보안

미국 의회, 사이버 사고 신고법 제정 "보안 강화를 위한 게임 체인저"

Cynthia Brumfield | CSO 2022.03.15
미국 하원은 ‘2022년 중요 인프라에 대한 사이버 사고 신고법(Cyber Incident Reporting for Critical Infrastructure Act of 2022)’의 핵심 조항을 통과시켰다. 이에 따라 기업은 중요 인프라 운영 시 해킹을 당하거나 위협 행위자에 몸값을 지불할 경우 정부에 알려야 한다. 이번 조항은 3월 9일 미국 하원이 통과시킨 1.5조 달러 규모인 일괄세출안의 일부로, 올해 남은 기간 동안 연방정부에 자금을 지원한다.

더욱 광범위해진 미국 사이버 보안 강화법(Strengthening American Cybersecurity Act)에 포함된 이번 사이버 사고 신고법에 관한 조항은 작년에 법률로 제정되지 못했지만, 3월 1일 미국 상원에서 만장일치로 통과됐다.
 
ⓒ Getty Images Bank
 

사이버 사고는 72시간, 몸값 지불은 24시간 내로 보고

중요 인프라를 보유한 기업과 연방기관은 법안의 요건에 해당하는 사이버 사고가 발생하면 72시간이내로, 몸값을 지불할 경우에는 24시간 안에 미국 국토안보부(United States Department of Homeland Security, DHS)의 사이버 보안 및 인프라 보안국(CyberSecurity and Infrastructure Security Agency, CISA)에 보고해야 한다. 특히 몸값 지불 요건은 랜섬웨어 공격이 신고 요건에 해당하는 사이버 사고가 아니어도 적용된다.

사이버 사고나 몸값 지불을 보고하지 않은 중요 인프라 기업과 연방기관은 CISA의 국장의 소환장을 받는다. CISA 국장은 사안을 법무부 장관에게 회부해 미국 지방 법원에 민사 소송을 제기할 수 있다. 법원은 발행된 소환장을 준수하지 않은 것을 법정 모욕죄로 처벌할 수 있다.

또한, CISA는 사이버 사고 신고를 익명으로 접수하고 적절한 방어 조치와 함께 부문별 조정 위원회와 정보 공유 및 분석 조직, 주∙지방∙부족∙영토 정부, IT 기업, 사이버 보안 및 사고 대응 업체, 보안 연구원에게 전달한다. 모든 사고 요건은 CISA가 최대 48개월 이내에 요건의 적용 방식에 대한 규칙을 수립해 구현할 때까지 발효되지 않는다.
 

랜섬웨어 시범 운영 프로그램

CISA는 랜섬웨어 취약점을 경고하는 시범 운영 프로그램을 만들어 기존 권한과 기술을 활용해 구체적인 프로세스와 절차를 개발해야 한다. 또한, 리소스를 배정해 보편적인 랜섬웨어 공격과 관련한 보안 취약점이 포함된 정보 시스템을 확인하고 취약한 시스템 소유자에게 보안 취약점을 알려야 한다.

시범 운영 프로그램에서는 랜섬웨어 공격에서 악용되는 가장 보편적인 보안 취약점과 완화 방법을 확인하고 기존 권한을 활용해 보안 취약점이 포함된 정보 시스템을 확인한다. 시범 운영 프로그램은 제정일로부터 4년 후에 종료될 예정이다.
 

랜섬웨어 공격에 대비해 캠페인을 시행할 태스크 포스

법안에 따르면, 제정 후 180일 후에 CISA 국장이 국내 사이버 국장과 법무부 장관, 연방수사국(Federal Bureau of Investigation, FBI) 국장과 협의해 연방기관 참여자로 구성된 JRTF(Joint Ransomware Task Force)를 구성해야 한다. 또한, CISA 국장이 의장을 맡아 랜섬웨어 공격에 대응해 지속적이고 전국적인 캠페인을 진행해야 하며, 국제적인 협력을 위한 기회를 추구해야 한다.

태스크 포스는 특정 랜섬웨어 공격자를 방해하기 위해 정보 기반 운영을 우선시하고 민간, 지역 정부, 국제 이해관계자와 협의해 필요한 사항을 확인하고, JRTF에 정보를 제공하기 위한 메커니즘을 수립한다.
 

사이버 사고 신고법에 대한 CISA와 FBI의 찬반 논쟁

CISA 국장 젠 이스털리가 신고 요건에 대해 진작에 시행됐어야 하는, 사이버 위협으로부터 국가를 보호하는 수단이라고 칭찬한 것은 놀랄 일이 아니다. 이스털리와 CISA는 오래 전부터 사이버 신고 요건이 없어 연방 정부가 사이버 위협과 사고를 파악하지 못한 것에 불만을 제기해왔다.

하지만 법무부 차관 리사 모나코는 최근 사이버 사고 신고법이 제정돼 국가 안보가 오히려 약화될 수 있다고 지적했다. FBI 국장 크리스토퍼 레이는 해당 법안이 사고 신고망에서 FBI를 배제하기 때문에 사이버 범죄 집단을 소탕할 수 있는 능력이 떨어져 심각한 결함이 발생할 수 있다고 주장했다.

이번주 초, 미국 하원 정보위원회 청문회에서 레이는 “FBI 현장 요원은 보통 1시간 이내에 사이버사고를 당한 기업을 대상으로 조치를 취한다. 사이버 사고는 1년에 수천 번씩 발생하고 있기 때문에 정보 흐름을 철저히 보호할 필요가 있다”라고 말했다.

바이든 행정부는 CISA의 손을 들어줬다. 백악관 국가 사이버 국장 크리스 잉글리스는 FBI의 우려를 반영한 변경사항 없이 사이버 사고 신고법을 지지했다. 1.5조 달러 규모의 일괄세출안에서 25.9억 달러가 CISA에 할당된다. 바이든 행정부가 요구한 예산보다도 3억 달러 더 많은 금액이다.
 

정부 관계자 반응은 대체로 긍정적

미국 하원의 법안 통과에 대한 다른 정부 관계자의 반응은 긍정적이었다. 미국 하원 국토안보위원회의 양당 대표는 언론 보도를 통해 “소유자와 운영자에게 중요한 사이버 사고 및 랜섬웨어 공격을 CISA에 보고하도록 요구하면 연방정부의 가시성 확대, 악성 사이버 캠페인 조기 차단, 민간 부문에 더 나은 정보 및 위협 지식 제공 등을 통해 향후 공격을 방어할 수 있다. CISA가 이처럼 가변적인 지정학적 환경에서 빠른 속도로 진화하는 사이버 위협에 대응하기 위해 노력하고 있어 사이버 사고 신고법에 명시된 권한 및 리소스가 빠른 시일 내에 제공될 것으로 예상된다”라고 말했다.

미국 상원 의원 마크 워너와 팀 카인은 이번 일괄세출안이 통과된 것에 기뻐했다. 워너는 자신이 사이버 사고 신고 조치를 포함한 2022년 미국 사이버 보안 강화법 지지자였다고 밝혔다.

일괄세출안은 3월 10일 밤에 미국 상원의 승인을 받았으며, 현재 바이든 대통령의 서명을 기다리고 있다.

이스털리는 성명을 통해 “CISA는 민간 부문 파트너의 보고서를 통해 사이버 위협 행위자가 미국 네트워크와 중요 인프라를 표적으로 삼는 보편적인 방법을 파악할 것이다. 이를 통해 CISA는 중요한 정보 공백을 메우고 리소스를 신속하게 배포하며, 사이버 공격을 받은 피해자를 지원한다. 또한, 여러 부문에서 유입되는 신고를 분석해 동향을 파악하고, 파악한 정보를 네트워크 방어자와 신속하게 공유해 다른 잠재적 피해자에게 경고할 수 있다. CISA는 국가 네트워크와 중요 인프라의 보안과 탄력성을 개선하기 위해 산업 및 연방정부 파트너와 투명하게 협업할 것이다”라고 말했다.

이스털리는 “쉽게 말해, 사이버 사고 신고법은 게임 체인저라고 할 수 있다. 이번 신고법의 제정으로 미국 사이버 보안이 전반적으로 큰 발전을 이루게 됐다. 또한, 2022 회계년도에 CISA에 전례 없는 상당한 양의 자금을 지원한 의회에 감사의 인사를 전한다. 이런 투자를 통해 CISA의 미션은 중요성을 인정받고 있으며, 의회가 미국 네트워크와 중요 인프라를 보호할 수 있는 CISA의 역량을 신뢰하고 있다는 사실을 알 수 있다”라고 말했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.