해커와 싸우기 위한 법률

조직은 이제 필수적인 서비스를 보호하기 위해 사이버 공격으로부터 보호해야 한다.

 

2015년 12월 23일 오후 3시 30분, 우크라이나 서부의 도시 이바노-프랑키브스크의 주민은 근무일 종료를 생각하고 있었다. 수천 명의 지역 주민들에게 전력을 공급하는 시설인 이 지역 프리 카르파티 오블 레 네고 관제센터 운영자들도 교대 시간에 가까웠다. 그 후 재난이 닥쳤다.

한 노동자는, 얼음으로 뒤덮인 거리를 터벅터벅 걸어가기 전에 책상을 정리하면서, 컴퓨터에 있는 마우스 커서가 그의 손길 없이 화면을 가로질러 윙윙거리자 더블 테이크를 했다. 먼저 그는 믿지 못하면서 지켜보다가 커서가 능숙하게 시스템을 탐색하기 시작하자 힘없는 공황 상태를 지켜보았다. 보이지 않는 사용자는 변전소를 폐쇄하고 수천 명의 사람들을 위해 전등과 열을 단번에 껐다.

해커들은 두 개의 다른 우크라이나 발전소를 동시에 성공적으로 공격했고 거의 60개의 변전소를 오프라인으로 전환하는 데 성공했고, 말 그대로 몇 시간 동안 거의 25만 명의 사람들이 어둠에 잠겼다.

 

이바노 -프랑키브스크

발전소 불능화를 위한 첫 번째 검증된 해킹이 발생한 우크라이나의 도시 이바노-프랑키브스크
이는 국가 중요 인프라에 대한 마지막 사이버 공격과는 거리가 멀었지만, 발전소 불능화를 위한 최초의 검증된 해킹이었다. 예를 들어, 미국에서는 2016년에 수돗물을 처리하는 데 사용되는 화학 물질의 수준이 공장에서 변경되었다. 집에서 가까운 곳에서 2017년 5월 나흘간 지속된 전 세계 워너 크라이 랜섬웨어 공격은 다른 수많은 대상들 중에서도 영국 국민건강서비스(National Health Service)에 영향을 미쳤고, 이미 입소한 병원의 효율성은 더욱 훼손돼 직원들이 펜과 종이를 사용하여 복귀해야 했다.

이러한 공격을 제한하기 위해, 2016년 8월, 네트워크 및 정보 시스템(NIS) 지령이 유럽연합에 의해 승인되었다. 이 법률은 널리 알려진 GDPR(General Data Protection Regulation)이 발효된 바로 그 달인 올해 5월 10일부터 영국에서 시행이 가능하게 되었으며, 다른 20개 EU 회원국이 유사한 기한 내에 작업하고 있다.

국정원 지시는 승객과 화물 운송, 물, 에너지, 보건, 디지털 서비스 분야의 사업자들이 증가하는 사이버 위협에 대처할 수 있도록 준비하도록 하는 것을 목표로 하고 있다. 그것은 주로 부문 규제 기관 또는 관할 당국으로 작용하는 책임 있는 정부 부서가 감독하는 컴플라이언스를 가진 필수 서비스의 운영자로 식별된 조직에 적용된다.

이 지침은 GDPR에 해당하는 데이터 손실보다는 서비스 상실에 관한 것이다. 하지만 벌칙은 벌칙과 다를 바 없다. 지침에서 요약한 바와 같이 효과적인 사이버 보안 조치를 이행하지 않는 조직은 1천7백만 파운드 이상의 벌금을 부과받을 수 있다. 게다가, 그들은 만약 이 사건이 개인 데이터 침해와 관련이 있다면, 이중 위험에 빠질 수 있기 때문에, GDPR에 따라 그들은 전 세계 매출액의 4퍼센트 또는 2천만 파운드 중 더 큰 금액으로 벌금을 물게 될 가능성이 있다.

지난 1월 국가사이버보안센터(NCSC)는 국가 디지털 방어를 강화하는 업무를 담당했으며 국정원을 설명하기 위해 작성된 유익한 문서를 배포했다. 지침에 따르면, "네트워크 및 정보 시스템과 그들이 지원하는 필수 서비스는 에너지와 물의 공급을 보장하는 것에서부터, 건강관리와 승객과 화물 운송의 제공에 이르기까지, 사회에서 중요한 역할을 한다. 이들의 신뢰성과 보안은 일상 활동에 필수적이라고 말했다.

런던 소재 파나 세어(Panaseer)의 닉 휘트필드(Nik Whitfield) 회장은 "세계에서 가장 유명한 기업의 기술 유산을 감시하고 있다"면서 "가장 약한 고리만큼 안전하기 때문에 국정원 지시는 매우 중요하다."라고 말했다. '2017년 워너 크라이 랜섬웨어 공격', 2016년 미국 수도시설 공격, 2015년 우크라이나 전력망 공격 등 행사에서는 사이버 보안 사건이 경제, 사회, 개인의 복지에 미칠 수 있는 영향을 뚜렷이 부각하고 있다.

 

그러나 국정원 지시가 공격을 막았을까. "오늘날의 디지털 세계에서는 100% 안전한 것은 없다."라고 Whitfield 씨는 말한다. "뒤돌아볼 때 가지고 있는 20/20의 비전으로, 완벽한 세상에서 모든 것이 예방될 수 있다고 말하는 것은 언제나 쉬운 일이다.

 

"사실은 완벽한 세계가 있고 그다음에는 현실 세계가 있다는 거야. 현실 세계에는 제한된 예산과 자원이 있으며, 이는 모범 사례에 방해가 된다. 위협에 성공적으로 대처하고 모든 업계가 직면한 수많은 컴플라이언스 문제를 해결할 수 있는 진정한 기회를 얻으려면 다른 플레이북이 필요하다.

모든 조직이 국정원 훈령에 명시된 지침을 따랐다면 최소한 일부 중대한 보안 침해를 피할 수 있었을 것이라고 생각하는 것은 무리가 아니다.

"제한된 예산과 자원, 통찰력과 입증에 대한 요구로 조직은 소방(감지, 감시, 대응)에서 방화(방화)로 전환하여 준비 및 보호해야 한다."

뉴욕에 본사를 둔 소프트웨어 조직인 Varonis Systems의 영국 세일즈 엔지니어 이사인 Matt Lock은 "모든 조직이 NIS 지침에서 정한 지침을 따랐다면 최소한 일부 주요 보안 위반을 피할 수 있었을 것이라고 생각하는 것은 무리가 아니다"라고 말했다.

"일부 조직들은 기본적인 사이버 보안 조치를 취하지 않고 IT 시스템을 업데이트하지 못하는데, 이것이 바로 WannaCry에서 일어난 일이다. NHS는 랜섬웨어 공격을 당했을 때 운영체제를 패치하지 못해 펜과 종이로 되돌아갔다.

"조직이 사이버 공격을 예방하고 시스템의 지속적인 운영을 보장하기 위해 적절한 기술적, 조직적 조치를 취하도록 요구하는 것은 올바른 방향으로 나아가는 단계다."

국정원 지령이 발효되자 시아란 마틴 NCSC 사무총장은 "정부는 영국이 온라인에서 가장 안전하게 생활하고 사업을 할 수 있도록 하는데 우리 혼자서는 할 수 없다."라고 말했다. 모든 시민, 기업, 조직이 제 역할을 해야 한다."