바이든 대통령의 새로운 보안 정책이 사이버의 미래를 위해 의미하는 것

이 문서는 원래 앤드류 루빈의 LinkedIn.

바이든 행정부는 미국 정부의 복원력을 개선하고 위험을 줄이기 위한 포괄적인 행정 명령을 통해 사이버 보안 정책의 유산을 공고히 했습니다. 우리 정부가 사이버 보안 청사진을 다시 쓰려고 시도한 것은 거의 20년 만에 처음 있는 일이며, 하루라도 빨리 이루어져야 합니다. 공격자들은 그 어느 때보다 새로운 침입 방법을 추구할 시간, 인력, 리소스를 확보하고 있으며, 최근 콜로니얼 파이프라인 및 솔라윈즈 공격에서 알 수 있듯이 공격자들은 대규모로 공격에 성공하고 있습니다.

이는 단순히 미국만의 문제, 연방정부의 문제, 정책의 문제가 아니라 시스템에 안일함이 스며든 전염병입니다. 그렇기 때문에 저는 이번 행정명령을 두 팔 벌려 환영하며, 이는 우리 자신을 보호하는 방식을 바꿔야 한다는 행동의 촉구입니다.

한발 앞서 나가기

미국 연방 정부는 정보 기술 및 사이버 보안 현대화 분야에서 꽤 오랫동안 뒤처져 있었습니다. 알레한드로 마요르카스 미국 국토안보부 장관은 3월 31일 국가 사이버 복원력에 대한 비전을 공유하면서 미국 연방 사이버 보안의 현주소를 다음과 같이 설명했습니다."우리 정부는 작년에 해킹을 당했지만 몇 달 동안 그 사실을 알지 못했습니다. 세계 최고의 사이버 보안 회사 중 하나가 스스로 해킹을 당하고 정부에 경고한 후에야 이 사실을 알게 되었습니다. 이번 사건은 연방 정부가 사이버 보안 방어를 현대화하고 파트너십을 강화해야 할 필요성을 강조하는 많은 사건 중 하나입니다."

세계에서 가장 부유하고 혁신적인 국가 중 하나가 국가 인프라 보안에 있어 역사적으로 뒤처져 왔던 이유는 무엇일까요? 정부 자산을 보호하는 데 사용되는 수십억 달러의 연방 예산이 외부 위협의 영향을 완화할 것이라고 생각할 수 있습니다.

하지만 문제는 자원이나 인재가 부족하거나 최고 수준의 사이버 방어 기술에 대한 접근성이 부족하다는 것이 아닙니다. 미국은 결국 많은 글로벌 사이버 보안 리더들의 자랑스러운 본거지입니다. 대신, 마요르카스 장관이 제시한 것은 전 세계는 아니더라도 적어도 연방 정부를 위한 전체 사이버 보안 모델에 대한 기소라고 생각합니다.

작년에 전 세계적으로 사이버 보안에 1,730억 달러를 지출했지만, 역대 그 어느 때보다 많은 침해 사고가 발생했으며, 역대 가장 치명적인 침해 사고가 발생했습니다. 실패한 전략과 끔찍한 결과에도 불구하고 우리는 20년 전과 마찬가지로 오늘날에도 사이버 보안에 대해 동일한 접근 방식을 취하고 있습니다. 조직은 공격이 경계에 침투하는 것을 방지한 다음, 공격이 침투했을 때 이를 탐지하고 사고 대응에 의존하여 혼란을 수습하려고 합니다.

예방과 탐지만으로 기관, 비즈니스 또는 조직을 보호하던 시대는 지났습니다. 지금 이 순간에도 인프라에 공격이 발생하고 있지만 사용자가 인지하지 못하고 있습니다. 숨어 있습니다. 그들은 가장하고 있습니다. 그들은 IP, 고객 데이터, 정부 기밀을 훔치거나 몸값을 요구하기 위해 이리저리 움직이고 있습니다. 안타깝게도 현재의 사이버 보안 접근 방식은 이러한 공격이 대규모 사이버 재난으로 이어지는 것을 막는 데 거의 도움이 되지 않습니다.

그라운드 제로로 이동

이 행정명령은 새로운 보안 설계의 첫 번째 초안을 제시함으로써 마침내 연방 사이버 보안 모델이 시대에 뒤떨어졌다는 사실을 인정합니다. 새로운 접근 방식은 두 단어로 요약할 수 있습니다: 제로 트러스트.

공급업체를 선택하면 수많은 제로 트러스트 정의를 찾을 수 있습니다. 포레스터는 10여 년 전에 이 용어를 공개했으며,최근 포레스터 애널리스트 스티브 터너의 블로그에서는 "제로 트러스트는 하나의 제품이나 플랫폼이 아니라 '절대 신뢰하지 않고 항상 검증'과 '침해를 가정'하는 개념을 중심으로 구축된 보안 프레임워크입니다."라고 설명한 바 있습니다.

연방 정부 차원에서 제로 트러스트가 어떤 모습인지 살펴보면, 제로 트러스트 전략을 성공적으로 구현하고 달성하기 위한 여러 가지 핵심 요소가 있습니다. 액세스, 신원 확인, 세분화는 대규모로 요구되는 세 가지 핵심 기술입니다. 예를 들어 Google Authenticator, Authy 또는 기타 다단계 인증 앱을 사용했다면 제로 트러스트를 향해 한 걸음 내디딘 것입니다. 하지만 누구의 정의를 따르든 필요한 기본적인 디자인 원칙이 있습니다.

연방 정부는 '침해 가정'이라는 사고방식, 즉 공격이 이미 인프라에 존재하며 향후 새로운 공격이 다시 발생할 수 있다는 사고방식으로 운영해야 한다는 것을 기본 원칙으로 삼아야 합니다. 이러한 전략적 출발점에서 연방 사이버 방어는 클라우드, 네트워크 또는 데이터 센터 전반에 걸친 공격의 적대적 이동을 차단하는 데 더 잘 대비할 수 있습니다. % 0.1%의 보안 침해로 인해 납세자에게 수십억 달러의 비용이 발생하거나 전략 연료 파이프라인과 같은 중요 인프라가 폐쇄될 경우 99.9%의% 효과만으로는 충분하지 않다는 사실을 뼈저리게 배웠습니다. 대신 침해에 선제적으로 대비하여 조직이 침해의 범위와 영향을 완화할 수 있도록 하는 것입니다.

조금 더 확장하자면, 정부는 최소 특권과 명시적 신뢰의 원칙을 따라야 합니다. 즉, 인프라 전반(애플리케이션, 네트워크, 클라우드, 데이터센터 또는 디바이스 간)의 통신에는 항상 최소한의 권한만 있어야 하며, 기관은 이러한 시스템 간 통신을 허용하기 전에 명시적으로 통신을 신뢰해야 합니다. 예를 들어 이러한 원칙이 있었다면 솔라윈즈 공격이 그토록 큰 피해를 입히는 것을 막을 수 있었을 것입니다. 멀웨어는 인프라에 있었지만 고립되어 있었기 때문에 그렇게 광범위한 피해를 입힐 수 없었습니다.

새로운 사이버 노멀

마요르카스 장관은 "우리는 근본적으로 사고방식을 바꾸고 방어와 회복탄력성이 함께 가야 한다는 점을 인정해야 한다"고 설명했습니다. 사이버 방어를 개선하기 위해서는 과감하고 즉각적인 혁신, 대규모 투자, 필수적인 사이버 위생의 기준을 높이는 것이 시급히 필요합니다. 이에 따라 정부 안팎의 투자 우선순위를 정해야 합니다."

제로 트러스트는 단순한 국가 사이버 보안 프레임워크가 아니라 모든 기업, 조직 또는 개인이 진정한 사이버 복원력을 달성하기 위해 도입할 수 있는 것입니다. 바이든 행정부가 옹호하는 것은 오늘날 세계를 지원하고 보호하는 보안 도구와 기술을 전복하는 것이 아니라 사이버 보안 방어를 더욱 강화하고 대비를 강화하기 위해 이러한 솔루션을 보완하는 전략적 사고방식입니다.

연방 사이버 보안 현대화는 한 번에 이루어질 수는 없지만, 이미 연방 네트워크에 침투한 악의적인 활동을 격리하기 위해 설계된 통제부터 시작해야 합니다. 모든 기관에서 침해 사고를 가정하는 사고방식으로 시작해야 합니다. 그리고 이를 위해서는 제로 트러스트 전략을 대규모로 채택하는 것부터 시작해야 합니다.