사이버 보안 시뮬레이션,「사이버 스톰의 성과는?」

사이버 공격에 대한 미 정부의 방어 수준은 어느 정도일까? 작전명 ‘사이버 스톰(Cyber Storm)’으로 1주일 동안 수행된 이번 모의 공격은 부시 행정부가 사이버 공간 보호를 위한 국가 전략에 서명한 후 3년 만에 처음 실시된 것이다. 이번 작전에 대한 최종 보고서는 올 여름 발표될 예정이다.국토안보부(Department of Homeland Security) 국가 사이버 보안 디비전 총괄 책임자 앤디 퍼디(Andy Purdy)를 통해 이에 대한 해답을 찾아보자. 퍼디는 지난 주 국가 중요 인프라스트럭처에 대한 컴퓨터 기반 위협을 통제하기 위해 미국에서 최초로 실시된 대규모 모의 사이버 공격을 총괄 감독했다.한편 지난 화요일 산호세에서 개최된 2006 RSA 컨퍼런스에 패널로 참석한 보안 전문가들은 인터넷 보호와 정보 시스템 보안을 위해 정부 차원에서 전략이 수립되고는 있지만 아직도 해야 할 일이 많다고 지적했다.퍼디도 이번 컨퍼런스에 패널로 참석했다. CNET 뉴스닷컴이 퍼디를 만나 미국의 사이버 공격 대응 수준과 주요 인프라스트럭처를 보호하려면 어떤 조치를 취해야 하는지에 대해 들어봤다.사이버 공간을 보호하기 위해 정부 차원에서 추진하고 있는 국가 전략을 간단히 소개한다면? 국가 전략에서는 실제로 미국인들이 사이버공간을 보호하기 위해 어떻게 행동해야 하는지를 언급하고 있다. 이 전략은 실제 행동에 관한 높은 수준의 우선순위와 밀접히 연관돼 있다. 우리가 이번에 하고자 했던 것은 DHS를 통한 이런 우선순위의 구현이었다. 이를 기반으로 공공 및 사설 부문 파트너들과 협력해 사이버공간과 미국의 사이버 자산을 보호하기 위한 임무를 개발해냈다.지난 3년 동안 얻은 가시적인 성과가 있다면?최우선순위로 고려돼야 하는 사항이 효과적인 국가 사이버보안 대응 시스템 구축이라는 점이다. 현재 이 부분은 충분하다고 확신한다. 지난 주 수행된 사이버 스톰 작전 기간 동안 우리는 실제로 심각한 악의적 사이버 공격에 대응하는 커뮤니케이션 경로와 프로세스를 테스트했다.대응 시스템이라면, 예를 들어 CERT(Computer Emergency Response Team) 같은 시스템을 말하나?실제로는 매우 복합적이다. DHS와 공공, 사설 부문간 파트너십인 US-CERT는 심각한 사이버 공격에 대비하기 위해 운영하는 여러 가지 프로그램의 일부로 사이버 대응 시스템의 핵심 컴포넌트다. 이번에 수행한 것은 사이버 방어라는 관점에서 미국 정부의 대응 능력을 판단한 것이다.상황 인식, 대응 및 복구 능력을 모두 한 군데로 집중했기 때문에 사이버 위험을 최소화하기 위해 이들을 효과적으로 운영할 수 있다.지난주에 수행된 사이버 스톰을 언급했는데, 이런 작전을 통해 우리가 얻을 수 있는 것은 무엇인가? 이런 테스트가 수행될 때 당신이 맡는 역할은? 실제 공격을 모방하기 위해 어떤 조치를 취하나?사이버 스톰 작전에는 연방, 주, 국제적인 정부 관계기관과 사설 부문의 주요 관계자들이 참여했다. 이번 작전은 에너지, 교통 인프라스트럭처에 혼란을 초래하거나 커다란 영향을 미치고, 이러한 공공 시설을 파괴할 목적으로 연방, 주, 국제 정부를 겨냥한 심각한 사이버 공격이 발생할 경우 공동 대응 능력이 어느 정도인지를 테스트하기 위해 수행됐다. 기본적인 활동은 각기 다른 기관들이 실제로 어떤 일이 발생하는지를 파악하기 위해 어떻게 대응하는지, 이러한 문제의 원인은 어떤 영향을 미치는지, 그리고 사이버 공격이 미치는 영향을 최소화하기 위한 가이드는 어떻게 제공하는지에 대한 테스트와 실습이었다.사이버 스톰 이후 사이버 공격에 대한 대비가 충분하다는 판단이 들었나, 아니면 아직도 해야 할 일이 많이 남아있나?우리는 확고한 국가 사이버 보안 대응 시스템을 갖고 있다고 확신한다. 그러나 심각한 사이버 공격이나 물리적 공격 혹은 자연 재해로 인한 사이버 사태에 좀더 효율적으로 대응하려면 시스템을 더욱 강화할 필요가 있다는 생각이다. 사이버 스톰 작전에는 115개의 공공, 사설 및 국제 기구가 참가했으며, 이들 대부분은 미국과 다른 국가의 60개 지역에서 일상적으로 업무를 수행하면서 작전에 참가한 것이다.이번 작전의 결과가 나왔나?사이버 스톰의 커뮤니케이션 경로와 프로세스가 실제로 얼마나 잘 수행됐는지를 판단하기 위해 누가 무엇을 누구에게, 언제 전달했는지를 파악하는 것은 매우 어려운 일이다. 이번 작전의 최종 보고서는 올 여름 공개될 예정이다.사이버 스톰은 정보 공유 시스템이 제대로 동작하는지를 알아보기 위한 것이었나, 아니면 방어 시스템의 작동 여부를 알아보기 위한 것이었나?이번 작전은 시뮬레이션으로 진행됐기 때문에 실제 네트워크에 대한 공격은 포함되지 않았다. 따라서 실제 상황에서 공격을 중지시키는 능력에 대한 것은 아니다. 그보다는 사이버 보안 커뮤니티, 법 집행기관, 정보 커뮤니티, 국방부, 심각한 공격에 대응하는 사설 분야의 커뮤니케이션 경로와 프로세스에 대한 테스트였다.실제 공격에 대한 방어 능력은 어느 정도라고 평가하나? 우리 스스로를 공격에서 보호할 수 있는 충분한 대응 시스템을 갖췄다고 보나? 부시 대통령이 지난주 언급한 것처럼 미국에는 현재 위험이 존재한다. 미국은 물리적 측면과 사이버 측면에서 모두 위험에 처해 있다. 다시 말해 악의적인 무리들이 미국의 주요 인프라스트럭처를 공격해 혼란을 초래할 수 있다는 것이다. 우리의 임무는 이러한 혼란이 발생하는 경우 그 심각성을 완화시키는 것이다. 현재 완벽한 방어 시스템은 갖고 있지 않지만 이러한 위험 수위를 우리가 조절해야 한다. 사이버 스톰은 바로 이 부분을 향상시키기 위한 노력의 일환이다.사이버 공격이 발생하면 정부와 기업뿐 아니라 일반 개인들까지도 국가 인프라스트럭처를 보호하기 위해 어떤 것들을 해야 하나? 국가 전략에는 모든 사람들이 실제로 수행해야 하는 일에 대한 행동지침이 포함돼 있다. 예를 들어 우리는 일반 개인에 대해서는 인식 제고에 가장 중점을 두고 있다. 국가 사이버 보안 연맹(National Cyber Security Alliance) 및 연방 무역위원회(Federal Trade Commission)와 협력해 이런 작업을 수행함으로써 일반 개인들이 자신의 시스템을 스스로 지킬 수 있도록 하는 것이다.누구나 공유할 수 있는 정보는 악의적인 행위와 사이버 관련 범죄를 저지르는 사람들과도 공유될 수 있다는 점을 분명히 각인시키고 있다. 또 이런 노력이 면밀하게 조사되고, 개인들도 기소 절차를 밟을 수 있다는 점을 확고히 인식시키기 위해 법 집행기관들과도 긴밀히 협력한다. 사설 부문에 대해서는 스스로의 정보 시스템을 안전하게 지키기 위해 최선의 노력을 해달라고 당부한다.국토안보부 비서 마이클 서트오프가 국가적 관점에서 위기 관리 접근방식이 필요하다고 지적한 것처럼 조직의 리더들이 전통적인 위기 관리 프로세스를 사용하는 것은 매우 중요하다. 그러나 이들이 사이버 위기를 이러한 프로세스의 일부로 포함하고 있어야 자신의 조직이 직면한 사이버 위기를 판단하고 완화시킬 수 있다. 위기 완화에는 최선의 실행 연습뿐 아니라 취약성 감소, 비즈니스 지속성, 재해 복구 계획 등이 모두 포함될 수 있다.일반 소비자들에게 권고할 사항이 있다면? 일반 소비자들이 국가적 위기에 대해서도 도움이 될 수 있다고 생각하나? 이들도 국가 인프라스트럭처를 보호하는 링크에 연계돼 있나? 아니면 일반 소비자들이 느끼는 문제의 심각성은 이보다는 덜한 편인가?사이버 위험을 줄이는 노력에는 일반 소비자, 소기업, 대기업, 그리고 정부까지 모두 나서야 된다고 생각한다. 일반 소비자들이 스스로의 시스템을 안전하게 지킬 수 있도록 책임과 기술을 지원하는 파트너들과 함께 인식 제고를 위해 노력하고 있다. 물론 전통적인 기술 중 몇 가지에 대해서는 지금까지도 수없이 들어왔겠지만 재차 강조하는 것이 중요하다. 방화벽을 항상 작동시키고, 안티바이러스 보호 소프트웨어도 설치한 후 지속적으로 업데이트를 수행하라. 안티 스파이웨어 보호 솔루션도 설치하고, 항상 업데이트 상태를 유지하고, 운영시스템도 업데이트를 게을리하지 말라. 낯선 사람의 이메일은 열어보지도 말고, 예상치 못한 사람으로부터 전송된 이메일의 첨부파일은 열어보지 않도록 주의하라.일반 소비자들이 다른 사람들에게 도움이 되려면 우선 스스로를 안전하게 하는 것이 중요하다. 자신도 모르는 사이에 수천 명의 가정 사용자들에게 전파될 수 있는 악의적인 코드가 시스템에 깔려 공격을 개시하는데 이용될 수 있으며, 다른 소비자, 정부, 사설 분야에까지도 손실을 끼칠 수 있다.온라인을 통해 스스로의 보안을 유지하라고 하는 것만으로 충분한가?스테이세이프온라인.org(StaySafeOnline.org)와 US-Cert.gov 같은 웹사이트를 방문해 이들 웹사이트의 지시를 따르는 것이 중요하다고 생각한다. 물론 개인들의 노력도 중요하지만 기업들이 소비자들이 이러한 작업을 더욱 쉽게 할 수 있도록 해주어야 한다. 수많은 다양한 단계와 다양한 기술이 존재하지만 원스톱 쇼핑이나 원스톱 솔루션으로 제공되면 소비자들의 인식 제고가 훨씬 수월해질 것이다.그러나 지금은 개인들이 스스로의 시스템을 보호할 수 있는 다양한 툴이 많이 나와 있다. 이런 툴이 자신의 시스템만 보호하는 것이 아니라는 점을 항상 염두에 두어야 한다. 이러한 툴은 자신의 컴퓨터에 존재할 수 있는 개인 정보를 보호할 뿐만 아니라 자신의 컴퓨터가 다른 누군가의 컴퓨터에 손상을 입히는 도구로 역할하지 않도록 해주기도 한다.기업 측면에서는 반드시 따라야 한다거나 데이터 보안 침입 통지를 필요로 하는 법안 제정이 추진되고 있으며, 의회에서도 논의를 추진 중이다. 일부 법안은 기업들에게 몇 가지 보안 소프트웨어를 이용하라고 요구하고 있기도 하다. 이처럼 법규를 통한 보안 요구가 우리가 궁극적으로 나아가야 할 방향이라고 생각하나? 일반적인 취지에서 볼 때 사이버 보안에 대한 강제적이고 규제적인 해결책을 원하는 사람은 거의 없다. 국토안보부는 위기 완화와 관련된 모든 문제에 대해 법률적, 규제적 해결책을 최후의 수단으로 고려한다. 한 가지 예를 든다면 화학 분야에서 국토안보부는 일부 규제에 무게를 실어주고 있다.밤늦게까지 긴장을 늦추지 않는 이유는 무엇인가?앞서 언급한 것처럼 사이버 위기는 우리가 완화시켜야 하는 위기의 일부다. 잠재적으로 생각할 수 있는 최대 혼란은 대규모 사이버 공격을 유발하기 위한 고도화되고 조직화된 공격일 것이다. 이러한 사태는 내가 최악으로 우려하는 사태 중 하나다. 가장 공포스러울 것 같은 상황이 아니라 최악의 상황이다.사이버 테러리즘이 존재한다고 확신하나?위기 완화에 대한 접근방식은 국가 전략(National Strategy) 이전과는 상당히 달라졌다. 우리에게 손실을 입히려는 의도와 능력에 대한 관점에서 우리가 처한 위협과 보유하고 있는 정보를 바라보려는 경향이 있다. 우리는 국가 전략이 수립된 후 서트오프의 위기 관리 계획 하에서 복합적인 위험, 취약점, 이런 취약점이 이용될 경우 발생할 수 있는 심각한 위험에 집중하고 있다. 테러리스트 그룹이 원하고 사이버 공격을 유발하고자 하는 특정 위협에 대한 정보는 갖고 있지 않다. 그러나 사이버 위험이 존재한다는 사실은 인지하고 있다.특정 위협에 대한 정보가 우리 손에 쥐어질 때까지 기다리고만 있지는 않을 것이다. 그렇게 했다가는 이런 위험에 신속하게 대응할 수 없다. 현재 상황에서 가장 심각한 위험을 완화시키기 위해 노력하고 있으며, 특정 위협에 대한 정보를 갖게 되면 이런 종류의 위험을 완화시키는데 이 정보를 이용할 수 있을 것이다.@