캘리포니아주 사례로 보는 사이버보안 대응 강화 방안은

캘리포니아 사이버보안 통합센터(Cal-CSIC)의 정보 공유 모델 개념도. 출처: 딜로이트 블로그

[이데일리 이재운 기자] 사이버 보안은 모든 것이 디지털로 연결되는 4차 산업혁명 시대 가장 뜨거운 화두다. 하지만 불편함을 더하고 실제 운영이 복잡하다는 특성은 보안을 어렵게 느끼게 만든다.

컨설팅 업체 딜로이트는 최근 미국 캘리포니아주 정부의 보안 책임기관 ‘캘리포니아 사이버보안 통합센터(The California Cybersecurity Integration Center’s; Cal-CSIC)’가 이런 난관을 어떻게 해소해나가고 있는지 소개하는 사례 학습 보고서를 내놨다.

공공 분야는 보안 분야에서 매우 중요한 영역으로 꼽힌다. 사회적인 중요성과 파장은 물론 관련 규제를 잘 준수하려고 노력하면서도, 동시에 제한된 예산과 운영 역량 부족으로 어려움을 호소하기도 한다.

캘리포니아주의 여러 공공 조직 또한 비슷한 문제를 겪었다. 이를 해소하기 위해 캘리포니아주 정부는 2015년 8월 Cal-CSIC를 설립한다. 캘리포니아주는 ‘실리콘밸리’로 대표되는 세계 IT 산업의 중심지이자 농업, 물류, 에너지 분야에서도 역시 중요한 요지로 꼽힌다. 자연히 해킹 공격에 따른 여파도 상당할 수 있다. Cal-CSIC은 이처럼 중요한 지역의 공공 분야 사이버보안 정책을 정비하고 총괄하는 무거운 역할을 맡게 됐다.

딜로이트를 비롯한 민간 기관과 협업을 통해 Cal-CSIC는 2016년 캘리포니아주의 주요 행정 시스템에 대한 분석에 돌입했다. 이를 통해 △이메일 중심의 정보 공유가 해킹 위협을 높이고 있다는 점 △주요 산하기관들이 필요로 하는 보안 솔루션은 충분히 갖추고 있으나 이를 제대로 활용하지 못하고 있다는 점 △공공 분야에서 사이버보안에 대한 전문성이 부족하다는 점 △취약점 등 보안 관련 정보를 자발적으로 공유하고 있지 않다는 점 등 문제점을 도출했다.

키스 트레시 Cal-CSIC 센터장은 “난 마케터였던 적이 없었지만, (위 문제점을)해소하는 작업은 철저히 마케팅 작업이었다”고 회상했다. 이런 문제를 해소하기 위해서는 자발적인 참여가 필요했고, 이를 위해서는 수요자인 공공 조직들의 신뢰를 얻어야했기 때문이다.

고심 끝에 Cal-CSIC가 내놓은 해법은 ‘지식 공유’ 프로그램이었다. Cal-CSIC는 물론 민간 보안업체와 연구기관, 주 정부 산하 공공기관 등이 참여하는 형태였다. 보안 취약점 등에 대한 정보 공유에서 시작해, 나아가 해킹 공격을 방어하기 위한 역량 공유로 이어졌다.

주요 내용을 보면 △기술적인 구조(아키텍처)는 자동화에 초점을 맞춰 사이버 위협 정보 공유를 촉진하고 △6개월간 시범 운영하는 ‘파일럿 파트너스’ 프로그램을 운영하며 △보안 정보 및 보안 이벤트 관리(SIEM) 도입 △활동을 통한 학습내용의 공유 등을 진행했다.

이를 통해 보안 위협에 대한 정보를 빠르게 공유하며 피해를 최소화하는 등 캘리포니아주 공공 분야에 대한 보안 대응 역량을 높여나갈 수 있었다는 것이 보고서의 결론이다.

트레시 센터장은 “다수의 기관과 플랫폼 상의 수 많은 요소들이 끼어들고, 타임라인과 결과 모두 연관된 관리상 예상요소가 큰 부분을 차지하는게 (공공 분야의) 특징”이라며 “하지만 정보 공유 모델이 캘리포니아의 사이버보안 역량을 강화했냐고 묻는다면 ‘당연하다(Absolutely)’라고 답할 수 있다”고 말했다.