ICT 기획시리즈 ICT 기획시리즈 정보보안 최근미국사이버보안정책동향 송은지 KISA 미래인터넷팀주임연구원 songeunji@kisa.or.kr 배병환 KISA 미래인터넷팀 1. 서론 2. 정책추진경과 3. 2015 년사이버보안정책 4. 결론 1. 서론인터넷기반의경제성장및의존성증가로인해안전한인터넷환경을보장하는사이버보안은국가안보와직결되는문제가되었다. 미국역시공공및민간부문의사이버공간을안전하게유지하기위한정책을추진하였음에도불구하고증가하는사이버위협에의한피해가속출하고있다. 최근이슬람수니파무장단체 IS 를자칭하는해커들이미국에 9.11 테러와같은공격을감행할것이라고동영상을게시하며위협했고 (2015. 4. 13.), 언론매체인뉴스위크와해병대원가족의트위터계정을해킹하여 (2015. 2.) 국가사이버보안시스템을내부에서파괴하겠다는메시지를공개하기도하였다 [1]. 이밖에도국방부에서퇴역장성명단과군부대위치등의문건이유출 (2015. 1.) 되었고, 중부사령부트위터계정을해킹 (2015. 1.) 당해오바마대통령이협박당하는사건이발생하였다 [2]. 사이버위협은공공부문에만그치지않았다. 은행 JP 모건체이스에서는약 8,300 만건의개인정보가유출되었고 (2014. 10.), 소니엔터테인먼트는미공개영화복사본이유출되어 (2014. 11.) 1 억달러에달하는손해를입었다. 최대건강보험사인앤섬도약 8,000 만명이상의개인정보가유출되는 (2015. 2.) 사고가연이어발발하였다. 이처럼공공및민간부문의사이버사고와공격들이잇따라발생하면서미국은경제적인손실뿐만아니라국가존립을위한안보를위협받으면서더욱강력한사이버보안정책 * 본내용과관련된사항은 KISA 미래인터넷팀송은지주임연구원 ( 02-405-6324) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 정보통신기술진흥센터 13
주간기술동향 2015. 5. 20. 의필요성을절감하게되었다. 오바마대통령은취임후 사이버공간정책리뷰 (2009. 5.) 와 주요기반시설사이버보안강화를위한행정명령제 13636 호및정책지침제 21 호 (2013. 2.) 등의정책을추진하면서민ㆍ관주요시설의사이버보안을강화한바있다. 그러나그간의사건들로외부공격에효과적으로대응하지못하는것이증명되면서민간부문을포괄하는새로운정책추진이불가피하게되었고, 오바마대통령이안보전략및행정명령등을발표하는 (2015. 2.) 배경으로작용하게되었다. 본고에서는먼저미국사이버보안주요정책및추진경과와변화하는사이버보안추진체계를살펴보려고한다. 또한, 오바마대통령이 2015 년에새롭게발표한 2015 국가안보전략 (The 2015 National Security Strategy) 과 민관사이버보안정보공유촉진행정명령 (Promoting Private Sector Cybersecurity Information Sharing EXUCUTIVE ORDER), 사이버위협차단행정명령 (Executive Order-Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities) 등을중점적으로분석해보고자한다. 이를통해국내사이버보안정책에참고할수있는결론을도출할수있을것이다. 2. 정책추진경과 가. 사이버보안정책경과미국은인터넷및네트워크가발달하기시작한 90 년대부터사이버보안에대해인식하기시작하였고 2001 년 9.11 테러를기점으로국토안전과사이버보안을중요한국가정책으로추진하기시작하였다. 부시대통령은행정명령을발동하고 국토안보법, 전자정부법 등을제정하고현재의국토안보부 (DHS) 를설립하였으며, 2008 년에는사이버보안전략에관한체계인 국가사이버보안종합계획 (CNCI) 를발표한다. 국가사이버보안종합계획은발표당시에는기밀사항으로비공개였으나 2010 년에공개되면서 사이버보안정책리뷰 (CPR) 로발전하게된다. 인터넷고도화및사이버공격위협의증가로오바마대통령은 2009 년취임이후사이버보안을정권의우선과제로상정함으로써사이버보안정책을체계화시키는정책들을추진하기시작했다. 사이버공간정책리뷰 (CPR) 을발표하면서국가사이버보안강화를위한새로운국가전략을마련하였고, 단기액션플랜과중기액션플랜을제시함으로써구체적으 14 www.iitp.kr
ICT 기획시리즈 정보보안 로실행계획을제시하였다. 이에따라백악관이사이버보안정책추진의중심에놓이게되 었고, 부처통합지침마련, 교육프로그램마련및인력양성, 국제파트너십구축, 정보공유 등의계획들이실행되었다. 이후 2013 년무렵, 국토안보부산하 ICT-Cert 의악성코드감염 (2013. 1.), 뉴욕타임 즈및월스트리트저널해킹 (2013. 8.) 등의사고가연이어발생하였고, APT 공격의배후 로중국인민해방군이지목되면서미국과중국간의외교문제로까지비화되기에이른다. 이러한심각한상황이계속되자, 오바마대통령은사이버보안의핵심은주요기반시설의 보안임을깨닫고재선후 2013 년부터는주요기반시설의보안강화에힘쓰게된다. 주요기반시설보안강화를위한대표적인정책으로는행정명령제 13636 호 (Executive Order 13636) 와정책지침제 21 호 (Presidential Policy Directive 21) 의발동 (2013. 2.) 을 들수있다. 오바마대통령은주요기반시설보안강화를위한강력한방법인입법을추진 하였으나시민단체와상원의반대로실패하면서차선책으로행정명령을발동하게되었다. 행정명령제 13636 호는사이버보안관련정보공유시스템구축, 주요기반시설의사이버보 안프레임워크개발등의내용을담고있으며, 정책지침제 21 호는중앙부처및기구들 의역할을명시함으로써업무책임을명확하게제시하였다. < 표 1> 2014 년이후행정명령 / 정책지침관련이행사항 분류기한추진내용담당부처현황 행정명령 13636 정책지침 21 2014. 2. 2014. 5. 사이버보안프레임워크최종안확정국가표준기술연구소완료 사생활및시민자유보호관련보고서발간 ( 매년 ) 국토안보부완료 프레임워크추진과관련한규제필요성보고부문별주무부처완료 우선순위에기초한효율적조정방안제안부문별주무부처완료 2016. 2. 비효율적이거나과도한사이버보안관련규제보고부문별주무부처 - 2015. 2. 주요기반시설보안및복원력연구개발계획제출국토안보부완료 < 자료 >: Executive Order 13636, Presidential Policy Directive 21. 위의정책에따라행정명령제 13636 호의핵심이행사항인사이버보안프레임워크최 종안이 2014 년 2 월발표되었고, 주요기반시설의보안지침으로기능하게된다. 이밖에 도행정명령과정책지침에서이행을명령한인센티브제안, 시민자유보호관련보고서 발간, 우선순위에기초한조정방안제안, 연구개발계획제출등이수행되었다. 정보통신기술진흥센터 15
주간기술동향 2015. 5. 20. 나. 사이버보안정책추진체계정부별로추진된사이버보안강화정책에따라미국사이버보안업무의조직및추진체계도조금씩변화해왔다. ( 그림 1) 은 2015 년정책이반영된미국사이버보안현재체계를간략하게나타낸조직도이다. 대통령이중심에서사이버보안조정관을통해정책을총괄하고있으며각부처가관련되는업무를나누어수행하고있다. 오바마정부이전에국토안전과사이버보안을포괄적으로담당했으며현재도중추적인역할을하고있는국토안보부는앞에서언급한것과같이부시대통령이 9.11 테러이후에 2002 년 11 월제정한 국토안보법 (Homeland Security Act of 2002) 에따라창설되었다. 연방정부의첩보활동을담당하는조직인국가정보국 (ODNI) 도 2004 년 지능혁신ㆍ테러방지법 (Intelligence Reform and Terroism Prervention Act) 의제정에따라신설되었다. 2000 년대초반에는사이버보안을비롯해서국토안전및대테러활동이강조되었음을알수있다. 대통령 (The White House) 1 국가안보위원회 (National Security Council) 사이버보안국 (Cybersecurity Directorate) 보고 지시 2 국가정보국 (Office of the Director of National Intelligence 사이버위협정보통합센터 (CTIIC) 국가대테러센터 (NCTC) 사이버보안조정관 (Cybersecurity Coordinator) 국가정보보안센터 (NCSC) 부처총괄 4 국방부 (DOD) 5 국무부 (DOS) 3 국토안보부 (DHS) 7 법무부 (DOJ) 6 상무부 (DOC) 사이버사령부 (US CYBERCOM) 군축협정및국제안보국 국가보호및프로그램 (NPPD) 연방수사국 (FBI) 6 상무부 (DOC) 국가사이버보안정보통한센터 (NCOC) < 자료 >: 각부처홈페이지를참고하여재구성 ( 그림 1) 미국사이버보안추진체계 16 www.iitp.kr
ICT 기획시리즈 정보보안 오바마취임이후 2009 년에발표된사이버공간정책리뷰를통해신설된조직이사이버보안국 (Cybersecurity Direvtorate) 과사이버보안조정관 (Cybersecurity Coodinator) 이라는직위이다. 사이버보안을주요한국정과제로인식함에따라백악관에서직접적인지휘를하겠다는의지가표명된결정이며, 이를위해사이버보안조정관에게각부처에흩어져있는사이버보안관계자와연대하여대통령을보좌하는의무를부여했다. 2010 년 5 월에는사이버공간의작전능력강화를위해국방부산하에사이버사령부 (US CYBERCOM) 도설치하였다. IT 인프라에대한사이버공격에포괄적으로대응하는것이주목적으로주요인프라에대한공격이고도화되고있는상황을반영하고있는것으로보인다. 또한, 가장최근인 2015 년 2 월민ㆍ관사이버보안정보공유촉진행정명령이발동되면서설립된조직이정보공유분석조직 (ISAOs) 이다. 본조직은사업분야별로사이버위협정보를공유하는비영리조직으로자발적체계마련을위해국토안보부의지원을받게된다. 유사한정보관련조직인국가정보국내의사이버위협정보통합센터 (CTIIC) 도같은해 2 월에신설되었다. 사이버위협정보통합센터의업무는아직명확하게확립되지않은것으로보이나사이버위협및사고분석정보를정부에제공하는것이설립의주목적이다. 이렇게최근들어사이버위협정보를공유하는조직들이신설되는현상은민간부문에서사이버공격으로인해피해를입는경우가증가하고있기때문이다. 대표적인예로지난해소니영화사 (2014. 11.) 가영화유출로피해를입은것을들수있는데, 타국에서조직적으로계획한정황이밝혀지고 1 억달러가량의손해를입는결과를초래하자정부차원에서도주요기반시설뿐만아니라민간부문사이버보안의중요성을인식하였다. 따라서정부독점과감시체계강화라는비판에도불구하고민간과사이버위협정보를실시간으로공유하는조직들을신설하게된것이다. 3. 2015 년사이버보안정책 가. 2015 국가안보전략이제 2015 년오바마대통령이추진한정책들을하나씩자세히살펴보고자한다. 먼저 2015 년 2 월발표한주요전략인 2015 국가안보전략 (The 2015 National Security Strategy) 에서오바마대통령은미국의전반적인국가안보전략내용을담고있다. 이번국가안보전략은안보 (Security), 번영 (Prosperity), 가치 (Value), 국제질서 (International 정보통신기술진흥센터 17
주간기술동향 2015. 5. 20. Order) 등으로구성되어있으며, 안보내에공유된공간 ( 사이버, 영공, 영해, 우주 ) 의접근 성보장 (Assure Access to Shared Space) 이라는목표로사이버보안과관련한내용을제 시하고있다 [3]. 동전략에서미국은사이버범죄를수행하는개인과집단으로부터자국의경제, 안보 와복지가위협에직면해있다고밝히며, 미국의번영과안전을위해인터넷이열리고 (Open), 상호운용적 (Interoperable) 이며, 안전하고 (Secure), 신뢰할수 (Reliable) 있는공 간을구축할필요성을밝히고있다. 그리고이를위해주요기반시설보호, 민ㆍ관협력등 사이버보안강화를위해아래와같은다양한계획들을제시하였다. < 표 2> 2015 국가안보전략의주요계획 ➀ 연방네트워크보안강화및민간, 시민사회그리고기타이해관계자들과의협력을통해주요기반시설의보안과복원력강화 ➁ 의회와협력을통해입법노력등사이버보안과관련한상위차원의규범마련노력 ➂ 사이버공격과악의적인사이버행위자들에대한기소를통한벌금부과등미국법및국제법에기반한대응수행 ➃ 주변국가의사이버보안관련법률마련및사이버위협대응지원 ➄ 지적재산권보호, 온라인자유화, 기반시설의보호등글로벌규범통용을위한국제차원의노력촉구 ➅ 인터넷은정부와민간부문공동책임하에관리되어야함 < 자료 >: White House 나. 민ㆍ관사이버보안정보공유촉진행정명령 또한, 같은시기에오바마대통령은민ㆍ관간효과적이고신속한사이버위협대응을위 해민ㆍ관사이버위협정보공유촉진행정명령 (Promoting Private Sector Cybersecurity Information Sharing EXECUTIVE ORDER) 을발표하였다 (2015. 2.). 동행정명령은민ㆍ 관부문과의사이버위협정보공유협력촉진등을비롯하여정보공유활성화를위한다 양한방안을제시하고있다. 또한앞에서언급한것처럼정보공유분석조직 (ISAOs) 의신설 을명시하는것이주요골자이다 [4]. (1) 민간부문과사이버보안협력촉진 동행정명령은정보공유분석조직 (Information Sharing and Analysis Organizations: ISAOs) 의설립을중점적으로다루고있다. ISAOs 는금융, 전기, 수도등사업분야별로 최신멀웨어와사이버범죄활동에대한정보를공유하는조직으로각산업별회원사들에 게사이버위협정보를제공했던기존정보공유분석센터 (Information Sharing and Analysis 18 www.iitp.kr
ICT 기획시리즈 정보보안 Centers: ISACs) 를강화한형태이며, 민ㆍ관간사이버보안정보공유협력의중심역할을담당하는조직이다. 또한, 정보공유조직을위한계약협정, 운영절차, 정보공유의기술적방법등 ISAOs 의기준역량 (baseline capabilities) 을나타내는자발적체계 (Voluntary Standards) 를마련한다. 이를위해국토안보부가비영리조직들이 ISAOs 로의참여를위한자발적체계를마련하는데필요한자금을지원할것임을밝히고있다. (2) 민ㆍ관정보공유활성화동행정명령은국토안보부산하 24 시간사이버보안관제센터로사이버공격대응및민ㆍ관사이버보안정보공유를담당하고있는국가사이버보안정보통합센터 (National Cybersecurity and Communications Integration Center: NCCIC) 와 ISAOs 간정보공유협력체결을통해더욱간소화된방식으로정보공유활성화를지원한다. 또한, 국토안보부에기밀정보공유승인권한부여를통해민간기업들이기밀 (Classified) 사이버보안위협정보에접근하는절차를간소화할예정이다. (3) 강력한프라이버시및시민자유보호제공동행정명령은새로운프레임워크에기반한정보공유에있어강력한프라이버시와시민자유보장을포함한다. ISAOs 에참여한민간분야기업들은데이터저장최소화등프라이버시보호가포함된자발적표준체계에동의해야하며, ISAOs 와협력하는기관들은수석기관관계자와함께공정정보실행원칙 (Fair Information Practice Principles: FIPP) 에기반한프라이버시와시민자유협력을수행해야한다. 다. 사이버위협정보통합센터설립정보공유분석조직과더불어 2015 년 2 월미국은범정부차원의효과적인사이버위협대응을위해국가정보국 (ODNI) 내 사이버위협정보통합센터 (Cyber Threat Intelligence Integration Center: CTIIC) 설립을또한발표하였다 [5]. 사이버위협정보통합센터는국외사이버위협과사고관련분석정보를정책결정자 (Policymaker) 에게제공할목적으로설립한기관이다. 사이버위협정보통합센터는국가정보국처럼정보수집활동을하는정보기관과는성격을달리한다. 다만, 사이버위협정보통합센터는국가사이버보안정보통합센터 (NCCIC), 국가사이버합동조사단 (NCIJTF), U.S 사이버사령부등사이버보안및네트워크방어를책임지고있는 정보통신기술진흥센터 19
주간기술동향 2015. 5. 20. 정부기관지원미션과업무를지원하며, 사이버보안관련유사기관에서수행하고있는사이버위협정보수집, 직접조사및사이버위협대응등의업무를담당하지는않을예정이다. 현재사이버위협정보통합센터의역할과책무에대한명확한직제작업이진행중에있으며, 사이버안보를담당하는관련기관들로부터파견되는약 50 명의직원으로구성될예정이다. 라. 사이버위협차단행정명령 민ㆍ관사이버보안정보공유촉진행정명령이민간부문과정부부문을포괄한원활한 정보공유를추진하고있다면, 이러한정보를통해악의적인시도가포착될경우에는그 행위자에게어떠한근거를기반으로제재할까. 이처럼사이버위협행위와행위자를정의 하고제재하는조치에대한지침을명시한행정명령이 2015 년 4 월발표된사이버위협 차단행정명령 (Executive Order - Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities) 이다. 동행정명령에는재무부장관이 법무부장관과국무부장관과의협의를통해악의적행위및행위자에대해자산동결명 령을내릴수있는등악의적인사이버지원활동에참여하는개인과단체에대한강력한 제재조치를부과하는내용을담고있다 [6]. < 표 3> 사이버위협차단행정명령주요내용구분주요내용 - 주요기반시설을지원하는 1 개이상의컴퓨터네트워크및컴퓨터에해를가하거나, 손상을가하려는시도사이버위협행위 - 1 개이상의주요기반시설및관련시설서비스에손상을가하려는시도 - 컴퓨터네트워크및컴퓨터이용을심각하게방해하는행위 - 무역기밀정보, 개인식별정보, 공정경쟁우위또는개인의금융정보등을남용한행위 - 사이버상에서얻은기업비밀정보등을활용한거래가미국경제의건정성, 안전성, 국가안보, 외교정책에심각한피해를미칠것을알면서도주도, 공모, 관여한자 - 앞서언급한사항의행위와관련해금융, 서비스, 상품의실질적후원또는제공한자사이버위협행위자 - 이행정명령으로직ㆍ간접적으로재산이몰수되거나, 사용금지되어진사람을대신해행위한자 - 앞서언급된행위에참여를시도한자 < 자료 >: White House 마. 미ㆍ영사이버보안협력 (U.S.-United Kingdom Cybersecurity Cooperation) 사이버위협은민간부문과정부부문뿐만아니라국경간구분이없는사이버공간에서 나타나고있다. 이러한사이버위협에대응하기위해 2015 년 1 월미국은영국과사이버 20 www.iitp.kr
ICT 기획시리즈 정보보안 보안강화를위한협력을추진하여국제파트너십을강화하기도했다. 계획적인사이버공격의경우발원지를숨기기위해국경을넘나들며흔적을지우기때문에타국의협조는필수적이라고볼수있다. 정보공유및업무협력등의파트너십강화를위한 2015 년의구체적인첫국제협력이본사례인것이다. 양국간협력내용을살펴보면, 우선양국내주요기반시설사이버보안강화를위해사이버위협정보공유확대와함께악의적사이버활동대응을위한합동훈련을실시할예정이며, 금융산업을대상으로사이버보안우수사례및기준을활용하여첫훈련을실시할예정임을밝히고있다. 또한, 사이버보안과사이버방어와관련한양국간업무협력을강화하기위해 US-CERT( 미국 ) 와 CERT-UK( 영국 ) 간사이버위협정보공유와컴퓨터네트워크방어업무를협력할계획이며, 이와함께양국정보기관 ( 영국 (CGHQ, MI5), 미국 (NSA, FBI)) 으로구성되고특정사이버방어와사이버위협정보및데이터공유업무를수행하는 사이버셀 (Cyber Cell) 설치를밝히고있다. 마지막으로양국은사이버보안연구활성화를위해서도협의를하였으며, 이를위해 풀브라이트사이버보안어워드 (Fulbright Cyber Security Award) 신설지원을위한재정적합의를하였다. 4. 결론본고에서는미국의사이버보안정책추진배경및경과와함께 2015 년미국의사이버보안정책동향에대해살펴보았다. 그리고이를통해다음과같은시사점을도출할수있었다. 우선국내도민간부문의사이버보안강화를위해민ㆍ관의사이버위협정보공유체계구축을강화할필요가있다. 금융등의영역은민간부문임에도불구하고사이버공격시막대한피해가예상되는만큼국가주요기반시설로편입하여체계적으로관리하고정보공유범위를보다확대할필요가있다. 이를위해서사이버위협정보와개인정보간의명확한구분기준수립이선행되어야민ㆍ관간사이버위협정보공유에있어발생할수있는개인정보논란을잠재울필요가있을것으로생각된다. 다음으로국가간사이버보안협력채널을확대, 구축할필요가있다. 사이버공간의특성상국가간국경이존재하지않는다. 특히, 국외사이버공격자처벌의경우, 국가간외교적문제로발전될수있는소지가많아국가간관련사항에대해충분한논의와협력이가능한채널이필요하다. 또한, 국가간사이버보안연합훈련수행등효과적인사이버위 정보통신기술진흥센터 21
주간기술동향 2015. 5. 20. 협대응을위한국제차원의사이버위협대응공조를수행하기위해서도필요할것으로판단된다. 마지막으로악의적인사이버공격행위자에대한구체적인기준및처벌규정이필요할것으로생각한다. 2014 년 12 월국내에서한국수력원자력해킹사고가발생하는등국민의생명과국가안보에직결되는사이버위협이발생하고있다. 이때문에사이버위협발생시, 사이버보안업무담당자에대한직위해제, 벌금부과등사이버위협피해자제재와함께가해자 ( 사이버위협행위자 ) 중심의경제제재와같은강력한처벌을동시에고려할필요가있을것으로보인다. < 참고문헌 > [1] ISIS Threaten America With Another 9/11, Newsweek, 2014. 4. 13. [2] The Newsweek Twitter Account Was Hacked By ISIS Supporters, Buzz Feed NEWS, 2015. 2. 11. [3] Fact Sheet: The 2015 National Security Strategy, White House, 2015. 2. 6. [4] Executive Order-Promoting Private Sector Cybersecurity Information Sharing, White House, 2015. 2. 13. [5] FACT SHEET: Cyber Threat Intelligence Integration Center, White House, 2015. 2. 25. [6] FACT SHEET: Executive Order Blocking the Property of Certain Persons Engaging in Significant Malicious Cyber-Enabled Activities, White House, 2015. 4. 1. [7] FACT SHEET: U.S.-United Kingdom Cybersecurity Cooperation, White House, 2015. 1. 16. 22 www.iitp.kr