F O C U S 1 미국오바마정부 2 기의사이버보안강화정책 FOCUS 송은지 *, 강원영 ** 주요기반시설 (Critical Infrastructure) 을타겟으로하는사이버공격이늘어나면서점차지능화되고있는공격을방어하기위해서는국가의체계적인노력과지속적인투자가필요하다. 미국

Size: px

Start display at page:

Download "F O C U S 1 미국오바마정부 2 기의사이버보안강화정책 FOCUS 송은지 *, 강원영 ** 주요기반시설 (Critical Infrastructure) 을타겟으로하는사이버공격이늘어나면서점차지능화되고있는공격을방어하기위해서는국가의체계적인노력과지속적인투자가필요하다. 미국"

진성 영
4 years ago
Views:

1 F O C U S 1 미국오바마정부 2 기의사이버보안강화정책 송은지 *, 강원영 ** 주요기반시설 (Critical Infrastructure) 을타겟으로하는사이버공격이늘어나면서점차지능화되고있는공격을방어하기위해서는국가의체계적인노력과지속적인투자가필요하다. 미국은주요기반시설의보안을국가의최우선적과제로설정하고국가전략을추진하고있다. 본고는미국의사이버보안정책중 2013년이후오바마정부 2기에발효된 행정명령 (Executive Order 13636) 과후속조치에초점을맞춰살펴보고, 이를통해우리에게주는시사점을도출해보고자한다. Ⅰ. 서론 Ⅱ. 사이버보안강화정책추진경과 1. 클린턴 부시정부 2. 오바마정부 1기 Ⅲ. 주요기반시설사이버보안강화를위한행정명령 1. 오바마행정명령 (Executive Order 13636) 주요내용 2. 정책지침 (Presidental Policy Directive 21) 주요내용 Ⅳ. 행정명령이행현황및향후전망 1. 사이버보안프레임워크개발 2. 오바마행정명령후속조치및향후전망 Ⅴ. 결론 ** 한국인터넷진흥원정책기획팀주임연구원 (songeunji@kisa.or.kr) ** 한국인터넷진흥원정책기획팀책임연구원 (wykang@kisa.or.kr) 4 INTERNET & SECURITY September 2014

2 Ⅰ. 서론 모든시스템이전산화되고네트워크로연결되면서사이버공간이새로운전장으로변하고 있다. 사이버공격이국민과국가전체를혼란에빠뜨릴수있는국가주요기반시설까지위협하면서국가안보는위기를맞고있다. 버락오바마미국대통령은지난 2월국정연설에서사이버공격의위험성을경고하고, 정치적목적으로미국기반시설을공격하는사이버전쟁이본격화되고있다고강조했다. 분명한것은안정적인미국사회의구현을위해서주요기반시설을비롯한정부기관, 증권, 은행, 언론기관등의핵심적인인프라시스템을사이버공격으로부터방어및보호해야만한다는것이다. 일반적으로사회질서유지를위해필수적인시설을주요기반시설 (Critical Infrastructure) 이라고칭하며, 미국의국방과경제보안에필수적인제품과서비스를신뢰할수있는유통 (flow) 을제공하고사회기능을원활하게하는시스템 네트워크체계 1 로정의할수있다. 주요기반시설을타겟으로하는사이버공격은지속적으로증가하고있으며, 점차지능화되고있는공격을방어하기위해서는국가의체계적인노력과지속적인투자가필수적이다. 미국정부는이러한배경하에서사이버보안을최우선적과제로설정하고국가전략을추진하고있다. 오바마대통령은 2009년취임이후로 사이버공간정책리뷰 (Cyberspace Policy Review)( 09.5), 행정명령 (Executive Order 13636)( 13.2) 등의정책추진과사이버보안관련입법노력을통해국가사이버보안기능및주요기반시설보안강화를진행하고있다. 본고는미국의사이버보안정책중 2013년이후오바마정부 2기에발효된 행정명령 (Executive Order 13636) 과후속조치에초점을맞춰살펴보고, 이를통해향후미국의사이버보안정책방향을전망해보려고한다. 주요기반시설사이버보안강화의선도적인정책인오바마행정명령은사이버공격이우리사회의근간을흔들수있다는위협에상존하고있는우리에게좋은선례가될수있을것이다. 1 미국주요기반시설은화학, 상업시설, 통신, 제조, 댐, 응급서비스, IT, 원자력, 국방, 전력, 금융, 식품농업, 정부시설, 의료및복지, 교통, 수자원등 16 개 5

3 Ⅱ. 사이버보안강화정책추진경과 1. 클린턴 부시정부 미국은 1980년대중반부터컴퓨터범죄또는사이버보안에관한법을제정 2 하기시작해클린턴정부부터본격적으로주요기반시설에대한강화정책을시작하였다. 이시기에국가주요기반시설보호를위한전략개발이연방정부를중심으로이루어지기시작하였으며, 1998년 5월대통령령 (Presidential Decision Directive, PDD) 63호공표를통해주요기반시설에대한범정부적보호체계를처음으로마련하였다. 3 대통령령 63호는주요기반시설의보안취약점감소를위해민간파트너십을강조하고구조및조직의체계를규정할뿐만아니라구체적인추진일정을제시하며, 사이버보안이본격적으로대통령이주도하는중요업무의성격을띠기시작했음을보여주었다. 클린턴정부에이어 2001년출범한부시정부는국방부펜타곤이공격을받고세계무역센터빌딩이무너지는 9.11 테러사건에직면하게되고, 이를계기로주요기반시설보호의중요성이더욱강조되었다. 아래 < 표 1> 과같이부시행정부는재임기간동안행정명령발효와법안제정을통해주요기반시설에대한중앙정부의보안정책을추진하였고, 2002년 11월제정한 국토안보법 (Homeland Security Act) 을근거로국토안전및사이버보안주무부처인국토안보부 (Department of Homeland Security) 를신설하였다. 국토안보부는 9.11 테러의충격으로미국내분립되어있던안전정보관련정보기관들을통합해당시 17~18만명의직원규모의조직으로 4 출범하였고, 오바마대통령이취임했던 2009년까지미국의사이버보안과국토안보를주도하였다 년부터 1990 년대에제정된미국의사이버안보관련법안은아래와같다. 위장접근수단 컴퓨터사기및컴퓨터남용법 (Counterfeit Access Device and Computer Fraud and Abuse Act)(1984), 전자통신사생활보호법 (Electronic Communications Privacy Act)(1986), 컴퓨터보안법 (Computer Security Act)(1987), 문서감축법 (Paperwork Reduction Act)(1995), 정보기술관리개혁법 (Information Technology Management Reform Act 3 김은혜 이재일, 미오바마정부의사이버보안주요정책및법안, 인터넷 & 시큐리티이슈, 국토안보부 (DHS) 는대통령경호를담당하는재무부산하의비밀검찰부를비롯해해안경비대, 국경수비대, 이민귀화국 (INS), 세관, 연방비상관리국 (FEMA), 교통안전국 (TSA) 등 22 개연방기관이합쳐져탄생하였다. 6 INTERNET & SECURITY September 2014

4 < 표 1> 주요기반시설보호를위한부시정부의정책 일자명칭주요내용및후속조치 행정명령제 호 국토안보국 (Office of Homeland Security) 및국토안보위원회 (Homeland Security Council) 설치 행정명령제 호 주요기반시설에대한사이버상위협에초점 국토안보법 전자정부법 제 3 편 국가기반시설보호를담당하는기존부서들을통합해국토안보부 (DHS) 설립 연방정보보안관리법(FISMA) 제정 정부기관의관리 감독권한을국토안보부에부여 국토안보대통령령제 7 호 국가기반보호계획수립 국토안보대통령령제 23 호 국토사이버보안종합계획 (CNCI) 수립 출처 : 김은혜 이재일, 미오바마정부의사이버보안주요정책및법안, 인터넷 & 시큐리티이슈, , p.12~13 재구성 2. 오바마정부 1 기 2009년에오바마행정부가수립된이후에도역시사이버보안은중대한정책이슈로주목받게되었으며, 이에따라 2009년 5월에는 백악관, 연방정부등최상위리더십에따른정책추진 (Leading from the top), 보안교육, 전문인력양성등디지털국가를위한역량제고 (Building Capacity for a Digital Nation), 민 관협력을위한파트너십구축등공동책임 (Sharing Responsibility for Cybersecurity), 효율적인정보공유및사고대응능력제고 (Creating Effective Information Sharing and Incident Response), 혁신촉진 (Encouraging Innovation) 등의내용 5 을담은 사이버공간정책리뷰 (Cyberspace Policy Review) 를발표하였다. 본전략에는주요목표들의달성을위한단기 (Near-term) 액션플랜 10개그리고중기 (Mid-term) 액션플랜 14개도포함되어있다. 사이버공간정책리뷰전략실행으로사이버보안추진체계가백악관중심으로재편되었으며, 민간과국제사회를포함해협력체계가구축되는성과를달성했다. 구체적으로성과를살펴보면첫번째로사이버보안국을신설하고대통령특별보좌관인사이버보안조정관을 미국오바마정부 2 기의사이버보안강화정책 7

5 임명함으로써사이버보안정책간우선순위를정하는데효율성을제고한것을들수있다. 두번째는 국가사이버보안교육계획 (National Initiative for Cybersecurity Education, NICE)( 10.3) 과사이버보안인식의달및인식제고캠페인 ( 10.10) 의시행으로보안중요성에관한국민들인지도의향상이다. 세번째는 사이버보안을위한국제전략 (International Strategy for Cyberspace)( 11.5) 발표로사이버공간에대한기본원칙 6 을확립하고국제적인공조체계를강화한것이다. 네번째성과로 국가사이버보안사고대응계획 (National Cyber Incident Response Plan, NCIRP)( 10.9) 을수립하고사이버스톰이라불리는국가사이버훈련을실행및평가함으로써중앙부처의사고대응능력을강화한것을들수있다. 마지막으로 사이버공간에서의신원확인을위한국가전략 (National Strategy for Trusted Identities in Cyberspace, NSTIC)( 11.4) 도발표되면서사이버공간에서당사자의신원을신뢰할수있는인터넷생태계구축을지원및촉진하였다. 사이버공간정책리뷰의발표는기존국토안보부에서주도했던국가사이버보안업무가대통령을중심으로백악관에서정책을추진하는체계로재편된것을의미한다. 또한, 국가기관의사이버위협대응능력제고뿐만아니라보안교육과인력양성, 혁신또한중요시하기시작했으며여러분야에서민간부문의책임과의무를강조했다는데의의가있다고볼수있다. Ⅲ. 주요기반시설사이버보안강화를위한행정명령 2013년출범한 2기오바마정부는취임직후부터주요기반시설과언론사들이사이버공격에노출되는사고를겪었다. 2013년 1월국토안보부산하 ICS-CERT의악성코드감염사고와뉴욕타임즈및월스트리트저널의해킹사고가발생하였고, 미국의보안회사인맨디앤트 (Mandiant) 는 APT1 리포트 7 를통해중국에서 APT공격이지속적으로이루어지고있으며, 배후에는중국인민해방군이관련되어있을가능성이크다는사실을발표했다. 주요기반시 6 3 대핵심원칙은기본적자유권 (Fundamental Freedoms), 프라이버시 (Privacy), 정보의자유로운흐름 (Free Flow of Information) 등이다 INTERNET & SECURITY September 2014

6 설에대한사이버공격문제가미국과중국의외교문제까지비화되었고 8 미국내사이버보안 강화를위한주요기반시설사이버보안전략재정비의필요성이제기되었다. 이러한배경하에서오바마대통령은 2013 년 2 월오바마행정명령 (Executive Order 13636, 이하행정명령 ) 과정책지침 (PPD 21, 이하정책지침 ) 을발표해주요기반시설의사이버보안체계를정비하기에이른다. 이는오바마대통령이 사이버정보공유및보호법 (Cyber Intelligence Sharing and Protection Act) 과 사이버보호법(Cyber Security Act of 2012) 으로주요기반시설의보안을강화하고자했던법안제정이시민단체와상원의반대로실패하며이루어졌다. 행정명령은주요기반시설의보호체계구축을위한사이버보안프레임워크의개발과보급을핵심목적으로하며, 정책지침은주요기반시설보호에관련되는중앙부처들의역할과의무를명확히하는것을주요내용으로한다. 본장에서각각의내용을좀더자세하게살펴보도록하겠다. 1. 오바마행정명령 (Executive Order 13636) 주요내용 주요기반시설의사이버보안강화 (Improving Critical Infrastructure Cybersecurity) 라는제목으로발표된행정명령은 1조부터 12조로구성되어있으며, 주요기반시설의보안체계구축을위한사항들을명시하고있다. 아래 < 표 2> 과같이행정명령의주요내용은사이버보안관련정보공유시스템구축, 주요기반시설에대한사이버보안프레임워크개발및보급, 사이버보안강화프로그램추진등으로분류할수있다. 먼저 4조는주요기반시설사이버위협정보공유체계강화를규정함으로써국토안보부가사이버위협정보를민간사업자에게제공하여사이버공격에대응하는사이버보안정보공유서비스 (ECS, Enhanced Cybersecurity Services) 의대상을일부상용서비스제공업체에서주요기반시설로확대하도록하였다. 행정명령의핵심내용이라고할수있는사이버보안프레임워크는 7조에서개발 보급을명시하고있으며 8개월내로주요기반시설의보호체계구축을위한기준, 방법, 절차, 지침등을정의하도록한다. 또한, 주요기반시설관리기관및사업자등이사이버보안프레임워크에자발적으로참여하도록유도하기위해정보공유이외의인센티브방안을 4개월내로마련하도록한것이 8조의내용이다. 8 Report Fingers Chinese Military Unit in US Hack Attacks, <abcnews>, 미국오바마정부 2 기의사이버보안강화정책 9

7 9조에서는 5개월내에사이버보안사고발생시주요기반시설을식별하고기반시설목록을대통령에게보고해야함을규정하고있다. 프레임워크초안발표후이를검토하고채택해야한다는것은 10조의내용이다. 이에따라, 주요기반시설규제기관들은사이버보안프레임워크초안을검토하고보호방안의충분성및이행을위한추가권한의필요성등을초안발표후 90일이내로대통령에게보고해야하며, 2년이내로사이버보안프레임워크적용시비용부담이높은주요기반시설을식별하여예산관리처에보고하도록하고있다. < 표 2> 행정명령의주요지시사항 분류세부항목내용 사이버보안관련정보공유시스템구축 주요기반시설에대한기본사이버보안프레임워크개발및도입 사이버보안강화프로그램추진 사이버보안정보공유 사생활및시민자유보호 주요기반시설의사이버위협감소를위한기본프레임워크개발 프레임워크도입 자발적인주요기반시설사이버보안프로그램수립 주요기반시설고위험군선별 정부 민간정보공유를통해사이버보안대응효과개선도모 주요기반시설사업자간정보공유및관리프로세스확립및매뉴얼작성 정보공유프로세스의도입시발생할수있는개인정보침해가능성조사 시민자유권리를침해할수있는정보수집및공유방지를위한대책마련 국립표준기술연구소의주도로사이버보안프레임워크개발 사이버보안시스템구축을위한기술표준, 방법, 구축단계및절차등설정 사이버보안프레임워크의확정을위해각정부기관의검토수행 프레임워크확정후불충분 불합리한부분보완 개선 사이버보안프레임워크가확정후주요기반시설의실질적사이버보안시스템구축계획추진 프로그램인센티브등을통해자발적인보안강화지원 재무부와상무부는사이버보안프로그램을위한인센티브계획수립 사이버공격으로국가에사회적 경제적치명타를줄수있는주요기반시설주기적선별 사이버보안프레임워크도입시고위험군으로선별된주요기반시설영역우선고려 출처 : KISA, Internet Security Bimonthly 1 호, p.7 재구성 이외에도행정명령은주요기반시설식별에 4 개월, 사이버보안프레임워크개발에 1 년등 수행할내용에대한기한을각각명시함으로써사이버보안프레임워크의개발 준비작업을 체계적으로추진하려는의지를보여주었다 년에발표했던사이버공간정책리뷰혹은 10 INTERNET & SECURITY September 2014

8 타국가의사이버보안전략에비해주요기반시설의보안강화정책이강조되고있음을알수 있다. 2. 정책지침 (Presidential Policy Directive 21) 주요내용 2013년 2월에발표된정책지침 21호 (PPD 21) 또한주요기반시설의보안강화를목적으로시행되었다. 정책지침의제목은 주요기반시설보안및복원 (Critical Infrastructure Security and Resilience) 으로, 중앙부처및기구들의역할을명확히규정하고있다. 아래 < 표 3> 은국토안보부를비롯한부처및기구들이국가사이버보안과관련해수행해야하는역할을보여준다. 국토안보부가주요기반시설에대한사이버보안을총괄하고있지만, 미국영토외의기반시설은국무부 대테러및수사관련업무는법무부 정부시설과국가기념물은내무부등으로분류된다. 결국, 정책지침 21호는여러부처에걸쳐있는주요기반시설사이버보안업무의책임을명확히배분하면서추진체계를정비하는수단이며, 궁극적으로는행정명령의효과적인이행을뒷받침하기위한정책으로보인다. < 표 3> 주요기반시설보안관련부처별역할 부처및기구명국토안보부 (DHS) 국무부 (DOS) 법무부 (DOJ) 내무부 (DOI) 상무부 (DOC) 국가정보국 (NI) 총무청 (GSA) 원자력규제위원회 (NRC) 연방통신위원회 (FCC) 역할주요기반시설에대한보호역량평가및정책개발미국영토외에존재하는기반시설보안강화및외국정부협력주요기반시설에대한대테러와수사및외국첩보활동정부시설 국가적기념물등에대한보호민간부문과협력및사이버보안이충족된제품 서비스의보급주요기반시설위협평가를위한정보제공정부주요기반시설에대한계약대행및지원상업및연구용원자력보호감독, 연료생산및폐기감독통신분야취약성파악, 통신인프라시스템우선순위선정 Ⅳ. 행정명령이행현황및향후전망 미국행정부는 2 기오바마정부가발표한행정명령과정책지침에명시한기한에따라정책 1 미국오바마정부 2 기의사이버보안강화정책 11

9 을시행해나가기시작했고, 현재까지예정했던조치들이완료되었다. 국토안보부를비롯한부처및기관들은단계적으로주요기반시설보안강화를위한계획들을실행하였고 2014년 2월에행정명령의핵심이라고할수있는사이버보안프레임워크의최종안이발표되기에이른다. 행정명령과정책지침에서는 2016년 2월까지주요기반시설의주무부처에서현황을점검하고검토하는것을의무화하고있기때문에, 국면이전환될만한큰사건의발생으로정부의새로운정책이시행되지않는한미국사이버보안정책기조에큰변화는없을것으로예상된다. 1. 사이버보안프레임워크개발 2013년 2월행정명령과정책지침이공표되고국토안보부에서는 3월부터통합대책위 (Integrated Task Force) 및워킹그룹 (Working Group) 을구성 9 해이해관계자참여, 기반시설식별, 계획및평가, 인센티브, 프레임워크작업협조등을수행하기시작했다. 그결과 2013년 10월에국가표준기술연구소에서사이버보안프레임워크초안및사이버보안프레임워크도입시인센티브 ( 안 ), 2014년 1월에는주요기반시설보안과복원력을위한 국가기반보호계획 2013(NIPP 2013: Partnering for Critical Infrastructure Security and Resilience) 10 이발표되었다. 사이버보안프레임워크와인센티브 ( 안 ) 마련및시행은행정명령의핵심이행사항이며, 정책지침에서도국가기반보호계획을수립하여대통령에게보고하도록규정하고있기때문이다. 특히국가기반보호계획은 2009년이후로업데이트된적이없었다. 업데이트된계획은주요기반시설의위협을식별 방지 탐지해대응하는방법과국토안보부와연방정부, 민간부문등의공공 민간파트너십에관한내용을담고있다. 사이버보안프레임워크는초안발표후 45일동안정부기관및관련민간부문의의견수렴과정을거치게된다. 작업을주도한국립표준기술연구소는총 4회에걸친사이버보안워크샵을개최했으며 3,000명이상의개인및기관으로부터의견을확보하였는데, 이는사이버보안프레임워크가 IT 업계의산업표준으로수용될수있는발판으로작용하였다. 최종적으로 2014년 2월프레임워크가발표되었고행정명령의지시사항에따라발생가능한리스크 INTERNET & SECURITY September 2014

10 를파악하고관리하기위한활동들을분류및체계화하는데초점을두었다. 사이버보안프레임워크는프레임워크코어 (Framework Core), 프레임워크적용단계 (Framework Implementation Tier), 프레임워크프로파일 (Framework Profile) 등세부 분으로구성된다. 첫째, 프레임워크코어는일반적으로통용된사이버보안관련기준과가이드라인을토대로사이버보안활동을분류하는기준을제시한다. 사이버보안활동을아래 < 표 4> 와같이식별 (Identify), 보호 (Protect), 감지 (Detect), 대응 (Respond), 복구 (Recover) 등다섯개의기능으로구분하며하위카테고리에서구체적인사이버보안활동을명시한다. 또한, 각각의활동에있어적용되는기술표준이나법제도등이제시된다. < 표 4> 사이버보안프레임워크코어의기능분류 기능식별 (Identify) 보호 (Protect) 감지 (Detect) 대응 (Respond) 복구 (Recover) 카테고리자산관리 (Asset Management) 사업환경 (Business Environment) 거버넌스 (Governance) 리스크평가 (Risk Assessment) 리스크관리전략 (Risk Managenemt Strategy) 접근제어 (Access Control) 경계및훈련 (Awareness and Training) 데이터보호 (Data Security) 정보보호추진절차 (Information Protection Processes and Procedures) 유지 (Maintenance) 보호기술 (Protective Technology) 변칙상황감지 (Anomalies and Events) 지속적인보안모니터링 (Security Continuous Monitoring) 감지절차 (Detect Processes) 대응계획 (Respond Planning) 커뮤니케이션 (Communications) 분석 (Analysis) 피해경감 (Mitigation) 개선 (Improvements) 복구계획 (Recovery Planning) 개선 (Improvements) 커뮤니케이션 (Communications) 1 미국오바마정부 2 기의사이버보안강화정책 13

11 둘째, 프레임워크적용단계는리스크의단계별조직의대응수준을설명함으로써실제상황에서의대응방법을사전에고려하기위한기준을제시한다. 사이버보안리스크에대한인지수준을 부분적 (Partial) 리스크인지 (Risk Informed) 반복적리스크 (Repeatable) 적응 (Adaptive) 등네단계로분류하며단계별로사이버보안활동내용을제시한다. 또한, 전체사이버보안활동을 리스크관리절차 (Risk Management) 통합리스크관리프로그램 (Integrated Risk Management Program) 외부참여 (External Participation) 로구분해단계별활동의변화양상을분석하기도한다. 셋째, 프레임워크프로파일은코어에서분류된활동별로각조직의보유역량과리스크감소를위해요구되는목표역량을비교할수있는도구를제시한다. 이를통해주요기반시설이보유하고있는사이버보안활동역량과목표로하는수준의역량을비교함으로써개선점을발견하고실제행동의근거를확보하는데활용하도록했다. 이처럼사이버보안프레임워크는주요기반시설의업무및보안현황등을구분함으로써위험요인의식별 탐지 관리프로세스지침으로기능하게된다. 사이버보안위험을감소시키기위한대응책의우선순위를제시함으로써필요한정책적 산업적 기술적접근방식을공통화하기위한도구인것이다. 더불어국토안보부는 2013년 6월사이버보안프레임워크도입촉진을위한인센티브를발표하면서, 프레임워크의실질적인도입을위한제도적인기반을마련하였다. 국토안보부는기존사이버보안관련인센티브를보완하며재무 기술지원 규제완화등 12개의인센티브를제안했으며, 상무부도 8개의인센티브를제시하였다. 이는새롭게도입된사이버보안프레임워크를기업및기관들이자발적으로적용할수있도록고안된정책이었다. 연방정부에서강력하게도입을권장하지만강제하지않는다는점이특징적이라고볼수있다. 2. 오바마행정명령후속조치및향후전망 미국정부는 2014년 2월사이버보안프레임워크가발표된이후로도행정명령및정책지침의실행사항을준수하고있다. 2016년까지실행해야하는사항들은아래 < 표 5> 과같이국토안보부를비롯한주요기반시설부문별부처들에게부과된다. 행정명령에따라국토안보부는매년사생활및시민의자유보호관련한보고서를발간해야하며정책지침에따라서 2015년 2월까지주요기반시설보안및복원력의연구개발계획을제출해야한다. 주요기반 14 INTERNET & SECURITY September 2014

12 시설의부문별담당부처는 2014 년 5 월까지프레임워크추진과관련한규제필요성을보고 해야하고효율적조정방안도제안해야하는데, 최근기한에맞추어완료되었다. 이들부처 는 2016 년 2 월까지과도한사이버보안관련규제도보고해야한다. < 표 5> 2014 년의행정명령관련이행사항 분류기한추진내용담당부처현황 행정명령 사이버보안프레임워크최종안확정국가표준기술연구소완수 사생활및시민자유보호관련보고서발간 ( 매년 ) 국토안보부완수 11 ( 14.4) 프레임워크추진과관련한규제필요성보고부문별주무부처완수 12 우선순위에기초한효율적조정방안제안부문별주무부처완수 비효율적이거나과도한사이버보안관련규제보고부문별주무부처 - 정책지침 주요기반시설보안및복원력연구개발계획제출국토안보부 이처럼오바마행정명령및정책지침은 3년뒤까지지속적으로규제필요성을점검하고효율적개선방안을모색함을규정함으로써, 주요기반시설의보안을우선적으로중시한다는것과사이버보안관련한불필요한규제를완화하려는정책방향을엿볼수있다. 최근미국에서주요기반시설의보안문제가국가안보와직결되는중요한문제로인식되고있다는것은, 국토안보부홈페이지에매일업로드되는 주요기반시설의오픈소스보고서 (DHS Daily Open Source Infrastructure Report) 로도짐작할수있다. 보고서는 16개의기반시설마다보안과직결되는주요동향을요약한내용으로구성되어있으며, 내일다른내용으로발간및공개하고있다. 여러가지보안강화조치들과더불어매일주요기반시설별보고서를발간및게시하는노력은주요기반시설보안문제에대한정부의지대한관심을반영하고있다. 행정명령의후속조치로지난 5월발간된 부문별위험요약 (Sector Risk Snapshot) 14 보고서도주목해볼만하다. 이는 16개부문주요국가기반시설에대한보안리스크요인을검토한분석보고서로자연재해에서부터사이버위험에이르는광범위한리스크요인을분석 11 Executive Order Privacy and Civil Liberties Assessment Report, April 2014, PDF, 152 pages 미국오바마정부 2 기의사이버보안강화정책 15

13 하는데, 기반시설 16개중 14개부문에서사이버보안이주요보안리스크중하나로지목되어향후이에대한대응책마련필요성을내포하는것으로보인다. 이런정책목표하에서국토안보부는다음해에기반시설부문별보안강화계획을수립및발표할예정 15 임을밝히고있다. 또한, 오바마행정명령후속조치중주된정책인사이버보안프레임워크의경우현재의안을기반으로발전할것으로보인다. 사이버보안프레임워크가민 관이합의하는사이버보안표준및합리적인기준으로자리잡아가면서기업입장에서도입을꺼려할만한결정적인이유가없다는시각이우세하기때문이다. 미국기업들이정부의정보보안규정을반대하고자발적으로좋은보안환경을구축할수있다고장담했지만, 실제로는그렇지못했다는상황적맥락도설득력을높여준다. 따라서현재는자발적인도입을원칙으로하는사이버보안프레임워크가기업들의보안상태가개선되지않을경우강제규정이될수도있다는의견도제기되고있다. 16 기업들입장에서는고비용의소요와비효율성을유발할수있는자체위험관리프로세스의운영보다, 보조금 규제간소화 보험등의인센티브혜택도받고혹시사이버공격이발생했을시책임경감 17 사유가되어주는사이버보안프레임워크의적용이긍정적인효과를가져올수있을것이다. 사이버보안프레임워크의활용은사이버공격에대응하는것은물론이고적절한보안조치를취한것으로사고발생시기업의책임을일부경감시킬수있어, 기업에게창과방패 (sword and shield) 18 가될수있다. Ⅴ. 결론 미국의사이버보안정책은클린턴정부부터현재오바마정부 2 기까지수립, 시행되고있 다. 본고에서는그동안추진된미국의사이버보안정책을살펴보고, 2 기오바마정부가발표 15 Each Sector-Specific Agency is responsible for developing and implementing a sector-specific plan (SSP), which details the application of the NIPP concepts to the unique characteristics and conditions of their sector. Sector-Specific Plans will be updated over the coming year to align with the NIPP The NIST Framework : Cybersecurity s best line of defense, <FierceCIO>, Why Ignoring the NIST Framework Could Cost You, <HUFF POST TECH>, 앞의신문기사. 16 INTERNET & SECURITY September 2014

14 한행정명령과정책지침의내용과진행상황을검토하였다. 미국은연방정부의강력하고체계적인사이버보안정책을통해주요기반시설에대한보 호조치이행을위한노력을하고있다. 이를위해사이버보안관련정보공유시스템구축, 주 요기반시설에대한사이버보안프레임워크개발및도입등을규정하고, 정책지침을통해주요기반시설보안관련하여연방정부부처들의역할을명확히분류하는등사이버보안을위한체계적인조치내용을포함하고있다. 특히 2014년사이버보안프레임워크를통해발생가능한리스크를파악하고관리하기위한활동들을분류및체계화하였으며, 2016년까지국토안보부를중심으로정책이행을위한제반활동이추진되고있으며, 정책추진현황을통한시사점을정리해보면다음과같다. 첫째, 사이버보안에대한중요성인식과함께국가차원에서의정책수립및이를이행 관리하기위한체계마련이필요하다. 미국은사이버보안이국가안보에직결된다는사실을인식하고장기적인플랜을세워사이버보안강화를국가주요정책으로상정하고정책이행여부를점검하는체계를갖추고있음을알수있었다. 사이버보안강화체계를통해지속적으로주요기반시설을점검하고, 이를이행하기위한가이드라인을제시하고있다. 국토안보부는 부문별위험요약 (Sector Risk Snapshot) 19 을통한주요국가기반시설에대한보안리스크요인을검토, 주요기반시설의오픈소스보고서 (DHS Daily Open Source Infrastructure Report) 발행을통해 16개부문의기반시설을점검사항을발표하는등정책실행력제고를위해노력하고있다. 최근국내에서는최근원자력등주요기반시설에대한사이버보안의중요성에대한논의 20 가진행되고있다. 우리도국가사이버보안강화를위해서는정책수립과함께장기적이면서도체계적인자원의투입이필수적이다. 둘째, 사이버보안정책추진을강화하기위해미국의운영체계를참고해볼필요가있다. 미국은대통령직속으로사이버공간국가전략을총괄하며정부기관및민간을연결해주는사이버보안조정관을임명하여정책을추진중이다. 또한, 사이버보안업무를포괄적으로수행하고있는국토안보부가사이버보안업무의실무총괄을맡고있다. 이러한정책추진에있어기관상호간소통을원활하게수행하는협업프로세스마련및운영등은중요한요인이될수있을것이다 원전내부전산망보안구멍 정부조사착수, < 전자신문 >, 미국오바마정부 2 기의사이버보안강화정책 17

15 셋째, 민간의사이버보안요건을갖추어나가는방식에있어자율적도입을원칙으로하며도입시여러가지인센티브가제공을통한동기부여가필요하다. 미국은인센티브제도입등을통해기업스스로가보안시스템에투자하는등자발적인참여를유도하고있다. 향후한국도민간분야의사이버보안정책수립시사이버보안보험, 보조금, 정부지원우선순위, 책임경감, 규제간소화등프레임워크를도입한기업에게주어지는미국의인센티브방안을참고할수있겠다. 미국의경우, 사이버보안에관한중요성인식과함께대통령의행정명령을통해국가사이버보안체계를확립해나가고있으며, 국가의사이버보안전략및행정명령, 사이버보안프레임워크등전반적인사이버보안역량강화를위한다양한정책이이행관리와함께이루어지고있음을확인할수있었다. 특히주목할사항은정책수립후이를실행하기위한세부지침및이행관리가꾸준히이루어질수있었다는점이다. 한국의경우에도국가사이버보안역량강화를위해서는정책수립과함께보호조치이행을위한가이드및이행여부관리등정책실행력제고를위한체계확립을위한노력이지속적으로이루어지도록하여야할것이다. 참고문헌 국토안보부홈페이지, 디지털타임스 (2014). 기업책임강화협박성정책, 실질적보안투자유인어렵다백악관홈페이지, 안랩 (2014). 국가정보보호예산 2600억, 대형사고에도전년대비 7.7% 만증가전자신문 (2013). 국정원사이버안보컨트롤타워로활동시작? 전자신문 (2014). 원전내부전산망보안구멍 정부조사착수정보통신기술진흥센터 (2014). 2015년예산안분석을통한미국 ICT R&D 정책전망. abcnews (2013). Report Fingers Chinese Military Unit in US Hack Attacks DHS (2013). Executive Order 13636: Improving Critical Infrastructure Cybersecurity - Incentives Study Analytic Report DHS (2013). NIPP2013(Partnering for Critical Infrastructure Security and Resilience). DHS (2014). Sector Risk Snapshots FierceCIO (2014). The NIST Framework: Cybersecurity s best line of defense 18 INTERNET & SECURITY September 2014

16 HUFF POST TECH (2014). Why Ignoring the NIST Framework Could Cost You KISA (2014) 국가정보보호백서 KISA (2011). 미오바마정부의사이버보안주요정책및법안, 김은혜 이재일, 인터넷 & 시큐리티이슈 8월호 KISA (2013). 미국의사이버보안정책과 R&D 전략에관한분석, 민경식 지순정, Internet Security Focus 1월호 KISA (2014). 미국오바마정부주요기반시설사이버보안강화를위한행정명령의개요및이행현황분석, Internet Security Bimonthly 1호 NIST (2014). Framework for Improving Critical Infrastructure Cybersecurity NIST (2013). Improving Critical Infrastructure Cybersecurity Executive Order Preliminary Cybersecurity Framework NIST (2014). NIST Roadmap for Improving Critical Infrastructure Cybersecurity THE WHITE HOUSE (2013). Executive Order - Improving Critical Infrastructure Cybersecurity. THE WHITE HOUSE (2013). Presidential Policy Directive - Critical Infrastructure Security and Resilience. 1 미국오바마정부 2 기의사이버보안강화정책 19

<C6EDC1FD2DBBE7C0CCB9F6C5D7B7AFB9E6C1F6B9FD20C1A6C1A4C3CBB1B820B1E4B1DEC1C2B4E3C8B82E687770>

<C6EDC1FD2DBBE7C0CCB9F6C5D7B7AFB9E6C1F6B9FD20C1A6C1A4C3CBB1B820B1E4B1DEC1C2B4E3C8B82E687770> 긴급좌담회 자료집 사이버테러방지법 제정촉구 긴급좌담회 - 자유민주연구원, 바른사회시민회의 공동주관 - 일 시 : 2016년 3월 10일(목) 14:30-16:30 장 소 : 프레스센터 19층 국화실 주 최 : 바른사회시민회의, 자유민주연구원 자유민주연구원 바른사회시민회의 사이버테러방지법 제정촉구 긴급좌담회 - 자유민주연구원, 바른사회시민회의 공동주관 - Ⅰ.