• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국 NIST, 바이든 명령에 따라 특별 관리 소프트웨어의 정의 새롭게 내려 2021.06.29

네트워크 솔루션, 데이터 관리 소프트웨어, 아이덴티티 관리 애플리케이션, 권한이 높은 소프트웨어 등이 모두 ‘대단히 중요한 소프트웨어’로 규정됐다. 미국 연방 기관에서는 앞으로 이 소프트웨어들에 대한 특수 보호 조치가 이뤄질 전망이다. 대통령 명령이 착착 실행되고 있다.

[보안뉴스 문가용 기자] 미국 NIST가 ‘대단히 중요한 소프트웨어(critical software)’를 규정하는 작업을 마쳤다. 5월 12일 바이든 대통령이 내린 ‘연방 정부 기관 보안 강화’를 위한 행정명령에 따른 것이다. 이제 이 새 정의에 따라 각 연방 정부 기관들은 중요한 소프트웨어들에 대한 보안 강화 조치를 취해야 한다.

[이미지 = utoimage]


5월 12일의 행정명령에 따르면 NIST는 45일 안에 ‘대단히 중요한 소프트웨어’에 대한 정의를 내려야 했다. 정의 내리는 것이 완료되면 미국 연방 기관의 CISO와 같은 역할을 담당하는 CISA가 새로운 보안 규정들을 만들어야 한다. 새로운 정의가 있어야 관리 강화 방안이 정확히 나올 수 있다는 게 미국 정부 기관 요원들(바이든 포함)의 생각이었다.

NIST가 새롭게 규정한 ‘대단히 중요한 소프트웨어’는 다음과 같은 특성을 가진 것으로 정의됐다.
1) 높은 권한을 가지고 실행되도록 설계된 소프트웨어
2) 네트워킹이나 컴퓨팅 자원에 직접적으로 접근할 수 있는 소프트웨어
3) 데이터에 대한 접근 권한 및 운영 기술을 제어할 수 있는 소프트웨어
4) 신뢰 형성 및 유지에 핵심적인 기능을 실행하는 소프트웨어
5) 정상적인 신뢰의 범주 바깥에서, 높아진 권한을 가지고 작동하는 소프트웨어

이런 요건 중 하나 이상을 가진 소프트웨어들은 전부 ‘대단히 중요한 소프트웨어’로 간주된다. 운영체제, 웹 브라우저, 하이퍼바이저, 엔드포인트 보안 솔루션, 아이덴티티 및 접근 관리 애플리케이션, 네트워크 모니터링 솔루션 등이 여기에 포함된다고 NIST는 사례를 들기도 했다. 또한 독립적인 소프트웨어만이 아니라, 소프트웨어를 구성하는 요소들이나 특정 장비와 인프라에만 탑재되는 펌웨어들도 여기에 포함된다.

보안 업체 콜파이어(Coalfire)의 부회장인 존 딕슨(John Dickson)은 외신인 시큐리티위크와의 인터뷰를 통해 “이번 NIST의 새 정의는 시작점에 불과하다”고 말한다. 정의가 너무 광범위해서 아직 더 좁혀야 할 필요가 있다는 지적이다. 또한 내부적으로 개발한 미션 크리티컬한 소프트웨어들은 이번 정의에 포함되지 않는다는 것도 이상하다고 말했다. 아마도 솔라윈즈(SolarWinds) 사태와 같은 공급망 공격을 염두에 두고 일이 진행되니까 그런 것 같다고 그는 추측했다.

또 다른 보안 업체 벡트라(Vectra)의 기술 국장인 팀 벡트라(Tim Vectra)는 외신인 뱅크인포시큐리티를 통해 “연방 기관만이 아니라 모든 조직들이 차용할 수 있는 정의”라고 말하지만 “좀 더 구체적일 필요는 있다”고 말했다. 또한 이런 목록들에만 지나치게 의존함으로써 보안의 유연성을 잃는 것을 경계해야 할 필요가 있다고 짚었다. 이런 규정이나 점검 목록이 나올 때마다 ‘바이블’처럼 받아들여지는 것 자체가 위험하다는 것.

또 다른 보안 전문가인 패드라익 오렐리(Padraic O┖Reilly)는 개인 트위터를 통해 “공격자들의 최초 침투를 막으려는 데 집중한 것으로 보인다”고 이번 정의를 평가했다. 앞으로 연방 기관에 소프트웨어를 판매하려는 기업들이 이 새 규정에 따라 보안 기능을 추가해야 할 것이라고 내다보며, 상당히 긍정적인 일로 보고 있다고 밝혔다.

NIST는 연방 정부 기관들에, “온프레미스 소프트웨어부터 강화하라”고 권고했다. 즉 클라우드 기반 소프트웨어나 애플리케이션들까지 지금부터 걱정할 필요가 없다는 것이다. “서두르지 말고 천천히 강화하는 게 중요하다”고 NIST는 연방 정부 기관들에 적극 권고하고 있다. “온프레미스 요소들을 강화한 후 클라우드로 옮겨갈 것이 권장됩니다.”

이제 바통은 CISA에로 넘어갔다. 앞으로 CISA는 30일 내에 이 ‘정의’에 부합하는 소프트웨어 목록들을 완성시켜야 한다. 그런 후에는 각 소프트웨어에 맞는 보안 조치 및 권고 사항들도 발표할 예정이다. 이 작업에 NIST도 참여한다고 한다.

3줄 요약
1. NIST, 대통령 행정명령에 따라 ‘중요한 소프트웨어’의 정의를 새롭게 내림.
2. 이제 이 정의에 따라 CISA가 소프트웨어를 추려내고 보안 조치 마련해야 함.
3. 연방 정부 기관의 소프트웨어 강화하려는 노력 착착 진행 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>