미국 사이버 보안 당국자, 기업들에게 "설계에 의한 보안" 도입 촉구
미국 사이버 보안 당국은 기술 리더 및 업계 그룹과 만나 상용 소프트웨어에 '설계상 보안' 개념을 사용하도록 지지하고 있습니다. 사이버 보안 및 인프라 기관(CISA)과 에너지부(DOE)는 이러한 개념을 여러 산업에 확산하기 위한 노력을 주도하고 있습니다.
목표는 상용 소프트웨어의 취약점을 제한하고 사이버 보안 유지 보수 비용을 고객에서 기술 회사로 이전하는 것입니다. 또한 중소기업, 학교, 수도 시설, 병원이 랜섬웨어나 기타 공격의 피해자가 되었을 때 스스로 사이버 보안 위험을 관리할 필요가 없도록 하려는 목적도 있습니다.
CISA의 활동은 산업 기업이 운영 기술에 보안 설계 원칙을 구현할 수 있도록 지원하는 에너지부의 사이버 정보 공학 프로그램(Cyber Informed Engineering Program)으로 보완됩니다. DOE의 사이버 정보 기반 엔지니어링 프로그램은 산업 기업이 운영 기술에 보안 설계 솔루션을 구현할 수 있도록 지원함으로써 이 임무를 보완합니다.
이 이니셔티브는 주로 에너지 산업을 위해 만들어졌으며, 작년에 의회가 물리적 플랜트에 대한 사이버 공격의 위험을 줄이기 위한 전략을 승인한 후 공개되었습니다. 그러나 이제는 구조물, 우주 시스템, 무기 플랫폼과 같이 물리적으로 설계된 시스템을 추가로 통합하도록 확대되었습니다.
CISA는 최근 비즈니스 파트너 및 오픈소스 커뮤니티와 함께 두 차례의 경청 세션을 개최하여 기관의 백서에 포함된 개념을 검토했습니다. CISA의 사이버 보안 담당 부국장인 에릭 골드스타인은 이 중 한 세션에서 책임을 질 수 있는 사람은 기본적으로 안전한 서비스를 제공하도록 설계해야 한다고 주장했습니다.
미국 국가사이버국장실의 셰리 캐디 국가사이버국장 부보좌관에 따르면, 이러한 노력은 미국이 상호 연결된 인프라의 미래를 향해 나아가기 위해 노력하고 있는 것과 관련이 있습니다. 그녀는 소프트웨어 및 시스템 보안에 대한 책임을 최종 사용자에서 제조업체로 전환하는 것이 중요하다고 강조했습니다.
이 글의 출처는 사이버스쿱의 기사입니다.