보안 강화를 위해 지켜야 할 것들에 우리는 너무나 익숙하다. 하지만 보안에 나쁜 행위들이 공식적으로 집계돼 백서처럼 발간된 사례는 드물다. CISA는 아무리 좋은 행동을 해도 구멍을 막지 않으면 소용이 없다고 주장한다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 조직인 CISA가 조직을 위험하게 하는 ‘안 좋은 보안 습관’ 목록을 제작 중에 있다. 어느 조직에서나 일반적으로 적용할 수 있지만 특히 사회 기반 시설을 운영하는 조직들을 위한 작업이라고 한다.


보안 업계는 ‘보안 강화를 위해 반드시 지켜야 할 수칙 사항’을 목록화 하는 데에는 도가 텄다. CISA의 부국장인 에릭 골드스타인(Eric Goldstein)은 블로그를 통해 이같이 밝히며 “잘 하는 걸 아무리 잘 해도 구멍을 막지 못하면 소용이 없다”고 강조했다.

“보안의 측면에서 봤을 때 위험한 행동들은 경쟁과 시장성을 이유로 용인되는 경우가 많았습니다. 자원이 모자란다거나, 인력이 없다는 것으로도 용서가 됐죠. 하지만 그랬을 때 어떤 일이 일어났나요? 누군가 식수에 독을 풀고, 에너지 공급 라인을 마비시켰습니다.” 올해 미국서 발생한 양잿물 테러 사건과 콜로니얼 파이프라인(Colonial Pipeline)에 대한 이야기다.

“조직을 위험하게 하는 행동이 무엇인지 공개하고, 그것을 줄이려는 노력을 병행하는 것이 필요합니다. 보안 강화를 위한 행동을 강조하고 실천하는 것과 함께 말이죠. 둘은 서로를 대체할 수 없으며, 오히려 상호보완적인 관계를 갖습니다.” 현재 CISA는 ‘안 좋은 행위들’을 목록화 한 페이지를 운영 중에 있으며, 이 목록은 점진적으로 늘어날 전망이다.

이 목록이 담겨진 페이지는 여기(https://www.cisa.gov/BadPractices)서 열람이 가능하다. 가장 먼저 언급된 내용은 생애주기가 끝난 소프트웨어를 사용하는 것이다. CISA는 사회 기반 시설에서 이러한 소프트웨어가 사용될 때 위험 수위가 크게 높아진다고 강조하며, 이는 국가 안보와 보건, 국가 경제에 심각한 영향을 줄 수 있다고 썼다.

그 다음 위험한 행위로 언급된 건 쉬운 비밀번호를 변경하지 않고 계속 사용하는 것이다. 이 역시 주요 사회 기반 시설에서 사용될 경우 국가 안보와 경제를 위협하고 사회 혼란을 야기할 수 있을 것이라고 CISA는 강조했다. 첫 번째나 두 번째 모두 인터넷에 연결된 자산에서 나타날 때 특히 위험하다고 CISA는 덧붙였다.

CISA는 이 두 가지 행위는 사회 기반 시설만이 아니라 모든 조직에서 척결되어야 할 1순위 ‘나쁜 행위’라고 주장했다. 그러므로 모든 조직들이 이를 해결하기 위한 조치를 취해야 한다는 것이다. “이 목록이 사회 기반 시설을 위주로 만들어진 것이 사실이지만, 여기에 언급된 내용들이 다른 조직들에 전혀 나타나지 않는 것도 아니고, 다른 조직들에서는 용납 가능한 내용인 것도 아닙니다. 그러므로 모든 조직들에서 이 ‘나쁜 행위’들을 제거하기 위한 전략을 짜는 것이 권장됩니다.”

미국은 현재 바이든 대통령의 행정 명령을 받아 연방 정부 기관과 사회 기반 시설 강화에 서두르고 있다. 얼마 전 NIST는 핵심 자산이 되는 소프트웨어의 정의를 재정립했고, CISA는 이를 받아 구체적인 소프트웨어 명단을 만들 예정이다.

3줄 요약
1. 미국 CISA, 보안 실천 사항이 아니라 고쳐야 할 보안 버릇 목록 만듦.
2. 현재는 미완성이나 앞으로 목록을 계속 늘릴 예정.
3. 기반 시설을 위주로 만든 목록이지만 모든 조직들이 보편적으로 참고할 만한 내용들 포함될 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>