CSO, 사이버 위협 정보 공유는 원하나 법률은 원하지 않는다

민간 기업과 정부 간의 사이버 위협 정보 공유에 관한 법률을 미국 의회가 가결하고 미국 오바마 대통령이 승인한다면 이로 인해 가장 큰 영향을 받을 사람은 IT 보안 책임자, 즉 CSO와 CISO가 될 것이다.

또한 현재 미국 국회에서 계류 중인 이 법안에 대한 논쟁에서 드러난 가장 큰 과제는 ▲개인 식별 정보(PII)를 보호하는 것과 ▲영업 기밀 또는 기타 지적 자산이 위협 정보와 함께 우발적으로 '공유'되지 않도록 하는 것, 그리고 ▲다른 조직의 위협 정보를 무시해 침해로 이어지지 않도록 하는 것이다.

이런 사이버 위협 정보 공유 법안은 적어도 10월까지는 큰 관심을 얻지 못할 가능성이 높은데다가 완성된다는 보장도 없다. 미국 상원 법안은 현재 교착 상태로, 22개 이상의 개정안이 보류 중이다.

그러나 백악관 국가 안전 보장 회의 사이버 보안 부문 책임자인 아리 슈와르츠는 최근 미국 볼티모어에서 열린 고위 임원 사이버 보안 컨퍼런스에서 참관자들에게 컨퍼런스에서 논의된 법안의 다양한 조항에 대한 이견들이 수렴될 것이라고 말했다.

이 법안으로 인해 업무에 큰 변화가 발생하게 될 CSO와 CISO들은 이 법안을 기대하고 있을까, 아니면 걱정하고 있을까?

어느 쪽도 아닌 것으로 보인다. 일단 지금까지 미국 의회의 이력을 보면 대통령 책상 위에 놓여질 최종 법안이 어떤 내용을 담고 있을지 예측하기란 거의 불가능하다.

팔로알토 네트웍스(Palo Alto Networks) CSO 릭 하워드는 "미국 의회에서 어떤 결과물이 나올지 예측하는 것은 부질없는 짓이다. 미 의회는 골 라인을 넘기기 전에 항상 헛발질을 하는 경향이 있다고 말했다.

실제로 하워드는 자신을 비롯한 IT 임원들은 "정부가 무언가를 들고 나오기를 기다리는 데 지친 나머지 우리가 직접 행동하기로 했다"고 말했다.

그 '행동'이 바로 위협 정보를 상호 공유하는 데 동의한 보안 벤더 그룹인 사이버 위협 연합(Cyber Threat Alliance)이다. 현재 이 그룹에는 팔로알토 네트웍스, 시만텍(Symantec), 인텔(Intel), 포티넷(Fortinet), 바라쿠다(Barracuda), z스케일러(zScaler), 텔레포니카(Telefonica), 리버싱 랩(Reversing Labs)이 참여하고 있다.

이 연합은 약 1년 전에 출범했다. 릭 하워드는 "갈 길이 멀지만 이와 같은 움직임이 정부가 하는 일보다는 빠를 것으로 기대한다"고 말했다.

이 고위 임원 사이버 보안 컨퍼런스에서 여러 연설자들은 법률 없이 자발적인 업계 움직임의 예로 사이버 위협 연합을 비롯해 DHS에서 지원하는 ISAC(정보 공유 및 분석 센터), ISAO(정보 공유 및 분석 기구) 등을 언급했다.

뉴 아메리카 재단의 공개 기술 연구소(Open Technology Institute) 정책 자문인 로빈 그린은 "정보 공유는 빠르게 진전하고 있다"면서, "계류 중인 법안을 자세히 살펴봐야겠지만 이 법안이 현재의 정보 공유 상황을 향상시킬 것이라고는 기대하지 않는다"고 말했다.

밴티브(Vantiv)의 CSO 킴 존스는 회사가 아닌 개인적인 입장임을 강조하면서 구체적으로 논할 만큼 법안에 대해 상세히 알지는 못하지만 이 법안으로 인해 자신의 직무가 크게 바뀔 것이라고 생각하지 않는다고 말했다.

존스는 "이미 매일마다 규제와 법 준수 사안을 다룬다. 이 법안은 또 다른 요구 사항이 될 뿐"이라며, "법안 준수 방법을 파악하기 위해 법률 팀, 규정 준수 팀, 그리고 정부 규제 담당자와의 기나긴 논의가 필요할 것"이라고 말했다.

킴 존스는 전반적으로 자신은 데이터 공유를 지지한다면서 "보안에서는 오늘 다른 사람의 문제가 대부분 내일 자신의 문제가 된다. 위협과 문제에 대한 데이터를 공유하면 범죄자들보다 앞서 나가는 데 도움이 될 것"이라고 말했다.

존스는 "위협 데이터 공유를 법률로 제정하려고 할 때 문제가 발생할 수 있다"고 말했다.

존스는 첫째, '위협' 또는 '사고'와 같은 용어의 정의와 해석을 두고도 교착 상태에 빠지기 쉽다고 말했다. 이후 이런 문제는 "회사의 법률 고문과 보안 전문가들의 논쟁으로 결정된다"고 말했다.

둘째로 데이터의 완벽한 익명성을 보장하는 것이 극히 중요해질 것이라고 말했다.
존스는 "축적된 데이터를 두고 법률에서 예상하지 못한 방식으로 데이터가 변형 및 분석되지 않도록 차단할 방법이 있는가?"라며, "완벽하게 익명화된다면 아무 문제없다. 그러나 기업이나 개인으로의 역추적 가능성이 조금이라도 있다면 오남용 가능성은 사실상 무한하다"고 지적했다.

마지막으로 존스는 공유 명령이 CSO에게 법적 문제를 일으킬 수 있으며 따라서 공유를 저해할 수 있다고 말했다.

존스는 "A라는 회사가 정부와의 데이터 공유를 거부하고 다른 회사의 CSO들과 공유하기를 원한다면 어떻게 되는가? 잠재적으로 A 회사는 법을 위반하게 되는 것이다. B 회사와 C 회사의 CSO도 이 행위에서 공범이 된다"고 말했다.

릭 하워드에 따르면, 사이버 위협 연합의 공유 규칙은 간단하고 효과적이다. 하워드는 "받는 만큼 줘야 한다. 정보를 얻으려면 자신도 정보를 공유해야 하며 이는 매일 측정된다"고 말했다.

또한 하워드는 "이 방법이 상당히 유효하다"면서 "연합의 다른 회원에게서 정보를 얻으면 바로 제품에 적용한다. 내가 다른 회원에게 어떤 정보를 주든 다른 회원들 역시 마찬가지"라고 말했다.

하워드의 목표는 이 연합의 규모를 키워 인터넷 연결이 가능한 전 세계의 모든 조직이 최신, 최대 규모의 실시간 위협 정보에 접근할 수 있도록 하는 것이다.

릭 하워드는 "큰 그림이고 극복해야 할 장애물도 있지만 도달할 수 있다고 낙관한다"고 말했다. editor@itworld.co.kr