Breaking
사이버 보안(Cybersecurity)
美 정부, NDAA 2019에서 사이버 보안 정책 강화
2019-08-01 20:52:33
조현
미 정부가 지난해 국방수권법(NDAA)에 의한 사이버 보안 법안을 통과, 국방부의 역할을 더욱 강화했다(사진=123RF)

[라이헨바흐=조현 기자] 국가 간 사이버전 규모가 확대되면서 각 정부의 사이버 보안 노력도 강화되는 추세다. 미국 정부는 지난해 국방수권법(NDAA)에 의한 사이버 보안 법안을 통과, 사이버 공간 방어에 있어 국방부의 역할을 더욱 강화했다. 

물론 과거에도 NDAA 조항에는 국방부가 포함돼 있었지만, 사이버 전쟁에서의 정확하고 분명한 역할은 제시되지 못했다. 그러나 이제 사이버 테러로부터 자국과 동맹국을 방어하는 데 있어 국방장관이 직접 사이버 군사 활동을 지휘할 수 있게 됐다. 여기에는 사이버 상에서 비밀 작전 등 폭넓은 활동이 포함된다.

NDAA 2019, 미 정부의 사이버 보안 강화 노력

NDAA 2019는 사이버 상에서 증가하는 위협 및 공격을 억제하기 위한 사이버 노력이 공격적으로 이뤄져야 할 때라고 적시하고 있다. 따라서 미국 내 모든 국가 권력기관이 자국 및 동맹국을 보호할 수단을 취해야 한다는 것. 

특히 중국을 비롯한 북한, 이란, 러시아 같은 호전적인 국가들이 공격적이고 체계적이며 지속적인 사이버 공격 캠페인을 적극적으로 전개하고 있는 실정으로, 지난 미국 선거 기간 사이버를 통해 투표에 간섭해온 러시아의 사례는 대표적이다.

이제는 이러한 공격에 대해 지휘당국이나 국방장관이 직접 활동을 억제하고 저지하기 위해 조처할 수 있다. NDAA 2019를 통해 군사 활동과 함께 사이버 및 정보 작전 수행을 감행할 수 있는 것이다. 실제로법안에 따르면, 미국은 자국을 겨냥한 어떤 외세에 대해서도 비용을 부과할 수 있을 만한 사이버 역량의 존재를 개발하고 적국에도 입증할 수 있어야 한다고 설명한다.

주요 무기체계의 사이버 취약점을 평가하는 것 역시 중요하다. 지난 2016년부터 시작된 조항으로, 향후 2021년 회계연도부터는 매년 세부적인 사이버 보안 평가 및 경감 예산에 관한 구체적인 사항이 제공되어야 한다. 

국방부 외에도 국방정보체계국(DISA) 역시 미국아안전보장국(NSA)로부터 'SHARKSEER' 프로그램 운영 유지에 대한 관리 책임을 받는다. 이 프로그램은 웹 기반의 악성코드를 탐지하고 대처하는 데 초점을 둔다. 또한 이번 NDAA에는 기기에 봇을 타겟팅하거나 탑재하는 외국 기술업체도 감시 대상으로 삼고 있다.

NDAA 2019는 사이버 상에서 증가하는 위협 및 공격을 억제하기 위한 노력이 이루어져야 할 때라고 적시하고 있다(사진=123RF)

NDAA 2019의 주요 규정

각 주의 사이버 팀 조사

국방부와 국토안보부는 각 주의 사이버 시민 지원팀에 대한 조사 및 보고서를 제공하는 임무도 맡는다. 주지사의 지휘 아래 활동하며, 주의 사이버 공격 및 그 외 다른 사이버 비상 사태에 대해 다룬다.

사이버 보안 통합 및 산업 통제 시스템 책임

이전까지는 산업 통제 시스템 사이버 보안 표준을 정의하고 규정하는 데 책임 있는 인물이 명확히 제시되지 않았다. 이는 전반적인 사이버 보안 노력을 저해하는 요소가 될 수 있다. 이제부터는 최고 책임자가 사이버 보안과 산업 통제 시스템의 통합과 관련된 책임을 맡게 된다.

 

소규모 제조업체에 대한 사이버 보안 지원

중소기업은 배제한 채 대기업과 기관만 보호하는 것은 국가의 사이버 보안을 위협하는 것이나 마찬가지다. NDAA는 중소기업을 위한 사이버 보안 자체 평가를 개발, 사이버 계획에 도움이 되는 위협적인 정보와 기술을 모두 공유할 전망이다.

더 많은 해커톤 도입

DDS의 '국방부 해킹' 프로그램 같은 버그 현상금 프로그램의 사용 확대는 사이버 테러에 대비한 인프라 보호 노력의 일부가 될 수 있다. 따라서 국방부와 국토안보부는 이러한 국방 디지털 서비스에 협력해야 한다.

 

국토안보부, 이메일 및 인터넷 보안 표준 주도

국방부는 국토안보부의 사이버 보안 지침을 준수해야 한다. 이러한 조치는 사이버 보안에 엄청난 이점을 제공하며, 부서가 허용된 표준 기준을 준수하는 데 도움이 될 수 있다.

사이버 보안 평가표제거

10월 1일(현지시간) 이후로 국방부는 사이버 보안 평가표에 어떠한 자금도 지출해서는 안 된다. 2017년 회계연도 DNAA에서 확립된 사이버 보안 문제 해결을 위한 자금 지원 프로그램에 부합하는 조처만 할 수 있다.

사이버 공간 솔라늄 위원회 창설

NDAA는 또한 국가 안보 담당 부국장을 비롯한 국방부 차관, 국토안보부 차관 등이 관여하는 선진 전략 '사이버 공간 솔라늄 위원회' 창설도 요구한다. 여기에는 의회가 선정한 10명의 다른 의원도 포함된다. 위원회는 정보를 요청하고 증인을 소환하며, 청문회를 개최할 수 있다.

대학 내 사이버 연구소 설립

사이버 인력 개발은 매우 중요하다. 이를 위해 대학에 관련 프로그램을 도입하는 것은 사이버 보안 노력에 큰 이익이 될 수 있다.

[라이헨바흐=조현 기자]