[데이터넷] 바이든 정부 출범과 함께 미국 사이버 보안에 관련된 많은 변화가 나타나고 있다. 바이든 행정부는 정부 출범 시부터 오바마 정부 때 사이버 안보 전문가로 활동했던 많은 전문가를 기용하거나 별도의 사이버 보안 조직을 신설하는 등 중국이나 러시아의 사이버 공격 등에 대한 사이버 안보 정책에 대한 강력한 의지와 대응을 보여 왔다.

또한 러시아의 미국 대선 개입 의혹과 미 연방기관 해킹과 관련, 러시아 정보당국의 사이버 공격을 지원한 6개 기업과 정부·정보당국 관계자를 포함해 16개 기관 등을 블랙리스트에 게재하는 등의 중대 제제와 함께 10명의 러시아 정부 당국자를 추방하는 강력한 제재 조치를 바이든 행정부 초기 단행했다.

그럼에도 불구하고 솔라윈즈 소프트웨어 제품이 악용돼, 복수의 연방 정부 기관과 민간 기업 100개 이상이 해킹 당했으며, 의료기관, 교육기관, 지방정부, 재판소 등도 랜섬웨어 공격을 당했다. 결국에는 미국 에너지 공급망에 대한 최악의 해킹 사고로 기억될 콜로니얼 파이프라인 사이버 공격 사태까지 발생해 미국의 사이버 안보 대응 역량에 대한 문제점을 심각하게 드러내고 있는 것 같다.

제로 트러스트 도입하는 미국 정부

바이든 대통령은 미국내에서 발생하는 일련의 사이버 공격에 대응하기 위해 정부와 민간 기업이 협력해 보다 사이버 공간을 육성하고, 정부가 규범을 정하고 주도해야 한다고 강조하며, 정부 기관의 보안 향상, 연방 정부와 계약하고 있는 소프트웨어 제조사에 대한 새로운 기준 수립 등 연방 정부의 보안 대책을 향상시키는 내용을 담은 ‘국가의 사이버 보안 향상에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)’에 서명했다.

이 행정명령은 미국 연방 정부 기관에 IT 서비스를 제공하는 민간 기업은 물론이고 소프트웨어 기업이나 정보보호 기업 등에 상당한 영향을 미칠 것으로 예상된다.

이 행정명령에 담긴 중요 내용은 ▲사이버 위협 정보 공유에 장애가 되는 것을 제거 ▲다중 요소 인증, 암호화 채택 ▲제로 트러스트 아키텍처 도입 ▲안전한 클라우드 서비스로 이행 ▲연방 정부 사이버 보안 체계 현대화 ▲소프트웨어 개발 시 보안 기준 지침 수립 ▲각 제품의 소프트웨어 부품표(SBOM)를 구입자에게 제공 ▲연방 정부와 조달 계약을 맺은 소프트웨어 회사는 일정 수준의 사이버 안보 기준 충족 및 유지 ▲해킹 피해 보고를 하는 등이다.

SW 공급망 보안 방안 시급

이 중 SBOM은 소프트웨어 공급망 보안 강화를 위한 것으로, 많은 민간 기업들의 소프트웨어 개발 등에 상당한 영향을 미칠 것으로 생각된다. 소프트웨어의 구축에 사용되는 다양한 컴포넌트의 상세한 내용과 공급망의 관계에 관한 정식 기록을 나타내는 SBOM은 식품의 패키지에 기재된 있는 성분의 리스트와 유사하다.

오픈소스와 상용 소프트웨어 컴포넌트를 조합해 제품을 작성하는 소프트웨어 개발자와 제조사,소프트웨어를 선택하고 구입하는 사람, 소프트웨어를 운용하는 사람에게 SBOM은 아주 유용할 것으로 생각된다.

SBOM을 사용해 구축자는 이들의 컴포넌트가 최신이라는 것을 확인하고, 새로운 취약성에 신속하게 대응할 수 있을 것으로 예상된다. 구입자는 취약성 분석이나 라이선스 분석을 행할 수 있어, 언제라도 부품의 리스크를 평가할 수 있다. 소프트웨어를 운용하는 사람은 새롭게 발견된 취약성의 잠재적인 리스크에 노출돼 있는지 신속하게 판단할 수 있다.

소프트웨어의 공급망을 이해하고, SBOM을 입수해 기존에 알고 있는 취약성을 분석할 수 있는 것은 시큐리티 리스크 관리에 있어서 아주 중요한 도움이 된다. 소프트웨어 공급망 보안 더 나아가서는 국가의 사이버 보안 향상의 핵심이 될 것으로 판단된다.

제로 트러스트 아키텍처 도입을 통한 사이버 보안의 현대화와 각 제품의 소프트웨어 부품표인 SBOM을 통한 소프트웨어 공급망 보안 등이 포함된 미국 백악관의 사이버 보안 향상에 관한 행정 명령을 보면서, 우리나라 청와대의 사이버 안보에 대한 인식이 향상되기를 바라는 마음이 간절하다.

김선애 기자 다른기사 보기