정부기관들의 통합된 노력 도모... 하지만 민간 부문에 대한 언급 없어
큰 방향 설정에 의의 있어... 세부적인 사항은 더 삽입되어야

[보안뉴스 문가용] 오바마 대통령은 국가 안보와 정부, 경제, 중요한 사회 인프라를 위협하는 대규모 사이버 공격이 발생했을 때 연방 기관들이 어떤 식으로 행동하고 협력하고 대응해야 하는지에 대한 공식적인 지시사항을 발표했다.


해당 지시사항의 공식 명칭은 PPD-41(대통령정책지침 41호)로 FBI와 미국사법부 내 국가 사이버 수사 특별팀을 위협 대응 주요 기관으로 지명하고 있으며, 국토안보부는 자산 대응 부문에서 주요 기관으로 임명되었다. 국토안보부는 사이버 안보 총사령부인 NCCIC를 통해 해당 업무를 수행하도록 되어 있다. 국가첩보사무국은 CTIC를 통해 첩보 지원 및 관련 사안에 대한 주요 기관이 되었다.

그렇다면 이번 지침 41호가 규정하는 ‘중요한’ 사이버 사건이란 무엇일까? 국가 안보, 외교 관계, 미국 경제, 국민의 신뢰, 국민의 자유나 보건, 안전에 심각한 위험을 초래할 수 있는 사건이라고 설명되어 있다. 또한 사이버 사건이란 공격자가 취약점, 시스템의 보안 절차, 내부 통제 등을 악용하는 것이라고 규정한다.

“물론 현존하는 정책으로도 대부분의 사이버 공격 사건들을 다루는 게 가능합니다. 하지만 말 그대로 ‘대부분’일 뿐, 전부는 아닙니다. 그 빈틈으로 들어오는 공격이 심각한 결과를 초래할 수 있으며, 그렇기 때문에 그에 대한 조치를 해야 했습니다. 또한 연방 정부 기관들은 그러한 사태 발생 시 힘을 모아 대처할 수 있어야만 합니다.” 이번 지침의 목적이다.

위에서 설명한 것처럼 이번 지침의 가장 궁극적인 목적은 ‘협력’이다. 특히 각기 움직이던 정부기관들이 하나로 움직일 수 있게 하기 위함이라고 볼 수 있다. 지난 오바마 정권 당시 사이버보안 위원을 지낸 바 있는 톰 켈러만(Tom Kellerman)은 “현대 사이버 공격의 본질을 방증하는 지침”이라고도 설명한다. “최근의 사이버 공격은 매우 파괴적이고 대규모로 이뤄집니다. 즉 힘을 합한 방어가 반드시 필요하다는 것이죠.”

이번 지침이 작성되게 된 계기는 작년에 발생한 인사관리처(OPM) 정보 유출사건이라고 알려져 있다. 게다가 최근엔 민주국가위원회(DNC)에서 러시아인으로 보이는 해커들의 공격이 발견되기도 했다. 최근 미국은 대선을 준비하고 있는 기간이라 DNC에서는 민주당 측 후보인 힐러리 클린턴과 버니 샌더스의 정보를 상당히 보관하고 있는 것으로 알려져 있다.

산업 통제 시스템을 보호하는 ICS-ISAC의 의장 크리스 블라스크(Chris Blask)는 “이번 지침은 사실상 미국 정부가 사이버 공격에 이런 식으로 대응하겠다고 선전포고 한 것이나 마찬가지”라고 보고 있다. “민간 사업자들은 정부가 보안에 대해 어떠한 태도를 가지고 있는지 짐작할 수 있을 것입니다. 큰 방향에서는 연방 정부가 정보보안에 대해 이전보다 더 깊은 관심을 가지고 있다고 볼 수 있죠.”

하지만 이번 지침에서는 민간 산업에 대한 언급은 빠져있다. “사이버 911이라고 하는 민간 업체 전용 사이버 사건 대응 정책을 추가하는 것이 좋아 보입니다. 불이 나거나 강도가 들었을 때 911로 바로 전화할 수 있는 것처럼 사이버 사건에 대한 국가의 민간인 보호 제도도 당연히 필요합니다.” 블라스크의 주장이다.

현재 미국 민간인이 사이버 공격을 받았을 때 정부가 제공하는 건 경찰력뿐이다. 그것도 FBI에 신고했을 때에만 해당된다. “이번 지침서가 ‘상징적’으로 나쁘진 않아요. 하지만 민간 사업체와 민간 사용자들을 보호할 만한 지침서는 아닌 것 같습니다. 국가가 곧 국민인데 말이죠. 아마 곧 확장된 무언가가 나오지 않을까요.”

켈러만은 지난 10년 동안 사이버 사건에 대한 공권력의 대응은 좋지 못했다고 설명한다. “논란의 여지가 없습니다. 미국을 끊임없이 공격하는 사이버 공격자들이 줄어들었나요? 오히려 늘었죠. 꾸준히 실패하고 있었던 겁니다. 공격은 한참 이루어지고 있는데 탐지와 수사는 항상 뒷북이니까 그렇습니다. 이번 대통령정책지침의 가장 즉시적인 달성 목표는 그런 식의 공격을 더 빨리 파악하고 더 빨리 쫓아내는 것, 즉 시간단축이라고 분석됩니다.”

FBI는 이번 지침서에 대해 “FBI가 그동안 여러 관계자들과 함께 협력하여 미국 시민, 사업체, 조직들을 보호하기 위해 행해온 일들을 더 잘 할 수 있게 되었다”며 “이로 인해 미국을 위협하는 여러 부류의 사이버 공격자들의 가지각색의 공격을 보다 확실히 무력화시킬 수 있을 것이라고 보인다”고 발표했다.

한편 PPD-41에는 사건 대응의 원칙 다섯 가지도 새롭게 규정되어 있다.
1) 네트워크를 보호하는 데에 있어 개인, 정부, 민간 부문은 책임을 공유한다.
2) 공격을 받거나 영향을 받은 조직의 프라이버시 및 자유를 존중한다.
3) 리스크 중심 대응을 기본으로 한다.
4) 모든 사건 해결 노력을 통합한다.
5) 복구와 정상화는 최대한 빠르게 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>