![[오늘의 운세] 6월 24일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202406/24/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
지난 14일 미국 부시 대통령 행정부는 '미국의 인터넷 보호와 정보 시스템의 안전을 위한 전략' 최종안을 채택했다.
'안전한 사이버공간을 위한 국가 전략(NSSC)'이라는 이름이 붙은 정책 성명에는 기업들이 반드시 어떤 특정 조치를 취해야 한다 식의 의무조항이 없다. 대신 이 문건은 사이버 공격에 대한 응급 대응 시스템을 만들고 이같은 위협에 대한 국가의 취약점을 줄이기 위해 정부와 민간 업계가 서로 협력할 것을 촉구하고 있다.
조지 W. 부시 대통령은 이 문서를 소개하는 서한을 통해 “사이버 공간의 안전을 확보하는 일은 연방정부와 주정부, 각 지방자치단체, 민간과 일반 미국민 등 전 사회가 함께 노력하고 집중시켜야 하는 매우 힘들고 어려운 전략적 도전"이라고 언급했다.
한편 이 전략 문서에 법적인 규제가 없기 때문에 아무런 효력이 없을 것이라고 하는 세간의 비평에 대해서는 어떠한 해결책도 내놓지 못한 상태다. 예컨데 초안에는 인터넷 서비스 업체는 자사 서비스 이용자에게 반드시 방화벽을 제공해야 하며 무선 하드웨어 제조사은 반드시 보안 개선해야 한다는 등의 내용을 포함하고 있었다. 하지만 지난 14일 발표된 이 문서에는 5가지의 정책 이니셔티브에 대해 초점을 맞추고 새로 설립된 조국안보부에서 그 정책들을 감독하도록 하는 내용으로 바뀌었다.
이 전략이 강조하고 있는 5가지 주요 내용을 보면 ▲첫째 사이버 공간에서의 보안 대응 시스템을 만들고 ▲둘째 위협과 취약점을 줄일 수 있는 프로그램을 설립할 것 ▲셋째 보안 교육과 인식의 개선 ▲넷째 정부 시스템의 자체 안전 확보 ▲마지막으로 보안 문제들을 해결하기 위해 국제적 협력을 도모할 것 등이다.
이 문서는 계속해서 인터넷 보안 문제에 대한 솔루션으로서 규제 조치보다 정부·업계 간의 협력에 더욱 초점이 맞춰져 있다. 보안 산업 전문가들도 규제 위주의 정책은 보안에 대한 담보를 할 수 없는 상태에 비용만 증가시킬 것이라고 주장하고 있다.
이 정책에서 요구하는 자세한 내용을 살펴보면,
▶ 경고 네트워크 및 사고 발생시의 정보 네트워크 도입할 것
▶ 사고 발생시 연방 정부와 업계는 즉각 조국안보부에 즉각 통보할 것
▶ 사이버 공격이 일어날 경우 일어날 피해를 예측할 수 있도록 정부 기관에서는 사이버 공격에 대한 대비 연습을 실시할 것
▶ 상무부는 IPv6와 관련된 보안 문제들을 검토할 것
▶ 조국안보부는 ISP들에게 ‘권장 행동 규약’을 제안할 것
▶ 에너지부와 관련이 있는 정부 부서에서는 광범위하게 퍼져 있는 제어 시스템의 안전을 보장하기 위해 SCADA와 같은 효과적인 시스템을 개발할 것
보안 회사 네티그리티의 CTO인 디팩 타네야는 "행정부에서는 그동안 매우 잘해왔다. 우리의 현재 사정은 작년에 우리가 처했던 사정에 비해 훨씬 더 나은 편이다"라고 말했다.
이 문건에 따르면 조국안보부에서 ‘미국의 주요 자원과 핵심적 인프라’의 보안을 위해 국가 차원의 종합적인 계획을 만들어내는 일을 담당하게 될 것이라고 밝히고 있다. 또한 조국안보부는 위기 상황에서 정부와 민간 업계들을 위해 기술적인 지원을 제공하고, 기관들 사이에서 협력이 잘 이루어지도록 하는 일과, 국가 보안을 지원하기 위한 연구 조사를 직접 실시하거나, 기금 조성하는 등 위기 상황에 대비하는 임무를 책임지게 될 전망이다.
타네야는 지금까지는 인터넷에 큰 피해를 줄 만한 공격이 일어나지는 않았다고 주장했다. 그는 "하지만 몇 주전에 우리는 슬래머 웜을 경험했다. 물론 피해는 컸지만 그보다 더 상황이 악화될 수도 있었다. 사실 슬래머 웜의 피해가 좀더 심했다면 사이버 보안 비상 상황이벌어졌을 것"이라고 말했다.
그는 미래에는 그와 같은 공격에 대처하는데 있어서 대응 시스템이 핵심적인 역할을 하게 될 것이라고 말했다.
반면 보안관리서비스 업체인 카운터페인 인터넷 시큐리티의 CTO인 브루스 슈나이더는 보안을 개선하는데 정부가 과연 효과적으로 이끌 수 있는지에 대해 회의를 나타냈다.
그는 "모든 정책 추진에서도 그렇듯이 정부가 효과적으로 제어할 수 있느냐는 기금조성과 시행이 증명해줄 것“이라고 말했다.
그는 보안 구멍들을 막으려는 많은 노력에도 불구하고, 정부 네트워크들은 수시로 공격과 해커들의 침입을 당하고 있다는 사실에 주목하면서 이러한 상황에서 이 계획의 결과도 어느 정도 예측 가능하다고 주장했다.
또 다른 일부 업계 경영진은 이 전략 문서가 훌륭한 첫 걸음이라고 칭찬을 아끼지 않으면서도 좀더 많은 것이 필요하다고 지적한다.
보안 회사 인트러스트의 정부 관계 부서의 부사장인 댄 버튼은 "이번 전략을 작성하는데 대통령이 직접 참여했다는 사실은 긍정적인 일이겠지만 이것은 첫 단계일 뿐이다. 이 문서는 인터넷 관리라든지 인터넷의 보안을 위해 업계와 정부가 어떻게 협력할 것인가에 대해 강조하고 있다. 하지만 실제로 업계가 자체 IT 시스템의 관리를 개선하는 방법에 관해서는 거의 아무런 언급도 없다"고 평가했다.
그는 정부가 정부 시스템의 보안을 지킬 수 있고 인터넷이라는 공적인 인프라의 보안을 향상시키기 위해 업계와 협력한다고 해도, 업체들 스스로 시스템 보안을 제대로 지키지 못한다면 이 모든 노력이 허사가 될 것이라고 말했다.
그는 "인터넷도 정부도 다 안전해야 하겠지만, 민간 시스템에 보안 문제가 있다면 인터넷도 위험할 것"이라고 말했다.
자료제공 : ZDNet Korea
