2021년 5월 12일, 바이든 대통령은 취임 후 첫 4개월 동안 발생한 일련의 주목받는 사이버 보안 사고(콜로니얼 파이프라인 공격 포함)로 인해 국가 인프라 및 정보 시스템 내 취약점이 드러난 것을 계기로 '국가 사이버 보안 강화에 관한 행정명령'을 발령했습니다. 이번 행정명령이 국가 사이버 방어 체계를 강화하기 위해 발령된 최초의 조치는 아니지만, 백악관이 "[최근 사이버 보안 사고들은] 미국 공공 및 민간 부문 기관들이 국가 차원의 행위자들과 사이버 범죄자들로부터 점점 더 정교한 악의적 사이버 활동에 직면하고 있음을 냉철하게 상기시켜준다"고 밝힌 점을 고려할 때, 가장 큰 영향력을 발휘하고 실질적 변화를 이끌어낼 가능성이 높은 행정명령이다. [또한] 공공 및 민간 부문 기관들이 사건에 더 취약하게 만드는 불충분한 사이버 보안 방어 체계"라는 백악관 성명을 고려할 때 가장 영향력 있고 변화를 이끌어낼 가능성이 높은 행정명령이다.
이는 모든 이에게 경각심을 불러일으켜 보안 프로토콜을 재검토하고 시스템 테스트를 통해 적절한 보안이 유지되도록 해야 함을 시사합니다. 이 행정명령은 연방 기관, 그 계약업체 및 연방 기관을 대신하여 업무를 수행하는 기타 기관이 사용하거나 운영하는 정보 시스템에 대한 기준과 요건을 설정합니다. 여기에는 사이버 방어 체계 강화, 사건 관련 중요 정보 기록 기능 개선, 사건 대응을 위한 간결하고 일관되며 보편적인 방법론 수립, 사건 발생 후 영향을 받은 기관들이 안전하고 보안이 유지된 방식으로 정보를 공유하도록 요구하는 내용이 포함됩니다. 이 행정명령은 다음과 같은 방법으로 미국의 사이버 보안 방어 체계를 강화하는 것을 목표로 합니다:
연방 정부와 민간 부문 간 위협 정보 공유 장벽 제거: 연방 조달 규정(FAR) 및 국방 연방 조달 규정 보충규정(DFARS)의 계약 요건 및 조항을 개정하여 사이버 보안 사고 정보 공유에 대한 계약상 장애를 제거할 예정입니다. 개정된 계약 조항은 계약업체가 사이버 사고를 해당 연방 기관에 보고해야 하는 기간을 설정하며, 가장 심각한 사고의 경우 3일 이내 보고를 의무화합니다.
연방 정부의 강력한 사이버 보안 기준 현대화 및 시행: 연방 기관들은 안전한 클라우드 서비스로의 전환과 제로 트러스트 아키텍처를 최우선 과제로 삼기 위해 기존 기관 계획을 업데이트해야 합니다. 제로 트러스트는 조직이 내부 또는 외부 여부와 관계없이 어떤 것도 자동으로 신뢰하지 않는 보안 개념입니다. 대신, 접근 권한을 부여하기 전에 환경에 연결하려는 모든 장치를 검증해야 합니다. 또한 이 행정 명령은 발효일로부터 180일 이내에 다중 인증 및 저장 시 암호화 및 전송 중 암호화의 구현 및 배포를 의무화합니다.
소프트웨어 공급망 보안 강화: 미국 국립표준기술연구소(NIST)는 정부에 판매되는 소프트웨어에 대한 엄격한 기본 보안 기준을 수립하는 지침을 개발 및 발표할 예정이며, 여기에는 소프트웨어 보안 데이터의 공개적 제공 의무가 포함됩니다. 해당 기준 미준수 시 공급업체는 블랙리스트에 등재될 수 있습니다. 이 행정명령은 시범 프로그램을 신설하고, 구매자가 해당 소프트웨어가 요구사항을 준수하여 개발되었는지 신속하고 쉽게 확인할 수 있도록 하는 '에너지 스타' 유형의 라벨 개발을 추진한다.
사이버보안 안전 검토 위원회 설립: 이 행정 명령은 국방부, 법무부, 사이버보안·인프라 보안국(CISA), 국가안보국(NSA), 연방수사국(FBI)의 대표자 및 선별된 민간 부문 사이버보안 또는 소프트웨어 공급업체로 구성된 사이버보안 안전 검토 위원회를 설립합니다. 국가교통안전위원회를 모델로 한 사이버보안 안전 검토 위원회는 "중대한 사이버 사고" 발생 후 소집되어 국토안보부 장관에게 사이버보안 및 사고 대응 관행 개선을 위한 권고안을 제출할 예정이다. 또한 정부 기관의 사고 대응을 위한 표준화된 접근 방식 또는 "플레이북" 개발을 담당하게 된다. 이 위원회는 솔라윈즈 공격 사건 조사를 위해 최초로 투입될 예정이다.
사이버 사고 대응 표준 플레이북 수립: 이 행정명령은 연방 부처 및 기관 전반에 걸쳐 사이버 보안 사고 및 취약점 대응 노력을 표준화할 필요성을 인정합니다. 위협을 식별하고 완화하기 위한 일련의 정의와 통일된 절차를 수립하는 플레이북을 마련함으로써, 이 행정명령은 모든 연방 기관이 특정 대비 기준을 충족하도록 보장합니다. 이 플레이북은 민간 부문이 사이버 사고에 대응할 때도 지침 역할을 할 것입니다.
연방 정부 네트워크에서의 사이버 보안 사고 탐지 능력 향상: 연방 네트워크 전반에 정부 차원의 엔드포인트 탐지 및 대응(EDR) 시스템이 구축될 예정입니다. 이는 정부 내 정보 공유 역량 강화와 연계되어 연방 네트워크 상의 악성 사이버 활동 탐지 능력을 획기적으로 개선할 것입니다.
수사 및 대응 능력 강화: 연방 기관들은 이 행정명령 발효 후 90일 이내에 공개될 상세한 요구사항에 따라 강력하고 일관된 사이버 보안 이벤트 로그를 생성 및 보관해야 합니다. 해당 요건은 로그 관리 정책을 수립하여 중앙 집중식 접근을 보장하고, 필요하고 적절한 경우 다른 연방 기관과 로그 정보 공유를 허용할 것입니다. 이는 침입 시도 탐지, 진행 중인 침입 완화, 사건 후 포렌식 분석, 잠재적 사이버 위험 최소화에 기여할 것입니다.
이 행정명령은 수년간 논의되거나 알려진 바 없는 새로운 내용을 도입하지는 않지만, 최근 증가하는 사이버 보안 공격을 고려할 때 행정명령에 명시된 조치들을 이행하는 것이 매우 중요할 것입니다. 추가 규정이 여전히 마련되어야 하지만, 이 행정명령은 모든 기업이 고려해야 할 사이버 보안 모범 사례의 기준을 제시합니다.
