Inside the plan to fix America’s never-ending cybersecurity failures

러시아 해커에 뚫린 美 사이버 보안…해법은 어디에

러시아 해커들의 위협에 대처하고 민간 부문에 대한 과도한 의존도를 낮추기 위해 미국은 좀 더 적극적이고 과감한 조치를 취해야 한다.

2021년 미국 최대 송유관 관리사인 콜로니얼 파이프라인(Colonial Pipeline)이 해킹 피해를 입었다. 이 사건으로 겁먹은 시민 수천 명이 기름을 사재기했고, 미 동부 해안에서는 연료 고갈 사태가 벌어졌다. 해커들은 사이버 보안의 취약점을 이용하여 침입에 성공했고, 이에 콜로니얼 사는 500만 달러의 몸값을 지불하기로 결정하고 미 동부 해안에 연료 공급을 상당 부분 중단했다. 이들은 사태가 상당히 악화될 때까지 미국 정부와 상의조차 하지 않았다. 

한편 대서양 건너편에서는 이 말도 안 되는 사건을 유심히 지켜보고 있었다.

영국 국가사이버보안센터(National CyberSecurity Centre, NCSC) 전 센터장인 시아란 마틴(Ciaran Martin)은 이 사건을 두고 다음과 같이 평가했다. “콜로니얼 해킹 사건에서 가장 심각한 문제점은 기업이 상업적 이익을 우선시할 뿐 넓은 시야로 판단하지 못했다는 점이다. 이로 인한 부작용과 여파는 모두 정부가 감당해야 했다.”

현 백악관 사이버 보안 책임자를 포함한 미국 내 사이버 보안 최고위 관리들은 콜로니얼 사 해킹 사건과 같은 낭패가 다시는 발생하지 않도록 사이버 보안에 대한 정부의 역할과 규제를 강화해야 할 시기가 되었다고 말하고 있다. 더욱이 최근에는 우크라이나-러시아 전쟁이 발발하고 러시아의 사이버 위협이 점차 증가하면서, 사이버 보안 역량을 재점검하는 일이 미국 정부에 긴급한 과제로 부상했다.

바이든 정부 사이버 보안 부문 최고자문위원인 크리스 잉글리스(Chris Inglis) 백악관 국가사이버보안국장은 러시아의 우크라이나 침공 이후 MIT 테크놀로지 리뷰와의 첫 인터뷰에서 “우리는 변곡점에 서 있다”면서 “사회 전반에 필수적인 사항과 관련된 안건은 단순하게 결정해서는 안 된다”고 말했다.

백악관이 새롭게 내세운 사이버 보안 전략은 다음과 같은 요소를 포함한다. 보다 강력한 정부의 관리감독, 조직이 일정 수준 이상의 사이버 보안 기준을 충족하도록 의무화하는 규정, 민간 부문과의 긴밀한 협력, 현재의 시장 우선 접근 방식으로부터의 탈피, 그리고 새로운 규제를 분명히 준수하도록 강제하는 조치이다. 이 전략은 과거 미국의 대기오염 방지법이나 식품의약국 설립과 같은 주요 선례를 따라갈 것이다.

미 연방통신위원회(FCC)는 과거 러시아 정부에서 사용한 수법대로, 러시아 해커 측에서 인터넷 트래픽을 가로채 정보를 빼돌릴 가능성을 주시하고 있다. 지난 3월 11일에 발표된 새로운 FCC 이니셔티브는 미 통신회사들이 이를 방지하기 위한 조치를 충분히 시행하고 있는지 조사하는 것을 목표로 삼았다. 하지만 여기에는 강제성이 없다. 즉 국가 안보 위기의 가능성을 볼모로 기업들이 정부 방침을 따르게끔 압력을 줄 뿐이다.

이에 대하여 수많은 정부 관리들은, 시장의 선의에 전적으로 의존해서는 시민의 안전을 보장할 수 없다고 비판한다.

“사이버 보안과 관련된 지난 수십 년의 노력에도 불구하고, 민간의 자발적인 협력만으로는 문제를 해결할 수 없었다.” 오바마 정부 당시 사이버 보안 수석 담당자였던 수잔 스폴딩(Suzanne Spaulding)의 말이다. 그는 “’부정적 외부 효과(externality)’로 인하여, 환경 오염이나 고속도로 안전, 사이버 보안과 같은 분야에서는 규제가 필수적”이라고 강조했다.

백악관 최고위도 같은 입장이다. 잉글리스는 “수잔의 의견에 무척 공감하며 그에 동의한다”고 말했다.

정부 규제에 찬성하는 측에서는 현 상황에 극적인 변화가 없다면 이전과 같은 사고가 반복될 것이라고 주장한다.

사이버 보안과 개인정보 보호 문제에 관해 가장 적극적인 의정 활동을 펼치고 있는 론 와이든(Ron Wyden) 상원의원은 “기업들이 강력한 사이버 보안 규제를 꺼리는 것은 공공연한 사실”이라며 이렇게 덧붙였다. “미국이 사이버 보안과 관련하여 현재와 같은 상황에 빠지게 된 것은 바로 이 때문이라고 할 수 있다. 따라서 나는 현 상황을 쉽게 바꿀 수 있다고 생각하지 않는다. 하지만 우리가 행동하지 않는다면, 러시아와 중국, 심지어 북한 해커들조차도 미국 전역의 주요 시스템을 난장판으로 만들 것이다. 콜로니얼 파이프라인 사건보다 더 큰 해킹 피해가 생기지 않기를 진심으로 바라지만, 의회에서 이 문제에 진지하게 임하지 않으면 이러한 사태가 반복될 것이 명백하다.”

변화가 쉽지는 않을 것이다. 정부 안팎의 많은 전문가들은 신설된 규제가 부실할 경우 오히려 득보다 실이 클 것이라고 우려한다. 또한 일각에서는 사이버 보안에 관한 감독 당국의 전문성 부족을 염려하고 있다. 한 예로, 최근 발표된 미 교통보안청(TSA)의 송유관 사이버 보안 규정은 경직된 데다가 부정확한 탓에 오히려 문제를 더 키울 정도로 “형편없다”고 평가받고 있다. 규제기관의 담당 범위가 광범위한 데 비해, 막상 업무를 제대로 수행할 시간과 자원, 전문 인력은 부족하기 때문이라는 지적이다.

TSA 대변인인 카터 랭스턴(R. Carter Langston)은 규제 반대론자를 반박하며, “기업 소유주 및 운영 주체와 정기적으로 자주 연락을 취하고 있다. 그들 대부분이 미래에 발생할 수 있는 사이버 공격에 대응하기 위한 민-관 합동 대책의 중요성과 시급성을 잘 인지하고 있다”고 말했다.

2020년까지 미 국가안전보장국(NSA)의 법률 고문으로 지냈던 글렌 거스텔(Glenn Gerstell)은 다수의 규제 당국이 해당 분야를 각각 담당하는 현 방식은 어수선하고 실효성이 떨어진다고 우려하며 주요 산업들을 두루 관장하는 전문 인력과 자원을 갖춘 중앙 사이버 보안 기관이 필요하다는 입장이다.

사이버 보안 규제에 송유관 업계가 반발하는 모습으로부터 우리는 이 과정이 얼마나 험난할지 알 수 있다. 그럼에도 불구하고, 보안 체계 강화에 대한 보상의 부재와 이로 인한 보안 실패가 반복되는 현 상황이 지속되기는 어렵다는 공감대가 확산되고 있다.

주요 선례

콜로니얼 파이프라인 사건은 이미 많은 사이버 보안 전문가들이 우려하고 있던 취약점을 다시 드러낸 사건이다. 대부분의 공격은 이미 기업들이 수년 전부터 인지하였으나 투자 부실로 해결되지 않았던 만성적인 보안 취약점을 해커들이 공격함으로써 일어난다는 사실 말이다.

글렌 거스텔은 “그래도 좋은 소식이 있다면 우리는 어떻게 해야 이러한 문제를 해결할 수 있을지를 이미 알고 있다는 점”이라며 “우리는 사이버 보안 문제를 해결할 수 있다. 어렵고 비용도 많이 들겠지만, 방법은 알고 있다. 이를 위해 새로운 기술을 개발할 필요는 없다”고 말했다.

최근 있었던 또 다른 심각한 공격 사례에서도 같은 문제가 반복됐다. 러시아의 해킹 운동인 솔라윈드(SolarWinds)의 경우, 주요 타깃이었던 미국 정부와 기업들이 공개된 사이버 보안 규범을 지켰다면 공격을 무력화할 수 있었다.

와이든은 “심각한 사이버 보안 사고를 일으킨 해커의 능력이 자연재해나 도저히 막을 수 없는 천재적인 수준으로 과장되는 경향이 있다”면서 “이 때문에 해킹을 당한 조직, 대표 및 정부 기관의 책임은 쉽게 간과된다. 하지만 막상 실상을 살펴보면, 피해 당사자가 보안 업데이트에 소홀했거나 방화벽을 올바르게 설정하지 않은 탓에 빈틈을 허용한 경우가 많았다. 이제 대중들도 그 사실을 잘 알고 있다”고 힘주어 말했다.

이제 미국 정부는 다수의 기업이 사이버 보안에 필요한 만큼의 투자를 하지 않았고, 앞으로도 하지 않을 것이란 사실을 잘 알고 있다. 지난 6개월간 행정부는 은행, 송유관, 철도, 항공, 공항을 대상으로 새로운 사이버 보안 규정을 제정했다. 바이든 대통령은 지난해 국가 사이버 보안을 강화하고, 정부와 계약한 모든 기업에 특정 보안 기준을 요구하는 내용의 행정명령에 서명했다. 민간 부문에 변화를 일으키기는 늘 쉽지 않았지만, 실제로 주요 인프라 및 기술 시스템이 민간에 의해 운영되고 있기 때문에 이들을 움직이는 것은 사회의 중요한 과제이다.

새 규정은 대부분 최소한의 기본 요건과 약간의 정부 개입을 바탕으로 구성되었다. 기업들은 이것조차 반발하고 있지만 그럼에도 변화는 여기에서 그치지 않을 것이다.

와이든은 “미국 사이버 보안의 처참한 현실을 개선하기 위해 가장 필요한 것은 다음 세 가지”라면서 “첫째, 규제기관이 강제하는 최소한의 사이버 보안 기준이 필요하다. 둘째로 적절한 사이버 보안 감사와 그 결과가 규제기관에 보고되는 절차가 있어야 한다. 이때 감사 주체를 선정하는 과정에 감사 대상인 기업이 관여해서는 안 된다. 마지막으로 기본적인 사이버 보안 관리에 실패했을 경우, 고위 임원에 징역형을 내리거나 고액의 벌금을 부과하는 등의 강력한 처벌이 필요하다”고 말했다.

최근 법으로 새롭게 제정된 사건 보고 의무 규정(incident reporting regulation)은 그 첫걸음이라고 할 수 있다. 이 법에 따르면 민간 기업은 사이버 보안 위협 관련 정보를 신속히 공유해야 한다. 이러한 위협과 관련된 정보의 공유는 다른 기업이 이러한 공격에 대비할 수 있도록 하지만, 대부분의 기업들은 그동안 보안 위협을 정부와 공유하려고 하지 않았다.

그동안 의무 보고 규정이 입법에 실패했던 것과 다르게 이번 규정이 제정될 수 있었던 것은 민간 기업의 협조가 있었기 때문이다. 실제로 사이버 보안 업체 맨디언트(Mandiant)의 CEO 케반 맨디아(Kevin Mandia)와 마이크로소프트 회장 브래드 스미스(Brad Smith)는 이번 보고 규정에 찬성했다. 이는 민간 부문의 핵심 관계자들도 더는 규제를 피할 수 없으며, 어떤 분야에 대해서는 규제를 두는 것이 유익하다고 보고 있다는 증거다.

잉글리스는 새 규정을 만들고 시행하려면, 모든 단계에서 정부와 민간 간의 긴밀한 협력이 필요하다고 강조한다. 심지어 민간 업계 내에서도 변화가 필요하다는 공감대가 이미 형성돼 있다.

사이버 위협에 관련된 정보를 공유하고, 더욱 효과적인 집단적 방어력을 구축하기 위해 테크기업이 모여 결성한 단체인 사이버위협연합(Cyber Threat Alliance)을 이끌고 있는 마이클 대니얼(Michael Daniel) “우리는 오랫동안 자발적으로 변화하기 위해 노력해왔지만 필요한 만큼 빠르고 원활하게 진행되지 않고 있다”며 아쉬워했다.

영국의 다른 행보

백악관의 잉글리스는 미국이 다른 동맹국에 비해 후진적이라고 비판한다. 그는 영국의 국가사이버보안센터(NCSC)를 선구적인 정부 사이버 보안 기관으로 평가하며, 미국이 이를 본보기 삼아야 한다고 지적한다. NCSC의 창립 CEO인 시아란 마틴은 미국의 사이버 보안에 대한 태도를 놀라움과 혼란이 섞인 시선으로 바라보고 있다.

시아란은 “영국 에너지 회사가 영국 정부에 콜로니얼 파이프라인과 같은 짓을 저질렀다면, 그들은 아마 최악의 대우를 받으며 쫓겨났을 것”이라며 “나라면 총리에게 곧바로 회사 사장실에 전화를 걸어 ‘어떻게 정부와 상의도 없이 몸값을 내고 송유관을 폐쇄할 생각을 했느냐’고 문책하도록 했을 것이다”라고 말했다.

영국에서는 세계 금융 위기 및 사이버 보안 위협에 탄력적으로 대응하기 위해 사이버 규제를 시행하고 있다. 또한 영국은 러시아 해커들이 주요 통신사를 ‘완전히 점령’했던 사건 이후로, 통신사들에 더욱 강력한 규제를 요구하고 있다고 마틴은 덧붙였다. 새로운 사이버 보안 규정에 따르면 과거 통신사 보안 실패 사례의 경우 불법으로 처벌받게 된다.

미국의 상황은 정반대다. 미국 내 통신과 브로드밴드를 감독하는 연방통신위원회(Federal Communications Commission, FCC)는 트럼프 전 대통령 재임 시절 오히려 통제 권한을 많이 잃어  현재는 인터넷 대기업들의 자발적인 협조에 의존하고 있다.

이미 가지고 있던 규제 권력을 바탕으로 특정 산업을 한 번에 하나씩 대처하는 영국식 접근법은 바이든 정부의 사이버 전략과 유사하다. 모든 부문을 통틀어 중앙집권화된 새로운 법을 세우는 것과는 반대다. 

잉글리스는 규제 당국이 기존에 행사하던 권한을 철저히 검토해야 한다고 보고 있다. 와이든은 백악관이 내놓은 전략을 통해 많은 변화가 일어날 것으로 예측하며 “전반적으로 규제 당국은 자체 권한을 행사하거나 기존 업계 관행을 규제할 새 권한을 요청하길 꺼렸다”며 “이 많은 산업에서 사이버 보안 수준이 형편없는 것은 놀랄 일이 아니다. 규제 당국은 애초에 기업에 과도한 자율성을 허용하며 방치해왔다”고 덧붙였다.

사이버 보안을 민간 시장에 맡기면 안 되는 이유

사이버 보안의 시장 가치는 수천억 달러 규모이며 지금도 세계를 무대로 성장하고 있다. 하지만 이를 민간에 일임하면 실패할 수밖에 없는 세 가지 근본적인 이유가 있다.

대니얼은 기업이 사이버 보안을 통해 얼마만큼의 이윤을 보호할 수 있는지를 평가하는 데 실패했다고 말한다. 시장은 사이버 보안의 적정 가치를 제대로 평가하지 못하며, 좀 더 나아가서는 기업의 핵심 가치를 사이버 보안이 지켜줄 수 있다는 사실을 잘 이해하지 못한다. 이 때문에 기업은 사이버 보안에 대한 지출을 정당화하지 못하는 경우가 많다.

두 번째로 모든 것이 비밀처럼 감춰진다는 문제가 있다. 기업은 해킹 사례를 일일이 보고할 의무가 없다. 따라서 악의적인 언론, 소송 및 국회의원들로부터 기업을 보호하기 위해 중대한 해킹 사건과 관련한 주요 데이터는 비밀에 부쳐져 왔다.

세 번째는 규모의 문제이다. 콜로니얼 파이프라인 해킹 사례에서 정부와 사회가 치른 대가는 회사에서 자체적으로 지불한 비용보다 훨씬 크다. 스폴딩은 이러한 비용이 마치 환경 오염 문제처럼 기업의 회계 장부에는 반영되지 않아 시장은 근본적으로 이 문제 해결을 위한 동기를 가지기가 어렵다고 생각한다.

정부 규제를 지지하는 사람들은 정부가 더 강하게 개입하면 이 모든 관행을 바꿀 수 있다고 말한다. 지난 세기에 수십 가지 산업 분야에서 개혁이 이루어졌던 방식처럼 말이다.

거스텔 또한 현 상황을 개선하기 위해 새로운 접근 방식을 취해야 한다는 압력이 서서히 커지고 있다고 본다. 그는 “이토록 사람들 사이에 인식이 개선되고 의견이 하나로 모이기 시작한 것은 처음”이라며 “이전과는 분위기가 달라지고 있다. 아직 이를 통해 변화가 실제로 일어날 수 있을지는 확실하지 않지만, 우호적인 환경이 조성된 것은 분명하다”고 말했다.

잉글리스는 2021년 미국 바이든 정부의 1조 달러 규모의 인프라 구축안에 약 20억 달러의 사이버 보안 부문 예산이 포함된 것을 두고, 미국의 사이버 보안을 개선하기 위해 수십년 만에 한번 올 기회가 찾아왔다고 말했다. 그는 “우리는 이번 기회를 놓치지 말고, 견고하며 위협에 탄력적으로 대응할 수 있는 디지털 인프라를 갖추기 위해 투자해야 한다”며 이렇게 강조했다. “우리 사회를 지탱하는 주요 기능은 무엇인가? 오로지 시장의 힘만으로 이를 감당할 수 있을 것인가? 만일 시장의 힘만으로 부족하다면, 우리는 어떠한 조치를 취해야 하는가? 우리는 이러한 질문에 대해서 심사숙고해야 한다. 그것이 우리가 나아갈 길이다. 이를 해결하기 위한 과정은 수년에 걸쳐 지속되어서는 안 된다. 우리는 이 문제를 시급하게 해결해야 한다.”

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.