美 행정부, 클라우드 서비스 업체에 대한 최초의 ‘포괄적 규제’ 나서
O 클라우드가 거대한 보안 취약점이 될 것을 우려하는 바이든 행정부가 클라우드 제공업체의 보안 관행을 규제하기 위해 미국 최초의 포괄적인 계획에 착수함.
- 미국 정부와 기업들은 지난 20년간 거의 무제한에 가까운 저장 용량, 강력한 소프트웨어, 안전에 대한 노하우를 보장하는 클라우드 서비스를 빠른 속도로 도입했음. 아마존, 마이크로소프트, 구글, 오라클 등의 클라우드 제공업체들은 중소기업에서부터 국방부와 CIA에 이르기까지 다양한 고객에게 데이터 스토리지와 컴퓨팅 서비스를 제공 중임.
- 켐바 월든(Kemba Walden) 미국 국가사이버국장(National Cyber Director) 권한대행은 한 인터뷰에서 “클라우드 서비스가 중단되면 경제와 정부에 치명적인 대혼란을 초래할 수 있다”고 우려한 바 있음. 이는 본질적으로 클라우드가 ‘대마불사(大馬不死, Too big to fail)’라는 의미임. 영국의 보험사 로이즈(The Lloyd's)의 2017년 연구에 따르면, 3대 클라우드 제공업체 중 한 곳이 3~6일 동안 가동이 중단될 경우 150억 달러 상당의 피해가 발생할 수 있음.
- 하드웨어 보안 회사인 큐넷시큐리티(Q-Net Security)의 최고보안책임자 마크 로저스(Marc Rogers)는 “클라우드 제공업체 중 하나가 무너지면 도미노처럼 인터넷이 무너질 수 있다”고 경고함. 또한 러시아 해커들이 아마존이나 마이크로소프트의 클라우드 서버를 다른 표적을 공격하기 위한 발판으로 사용하거나, 사이버 범죄 집단이 미국 클라우드 제공업체의 인프라를 이용하여 데이터를 훔치거나 이익을 편취할 우려가 있어 클라우드 서버는 정부 관계자들의 기대만큼 안전하지 않은 것으로 드러남.
- 최근 바이든 행정부는 외국 해커의 클라우드 서버 이용을 방지하기 위해 클라우드 제공업체에 사용자 신원 확인을 의무화할 것이라고 밝힘. 또한 지난주 국가 사이버 보안 전략 발표를 통해 향후 더 많은 클라우드 규제가 도입될 것임을 예고하고 업계의 규제 사각지대를 파악하여 보완할 계획이라고 밝힘. 정부 관계자들은 더 엄격해진 이 같은 접근방식에 관한 여러 인터뷰에서 “클라우드를 포기하려는 것이 아니라 빠른 성장이 보안 위험을 발생시키지 않도록 노력하는 것”이라고 설명함.
- 정부 측에서는 러시아 스파이들이 아마존과 고대디(GoDaddy) 서버를 수개월간 임대하여 9개 연방기관 및 100개 기업에 몰래 침투한 2020년 솔라윈즈(SolarWinds Corporation) 공격 사건을 예로 제시하며 “클라우드 제공업체들이 해커나 범죄자의 공격과 서비스 악용을 막기 위해 충분한 조치를 취하지 않는 것이 문제”라고 지적함. 롭 네이크(Rob Knake) 미국 국가 사이버 전략 및 예산 담당 부국장은 “외국 해커들이 더 능수능란하게 여러 서비스를 빠르게 이동하고 있어 위험성이 점점 커지고 있다”고 진단함. 또한 보안 기능을 추가하려면 고객이 추가 요금을 내야 하는 경우가 많고 고객이 비용을 지불하지 않으면 보안에 구멍을 남기는 관행도 문제로 지적됨. 앤 노이버거(Anne Neuberger) 사이버 및 신흥 기술 담당 국가 안보 부보좌관도 지난주 신규 사이버 전략 발표회 자리에서 “클라우드 제공업체가 보안 기능을 기본으로 제공하도록 하는 것이 목표”라고 말함.
- 규제를 어렵게 만드는 요인 중 하나는 클라우드 서비스를 이용하는 정부나 기업이 클라우드 제공업체의 보안 조치에 대해 완전히 파악하지 못하고 있다는 사실임. 지난달 재무부는 미국 금융 부문의 클라우드 서비스 사용에 관한 한 연구 결과를 통해 클라우드 제공업체의 불투명성과 미국 은행의 관련 위험성에 대한 이해 부족을 지적한 바 있음.
- 정부 관리들은 클라우드 제공업체들이 공공 부문을 새로운 수익원으로 생각하는 경향이 짙어짐에 따라 보안에 대한 태도도 변화하고 있다고 말함. 정부의 최근 움직임에 대해서도 클라우드 업계는 크게 반대하고 있지 않으며, 필 베너블스(Phil Venables) 구글 최고 정보 보안 책임자는 “매우 적절한 조치”라고 평하기도 함. 디지털 혁신 연맹(Alliance for Digital Innovation, ADI)의 로스 노더프트(Ross Nodurft)도 기업들이 이미 기존의 ‘광범위한 보안 요건’을 준수하고 있으며, 앞으로 “조화로운 접근을 위해 백악관과 협력을 희망한다”고 말함. 마이크로소프트의 대변인도 이와 유사한 논평을 전했으며, AWS(Amazon Web Service)는 보안을 우선순위로 삼고 있다고 밝혔으나 추가 규제에 대한 질문에는 응답하지 않음. 오라클은 논평 요청에 응답하지 않음.
- 미 하원 국토안보위원회 위원장인 마크 그린(Mark Green) 의원과 사이버 및 인프라 보호 소위 위원장 앤드루 가바리노(Andrew Garbarino) 의원 등 일부 공화당 의원들은 “백악관의 사이버 보안 전략이 규제를 과도하게 강조하고 있다”고 비판함. 이들은 백악관이 의회에 제출하는 모든 주요 사이버 보안 법안에 대해 사실상 거부권을 행사할 수 있음. 대서양협의회(Atlantic Council)의 사이버 국가경영 이니셔티브(Cyber Statecraft Initiative) 디렉터인 트레이 허(Trey Herr)는 “한 제품의 보안을 유지할 수 있는 방법은 많지만, 모든 제품의 위험을 한꺼번에 관리할 방법은 거의 없다”고 지적함.
출처: 폴리티코
KITA.NET
한국
중국
미국
