바이든 대통령의 새로운 보안 정책이 사이버의 미래에 미치는 영향
이 기사는 원래 에 게시되었습니다. 앤드루 루빈의 링크드인.
바이든 행정부는 미국 정부의 복원력 향상과 위험 감소를 목표로 하는 전면적인 행정 명령을 통해 사이버 보안 정책의 유산을 공고히 했습니다.우리 정부가 거의 20년 만에 처음으로 사이버 보안 청사진을 다시 작성하려고 시도한 것이며, 하루도 빠르지 않습니다.이제 적들은 새로운 침입 방법을 모색할 시간, 인력, 자원을 그 어느 때보다 많이 확보하고 있습니다. 최근의 콜로니얼 파이프라인 (Colonial Pipeline) 과 솔라윈즈 (SolarWinds) 공격에서 알 수 있듯이 공격 전략은 대규모로 성공을 거두고 있습니다.
이것은 단지 미국만의 문제도, 연방 문제도, 정책 문제도 아닙니다. 안일함의 전염이 시스템에 스며들었습니다.이것이 제가 이 행정 명령을 두 팔 벌려 환영하는 이유입니다. 우리 자신을 보호하는 방식을 바꿔야 한다는 행동을 촉구하는 것이기 때문입니다.
한발 앞서 나가기
미국 연방 정부는 정보 기술 및 사이버 보안 현대화 분야에서 오랫동안 비참하게 뒤쳐져 왔습니다.알레한드로 마요르카스 미 국토안보부 장관은 이 같은 내용을 공유하면서 미국의 연방 사이버 보안 현황을 가장 잘 표현했습니다. 비전 3월 31일 국가 사이버 레질리언스 담당: “작년에 우리 정부가 해킹을 당했는데 몇 달 동안 그 사실을 몰랐습니다.세계 최고의 사이버 보안 회사 중 하나가 스스로 해킹을 당해 정부에 알리고 나서야 그 사실을 알게 되었습니다.이번 사건은 연방 정부가 사이버 보안 방어를 현대화하고 파트너십을 강화해야 할 필요성을 강조하는 많은 사건 중 하나입니다.”
세계에서 가장 부유하고 가장 혁신적인 국가 중 하나가 국가 인프라 확보와 관련하여 역사적으로 뒤쳐져 온 이유는 무엇일까요?정부 자산 확보에 사용되는 수십억 달러의 연방 달러가 외부 위협의 영향을 완화할 수 있을 것이라고 생각할 수도 있습니다.
하지만 문제는 자원이나 인재, 동급 최고의 사이버 방어 기술에 대한 접근성이 부족하다는 것이 아닙니다. 미국은 결국 많은 글로벌 사이버 보안 리더들의 자랑스러운 고향입니다.그 대신 마요르카스 장관이 제시한 것은 사이버 보안 모델 전체에 대한 기소였다고 생각합니다. 전 세계를 위해서가 아니라면 적어도 연방 정부를 대상으로 한 기소였죠.
전 세계적으로, 우리는 작년에 사이버 보안에 1,730억 달러를 지출했습니다그러나 역사상 그 어느 때보다 많은 보안 침해 사례가 발생하고 있으며, 이는 역사상 가장 치명적인 보안 침해입니다.실패한 전략과 끔찍한 결과에도 불구하고, 우리는 사이버 보안에 대해 20년 전과 같은 접근 방식을 오늘날에도 계속 취하고 있습니다.조직은 공격이 경계로 침투하는 것을 막고, 공격이 뚫고 들어올 경우 이를 탐지하고, 사고 대응에 의존하여 엉망인 상황을 정리하려고 합니다.
예방과 탐지만으로 기관, 기업 또는 조직을 구했던 시대는 지났습니다.현재 인프라에 공격이 도사리고 있지만 실제로 존재하는지도 알 수 없습니다.숨어 있어요.가장무도회 중이야.그들은 여러분의 IP, 고객 데이터 및 정부 기밀을 훔치거나 몸값을 받기 위해 이리저리 움직이려 합니다.안타깝게도 현재의 사이버 보안 접근 방식은 이러한 공격이 대규모 사이버 재해로 이어지는 것을 막는 데 거의 도움이 되지 않습니다.
그라운드 제로로 이동
이 행정 명령은 마침내 다음을 인정합니다. 연방 사이버 보안 새 보안 설계의 첫 번째 초안을 제시한 것으로 보아 모델이 시대에 뒤떨어졌습니다.새로운 접근 방식은 제로 트러스트라는 두 단어로 요약할 수 있습니다.
벤더를 선택하면 백만 개의 제로 트러스트 정의를 찾을 수 있습니다.Forrester는 이 용어를 10여 년 전에 공개했으며 최근 블로그 포레스터 애널리스트 스티브 터너 (Steve Turner) 는 “제로 트러스트는 하나의 제품이나 플랫폼이 아니라 '절대 신뢰하지 말고 항상 검증', '보안 침해를 가정한다'는 개념을 중심으로 구축된 보안 프레임워크입니다.”
연방 차원의 제로 트러스트가 어떤 모습인지에 대해 말하자면, 제로 트러스트 전략의 성공적인 구현 및 달성을 위한 여러 핵심 구성 요소가 있을 것입니다.액세스, ID, 세그멘테이션은 규모에 따라 필요할 것으로 생각되는 세 가지 핵심 기술입니다.예를 들어 Google OTP, Authy 또는 기타 다단계 인증 앱을 사용해 본 적이 있다면 제로 트러스트를 향해 한 걸음 더 나아간 것입니다.하지만 어떤 정의를 따르든 반드시 필요한 기본적인 설계 원칙이 있습니다.
시작 원칙으로서 연방 정부는 “에 따라 운영되어야 합니다.위반을 가정하다” 사고방식은 공격이 이미 인프라에 존재하고 새로운 공격이 미래에 다시 침투할 것이라는 사고방식입니다.이러한 전략적 출발점부터 연방 사이버 방어 조직은 클라우드, 네트워크 또는 데이터 센터 전반에서 공격이 적대적으로 이동하는 것을 막을 준비를 더 잘 할 수 있습니다.보안 침해 사례 중 0.1% 가 납세자에게 수십억 달러의 손실을 입히거나 전략적 연료 파이프라인과 같은 중요 인프라를 폐쇄해야 하는 상황에서 99.9% 의 효율성만으로는 충분하지 않다는 사실을 알게 되었습니다.그보다는 조직이 보안 침해 범위와 영향을 완화할 수 있도록 사전에 보안 침해에 대비하는 것이 관건입니다.
조금 더 확장하려면 정부는 최소 권한 및 명시적 신뢰의 원칙을 따라야 합니다.즉, 인프라 전반의 통신 (애플리케이션, 네트워크, 클라우드, 데이터 센터 또는 장치 간) 은 항상 가능한 한 최소한의 권한을 가져야 하며, 기관은 이러한 시스템 간에 통신이 이루어지기 전에 통신을 명시적으로 신뢰해야 합니다.예를 들어, 이러한 원칙이 있었다면 SolarWinds 공격이 막대한 피해를 입히는 것을 막을 수 있었을 것입니다.멀웨어는 인프라에 있더라도 격리되어 있었을 것이고 그렇게 광범위한 피해를 일으킬 수는 없었을 것입니다.
뉴 사이버 노멀
마요르카스 장관은 이렇게 설명했습니다. “우리는 사고방식을 근본적으로 바꿔야 하며 국방은 회복력과 함께 진행되어야 한다는 점을 인정해야 합니다.사이버 방어 체계를 개선하기 위해서는 과감하고 즉각적인 혁신, 대규모 투자, 필수 사이버 위생의 기준을 높이는 것이 시급히 필요합니다.이에 따라 정부 내부 및 외부 투자의 우선 순위를 정해야 합니다.”
제로 트러스트 단순한 국가 사이버 보안 프레임워크가 아니라 모든 기업, 조직 또는 개인이 진정한 사이버 복원력을 달성하기 위해 수용할 수 있는 것입니다.바이든 행정부가 지지하는 것은 오늘날의 세계를 강화하고 보호하는 보안 도구와 기술의 전복이 아니라 사이버 보안 방어를 더욱 강화하고 대비태세를 강화하기 위해 이러한 솔루션을 보완하기 위한 전략적 사고방식입니다.
연방 사이버 보안 현대화는 분명히 한꺼번에 이루어질 수는 없지만, 이미 연방 네트워크에 침투한 악의적 활동을 격리하도록 설계된 제어부터 시작해야 합니다.기관 전반에서 보안 침해를 가정하는 사고방식으로 시작해야 합니다.그리고 대규모로 제로 트러스트 전략을 채택하는 것부터 시작해야 합니다.