의 보안 대처법이 사라지게 될 것으로 기대됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>