핵심 인프라 보호

배경

CIP(핵심 인프라 보호)는 사회에 반드시 필요한 서비스의 중추를 형성하는 상호의존적 시스템, 네트워크, 자산을 보호하기 위한 조치로 구성되어 있습니다. 중요한 물리적 인프라로는 도로, 다리, 공항, 통신 시설, 발전소 등이 있습니다. 정보 기반 인프라를 통해 모든 다른 것이 기능할 수 있으며 이는 컴퓨터와 네트워크, 특히 중요한 기능에 대한 정보 교환 및 분석을 할 수 있는 상호연결된 기반에서 작동하는 SCADA 시스템을 특징으로 합니다. 여기에는 은행, 전력 발전 및 배전, 의료 서비스, 정부 긴급 서비스, 항공 및 지상 교통이 포함됩니다.

대부분의 국가에서는 핵심 정보 인프라를 대부분 민간 부문에서 소유 및 운영하고 있으며 규제 프로세스가 따라갈 수 있는 속도보다 훨씬 빠르게 변화하는 경우가 많아 새로운 위협과 이를 이겨내는 데 필요한 기술을 반영한 동적인 솔루션을 필요로 합니다. 인터넷 특유의 빠르고 지속적인 변화가 전 세계적 영향력과 합쳐지면서 새롭게 진화하는 환경에 신속하게 적응할 수 있는 유연한 솔루션이 필요해졌습니다.

McAfee에 가지는 중요성

자연재해, 사이버 공격, 기타 이유로 인한 물리적 또는 정보 기반 인프라의 파괴 또는 무력화는 시민, 기업, 정부에 매우 큰 위협이 될 수 있습니다. 전 세계는 중요한 정보 시스템과 네트워크를 보호해야 한다는 과제에 직면해 있습니다. 오늘날의 정보 인프라는 전 세계적인 연결성과 상호연동성에 바탕을 두고 있습니다. 따라서 전 세계의 핵심 정보 인프라를 보호하기 위해 효과적인 국제 전략 및 솔루션을 채택하는 일이 중요합니다.

McAfee는 연결된 세상을 보다 안전하게 만들기 위해 최선을 다하고 있습니다. 당사는 특히 핵심 인프라 조직이 국가와 글로벌 범죄 조직의 공격을 매일 받고 있는 상황에서 한 명의 개인이나 단일 제품, 단일 조직이 사이버 공격자와 싸울 수 없다고 생각합니다. 이제까지 McAfee는 의료, 정부, 금융을 포함한 핵심 인프라 부문에서 비즈니스를 탄탄하게 구축해왔습니다. McAfee는 또한 통신 및 에너지와 같은 다른 중요한 부문에서도 진전을 보이고 있습니다. McAfee는 고객의 이익을 위한 노력의 일환으로 고객과 잠재 고객이 더 큰 윈-윈 전략의 일부로서 작동하는 공공 정책 환경에 적극적으로 관심을 기울이고 영향력을 행사하려 합니다.

정책 제안

자발적인 접근법 유지

언급할 필요도 없이, 국가 정부는 민간 부문에서 대부분 소유하고 있는 핵심 인프라를 안전하게 지키는 데 관심이 있습니다. 마찬가지로, McAfee는 민간 부문이 핵심 인프라 보호에 앞장서야 한다고 생각합니다. 정부는 산업계가 핵심 인프라 보호 측면에서 자발적인 혁신을 계속하도록 허용해야 합니다. 각종 규정 및 의무 사항은 핵심 인프라 보호를 보장한다는 목표를 달성하는 데 있어 생산성을 저해합니다.

  • 규정에 따라 제조업체가 오늘날의 위협을 방어한다면 미래의 위협은 이 상황을 비껴갈 가능성이 큽니다.
  • 정부가 기술 권한을 부과한다면 결과는 진정한 보안보다는 단순한 ‘준수’에 머무를 가능성이 큽니다. 사이버 보안과 같은 영역의 규제는 매우 까다로우며 규제로 인한 혜택보다 의도하지 않은 결과가 더 클 수도 있습니다.

경직된 규정에 비해 NIST 프레임워크를 만들어낸 자발적인 공공/민간 파트너십과 같은 접근법이 훨씬 낫습니다. NIST 접근법은 정책입안자와 민간 부문이 실제로 필요한 핵심 인프라의 보안 개선을 정의할 수 있었기 때문에 성공했습니다. 프로세스가 공개되면서 NIST는 민간 부문의 의견을 듣고 주요 이해 관계자와 신뢰를 쌓았으며 경직된 규제가 아닌 자발적인 협력에 기초한 유연한 프레임워크를 탄생시켰습니다. 협력을 통해 더 신속하게 배포될 수 있으며 안전성이나 신뢰성을 희생하지 않는 통합되고 검증된 산업 프로세스 솔루션이 가능해졌습니다. 정책입안자는 NIST 프레임워크의 성공을 원하는 결과를 얻기 위한 긍정적인 방식으로 염두에 두어야 합니다.

 

설계에 따른 보안에 인센티브 부여

정책입안자는 새로운 모든 CI 도입에서 설계에 따른 보안에 인센티브를 부여해야 합니다. 개발 프로세스의 초기에 보안을 도입하는 것, 즉 처음부터 인프라 내부에 보안을 구축하는 일은 개발 이후에 보안을 위한 패치, 업데이트, 시스템 변경을 하는 일보다 훨씬 나은 선제적인 접근법입니다.

  • 이미 완성되고 운영되고 있는 시스템, 네트워크, 장치에 보안 기능을 더하거나 ‘접합’하는 것은 내재적인 취약성과 비효율성을 동반합니다. 업데이트하는 동안 시스템을 오프라인 상태로 두는 것은 에너지 그리드에도 실용적이지 않은 요구사항입니다.
  • 제조업체는 네트워크에 연결할 수 있는 모든 장치의 설계 프로세스 초기에 보안을 고려해야 하며 초기 생산 후에는 제품을 안전하게 업그레이드하고 패치하기 위한 메커니즘을 포함해야 합니다.

 

사이버 보안 기능에 대한 투자 활성화

사이버 보안의 최전선에 있는 조직으로서 McAfee는 조직을 원활하게 운영하는 데 필요한 모든 종류의 투자를 고객이 얼마나 어렵게 하고 있는지 알고 있습니다. 사이버 보안에 대한 투자가 새로운 제품, 판매, 마케팅을 위한 투자에 밀리는 일은 비일비재합니다. 민간 부문에서 소유하고 운영하고 있는 핵심 인프라 시스템의 보호에 대한 국가적인 이익을 고려하면 정책입안자가 아래와 같은 추가적인 인센티브를 부여함으로써 이러한 조직에서 사이버 보안 능력을 개선할 수 있도록 지원해야 합니다.

  • 세금 인센티브: 검증된 보안 기술을 도입하는 대가로 감가상각 일정이나 세금 공제를 앞당기는 등 세금 인센티브를 통해 기업이 사이버 방어에 투자하도록 장려합니다.
  • 보험 개혁: 정부가 백스톱 프로그램을 제공하여 보험 시장을 강화할 수 있습니다. 이를 위해 의회는 TRIPRA(Terrorism Reinsurance Program Reauthorization Act)의 적용 범위를 확장하여 사이버 공격을 포함하는 방안을 검토해야 합니다.
  • 정보 공유 무임승차 문제를 극복하기 위한 인센티브: 위협 정보의 ‘무임승차’ 문제가 공공 및 민간 부문 정보 공유 의욕을 저해한다는 점을 인식해야 합니다. 모든 조직은 위협 정보를 사용해 이익을 얻지만, 무임승차 문제를 해결하기 위한 적절한 조직 구조와 인센티브를 마련하지 못하면 위협 정보 제공을 통해 직접적인 결과를 얻을 수 없습니다.
  • 더 많은 위협 데이터의 기밀 해제: 정부는 무임승차 문제를 해결하기 위해 민간 부문과 공유하는 위협 데이터의 양과 질을 개선할 필요가 있습니다. 그에 따라 정부는 더 큰 범주의 위협 데이터의 기밀 등급을 완화하고 이를 민간 부문과 적극적으로 공유해야 합니다. 정부는 가장 민감하고 잠재적으로 가장 가치가 있는 위협 데이터의 일부 또는 등급에 액세스할 수 있도록 자격을 갖춘 기업 대표에게 더 많은 보안 허가를 부여해야 합니다.