이번 주 개최한 보안 업계 최대 행사인 블랙햇 USA에 맞춰 미국 사이버 보안 전담 기구인 CISA의 국장이 새로운 프로그램을 들고 나타났다. 민과 관의 협조를 부르짖는 이번 정권의 진심을 증명할 만한 움직임이다. 물론 성공 여부는 더 두고 봐야 하겠지만.

[보안뉴스 문가용 기자] 미국 사이버 보안 전담 기구인 CISA의 국장으로 새롭게 임명된 젠 이스털리(Jen Easterly)가 이번 주 개최된 정보 보안 행사인 블랙햇(Black Hat)에 참가해 보안 커뮤니티 전체에 자신의 얼굴을 알렸다. 바이든 정부의 사이버 보안 기조인 ‘민관 협조’의 효과를 극대화하기 위해서다.


“우리 미국이 보유한 데이터와 네트워크, 서비스의 사이버 보안 기본 수준을 높이는 데 도움을 주시길 바랍니다. 여러분과 저희가 협력함으로써 인터넷 공간을 보다 안전한 곳으로 만들 수 있습니다.” 이스털리가 가상 키노트에서 가장 강조한 말이다. 정부와 민간 기업의 파트너십을 촉구하기 위해 가장 많은 보안 전문가들이 모인 행사를 찾은 게 이스털리의 전략이다.

이스털리의 CISA와 바이든의 백악관은 ‘민관 협조’를 단지 선언적 혹은 정치적 수사로만 가져가는 게 아닌 것으로 보인다. CISA는 오늘 JCDC라는 플랫폼을 런칭했다고 발표했다. JCDC는 ‘합동 사이버 방어 단체(Joint Cyber Defense Collective)’의 준말이다. 정부와 민간 기업 간 협조를 보다 구체적으로 이끌어내기 위한 프로그램인 것으로, 사이버 공격과 위협에 양자가 여기서 공동으로 대응할 예정이다.

이스털리는 JCDC에 대해 “위협 환경에 대한 공통된 인지도를 갖기 위해 마련된 것”이라고 설명했다. 같은 이해도를 통해 원활한 ‘공동 대응’을 조직하겠다는 계획인 것이다. 그러면서 “우리는 지금 전 국가적인 사이버 보안 강화와 국가 안보를 위한 실질적인 방어 계획을 세우고 있다”고 강조했다.

JCDC를 통해 CISA는 제일 먼저 랜섬웨어와 클라우드 보안을 1순위에 놓을 예정이라고 한다. 현재까지 이 JCDC에는 CISA외에 미국 국방부, 사이버사령부, NSA, FBI, 국가정보국이 들어가 있는 상태다. 민간 산업과 관련된 기관인 에너지부나 식약청 등 역시 조만간 JCDC에 참여할 것이라고 한다. 민간 기업들 중에는 아마존, AT&T, 크라우드스트라이크(CrowdStrike), 파이어아이 맨디언트(FireEye Mandiant), 구글 클라우드, 루멘, 마이크로소프트, 팔로알토 네트웍스, 버라이즌(Verizon)이 현재 가입되어 있다.

보안 업체 이셋(ESET)의 연구원인 카메론 캠프(Cameron Camp)는 “이러니 저러니 해도 결국 협업을 하려면 관계자들 전부 터놓고 이야기할 수 있어야 한다”고 강조한다. 그렇기 때문에 “플랫폼을 만들고 랜섬웨어와 공동으로 싸운다고 하더라도, 생각만큼 쉽게 원하는 바를 성취하기는 힘들 것”이라고 예상하고 있다. “랜섬웨어는 그 자체로 대단히 까다로운 적입니다. 그리고 민과 관은 아직 이야기를 나눌 정도의 관계는 아니고요.”

CISA는 이러한 문제가 지적될 것을 알고 있었다는 듯, “앞으로 JCDC에 참여한 모든 협력 단체들의 다양한 기술력을 한데 모으고 조합할 수 있게 해 주는 합동 사이버 방어 훈련이 진행될 것”이라고 예고했다. 또한 최근 CISA가 네덜란드의 보안 전문가인 빅토 게버스(Victor Gevers)와 협업하여 카세야(Kaseya)의 IT 솔루션의 취약점을 해결했다는 것을 예로 들었다.


미국의 주요 보안 관료가 블랙햇이라는 대형 보안 행사에 직접 참석해 민간 전문가들과의 관계 형성을 위해 노력한 건 이번이 처음 있는 일이 아니다. 하지만 실질적인 협업 프로그램까지 행사 일정에 맞춰 만들고, 행사 강연을 통해 발표한 것은 처음 있는 일이다. 여태까지는 그야말로 얼굴을 비추고 명함을 주고받고 악수하는 선에서 그쳤었다.

그리고 CISA의 새 국장 이스털리는 “여러분들이 현장에서 보시는 데이터에, 우리가 컨텍스트(맥락)를 제공하겠다”고 선언하기도 했다. 민간의 전문가들에게 국가 기관에서 독점적으로 보유하고 있던 ‘커다란 그림’을 제공하겠다는 것으로, CISA가 약속을 지킨다면 이는 꽤나 의미심장한 발언이다. 그리고 민관 협력을 위한 실질적이고 분명한 첫 걸음이 될 수 있다.

“여러분들이 가지고 계신 데이터와 국가가 보유하고 있는 통찰이 합쳐질 때 우리는 어마어마한 결론을 도출할 수 있을 겁니다. 우리가 지금 각종 사이버 공격에 당하는 건 기술력이나 지식이 부족해서가 아닙니다. 민과 관의 연대, 딱 그것 하나가 부족해서입니다. 이를 통해 우리는 지금 한없이 취약해 보이는 공급망과 인프라들을 보다 효과적으로 보호할 수 있습니다.” 이스털리는 힘줘서 말했다.

3줄 요약
1. 이번 블랙햇 행사에서도 미국 관료가 등장. 올해는 CISA의 새로운 국장.
2. 그냥 얼굴만 비춘 것 아닌 것이, 행사 일정에 맞춰 민관 협업 프로그램인 JCDC를 런칭.
3. 민간 기업에서 데이터를 공유하면, 정부는 큰 그림(컨텍스트)을 제공하겠다고 약속.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>