솔라윈즈 SOLARWINDS 해킹으로 수십 개 또는 수백 개의 미국 기업들이 해커의 스파이 활동에 노출됐다. 또한 사이버보안에 접근하는 미국의 방식에 대해 뿌리 깊은 문제점을 드러냈다. 무엇이 잘못됐는지, 그리고 기업과 정부가 어떻게 그것을 개선할 수 있는지 살펴보자. DAVID Z. MORRIS & ROBERT HACKETT

작년 지난 12월 초 사이버 보안업체 파이어아이 FireEye는 범죄자들이 회사의 보안 시험 팀이 사용한 강력한 도구들을 해킹 했다고 발표했다. 조사 결과, 회사는 곧 그 공격이 훨씬 더 규모가 큰 해킹의 일부라는 사실을 파악했다. 파이어아이 시스템은 IT 관리 및 보안 플랫폼 오리온 Orion—오스틴 소재 IT 소프트웨어 업체 솔라윈즈의 베스트셀러 제품이다—을 통해 이식된 스파이웨어를 사용해 손상됐음이 밝혀졌다.

해킹 사실을 처음으로 공개한 5일 후, 파이어아이는 대중들에게 자사가 발견한 사실을 경고하며 더 광범위한 조사를 촉발시켰다. 그 결과 이 조사는 해킹의 놀라운 규모와 무시무시한 은밀함의 위협을 드러냈다. 손상된 오리온 소프트웨어는 수천 곳의 솔라윈즈 기업 고객에 도달했을 뿐만 아니라 미 재무부와 국무부, 국토안보부의 시스템에도 침투했다. 공격은 분명 1년 여 전에 시작됐고, 해킹의 체계적이고 장기간 지속된 정보수집 접근 방식은 국가가 배후에 있음을 시사했다. 미국 정보기관들은 1월 초 러시아를 비난했고, '솔라윈즈'는 해킹 참사의 대명사가 됐다(다음 페이지 '사이버 범죄의 연대기' 기사 참조).

트럼프 전 대통령의 국토안보 고문 출신으로 현재 사이버보안 신생기업 트리니티 사이버 Trinity Cyber의 사장을 맡고 있는 톰 보서트 Tom Bossert는 "미국 역사상 최악의 사이버 공격이 될 것"이라며 "사람들이 그 규모를 이해한다고 생각하지 않는다"고 지적했다. "이번 해킹은 놀라운 범위 때문에 매우 큰 문제가 된다. 그 규모에 숨이 막힐 지경이다."

그 규모는 기업에 잠재적으로 미칠 손상의 범위를 포함한다. 잘 알려진 많은 해킹들이 보통 신용카드 번호와 주소 같은 고객 데이터를 대상으로 하지만, 솔라윈즈의 공격자는 훨씬 더 높은 가치의 내부 정보에 초점을 맞춘 것으로 보인다. 그들의 목표는 이메일 시스템에 침투하고 회사 기밀에 접근하는 것, 그 중에서도 마이크로소프트 소프트웨어의 기반이 되는 소스 코드를 겨냥한 것으로 추정된다. 시스코와 인텔, 엔비디아, 딜로이트는 오리온 패치에 노출됐다고 밝힌 다른 거대 기업들이다. 아직 심각한 영향을 받은 기업은 없지만, IT 부서들은 최악의 상황에 대비하고 있다. 자산 및 지적 재산권 도난, 내부 데이터와 계획의 유출, 손상된 시스템을 제거하거나 재구축하는 데 드는 막대한 비용이 대표적이다.

해킹의 범위만큼이나, 그 공격이 정부와 민간 부문의 사이버방어를 얼마나 교묘하게 무력화했는지도 놀랍다. 일부에서는 이번 공격을 한 소프트웨어 공급업체의 실패가 아니라, 미국 사이버보안 자체의 문제를 드러낸 사건으로 보고 있다. 마이크로소프트와 시만텍에서 선구적인 사이버방어 전문가로 활동한 루타 시큐리티 Luta Security의 설립자 케이티 무수리스 Katie Moussouris는 “미국은 인터넷을 만들었다. 하지만 사이버보안에서는 주도권을 잃고 있다"고 지적했다. 그 결과가 어떻게 나타나든 솔라윈즈 해킹은 정보기술을 안전하게 유지하기 위해 우리가 의존해 온 민관 협력의 주요한 결함을 드러냈다. 아울러 그 협력 관계에 얼마나 문제가 많고, 쉽게 침투할 수 있는지 관심을 집중시켰다.

전통적인 방위 공급망(전투기 제작업체 또는 해안 경비대 경비정 제작업체를 생각하면 된다)에서, 민간 계약업체들은 장기적인 고부가가치의 정부 계약을 확보하는 대신 엄격한 감독과 기준을 준수한다. 반면 사이버보안에서는 소수의 중견 정부 기관들이 훨씬 더 많은 수의 민간 소프트웨어 개발업체, 사이버보안 계약업체 및 고객사들과 협력한다. 이에 따라 상대적으로 적은 지침을 제시하고, 느슨한 감독을 요구할 뿐이다.

대부분의 업계 전문가들은 미국 사이버보안의 분산형 시장 주도 구조를 민첩성과 혁신의 원천으로 보고 있다. 하지만 그들은 또한 솔라윈즈의 대참사에서, 시스템의 약점이 완전히 드러나고 있는 상황을 목격하고 있다. 이번 대규모 해킹 사태에서는 결함을 가진 업계의 재정적 인센티브, 투명성 부족, 미흡한 교육 투자, 시대에 뒤떨어진 비용 절감 노력 등이 각각 한몫을 했다.

이런 실패들은 미국의 사이버보안 구조를 개선해야 하는 과제를 압축적으로 보여준다. 고무적인 소식은 기업과 공공 부문 개혁가들이 이미 개선과 대책으로 대응하고 있다는 점이다. 다만 이런 많은 개선 노력은 아직 초기 단계에 있다(이런 노력에 대한 좀 더 자세한 내용은 박스 기사를 참조하라).

파이어아이가 솔라윈즈 뉴스를 공개했을 때, 국가안보국(NSA)과 국방부 사이버사령부는 물론 다른 미국 정보기관과 사이버기관 모두 몇 달 전부터 공격이 진행 중이었음에도 이를 감지하지 못했다. 이런 상황은 매우 걱정스럽다. 더욱 놀라운 사실은 파이어아이가 공공이든 민간이든, 그 누구에게도 발견한 해킹에 대해 알릴 법적 의무가 없다는 점이다.

소매업체나 은행 같은 회사들의 경우, 고객의 개인 데이터 도난과 관련된 해킹을 신고해야 하는 법적 요건이 늘어나고 있다. 하지만 현재 미국은 독립 연구회사들에는 사이버위협에 대한 조사 결과를 (그것이 잠재적인 국가안보 위협이 되더라도) 정부 기관들과 공유할 것을 요구하지 않는다.

많은 기업들이 주로 민간 부문의 고객사들에 의지하고 있는 1,700억 달러 규모의 산업에서, 이런 법률상 격차는 문제가 되는 동기를 유발할 수 있다. 그들의 사업 모델이 종종 고객사에 독점적인 경고와 방어 전략을 판매하는데 기반을 두고 있기 때문에, 사이버위협 정보 회사들은 그들의 조사 결과를 공개적으로 공유할 직접적인 재정적 동기가 없다. 솔라윈즈 공격에 대한 조사를 주도한 파이어아이 조사관 찰스 카마칼 Charles Carmakal은 민간 기업들이 신종 사이버공격에 대한 정보를 “경쟁력을 가진 차별화 요소로 활용”하기 위해 비축해 둘 수 있다고 지적한다.

분명 많은 사이버보안 회사들은 그들의 조사 결과를 널리 공유하고 있으며, 어떤 회사도 솔라윈즈 같은 심각한 위협에 대해 침묵을 지켰을 가능성은 거의 없다. 하지만 업계 경영진은 일부 해킹 공격이 공개되지 않을 수도 있는 위험으로, 정보 공개에 대한 통일된 기대치 부족을 언급한다. 가령 보잉이 1941년 중반 진주만 폭격 계획을 발견하고, 해군에 통보하는 비용과 이익을 따지는 데 시간이 걸렸다고 상상해 보라. 소프트웨어 설계를 민간 부문이 장악하고 있는 상황은 솔라윈즈 해커들이 악용한 또 다른 심각한 사이버보안 위험의 원인이 되고 있다.

해킹의 핵심인 악성코드는 극도로 탐지하기 어려운 '공급망 공격'을 통해 전달됐다. 솔라윈즈 소프트웨어를 감염시킨 공격자들이 신뢰할 수 있는 버그 제거 ‘패치’나 업데이트에 스파이웨어를 삽입했기 때문에, 일상적인 사이버방어 조치에서는 거의 포착이 어려워졌다.

이런 취약성은 대부분의 소프트웨어가 부분적으로 비용 절감을 위해, 오픈 소스 코드 같은 다양한 제3자 구성요소를 재사용하기 때문에 특히 위험하다. 감염된 구성요소 중 하나는 해커들이 다른 시스템에 접근하거나 손상시킬 수 있는 발판이 될 수 있으며, 이를 사용해 구축한 소프트웨어에 우회 침투할 수 있는 만능 키가 될 수 있다. 하지만 어떤 구성요소와 상호작용이 소프트웨어를 구성하는지 추적하거나, 보고하는 기준이 명확히 갖춰지지 않았다. 이런 추적을 요구하는 규정은 더 말할 것도 없다. 솔라윈즈 해킹에서 수천 곳의 민간 및 정부 고객사들이 오리온 패치 감염으로 초래된 위협을 파악하려고 노력하는 가운데, 이런 현실이 상황을 더 악화시켰을지도 모른다.

시스템 간 해커의 이동을 제한하는 ‘제로 트러스트 zero-trust’ 소프트웨어를 포함, 효과적인 사이버 보안을 소프트웨어와 네트워크에 처음부터 구축해야 한다는 인식이 확산되고 있다. 하지만 그렇게 강력한 소프트웨어를 개발하려는 시장의 동기는 거의 없으며, 정부도 이를 요구할 수단이 많지 않다. 시스코 시스템스의 기술정책 책임자 에릭 웽거 Eric Wenger는 "매우 고급 [정부] 시스템 공간에서조차 일반 상용 기술과 심지어 기성 기술에 대한 의존도가 높아지고 있다"라고 지적한다. 이런 이유로 솔라윈즈 해킹은 공공 기관과 민간 기업 모두에 영향을 미쳤다. 동일한 소프트웨어를 사용하면, 동일한 공격에 노출되기 때문이다.

솔라윈즈는 2010~2019년 이익 마진이 3배 급증하는 등 경쟁사들과는 거의 비교할 수 없는 성과를 자랑했다. 회사는 자사 오리온 제품에 대한 작업을 동유럽의 덜 비싼 소프트웨어 엔지니어 업체들에 아웃소싱함으로써, 이런 이익을 계속 확대할 수 있었다. 하지만 현명한 비즈니스 전략으로 보였던 것이 회사의 실패 원인으로 드러날지도 모른다. 이번 기사를 작성할 당시, 조사관들은 해커들이 솔라윈즈의 동유럽 사업부를 통해 회사 소프트웨어를 감염시켰을 가능성을 찾고 있었다. 하지만 솔라윈즈는 엔지니어링 외주화 측면에서, 자유시장의 원리에 합리적으로 대응하고 있었다(당연히 많은 소프트웨어 동종업체들의 선례도 따랐다).

근본적인 문제는 미국에 사이버보안 인재가 심각하게 부족하다는 점이다. 노동력 분석 회사 엠시 Emsi의 최근 조사에 따르면, 미국은 공공과 민간 부문에 필요한 자격을 갖춘 사이버 전문가를 절반도 충원하지 못하고 있다. 이런 격차로 인해 수십 만개의 일자리가 채워지지 않고 있다. 이에 따라 기존 인재들의 몸값은 더욱 높아지고 있다. 노동통계국에 따르면 2019년 사이버보안 업계의 중위 급여는 9만 9,730달러로 소프트웨어 엔지니어 중위 급여보다 약 15% 높았다. 이런 추가 비용은 업계 기업들이 생산을 해외로 옮길 또 다른 동기를 부여한다.

어떤 의미에서 문제는 미국 대학에서 시작되는데, 일부 개혁가들은 해결책도 거기서 출발해야 한다고 생각한다. 2016년 조사에 따르면, 미국 대학 내 상위 10개 컴퓨터 과학 프로그램 중 졸업을 위해 사이버보안 강좌를 요구하는 프로그램은 하나도 없었다. 그 10개 중 3개는 사이버보안 프로그램이 전혀 없었다. 일부 기업은 초급 사이버 방어인력의 양성 노력을 강화해 왔을 뿐이다. 조지 W. 부시 행정부에서 반테러와 사이버 문제에 대해 고문으로 활동했던 프랭크 실루포 Frank Cilluffo는 “우리는 사이버 문제에 대해 획기적인 교육 정책이 필요하다. 이를 위해 연방정부의 자금 지원이 이뤄져야 한다”고 강조했다.

그러나 새로운 그룹의 사이버보안 졸업생들을 확보한다고 해도, 그들이 제대로 작동하지 않는 시스템 내에서 일한다면 별 도움이 되지 않을 것이다. 이런 시스템을 개편하는 일이 사이버공간 솔라리움 위원회—의회가 미국의 사이버보안 개혁을 돕기 위해 설치한 태스크포스다—의 핵심 업무다. 이 위원회의 위원이자 전략국제문제연구센터(CSIS)의 사이버보안 및 대테러 선임 고문을 맡고 있는 수잰 스폴딩 Suzanne Spaulding은 “우리의 초점은 시장이 더 효과적으로 좋은 행동을 이끌도록 하는 데 있다”며 "시장이 제 기능을 발휘하지 못한다면 왜 그렇게 되지 않는 것일까?"라고 반문한다.

위원회는 지난 1년간 광범위한 권고안 목록을 작성했고, 지난 1월에는 이 중 26건이 2021년 국방수권법(NDAA)의 일환으로 법제화됐다. NDAA는 백악관 수준의 국가사이버감독국을 신설하고, 연방 사이버보안 및 인프라 보안 기관에 민간 수준의 위협 대응 권한을 새롭게 부여하고 있다. 이는 위원회 위원들이 보안 표준에 대해 정부와 업계 간의 보다 긴밀한 협력을 촉진할 것으로 기대하는 중요한 변화다.

그 역시 솔라리움 위원회에서 활동하는 실루포는 “많은 권고안 중 일부는 수년간 작업을 해왔다"며 “하지만 그것이 필요한 곳에 정치적 의지가 작용하지 않았다. 이제 우리는 더 이상 과거의 전철을 밟아서는 안 된다”라고 밝혔다.

솔라리움의 활동 권한은 최소한 1년 더 연장됐고, 위원회의 향후 승인과 권고는 민간 부문에 좀 더 초점을 맞출 계획이다. 목표는 보안 소프트웨어를 구축하고, 사이버 위협에 대한 정보를 공유하기 위해 인센티브를 강화하는 것이다. 솔라리움은 엔지니어링 측면에서는, 베터 비즈니스 뷰로 Better Business Bureau 같은 국가 사이버보안 인증기관을 추진하고 있다. 이 조직은 보다 안전한 소프트웨어 사용을 정식 승인할 권한을 갖는다.

이런 인증 조치는 잘 알려진 해킹들—점점 더 많은 침투 비율을 차지하고 있다—과 맞서는 소프트웨어 제조업체들의 방어를 추적하는 것과도 관련이 있다. 점점 더 많은 일반 사이버 범죄자들이 거의 코딩 작업을 하지 않고, 대신 더 숙련된 악당들이 판매하는 기존 도구들을 사용하고 있다. 실루포는 “이런 종류의 단순하고 반복적인 공격에 대한 표준화된 방어는 사이버 방어팀이 (국가가 배후에 있는 적들의) 보다 미묘하고 혁신적이며 위험한 공격에 집중하는 데 도움이 될 수 있다”고 설명한다.

다른 개혁가들은 이른바 ‘소프트웨어 사양 법안(Software Bill of Materials)’을 지지한다. 이런 법안은 미국 기술기업들이 소프트웨어 구축에 사용한 다양한 제3자 모듈, 오픈 소스 구성요소 및 라이브러리 코드를 목록으로 만들어 업계의 투명성 문제를 해결하도록 요구할 것이다. 예를 들어, 이런 목록화 작업은 보안 결함이 발견된 소프트웨어를 개발업체와 고객들에게 더 쉽게 경고하도록 할 것이다 제동장치가 결함으로 판명될 경우, 자동차 제조업체들이 리콜을 실시할 수 있는 것처럼 말이다.

더욱 시급하게 지원해야 할 분야는 사이버공격에 대한 정보공유와 관련된 것이다. 스폴딩은 “새 규칙은 ‘중요 인프라 기업’—민간 사이버보안 회사가 포함될 수도 있는 분야다—에 강화된 위협 보고를 요구할 수 있다”고 설명한다. 이 같은 제안은 당연히 업계로부터 경계심을 낳고 있다. 예를 들어, 기업 입장에서는 소프트웨어 사양 법안의 준수가 비용ㆍ노동 집약적일 수 있지만, 해커들에게 상세한 정보를 제공함으로써 새로운 위험을 초래할 수도 있다.

정보공유 의무 역시 많은 사이버보안 업체들의 반대에 직면해 있다. 이 회사들은 이런 의무들이 자신들의 경쟁력을 잠식하고 있다고 보고 있다. 예를 들어, 시스코의 웽거는 “이런 규정이 민간 기업들이 연구로부터 얻을 수 있는 재정적 이익을 훼손함으로써 사이버보안에 대한 투자를 억제할 수 있다”고 우려한다.

궁극적으로 관건은 협력 비용이 2차 솔라윈즈 사태(혹은 그 이후 벌어질 해킹)의 대가보다 더 큰지에 달려있을 것이다.

▲사이버범죄 연대기

보안 전문가들은 소위 솔라윈즈 해킹을 미국 역사상 가장 심각한 2~3대 사이버 스파이 공격 중 하나로 꼽고 있다. 이번 공격은 아마도 미국 기업들에 가장 깊이 침투한 해킹일 지도 모른다. 이 사태가 어떻게 전개됐는지 우리가 지금까지 파악한 사실을 공개한다.

2019년 9월 4일
오스틴에 본사를 둔 소프트웨어 기업 솔라윈즈가 해킹을 당했다. 동유럽의 협력업체가 회사를 위해 수행한 엔지니어링 작업이 침투의 한 원인을 제공했을 가능성이 있다.

해커들은 솔라윈즈가 만든 IT 및 사이버 보안관리 대시보드 제품인 오리온의 업데이트에 악성코드를 삽입했다. '선버스트 Sunburst'라는 이 악성코드는 이른바 ‘백도어’로 불린다. 해커들이 선버스트가 설치된 네트워크를 감시하고, 잠재적으로 더 깊숙이 침투할 수 있도록 만드는 시스템이다.

-2020년 3월~6월
솔라윈즈는 오리온 고객사 1만 8,000곳이 이 기간에 선버스트 백도어가 포함된 소프트웨어 업데이트 패치를 다운로드했다고 보고 있다. 이 다운로드는 신뢰할 수 있는 프로세스의 일부이기 때문에, 심지어 경계를 늦추지 않는 보안 팀에도 무언가 잘못됐다는 사실을 알리기 어렵다.

12월 11일
-해커들이 도난 당한 자격 증명을 사용, 다중 인증을 위한 새 장치를 등록하려고 시도했다. 이런 행동으로 인해 사이버보안 업체 파이어아이는 침입의 단서를 잡았으며, 회사는 이틀 후 해킹 사실을 공개적으로 보고했다.

-12월 19일
파이어아이는 감염된 1,000개의 시스템이 해커들에 의해 운영되는 지휘통제 서버와 연결돼 왔다고 보고했다. 이에 따라 해커들이 더 많은 시스템에 접근할 수 있는 내부 사용자의 자격 증명을 도용, 더욱 깊숙이 침투할 수 있는 옵션을 얻게 됐다고 판단했다.

마이크로소프트는 고객사 중 약 40곳이 공격을 당했다고 밝혔다. 뒤이어 아마존 내부 보고서는 영향을 받은 회사와 기관을 총 250곳 이상으로 추정했다. 이 보고서들은 피해업체들의 이름을 밝히지 않았지만, 마이크로소프트는 파악한 해킹 대상 중 44%가 IT 분야, 18%가 정부, 19%가 NGO나 싱크탱크, 9%가 정부 계약업체라고 보고했다. 후속 공격은 주로 전자메일 시스템을 겨냥한 것으로 나타났다. 하지만 해킹의 전체 범위는 알려지지 않았다.

-12월 31일
마이크로소프트는 솔라윈즈 해커들이 자사의 소프트웨어 중 일부의 기반이 되는 내부 소스 코드에 접근했다고 발표했다. 하지만 현재까지 고객 데이터가 손상됐거나, 도난 당했다는 징후는 없다.

-2021년 1월 5일
미국 정보기관 단체는 성명을 내고 러시아 출신일 가능성이 높은 APT(Advanced Persistent Threat) 해커가 이번 공격의 주범이라고 밝혔다. 일부 전문가들은 러시아 코지 베어 Cozy Bear 해킹 팀과 연관된 러시아 대외정보국 SVR을 의심하고 있다. 하지만 러시아는 개입을 부인하고 있다.

-1월 10일
사이버보안 및 인프라 보안국은 오리온 패치의 영향을 받은 연방기관이 “10개 미만"이라고 밝혔다. 피해 기관에는 국토안보부, 재무부, 국무부가 포함된 것으로 알려졌다. 법무부의 마이크로소프트 이메일 계정도 손상됐다. 하지만 법무부는 기밀 시스템이 공격을 당했다는 징후는 없다고 밝혔다.

-1월 12일
전자 메일 보안업체 마임캐스트 MImecast가 자사도 오리온에 의해 감염됐다고 보고했다. 아울러 고객사 중 약 4,000곳이 "잠재적 영향권"에 있지만, "한 자리 수 초반(1~3개)" 고객사만 공격목표가 됐다고 밝혔다.

▲새 행정부의 반격: 바이든의 백악관은 솔라윈즈 사태에 어떻게 대응하고 있나

역사적인 솔라윈즈 해킹은 미국 사이버보안 정책의 기저에 깔린 혼란상을 극명하게 드러냈다. 새 정부가 시스템을 개선할 수 있는 4가지 방법을 제안한다.

이제 조 바이든이 취임했기 때문에, 그는 이 나라를 연기가 자욱한 분화구의 불구덩이에서 어떻게 구해낼지 파악해야 한다.

코로나바이러스 대유행이 미국을 파괴하는 동안, 또 다른 불길한 침투가 일어나고 있었다. 다만 그 공격이 비밀스럽게 이뤄졌다는 점에서 차이가 있다. 이번 해킹은 적어도 10개의 정부 기관과 수백 개의 기업들에 침투, 그들을 약탈하고 전복시킨 대담하고 은밀한 사이버 공격이었다.

다소 완화해서 얘기하면, 신임 대통령은 트럼프 행정부로부터 엉망인 상황을 물려받고 있다. 연방 사이버보안 태스크포스인 사이버스페이스 솔라리움 위원회의 마크 몽고메리 Mark Montgomery 위원장은 “그것은 진주만 폭격 같은 전쟁 행위가 아니다. 하지만 그것은 우리가 복구를 위해 많은 돈을 쏟아 부어야 하는 야만적인 스파이 행위였다”고 비판했다.

바이든은 자신이 직면한 도전이 얼마나 큰지 어느 정도 이해하고, 이 혼란 속으로 뛰어 들고 있다(다만 그의 견해가 명확한 것은 아니다). 작년 12월 당시 대통령 당선인 신분이었던 그는 해킹이 드러난 후 "아직도 전체 해킹 범위나 이로 인한 피해 규모 등 우리가 모르는 것이 너무나 많다. 하지만 우리는 다음과 같은 사실을 잘 알고 있다. 이번 공격은 우리의 국가안보에 중대한 위험을 내포하고 있다”고 밝혔다. 국가안전보장회의(NSC) 대변인은 포춘과의 인터뷰에서 바이든의 공언을 되풀이했다. 그는 "신임 행정부는 첫날부터 정부 기관 전반에 걸쳐 사이버보안을 강화할 것"이라며 "이번 공격을 자행한 사람들에게는 그 책임을 물을 것"이라고 강조했다.

이 목표를 달성하기 위해, 바이든 팀은 코로나 부양책에 100억 달러 규모의 추가 IT 비용을 포함시켰다. 의회가 이를 승인할 경우, 이 금액의 3분의 2 이상이 국토안보부의 최고 사이버 기구에 할당될 예정이다. 정부 전체의 사고 대응과 네트워크 모니터링을 개선하기 위해서다. 바이든은 현 상황에 대처하기 위해, 이미 몇 가지 계산된 인사를 단행했다. 국가안보국(NSA)의 사이버보안 책임자 앤 뉴버거 Anne Neuberger를 NSC의 신임 사이버 자문역으로 발탁한 것이 대표적이다. 아울러 최근 통과된 국방법은 그에게 몇 가지 강력한 새로운 도구를 안겨줬다.

미국이 계속 확대되는 솔라윈즈 해킹의 소용돌이에서 벗어나려면, 신임 ‘총사령관’이 계속 이 사안에 집중해야 한다. 공공 및 민간 부문 사이버보안 전문가들이 제안한 4가지 정책 권장사항을 소개한다.

1. 국가사이버감독국의 통솔에 따르라

지난 1월 1일 의회는 트럼프 대통령의 거부권을 뒤집고, 7,400억 달러 규모의 2021년 국방수권법(NDAA)을 통과시켰다. 국방부의 연간 예산 승인 외에도, 이 대규모 법률안은 상당히 중요한 사이버 정책 프로그램들을 포함하고 있다. 가장 두드러진 점은 이 법이 국가사이버감독국이라는 새로운 행정부 역할의 창설을 승인한 것이다. 최대 75명의 직원이 근무하는 국가사이버감독국은 대통령의 ‘최고자문기관’이자, 모든 사이버보안 관련 문제에 대한 정책을 조정한다.

솔라리움의 몽고메리 위원장은 “NDAA에서 채택된 24건 이상의 솔라리움 위원회 권고안 중 총괄조직의 신설이 가장 중요할지 모른다”고 말했다. 사이버방어에서는 다른 다수의 정책 분야와 마찬가지로, 많은 기관들의 책임이 서로 겹치고 있다.

새 조직은 그 동안 부족했던 응집력을 연방 정책에 불어 넣을 수 있을 것으로 기대된다. 몽고메리는 “대통령이 중소기업청에 들러 사이버보안 활동을 점검하거나, 시 수도당국과 환경보호국(EPA) 간의 관계를 관리할 시간이 없다”며 "결국 그 일을 맡을 사람이 필요하다"고 강조했다.

효과를 거두기 위해서는 국가사이버감독국은 다른 기관과 협력해야 할 것이다. 지위가 상승한 국무부의 ‘사이버 부서’가 중요한 동반자가 될 것이다. 두 조직은 힘을 합쳐 보다 설득력 있게 동맹국들을 규합하고, 해외에서 영향력을 행사하며, 인터넷 상에서 금지선을 넘지 않도록 적극적인 감시 활동을 벌일 수 있다. 지적 재산의 약탈, 선거 방해, 공공시설 파괴, 민간인에게 해를 끼치는 행위의 방지 등이 대표적이다.

오바마 대통령 시절 ‘사이버 차르’를 역임하고, 현재 업계 단체 사이버위협연맹의 대표를 맡고 있는 마이클 대니얼 Michael Daniel은 “미국이 사이버 공간에서 국제적으로 통용되는 규칙을 정립하기 위해선 보다 일관되고 명확한 태도를 보일 필요가 있다”고 강조했다. 그는 솔라윈즈 사태에 대해 “미국과 동맹국들이 데이터 파괴나 물질적 손해 등 일반적인 첩보활동을 넘어서는 모든 공격에 대해, 우리가 전선을 확대할 권리를 갖고 있다는 분명한 신호를 보내야 한다”고 덧붙였다. 

물론 그는 미국도 첩보활동을 하고 있다고 인정한다. 하지만 “너무 대규모로, 지나치게 대담해지는” 다른 나라들의 작전에 대해 관용을 베풀어서는 안 된다고 지적한다.

이 기사를 작성할 당시, 1순위로 하마평에 오른 최고책임자 후보자는 모건 스탠리에서 위기대응을 총괄하고 있는 젠 이스터리 Jen Easterly였다. 그녀는 미 육군의 사이버사령부 설립을 도왔던 NSA 관리 출신이다. 바이든이 누구를 임명하든, 그는 향후 모든 정책의 흐름을 이끌어 갈 것이다.

2. 백악관과 재계를 연결하는 CISA를 강화하라

솔라윈즈 해킹 사건이 드러나기 직전, 트럼프 대통령은 사이버보안 및 인프라 보안국(CISA)을 설립한 크리스 크렙스 Chris Krebs 국장을 축출했다. CISA는 주로 사이버보안 문제와 관련, 민간업계와 정부의 창구 역할을 하고 있다. 마이크로소프트의 베테랑 임원 출신인 크렙스는 CISA를 설립하고, 2020년 대선을 외국의 간섭으로부터 보호한 공로로 찬사를 받았다. 하지만 트럼프의 근거 없는 선거부정 의혹으로 인해 실각했다.

비영리 기관 사이버대비 연구소의 키어스텐 토트 Kiersten Todt 대표는 “두 살 밖에 안된 CISA는 정보를 논의하는 성인들의 테이블에 초대 받기 위해 이미 싸우고 있었다”고 말했다. 크렙스의 해임은 기업들이 해킹으로부터 회복할 수 있도록 돕는 데 가장 책임이 있는 이 기관에 더 큰 걸림돌이 될 전망이다(크렙스는 이후 해킹의 대명사가 된 상황에서 벗어나려는 솔라윈즈의 쉽지 않은 노력을 돕기 위해 그 회사에 고용됐다).

그러나 CISA는 수장의 해임이라는 손실을 입었음에도, 국방수권법 하에서 새로운 힘을 얻었다. 우선 민간과 보다 긴밀하고 능동적으로 조율하는 ‘사이버 기획실’을 만들 수 있는 허가를 받았다. 여기에는 ▲대규모 해킹 대응법을 위한 매뉴얼 작성 ▲경제의 연속성 계획 수립 ▲심각한 위기 상황에서 기업들과 함께 실행하는 도상연습 등이 포함된다.

이런 훈련들은 이란이 공공시설을 해킹해 지역 상수도에 독극물을 풀거나, 크렘린이 도시 전역에 정전사태를 일으키거나, 중국이 약 36개의 우리 GPS 위성을 파괴할 경우, 대기업과 사이버보안 회사들이 대응 계획을 세우는 데 도움이 될 것이다. 마이크로소프트의 보안마케팅 책임자인 바수 자칼 Vasu Jakkal은 "CISA 같은 기관들은 우리의 집단 방어력을 높이기 위해, 우리가 공유해야 할 철학과 방법론 및 관행을 개발하려고 하기 때문에 중요하다"고 설명했다.

국방수권법은 다른 방법으로도 CISA의 권한을 강화한다. 결정적으로, CISA는 연방통신망—얼마나 많은 해커들이 침투하고 있는지 파악하고 있다—에서 위협을 추적하는 행위를 펼칠 수 있다. 보안 전문 싱크탱크인 실버라도 폴리시 액셀러레이터 Silverado Policy Accelerator의 설립자 디미트리 알페로비치 Dmitri Alperovitch는 "솔라윈즈 해킹은 우리의 가장 가치 있는 네트워크를 장기적으로 침투한 공격으로 간주해야 한다"고 말했다. 사이버보안 회사 크라우드 스트라이크 CrowdStrike의 공동 창업자이자 전 기술 책임자였던 그는 최고 수준의 검색 및 해킹 격퇴 팀을 구성하는 일을 “문자 그대로 ‘첫 날부터 시작’해야 할 것"이라고 강조했다.

바이든 대통령이 오바마 행정부 관료 출신인 롭 실버스 Rob Silvers—2015년 중국과의 기업비밀 침해 화해 협상을 도왔다—를 CISA의 새 수장으로 낙점할 계획이라는 소문이 돌고 있다. 그가 확정되면, 그는 국가사이버감독국과 긴밀히 협력하는 파트너가 될 전망이다.

3. 개선된 기준을 정립하라

비용에 민감한 기업들은 예산에서 가장 먼저 사이버보안을 배제하는 경우가 많다.

이언 손턴-트럼프 Ian Thornton-Trump는 자신이 솔라윈즈—이 회사의 광범위한 네트워크 모니터링 도구인 오리온이 해킹의 발원지가 됐다—에 건넨 디지털 방어 조언이 몇 년 전 무시당했을 때, 직접 그런 낭패감을 경험했다고 말했다(솔라윈즈 대변인은 "우리는 보안에 대한 투자가 우리 규모의 기업에 맞게 적절했다고 생각한다"며 "회사는 현재 추가적인 보안 관행을 강화하고 시행하고 있다"고 해명했다).

현재 사이버 기업 사이잭스 Cyjax의 정보보안책임자인 손턴-트럼프는 포춘과의 인터뷰에서 ”기업들이 특정한 기본에 관한 한 계속 노력해야 한다"고 역설했다. 여기에는 정기적인 감사 및 침투 테스트—기업 시스템이 해킹에 얼마나 취약할 수 있는지를 측정한다—를 수행하도록 기업에 요구하는 내용이 포함될 수 있다. 그는 뉴욕 금융서비스국이 정립한 사이버보안 기준을 준거로 삼고 있다. 2019년 완전 시행에 들어간 이 기준은 뉴욕 주에서 영업을 하는 금융회사들에 강력한 전례로 적용되고 있다.  

(손턴-트럼프는 채찍보다는 당근 정책으로 “규칙을 지켰다는 사실을 증명하는 제3자 인증을 하는 기업에 대해, 정부가 세금환급 혜택을 제공해야 한다”고 제안했다).

그는 또한 기업들이 매출의 일정 부분을 보안통제에 사용하도록 할 것을 제안한다. 딜로이트와 금융산업을 위한 보안 전문 컨소시엄 FS-ISAC가 공동 실시한 2019년 조사에 따르면, 금융회사들은 IT 예산의 평균 10%(매출의 약 0.6%)만을 사이버보안에 지출한다.

직원 한 명 당으로 치면 약 2,150달러다. 만병통치약 같은 접근법도 없고 규정 준수가 보안과 동일한 의미는 아니지만, 유능한 보안 전문가라면 “수치가 나름 중요한 기준”이라고 말할 것이다.

유사한 기준 설정이 정부에서도 진행되고 있다. 국방부는 공급업체들에 대해 기본적인 수준의 데이터 보호 보장을 목표로, ‘사이버 성숙도 모델 인증’을 준수할 것을 요구하고 있다.

솔라리움의 몽고메리 위원장은 정부가 사이버통계를 관리하는 비영리 기구를 설립하기를 희망한다. 소비자 제품을 테스트하고, 등급을 매기는 안전도 평가 조직 같은 단체 말이다. 그가 머릿속에서 그리는 조직은 이제 막 태동한 사이버보험 산업에 필수적인 데이터 소스는 물론, 민간 부문이 개선된 사이버보안 관행을 채택하도록 이끄는 핵심 지렛대가 될 수 있다. 그 기관은 종국에는 사이버안전을 바탕으로, 소프트웨어와 그 구성요소를 평가할 수 있다. 부주의한 기술회사들이 보안을 강화하도록 유도할 수 있는 등급 시스템이다.

4. 비밀을 줄이기 위해 데이터 침해 통보법을 마련하라

현재 미국에서는 기업이 사람들의 개인정보 같은 특정 유형의 데이터를 훼손할 때만 위반 사실을 공개해야 한다. 따라서 도난 당한 중요한 영업 비밀과 재정적 손실 또는 더 나쁜 결과 등 대부분의 해킹은 보고되지 않는다.

사이버보안 전문가들은 “그런 관행은 바뀌어야 하며, 공개를 위한 기준을 낮춰야 한다”고 강조한다. 유럽이 요구하는 것과 유사한 국가 데이터 침해 공시 법안은 기업들로 하여금 정부에 중요한 네트워크 침입을 보고하도록 강제할 것이다. CISA가 광범위한 해킹 캠페인에 대해 좀 더 명확한 권한을 갖게 되면, 대응책을 조정하는 데 더 도움이 될 것이다. 결론적으로 상장기업이 이미 회계에서 실시하는 것처럼, 사이버보안 관련 지표를 미 증권거래위원회(SEC)에 제출하도록 의무화하면 이해관계자들이 위험을 더 잘 평가할 수 있을 것이다.

사이버보안 기업 테너블 네트웍스 Tenable Networks의 CEO이자 RSA의 전 사장인 아밋 요란 Amit Yoran은 “침해와 관련된 주홍글씨 낙인이 덜 찍히고 해킹 사실을 기꺼이 공개하는 분위기가 조성되면, 투자자는 더 많은 정보를 제공받을 수 있다. 이에 따라 우리는 국가차원에서 침해 사례가 실제로 얼마나 발생하고, 그 비용은 얼마가 되는지 더 잘 이해할 수 있을 것"이라고 설명했다.

전 국가안전보장회의(NSC) 위원인 로버트 네이크 Robert Knake는 "현재는 기업들이 SEC의 지침에 따라 공개를 회피하는 게 너무나 쉽다"며 "그 주변에 형성된 소규모 법률업계는 아무에게도 득이 되지 않는 일을 하고 있다”고 지적했다.

네이크는 무엇보다 더 강력한 공개 요구의 전략이 기업들의 해킹 근절 노력을 막아서는 안 된다고 강조한다. 이로 인해 발생할 수 있는 부정적인 결과가 "타조 같은 접근법"을 취하는 행동이기 때문이다. 기업들은 세상에 알려야 할 해킹을 적발하기 위해 돈을 쓰기보다, 속담에 나오는 것처럼 모래밭에 머리를 처박는 것을 선호할지도 모른다.

사이버 ‘위협 정보’를 전문으로 다루는 기업들도 그들이 발견한 해킹을 공개하도록 요구할 수 있는 규칙을 경계하고 있다. 부분적으로는 그들의 비즈니스 모델이 종종 고객사에게만 경고하는 것에 기반을 두고 있기 때문이다. 사이버보안 전문가이자 솔라리움 위원회 위원인 수잰 스폴딩은 "기업들이 몇 년간 우려해 온 사실은 ‘우리가 좋은 업체라면 공개하겠지만, 라이벌 업체가 이를 숨길 방법을 찾는다면 그건 경쟁상 약점’이라고 생각하는 것”이라고 설명했다.

좀 더 광범위한 비즈니스 공동체에는, 보다 강력한 공개 규칙이 제대로 틀을 갖춘 감사 및 해킹 테스트 지침과 함께 적용돼야 한다. 솔라윈즈 같은 더 많은 해킹 사건이 ‘그림자’ 밖으로 나올 수 있다면, ‘햇볕’은 그것을 정화할 마법으로 작동할 수 있기 때문이다.