최신 사이버 보안을 구현할 때 연방 기관이 직면하는 3가지 과제

공공 부문의 사이버 보안이 중요한 이유는 보관하는 정보 때문입니다.  

미국 연방 정부는 거의 모든 시민의 개인 정보를 수집합니다. 또한 연방 기관은 중요한 데이터를 보유하고 있으며, 이 중 일부는 유출될 경우 국가를 위험에 빠뜨릴 수 있습니다. 

연방 정부에는 자원을 놓고 경쟁하는 많은 이니셔티브가 있지만, 시민을 보호하기 위해서는 사이버 보안을 우선시하는 것이 중요합니다. 

연방 기관은 최신 사이버 보안 전략의 우선순위를 정해야 합니다. 

국세청이나 사회보장국 같은 기관은 거의 모든 미국 시민의 정보를 보관하고 있습니다. 이는 보호해야 할 의무가 있는 정보입니다.  

그리고 이러한 개인 정보로 악의적인 행위자는 원하는 사람을 모방할 수 있습니다. 따라서 신원 도용은 주요 관심사입니다. 

직접 대면하는 일이 거의 없고 대부분의 생활을 온라인에서 하는 오늘날에는 해커가 개인에게 심각한 피해를 입히기 쉽습니다. 주택 담보 대출을 인수하고 은행 계좌를 정리한 사람들의 이야기를 듣게 됩니다. 이는 연방 정부가 보관하고 있는 정보에 따라 삶을 바꿀 수 있는 조치입니다.  

서비스를 제공하는 사람들 외에도 기관에 직접적인 영향을 미칠 수 있는 심각한 사이버 위험이 존재합니다.  

연방 법 집행 기관의 전술, 기술 및 절차가 밝혀지면 악의적인 행위자는 이를 우회하기 위해 노력할 수 있습니다. 이는 사기, 낭비, 남용, 범죄가 계속되도록 허용함으로써 이들 기관의 임무에 영향을 미치고 미국의 방어력을 약화시킵니다. 

연방 기관이 사이버 보안 전략을 업데이트할 때 직면하는 3가지 과제 

사이버 보안이 공공 부문의 중요한 관심사라는 사실은 쉽게 인식할 수 있지만, 새로운 이니셔티브를 실행하는 것은 어려울 수 있습니다. 연방 정부는 새로운 일을 할 때 특별한 도전에 직면하게 되는데, 여기에는 사이버 보안도 포함됩니다.  

1. Money

연방 기관은 종종 요청하는 예산을 확보하는 데 어려움을 겪습니다. 이로 인해 현재 이니셔티브를 유지할 수 있는 자금은 거의 없고, 새로운 이니셔티브는 훨씬 더 적습니다. 

그리고 새로운 기술은 비용이 많이 들 수 있습니다. 기관은 사이버 보안이 중요하다는 것을 알고 있지만, 이를 달성하는 데 필요한 기술은 종종 손이 닿지 않는 곳에 있습니다. 보안 이니셔티브를 추진하는 데 도움을 줄 수 있는 추가 직원을 고용하거나 보안 전문가를 채용하는 데 드는 비용으로 인해 이러한 상황은 더욱 악화됩니다. 

2. 리소스 

사이버 보안 업계는 인재 격차에 직면해 있습니다: 사이버 보안 기술을 보유한 사람의 수는 보안 관련 일자리의 수에 비해 훨씬 적습니다.  

연방 정부가 제한된 자원을 놓고 민간 업계와 경쟁하는 것은 이미 어려운 일입니다. 사이버 보안 역할을 수행하는 것도 다르지 않습니다. 공공 부문은 민간 부문 조직이 제공하는 급여, 복리후생, 경력 우위와 거의 경쟁할 수 없기 때문에 사이버 인재 확보 경쟁에서 밀리고 있습니다. 

공공 부문의 인재 풀이 워낙 작기 때문에 기관은 현재 있는 직원으로 버티고 있습니다. 즉, 기관의 인력이 부족하여 기술 교육이나 기술 혁신에 투자할 시간이 거의 없는 경우가 많습니다.  

직원들의 관심은 레거시 보안 시스템을 유지하는 데만 집중되어 있고, 기관은 최신 보안 전략에 뒤처져 있습니다. 기관이 이러한 악순환의 고리를 끊는 것은 어렵습니다. 무제한의 자금을 지원하더라도 신규 채용을 위해 민간 업계와 경쟁해야 하기 때문입니다.  

3. Mindset 

이러한 주기적인 도전은 사이버 보안에 대한 공공 부문의 사고방식을 뒤처지게 만듭니다.  

이직률이 낮고, 기술 교육 기회가 적으며, 연방 정부 일자리에 대한 채용 풀이 작기 때문에 사이버 보안에 대한 기존의 구시대적인 이해가 계속 유지되기 쉽습니다. 네트워크의 경계만 보호하는 수십 년 된 보안 기술은 오늘날의 분산되고 초연결된 네트워크에 맞게 진화하지 못했습니다.  

모든 보안 전문가는 "침해를 가정한다"는 사고방식을 가져야 합니다. 사이버 공격으로 인해 경계가 뚫리는 것은 불가피하며, 보안팀은 공격이 전체 네트워크를 파괴하는 것을 막을 수 있는 계획을 세워야 합니다. 

그러나 연방 기관의 전략적 리더조차도 최신 사이버 보안 요구 사항을 업데이트하는 데 어려움을 겪고 있습니다. 이들은 민간 업계의 보안 이니셔티브의 빠른 속도에 대한 인사이트를 가지고 있지만 공공 부문의 고유한 제약으로 인해 이를 실행할 수 없습니다. 

연방 정부에 새로운 보안 전략이 강력한 채용이나 더 나은 자금 지원을 통해 도입되지 않는 한, 기존의 접근 방식과 시스템은 여전히 필수적인 것으로 남아 있습니다. 낡은 보안은 보안이 전혀 없는 것보다는 낫지만, 사이버 보안에 대한 공공 부문의 사고방식에 큰 변화가 일어나야 합니다. 

연방 보안 의무는 기관이 발전하는 데 도움이 될 수 있습니다.  

행정명령 14028과 새로운 CISA 전략 계획 2023-2025와 같은 명령은 사고방식을 바꾸고 사이버 보안 이니셔티브를 업데이트하는 데 긍정적인 영향을 미칩니다.   

연방 기관의 보안 팀은 이러한 의무를 보안 자금과 리소스를 확보하기 위한 지원책으로 활용할 수 있습니다. 새로운 보안 이니셔티브에 대한 요청은 단순히 모범 사례나 보안 팀의 의견에 그치지 않습니다. 이 요청은 그 필요성을 정당화할 수 있는 탄탄한 근거를 가지고 있으며, 의회에 예산을 요청하는 근거로 사용할 수 있습니다.  

공공 부문은 제로 트러스트 보안으로 나아가고 있습니다. 

좋은 소식은? 연방 기관에서 사이버 보안을 담당하는 사람 중 제로 트러스트에 대해 들어본 적도 없고 그 중요성을 모르는 사람은 찾기 어렵습니다. 이것이 첫 번째 전투이며, 대체로 승리했습니다.  

제로 트러스트는 일반적인 용어가 되어가고 있으며, 대부분의 기관이 최신의 업데이트된 보안으로 나아가는 방향으로 나아가고 있습니다. 제로 트러스트 세분화와 같은 제로 트러스트 보안 전략이 생각보다 비용과 시간이 훨씬 적게 든다는 사실을 깨닫고 있습니다.  

Illumio는 연방 정부에서 보다 강력하고 현대적인 보안 태세로 전환하는 데 도움을 줄 수 있습니다. 일루미오 제로 트러스트 세분화 플랫폼을 통해 연방 기관은 불가피한 침해에 대비하고 시민의 데이터를 선제적으로 보호할 수 있습니다.   

연방 정부 사이버 보안 페이지에서 자세히 알아보세요.