새로운 국가 사이버 보안 전략 실행 계획에 대해 알아야 할 사항

오늘날의 복잡한 사이버 보안 환경에서는 랜섬웨어와 보안 침해가 일상적으로 발생하는 것이 사실입니다.

2023년 3월, 바이든 행정부는 많은 기대를 모았던 국가 사이버 보안 전략을 발표했습니다. 저는 국가의 사이버 복원력 강화를 위한 강력한 비전을 제시하면서도, 이 계획의 즉각적인 영향력과 책임성 부족, 특히 10년 전망에 대해 얼마나 큰 실망감을 느꼈는지 The Hill에 기 고했습니다. 연방 정부는 랜섬웨어와 보안 침해에 더 빠르게 대응하기 위해 발 빠르게 움직여야 합니다.

정부 기관을 위한 실질적인 사이버 보안 전략을 제공하는 것이 중요하다는 점을 인식한 바이든 대통령은 최근 새로운 국가 사이버 보안 전략 실행 계획 (NCSIP)을 발표했습니다. 이 계획은 기관에 사이버 보안을 위한 역할, 책임 및 리소스 할당 방식을 변경할 수 있는 로드맵을 제공합니다.

새 요금제에 대해 알아야 할 사항은 다음과 같습니다.

NCSIP의 5가지 전략 기둥

이 계획은 5개의 기둥으로 구성되어 있으며, 각 기둥에는 구체적인 사이버 보안 이니셔티브가 포함되어 있습니다. 아래에서 이러한 기둥과 그 이니셔티브를 간략하게 요약해 보았습니다.

• 기둥 1: 핵심 인프라 방어 - 이 기둥은 국가 안보와 공공 안전을 유지하는 사이버 보안 요건을 확립하는 것을 목표로 하며, 공공 부문과 민간 부문 간의 협력 확대의 중요성을 강조합니다. 연방 사이버 보안 센터를 통합하여 조정 및 정보 공유를 개선하고자 합니다. 또한, 연방 사고 대응 계획과 프로세스를 업데이트하는 동시에 연방 사이버 보안 방어를 현대화하여 진화하는 위협에 한발 앞서 대응하는 것을 목표로 합니다.

• 기둥 2: 위협 행위자 교란 및 해체 - 이 기둥은 사이버 범죄 활동을 교란하고 공공 및 민간 부문 간의 협력을 강화하여 적을 방해하기 위한 연방 정부의 노력을 통합하고자 합니다. 이 기둥은 사이버 공격에 대한 신속하고 광범위한 정보 공유와 피해자에 대한 알림의 중요성을 강조합니다. 또한 미국 기반 인프라의 오용을 방지하고 사이버 범죄, 특히 랜섬웨어 공격을 표적으로 삼는 사이버 범죄에 대처하는 것을 목표로 합니다.
• 세 번째 기둥: 보안과 복원력을 촉진하기 위한 시장의 힘 형성 - 이 기둥은 보안이 취약한 소프트웨어 제품 및 서비스에 대한 책임을 제조업체와 공급업체에 전가하여 책임을 강화할 필요성을 강조하면서 안전한 IoT(사물 인터넷) 디바이스의 개발을 촉진하는 것을 목표로 합니다. 이 보고서는 보안 조치의 우선순위를 정하기 위해 연방 보조금과 인센티브를 사용할 것을 제안합니다. 또한, 연방 조달을 활용하여 책임성을 개선하고 사이버 보안 관행을 장려할 것을 제안합니다. 주요 사이버 사고 발생 시 지원을 제공하는 연방 사이버 보험 백스톱의 가능성도 언급되었습니다.
• 4번 기둥: 회복력 있는 미래를 위한 투자 - 이 기둥에는 사이버 보안에 대한 연방 연구 개발을 활성화하는 것을 시작으로 인터넷의 기본 요소를 강화하기 위한 노력이 포함됩니다. 또한 양자 이후 미래의 도전에 대비하고 청정 에너지 부문의 보안을 보장하는 것이 중요하다는 점을 강조합니다. 또한, 사이버 보안 인력을 강화하기 위한 국가 전략의 개발을 강조하며 미래의 위협에 대처하는 데 있어 사이버 보안의 중요성을 인식하고 있습니다.
• 다섯 번째 기둥: 공동의 목표를 추구하기 위한 국제 파트너십 구축 - 이 기둥에는 디지털 생태계에 대한 위협에 대응하기 위한 국제 연합을 구축하는 것이 포함됩니다. 이는 국제 파트너의 역량을 강화하고 동맹국 및 파트너를 지원하는 미국의 능력을 확대하는 데 중점을 둡니다. 또한 사이버 공간에서 책임 있는 국가 행동에 대한 글로벌 규범을 강화하는 연합을 구축하는 것을 목표로 합니다. 또한 이 기둥은 정보, 통신 및 운영 기술 제품 및 서비스를 위한 글로벌 공급망 확보의 필요성을 강조합니다.

연방 CTO로서 이 계획에서 얻은 주요 시사점

NCSIP의 가장 중요한 시사점은 현재뿐만 아니라 향후 사이버 복원력 개선에 대해 기관에 꼭 필요한 지침을 제공한다는 점입니다. 이는 기존의 예방 및 탐지 도구만으로는 복잡하고 끊임없이 진화하는 오늘날의 사이버 위협에 대응하기에 충분하지 않다는 것을 인정하는 것입니다.  

보안 침해는 피할 수 없습니다. 조직은 제로 트러스트 세분화(ZTS) 와 같은 기술을 통해 사전 예방적 침해 억제 전략을 우선시하여 침해가 발생했을 때가 아니라 발생했을 때 확산을 차단하고 억제하여 운영을 방해받지 않고 계속할 수 있도록 해야 합니다. 실제로 Illumio ZTS를 활용하는 조직은 침해의 영향(또는 폭발 반경)이 66% 감소하고 가동 중단과 다운타임이 줄어들어 380만 달러를 절약했습니다.

또한 이 계획은 각 기관에 시간 제한이 있는 목표와 이니셔티브를 할당하여 전략의 명확한 목표에 도달하는 방법에 대한 방향을 제시합니다. 이러한 목표와 이니셔티브는 기술의 발전 속도가 3년, 5년, 10년 후 보안에 미칠 영향을 상상할 수 없을 정도로 빠르기 때문에 긴박감도 보여줍니다.  

이 계획은 이러한 위험을 극복하는 데 있어 기관이 직면하는 자원 및 재정적 문제에 대한 이해를 보여줍니다. NCSIP에는 직접적인 자금이 포함되어 있지는 않지만, 기관이 목표를 달성하고 사이버 공격에 대응할 수 있도록 행정부의 사이버 예산 우선순위와 일치합니다. 기관이 예산 책임과 리소스를 이러한 이니셔티브에 맞출 수 있다면 현재와 미래의 사이버 복원력을 강화할 수 있는 충분한 준비를 갖추게 됩니다.

특히 이니셔티브 3.5.1과 3.5.2, 연방 조달을 활용하여 책임성을 개선하는 것은 규제 사이버 보안 기능에 있어 큰 진전입니다. 정부는 달러의 힘을 활용하여 기업들이 규정을 준수하도록 강제할 수 있습니다. 이를 통해 연방 정부는 새로운 법률을 제정할 필요 없이 새로운 전략을 신속하게 구현할 수 있습니다.

무엇이 누락되었나요? 책임 메커니즘과 과감한 이니셔티브

다른 많은 정부 계획과 마찬가지로, 포함되지 않은 주요 부분은 책임 메커니즘입니다. 이러한 계획이 성공하려면 기관을 측정하고 책임을 물을 수 있는 방법이 있어야 합니다. 기관은 이러한 목표를 달성하지 못했을 때 어떤 결과가 초래되는지 알아야 합니다.

그리고 랜섬웨어와의 전쟁에서 판도를 바꿀 수 있는 크고 대담한 아이디어가 아직 부족합니다. 이는 사이버 범죄자가 이러한 공격을 통해 이익을 얻지 못하도록 랜섬웨어 지불을 금지하는 것처럼 보일 수 있습니다. 또한 정부는 민간 및 정부 기관이 침해 발생 후 72시간 이내에 고객에게 공개적으로 통지하도록 의무화할 수 있습니다. 이러한 종류의 문샷 이니셔티브는 랜섬웨어를 막는 데 즉각적인 영향을 미치고 몇 년 또는 10년 후가 아닌 지금 당장 문제의 시급성을 해결할 수 있습니다.

새로운 NCSIP는 사이버 복원력을 강화하고 진화하는 위협에 대응하기 위한 연방 정부의 공동 노력에 중요한 이정표가 될 것입니다. 이 계획은 대부분 정부 기관에 대한 명확한 방향을 제시하고 있습니다. 공공 및 민간 부문 조직 모두 사전 예방적 침해 억제 접근 방식을 수용하고 NCSIP의 이니셔티브에 부합함으로써 오늘날의 복잡한 사이버 보안 환경을 탐색하고 중요 자산을 효과적으로 보호할 수 있습니다. 함께라면 더욱 탄력적이고 안전한 디지털 미래를 구축할 수 있습니다.

Illumio ZTS가 연방 기관의 NCSIP 이니셔티브 구현에 어떻게 도움이 되는지 자세히 알아보세요.

지금 바로 문의하여 사이버 보안 전문가와 상담하세요.

‍