2021.04.29

미 바이든 행정부, 전력망 사이버 보안 위험 해결 위한 100일 계획 발표

Cynthia Brumfield | CSO
미 바이든 행정부가 미국 전력망에 대한 사이버 보안 위험을 해소하기 위한 100일 계획을 발표했다. 이 계획은 미 에너지부와 전력 산업계, CISA(Cybersecurity and Infrastructure Security Agency, 사이버 보안 및 인프라 보안국)가 힘을 합친 결과물이다. 발표문에 따르면, “적으로부터의 당면한 사이버 위협에 대응하는 신속하고 공격적인 조처”가 이번 계획의 골자이다.
 
ⓒ Getty Images Bank

기본 개념은 에너지부 내에서 CESER(Cybersecurity, Energy Security, and Emergency Response) 본부가 “기술과 시스템을 지속적으로 강화해 발전 시설의 산업 제어 시스템을 위한 사이버 가시성과 탐지, 대응 역량을 제공하는 것”이다. 이 목표를 달성하기 위해 이번 “집중 대책”은 전력망 관련 주체에 다음과 같은 조처를 촉구한다.
 
  • 탐지, 완화, 포렌식 역량을 강화하는 방안과 기술을 구현한다
  • 중요한 산업 제어 시스템(ICS)과 운영 기술(OT) 네트워크에 거의 실시간으로 상황을 인지하고 대응할 수 있는 기술을 배치한다.
  • 자체 IT 네트워크의 보안 태세를 강화한다.
  • ICS와 OT 시스템에 위협에 대한 가시성을 높일 수 있는 기술을 배치한다.
 

트럼프의 적성 국가 제품 구매 금지 명령 재가동

이 계획의 일환으로 바이든 행정부는 트럼프 행정부가 내렸던 행정 명령을 재가동했다. 새 대통령 취임과 함께 유보했던 명령으로, 전력회사가 고압변압기처럼 위험성이 높은 전력 장비를 중국 같은 적대 국가에서 구매하는 것을 금지한다.

미 에너지부는 또한 적대 국가로부터의 공급망 위협을 관리하기 위해 새로운 RFI(Request for Information)도 발표했다. 미국의 중요한 전력 인프라에 대한 지속적인 보안을 확실히 해 외부 위협에 의한 미국 공급망의 악용이나 공격을 방지하는 데 중점을 둔다. 이 RFI는 포괄적인 이니셔티브인 미국 공급망 강화를 위한 행정 명령 EO 14017의 일부로, 미국 경제 전반에 걸쳐 공급망을 점검하고 복원력을 높이는 데 중점을 두고 있다.
 

RFI를 통한 공급망 위험 요소 확인

11쪽 분량의 RFI는 “중국에서 수입한 필수 전기 시스템 장비가 점점 폭넓게 사용되는 것은 심각한 위협이 되고 있다. 중국 법률은 중국에서 제조되거나 공급한 장비의 취약점을 확인해 악용할 수 있는 여지가 있는데, 이런 장비가 미국의 매우 중요한 인프라에 사용되고 있다”고 취지를 설명했다. 이에 따라 미 에너지부는 100일 집중 대책 기간 동안 전력 시설들이 “적대 국가가 보유하고 통제하고 영향을 미치는 전기 장비와 프로그래밍 가능한 부품을 설치하는 일의 위험을 최소화하는 방식으로 대처할 것”으로 기대한다고 밝혔다.

RFI는 여러 가지 질문을 던지는데, 특정 장비의 일부에 전력 분배 시스템에 설치되는 것을 금지된 부품이 사용됐는지 여부 등이 포함되어 있다. RFI는 국방 영역에 서비스를 제공하는 전력 시설은 이런 장비를 말끔하게 배제해야 한다는 것을 기본 전제로 한다.

또한 이런 금지 조처를 다른 핵심 인프라 영역으로 확대했는지도 묻는다. 통신이나 긴급 서비스, 의료, 공공보건, IT, 운송 시스템 등이다. 여기서 더 나아가 발전 시설이 서비스 영역 내에서 중요한 인프라를 충분히 파악할 수 있는지도 확인한다. 

미 에너지부는 모든 관계자에게 응답 내용을 RFI에 담아 일반 우편으로 6월 7일 미 연방 관보 발행하는 45일 내에 보낼 것으로 권장했다.
 

100일 사이버 보안 계획에 대한 업계 반응은 긍정적

전력 분야 사이버보안 전문가들의 반응은 낙관적이다. 사이버 보안 업체 트러스티드섹(TrustedSec)의 리서치 프랙티스 책임자 카를로스 페레즈는 “어떤 곳은 지방 정부 소유이고, 어떤 곳은 민간 기업이다. 어떤 곳은 실질적으로 여러 성격의 주체가 뒤섞여 함께 운영한다. 이들 모두가 국가 전력망으로 상호 연결되는데, 국가 전력망은 최소한 운영 면에서도 일정한 기반 표준이 있다. 새로운 계획은 이들 모두를 하나로 묶으려는 것이다. 상황 파악이라는 것을 하려는 것이다”라고 평가했다. 

에디슨 전기협회(Edison Electric Institute, EEI)의 대표이자 CEO 주도 ESCC(Electricity Subsector Coordinating Council)의 주도 인물인 톰 쿤은 발표문을 통해 “새로운 ICS 이니셔티브를 환영하며, 바이든 행정부가 전력망 운영에서 사이버 보안에 높은 우선순위를 둔 것에 감사한다”고 밝혔다. 쿤은 백악관이 추진하는 계획이 다른 전력 분야의 노력을 보완하는 것이라는 점을 지적하며, EEI는 “전력 산업 전반과 핵심 정부 기관이 함께 이들 핵심 제어 시스템에 대한 가시성을 높이고 다가오는 위협에 대한 상황 인식을 개선하기를 바란다”고 강조했다.
 

정보 공유 등 일부 요소는 여전히 해소 불가능

바이든 행정부의 계획은 정보 공유와 같은 전력 분야에서 필요성이 큰 보안 요소는 해결하지 못한다. 에너지 분야 보안 컨소시엄의 설립자이자 미국 산업 사이버 보안 센터 코디네이터인 패트릭 밀러는 “정말로 필요한 것은 데이터 유출 알림이다. 논란의 여지가 크다는 이유가 싫다. 우리는 막대한 금액을 보안에 투여한다. 그럼에도 실질적인 위험 데이터는 별로 없다. 풍부한 헬스케어 데이터 없이 헬스케어를 관리한다고 생각해 보라”라고 지적했다.

슈나이더 일렉트릭의 에너지 관리 담당 최고 제품 보안 임원인 메간 샘포드는 “바이든 행정부는 국제적으로 인정되는 제어 프레임워크인 IEC 62443과 NIST 도입을 장려할 수도 있다. 두 프레임워크를 상호 보완적으로 사용할 수 있다”고 말했다.

바이든 행정부의 새 계획으로 해결할 수 없는 또 다른 문제는 사이버보안 기술력 격차를 메우는 것이다. 샘포드는 “자산 보유자는 시장에서 구할 수 있는 사이버 보안 인력 부족으로 어려움을 겪고 있다. 솔루션 업체가 안전한 제품과 시스템을 공급한다고 해도, 통합업체와 보유업체, 운영업체에게는 시스템의 시스템이라 과제가 된다”고 강조했다. editor@itworld.co.kr


2021.04.29

미 바이든 행정부, 전력망 사이버 보안 위험 해결 위한 100일 계획 발표

Cynthia Brumfield | CSO
미 바이든 행정부가 미국 전력망에 대한 사이버 보안 위험을 해소하기 위한 100일 계획을 발표했다. 이 계획은 미 에너지부와 전력 산업계, CISA(Cybersecurity and Infrastructure Security Agency, 사이버 보안 및 인프라 보안국)가 힘을 합친 결과물이다. 발표문에 따르면, “적으로부터의 당면한 사이버 위협에 대응하는 신속하고 공격적인 조처”가 이번 계획의 골자이다.
 
ⓒ Getty Images Bank

기본 개념은 에너지부 내에서 CESER(Cybersecurity, Energy Security, and Emergency Response) 본부가 “기술과 시스템을 지속적으로 강화해 발전 시설의 산업 제어 시스템을 위한 사이버 가시성과 탐지, 대응 역량을 제공하는 것”이다. 이 목표를 달성하기 위해 이번 “집중 대책”은 전력망 관련 주체에 다음과 같은 조처를 촉구한다.
 
  • 탐지, 완화, 포렌식 역량을 강화하는 방안과 기술을 구현한다
  • 중요한 산업 제어 시스템(ICS)과 운영 기술(OT) 네트워크에 거의 실시간으로 상황을 인지하고 대응할 수 있는 기술을 배치한다.
  • 자체 IT 네트워크의 보안 태세를 강화한다.
  • ICS와 OT 시스템에 위협에 대한 가시성을 높일 수 있는 기술을 배치한다.
 

트럼프의 적성 국가 제품 구매 금지 명령 재가동

이 계획의 일환으로 바이든 행정부는 트럼프 행정부가 내렸던 행정 명령을 재가동했다. 새 대통령 취임과 함께 유보했던 명령으로, 전력회사가 고압변압기처럼 위험성이 높은 전력 장비를 중국 같은 적대 국가에서 구매하는 것을 금지한다.

미 에너지부는 또한 적대 국가로부터의 공급망 위협을 관리하기 위해 새로운 RFI(Request for Information)도 발표했다. 미국의 중요한 전력 인프라에 대한 지속적인 보안을 확실히 해 외부 위협에 의한 미국 공급망의 악용이나 공격을 방지하는 데 중점을 둔다. 이 RFI는 포괄적인 이니셔티브인 미국 공급망 강화를 위한 행정 명령 EO 14017의 일부로, 미국 경제 전반에 걸쳐 공급망을 점검하고 복원력을 높이는 데 중점을 두고 있다.
 

RFI를 통한 공급망 위험 요소 확인

11쪽 분량의 RFI는 “중국에서 수입한 필수 전기 시스템 장비가 점점 폭넓게 사용되는 것은 심각한 위협이 되고 있다. 중국 법률은 중국에서 제조되거나 공급한 장비의 취약점을 확인해 악용할 수 있는 여지가 있는데, 이런 장비가 미국의 매우 중요한 인프라에 사용되고 있다”고 취지를 설명했다. 이에 따라 미 에너지부는 100일 집중 대책 기간 동안 전력 시설들이 “적대 국가가 보유하고 통제하고 영향을 미치는 전기 장비와 프로그래밍 가능한 부품을 설치하는 일의 위험을 최소화하는 방식으로 대처할 것”으로 기대한다고 밝혔다.

RFI는 여러 가지 질문을 던지는데, 특정 장비의 일부에 전력 분배 시스템에 설치되는 것을 금지된 부품이 사용됐는지 여부 등이 포함되어 있다. RFI는 국방 영역에 서비스를 제공하는 전력 시설은 이런 장비를 말끔하게 배제해야 한다는 것을 기본 전제로 한다.

또한 이런 금지 조처를 다른 핵심 인프라 영역으로 확대했는지도 묻는다. 통신이나 긴급 서비스, 의료, 공공보건, IT, 운송 시스템 등이다. 여기서 더 나아가 발전 시설이 서비스 영역 내에서 중요한 인프라를 충분히 파악할 수 있는지도 확인한다. 

미 에너지부는 모든 관계자에게 응답 내용을 RFI에 담아 일반 우편으로 6월 7일 미 연방 관보 발행하는 45일 내에 보낼 것으로 권장했다.
 

100일 사이버 보안 계획에 대한 업계 반응은 긍정적

전력 분야 사이버보안 전문가들의 반응은 낙관적이다. 사이버 보안 업체 트러스티드섹(TrustedSec)의 리서치 프랙티스 책임자 카를로스 페레즈는 “어떤 곳은 지방 정부 소유이고, 어떤 곳은 민간 기업이다. 어떤 곳은 실질적으로 여러 성격의 주체가 뒤섞여 함께 운영한다. 이들 모두가 국가 전력망으로 상호 연결되는데, 국가 전력망은 최소한 운영 면에서도 일정한 기반 표준이 있다. 새로운 계획은 이들 모두를 하나로 묶으려는 것이다. 상황 파악이라는 것을 하려는 것이다”라고 평가했다. 

에디슨 전기협회(Edison Electric Institute, EEI)의 대표이자 CEO 주도 ESCC(Electricity Subsector Coordinating Council)의 주도 인물인 톰 쿤은 발표문을 통해 “새로운 ICS 이니셔티브를 환영하며, 바이든 행정부가 전력망 운영에서 사이버 보안에 높은 우선순위를 둔 것에 감사한다”고 밝혔다. 쿤은 백악관이 추진하는 계획이 다른 전력 분야의 노력을 보완하는 것이라는 점을 지적하며, EEI는 “전력 산업 전반과 핵심 정부 기관이 함께 이들 핵심 제어 시스템에 대한 가시성을 높이고 다가오는 위협에 대한 상황 인식을 개선하기를 바란다”고 강조했다.
 

정보 공유 등 일부 요소는 여전히 해소 불가능

바이든 행정부의 계획은 정보 공유와 같은 전력 분야에서 필요성이 큰 보안 요소는 해결하지 못한다. 에너지 분야 보안 컨소시엄의 설립자이자 미국 산업 사이버 보안 센터 코디네이터인 패트릭 밀러는 “정말로 필요한 것은 데이터 유출 알림이다. 논란의 여지가 크다는 이유가 싫다. 우리는 막대한 금액을 보안에 투여한다. 그럼에도 실질적인 위험 데이터는 별로 없다. 풍부한 헬스케어 데이터 없이 헬스케어를 관리한다고 생각해 보라”라고 지적했다.

슈나이더 일렉트릭의 에너지 관리 담당 최고 제품 보안 임원인 메간 샘포드는 “바이든 행정부는 국제적으로 인정되는 제어 프레임워크인 IEC 62443과 NIST 도입을 장려할 수도 있다. 두 프레임워크를 상호 보완적으로 사용할 수 있다”고 말했다.

바이든 행정부의 새 계획으로 해결할 수 없는 또 다른 문제는 사이버보안 기술력 격차를 메우는 것이다. 샘포드는 “자산 보유자는 시장에서 구할 수 있는 사이버 보안 인력 부족으로 어려움을 겪고 있다. 솔루션 업체가 안전한 제품과 시스템을 공급한다고 해도, 통합업체와 보유업체, 운영업체에게는 시스템의 시스템이라 과제가 된다”고 강조했다. editor@itworld.co.kr


X