보안팀의 필수 확인 사항: 최신 국가 사이버 보안 지침

국가 사이버 보안 전략(NCS)은 단순한 지침 모음을 넘어, 우리에게 경각심을 일깨워 주는 중요한 메시지입니다. 사이버 위협은 날로 증가하고 있으며, 개인이나 소규모 범죄 집단뿐만 아니라, 국가 차원에서 조직적으로 움직이는 해커 집단까지 가세하여 핵심 기반 시설과 기업을 겨냥하고 있습니다. 이는 더 이상 이론적인 위험이 아닌, 바로 지금 우리 눈앞에서 벌어지고 있는 현실입니다.

이 전략은 연방 정부가 기업들에게 기대하는 바를 명확히 제시합니다. 즉, 안전한 소프트웨어 개발 관행을 채택하고, 공급망 보안을 강화하며, 새롭게 등장하는 위협에 대비해야 합니다. 만약 귀사가 이러한 기대에 부응하지 못한다면, 공격에 취약해질 뿐만 아니라 사이버 보안이 더 이상 선택이 아닌 필수적인 비즈니스 요건이 된 현 상황에서 뒤처질 위험이 있습니다. 지금부터 최신 사이버 보안 지침과 연방 기관 및 민간 부문이 어떻게 회복력을 유지하고 대비할 수 있는지 살펴보겠습니다. 이러한 지침 중 상당수가 기술적인 관점에서 미래 지향적이지만, 지금 당장 시작하여 장기적으로 이러한 지침을 해결하기 위한 계획을 세우는 것이 중요합니다.

2025년 새로운 변화: 국가 사이버 보안 강화 및 혁신 추진

2025년 1월 16일, 미국의 대통령은 국가 사이버 보안 방어 체계를 강화하고 인공지능(AI), 오픈소스 소프트웨어 보안, 양자 컴퓨팅, 사물인터넷(IoT) 보안, 신원 도용 위협(신원이 새로운 네트워크 보안 경계로 간주됨) 및 핵심 기반 시설을 대상으로 하는 공격과 같은 주제를 다루는 행정 명령을 발표했습니다. 이 지침은 대체로 작년 NCS에서 제시된 몇 가지 주요 약속의 후속 조치입니다.

• 연방 정부 계약업체에 대한 규정 강화: 정부 기술 계약업체는 강화된 사이버 보안 기준을 준수하고 안전한 소프트웨어 개발 프로세스를 따른다는 것을 입증할 수 있는 증빙 자료를 제출해야 합니다.
• 서드파티 소프트웨어 공급망에 대한 책임: 연방 핵심 시스템의 보안 취약점을 줄이기 위해 소프트웨어 공급업체는 안전한 개발 관행 준수를 증명하는 확인서와 관련 자료를 의무적으로 제출해야 합니다. 제출된 자료는 CISA(미국 사이버 보안 및 기반 시설 보안국)의 소프트웨어 확인 및 증거 자료 저장소를 통해 검증되며, 공급업체는 알려진 취약점 평가, 패치 적용, 안전한 코드 기여 등 책임 있는 조치를 이행하는지 엄격한 심사를 받습니다.
• 해외 사이버 위협 행위자에 대한 제재 강화: 미국에 대한 사이버 공격에 가담하는 외국 개인 및 단체에 대한 제재 권한이 확대됩니다. 특히 의료 시설을 포함한 주요 기반 시설을 대상으로 하는 랜섬웨어 공격에 대해서는 더욱 강력한 대응 조치가 취해집니다.
• 양자 내성 보안 조치 강화: 연방 기관은 고도화된 양자 컴퓨팅 해독 능력으로 인한 미래의 위협으로부터 민감한 정보를 보호하기 위해 양자 내성 암호 알고리즘으로 신속하게 전환해야 합니다. 
• 사이버 방어와 인공지능의 통합: 이번 지침은 연방 사이버 보안 강화를 위해 인공지능 기반 도구 활용을 장려합니다. 국방부 등 주요 부처의 새로운 AI 프로그램은 사이버 방어 체계를 강화하고 에너지 등 주요 분야에서 시범 프로그램을 운영할 예정입니다.
• IoT를 위한 새로운 사이버 신뢰 마크 프로그램: 작년 국가 사이버 보안 전략에서 예고되었던 사이버 신뢰 마크 프로그램 개발이 이번 행정 명령을 통해 발표되었습니다. 이 프로그램은 스마트 기기 보안을 인증하여 연방 기관과 민간 부문 모두의 보호를 강화하는 것을 목표로 합니다.

2024 국가 사이버 보안 전략

2024년 6월 업데이트된 국가 사이버 보안 전략은 2023년의 69개에서 100개로 이니셔티브를 확대하고, 새로운 위협에 대응하고 사이버 보안 및 복원력에 대한 장기 투자를 장려하기 위해 31개의 새로운 이니셔티브를 포함합니다. 또한, 이번 업데이트는 특히 핵심 기반 시설 보호 강화에 중점을 두며, 의료, 교육, 폐수 처리 시스템 등 공공 기반 시설의 부문별 사이버 보안 조치를 확대하는 방향으로 나아갑니다.

사이버 범죄와의 전쟁터는 다양하지만, 가장 중요한 곳은 바로 자신의 데이터센터입니다. 이제 NCS를 분석하고, 그 지침과 지원을 어떻게 활용할 수 있는지 살펴보겠습니다.

새로운 위협에는 새로운 방어가 필요합니다

보고서의 목표는 위험하게 쓰일 수 있는 기술 발전에 대한 우려를 반영하고, 그에 대한 대응책 마련에 초점을 맞추고 있습니다.

• WormGPT와 같은 도구는 인공지능이 악의적인 목적으로 사용될 경우 어떤 일을 할 수 있는지 보여주는 단편적인 예시에 불과합니다.
• 양자 컴퓨팅은 “현재 널리 사용되는 주요 암호화 표준을 무력화할 수 있는” 잠재력을 지니고 있습니다. 따라서 취약한 공공 네트워크와 시스템을 양자 내성 암호 기반 환경으로 우선 전환하고, 예측 불가능한 미래 위험에 대비하여 암호화 민첩성을 확보하기 위한 다양한 완화 전략을 개발해야 합니다.
• IoT 기기는 “미래형 스마트 그리드” 구축을 목표로 자발적인 사이버 보안 라벨링 프로그램 의 적용 대상이 되어 제조업체들의 더 높은 사이버 보안 기준 준수를 유도할 것입니다.
• 또한, 스마트하고 연결된 디지털 공급망 구축 계획의 일환으로 공급망 위험 식별, 평가, 완화 및 감시를 위한 공급망 위험 평가 도구 사용 권한 및 전문 분석 지원 서비스를 제공할 예정입니다.

그리고, 이 전략은 랜섬웨어 문제를 심층적으로 다루며 랜섬웨어 조직과 국가의 지원을 받는 사이버 스파이 활동을 근절하기 위한 국제적 협력을 약속합니다.

주요 공공 인프라에 대한 조명

2021년 파이프라인 중단 사태는 우리에게 귀중한 교훈을 주었습니다. 하나의 중요 인프라 제공업체를 마비시키면 연쇄적으로 엄청난 파급 효과를 가져올 수 있다는 것입니다. 2024년 전략의 첫 번째 핵심 목표는 수도, 전력망, 철도, 파이프라인 등 주요 기반 시설 제공업체들이 반드시 준수해야 할 최소한의 사이버 보안 기준을 의무화하는 새로운 규정을 포함합니다.

이러한 사이버 보안 기준은 미국 국립표준기술연구소(NIST)의 사이버 보안 프레임워크(CSF) 2차 개발 과정을 통해 마련될 예정입니다. 이 프레임워크는 기술 및 위협 동향에 발맞춰 지속적으로 개선 및 고도화될 것이며, 과거 사례에서 얻은 교훈을 반영하고 모범 사례를 표준 관행으로 정착시키는 것을 목표로 합니다.

공공 분야에 속한 기업은 이러한 접근 방식을 적극적으로 본받아야 합니다. 지금이야말로 경계를 늦추지 않고 기업의 핵심 디지털 자산을 보호하기 위한 조치를 적극적으로 취해야 할 때입니다.

핵심 목표 및 주요 내용

핵심 내용 1: 주요 기반 시설 방어

항공, 철도, 석유 및 가스, 수처리 및 폐기물, 에너지 및 관련 서드파티 공급업체를 포함한 주요 기반 시설은 사이버 보안 분야의 핵심 이슈로 부상했습니다. 이러한 기반 시설은 국가 사이버 보안 전략의 최우선 과제이며, 미국 국립표준기술연구소(NIST)와 사이버 보안 및 기반 시설 보안국(CISA)의 최신 프레임워크 준수를 의무화하고 있습니다. 또한 민관 협력 강화를 통해 ‘설계 단계부터 안전한’ 소프트웨어 및 하드웨어 개발과 ‘기본적으로 안전한’ 기술 도입을 촉진하는 것을 목표로 합니다.

우선 순위로 언급된 내용은 다음과 같습니다.

• 소프트웨어, 하드웨어, 관리형 서비스 제공업체와의 협력을 통해 사이버 보안 환경을 재편하고 보안과 복원력을 강화하는 것이 중요합니다. 여기에는 ‘설계 단계부터 안전한’ 원칙을 적용하여 제품을 개발 초기 단계부터 안전하게 구축하는 것이 포함됩니다.
• 이 분야의 핵심 시스템과 서비스는 복원력, 복구 가능성, 가용성 및 안전한 장애 조치를 보장해야 합니다. 이러한 목표는 계층형 백업 아키텍처를 통해 달성할 수 있으며, 자세한 내용은 아래에서 살펴보겠습니다.
• 모든 서드파티 벤더 및 공급업체는 규정을 준수해야 합니다. 보안은 가장 취약한 연결 고리만큼만 강력하기 때문입니다.

더 읽어보기: CISA의 “Shields Up” 권고 사항 실무 적용 방법

핵심 목표 2: 위협 행위자 무력화 및 해체

정부는 악의적인 행위자를 대상으로 하는 제거 및 방해 작전을 포함하여 “국가의 모든 수단”을 동원할 것을 다짐했습니다. 이번 전략에서 특히 강조하는 사항은 다음과 같습니다.

• 기업이 랜섬웨어 몸값을 지불하지 않도록 권장합니다. 이를 위해서는 복원력이 뛰어난 아키텍처와 안전한 백업 시스템을 구축하여 몸값 지불의 필요성을 근본적으로 차단하는 것이 중요합니다.
• CISA는 경고 및 위협 정보를 공유하고 민간 기업은 “허브(hubs)”를 통해 기밀 위협 정보를 보고할 수 있도록 지원하는 양방향 정보 공유 시스템을 구축하여 체계적인 대응을 강화합니다.

고무적인 움직임이지만, 조직 스스로도 방어에만 머무르지 않고 공격에도 계속 주의를 기울여야 합니다. 즉 공격자의 정체와 목표를 파악하고, 고급 이상 징후 탐지 기술을 통해 데이터 자산 전체를 완벽하게 파악해야 합니다. 또한, 신속하고 정확하며 접근성이 뛰어난 보안 로그, 데이터 수집 병목 현상을 해소하는 강력한 스토리지 기반의 SIEM(Security Information and Event Management) 시스템, 그리고 디지털 포렌식 프로세스를 위한 백업 계획이 필수적입니다.

핵심 목표 3: 보안 및 복원력을 강화하는 시장 환경 조성

이 전략의 핵심은 서드파티 공급업체와 서비스형 소프트웨어(SaaS) 확대로 사이버 공격 범위가 계속 늘어나는 상황에서 개인과 중소기업의 부담을 줄이는 것입니다. 이를 위해 더욱 엄격한 데이터 규정 준수 및 개인 정보 보호 정책을 시행하고, 공인된 보안 개발 관행을 따르지 않는 소프트웨어 및 하드웨어 공급업체에 대한 책임 추궁을 강화할 것입니다.

보안 및 복원력 강화를 위해 국가 사이버 보안 전략은 데이터 보안에 대한 조직의 책임을 강화하는 다음과 같은 조치를 시행할 계획입니다.

• 민감한 개인 정보는 수집과 사용을 최소화합니다. 지금이야 말로 데이터 규정 준수 모범 사례를 점검할 적절한 시기입니다.
• 소프트웨어의 보안 취약점에 대한 책임 부과
• 연방 정부 공급업체의 규정 준수 의무화 (예: FIPS 또는 SOC 2 Type II)

대규모 보안 사고 발생 시 대응을 지원하는 사이버 보험 “백스톱(backstop)” 기금은 이 핵심 목표의 중요한 전략적 목표로 유지됩니다.

핵심 목표 4: 복원력 있는 미래를 위한 투자

이 핵심 목표는 네 번째이지만, 가장 중요하고 실행 가능성이 높다고 생각합니다. 연방 정부는 “전략적 투자와 협력적 조치를 통해 복원력 있는 차세대 기술 및 기반 시설 보안을 선도하는 것”을 목표로 합니다. 여기에는 BGP(Border Gateway Protocol) 및 인터넷 프로토콜 버전 6(IPv6)의 보안 취약점을 해결하기 위한 새로운 이니셔티브가 포함됩니다. 이 전략에 따르면 복원력 투자는 다음을 의미합니다.

• 핵심 기술의 취약점을 줄이는 것이 중요합니다. 여기에는 계층형 백업, SLA 기반 복구 보장, 불변 스냅샷, 신속한 복구 시간을 제공할 수 있는 스토리지를 포함한 주요 기반 시설이 해당됩니다.
• 서드파티 소프트웨어 공급업체로 인한 취약점을 줄이기 위해 오픈소스 소프트웨어 생태계를 강화하고 보호합니다.
• 자동화된 계정이나 시스템을 통한 불법적인 접근과 신원 도용을 막기 위해, 적절한 통제 기능을 갖춘 디지털 신원 관리 솔루션을 도입해야 합니다.
• 정부의 탄소 중립 목표에 따라 에너지 비용 상승과 정전으로 인한 복원력 약화를 대비하여 청정 에너지 기반 시설을 구축합니다. 이는 데이터센터에서부터 시작됩니다.
• 포스트 양자 알고리즘을 활용한 양자 내성 암호화

결국 핵심은 ‘계층화된 복원력 아키텍처’입니다. 복원력 아키텍처는 전체 데이터 자산을 보호할 수 있으며, 이에 대한 자세한 내용은 앞서 언급한 글에서 설명했습니다. 이는 보안 사고 발생 시 최대한 빠르게 복구할 수 있는 최선의 방법입니다.

핵심 목표 5: 공동 목표 달성을 위한 국제 협력 강화

공격받을 수 있는 영역을 축소하고 위협에 대응하며 글로벌 공급망을 보호하고 공격 발생 후 상호 협력하기 위해서는 긴밀한 협력과 소통이 필수적입니다. 미국 국립통신정보청(NTIA)은 글로벌 공급망 복원력을 강화하고 소비자와 네트워크 사업자의 비용 절감을 위해 공공 무선 공급망 혁신 기금에서 1억 4천만 달러 이상을 투자했습니다.

정부는 “책임감 있는 국가 행위”를 장려하고 동맹국의 사이버 보안 복원력 강화를 지원하고 있지만, 기업이 운영되는 한 공격 대상이 될 위험은 여전히 존재합니다. 따라서 기업은 항상 경계를 늦추지 않고 최악의 시나리오에 대비해야 합니다. 퓨어스토리지는 고객이 단순히 위험에 대비하는 것을 넘어 보안 사고 발생 시 기록적인 속도로 복구할 수 있도록 지원합니다.

어떻게 대비해야 할까요?

퓨어스토리지 데이터 플랫폼의 검증된 계층형 사이버 복원력

퓨어스토리지는 이러한 우선순위를 공유하며 고객이 사이버 복원력과 보안 분야에서 선도적인 위치를 유지할 수 있도록 지속적인 혁신과 발전을 추구합니다. 최근 발표된 SLA와 AI 기반 보안 및 사이버 복원력 기능은 사이버 범죄와의 끊임없는 전쟁에서 고객에게 명확한 우위를 제공합니다.

그렇다면 어디서부터 시작해야 할까요? 가장 효과적인 복원 전략은 퓨어스토리지와 같은 통합 데이터 플랫폼 기반의 계층형 복원력 아키텍처를 구축하는 것입니다. 이를 통해 기업은 사고 발생 시 수 시간 또는 수일이 걸리던 복구 작업을 단 몇 분 만에 완료할 수 있습니다.

1. 1단계: 주요 핵심 운영 데이터 및 안전한 백업 운영에 필수적인 애플리케이션과 3~7일 분량의 세이프모드 스냅샷(SafeMode™ Snapshots)을 저장하여 데이터를 안전하게 보호합니다.
2. 2단계: 비용 효율적인 2차 데이터, 스냅샷 아카이브 및 포렌식 데이터. 1단계 스냅샷을 6~12개월간 비용 효율적으로 오프로드하고, 공격 후 포렌식 분석에 필요한 데이터를 유지합니다. 또한, 장기 보관을 위한 복제 아카이브를 유지하며, 가능하면 6~12개월 이상 보관하는 것이 좋습니다.
3. 3단계: 신속한 백업 계층. 이 계층은 극단적인 상황에 대비하거나, 규정 준수를 위한 장기 보관, 또는 스냅샷이 적합하지 않은 애플리케이션을 위한 저장 공간으로 활용됩니다.
4. 4단계: 격리된 단방향의 데이터 저장소 대규모 재해 발생 시를 대비한 이 계층은 최고 수준의 보안을 제공하는 추가적인 재해 복구 사이트 역할을 합니다. 기본 및 보조 백업 사이트를 넘어 격리된 데이터 저장소는 강화된 보호 기능을 제공하며, 이 계층에는 수년간의 데이터를 안전하게 보관할 수 있습니다.

그럼에도 불구하고 사이버 공격은 발생 가능성이 아닌 시간 문제일 뿐입니다. 퓨어스토리지 에버그린//원(Evergreen//One™)의 최신 사이버 복구 SLA를 확인해 보세요. 사이버 사고 발생 시 신속한 복구를 위해 깨끗한 복구용 어레이를 영업일 기준 익일 배송하는 서비스를 포함하여 안전한 복구 환경을 제공합니다.

사이버 범죄와의 전쟁은 우리 모두의 책임입니다. 급변하는 환경 속에서 퓨어스토리지는 궁극적인 마음의 평화를 제공합니다.

*배송 일정: 북미 및 EMEA 지역은 영업일 기준 익일 배송, 아시아 및 호주/뉴질랜드 지역은 영업일 기준 3일 이내 배송. 지역에 따라 빠른 배송이 가능할 수 있습니다.