테크레시피

美상원 “사이버 공격 받은 인프라 사업자, 보고 의무화”

사이버 공격 위협에 대항하기 위해 사이버 보안 보고서 작성 조항이 미국 상원 의회를 통과했다. 이 조항이 성립되면 중요한 인프라 소유자, 운영자는 대규모 사이버 공격을 받거나 랜섬웨어 공격을 받고 몸값을 지불한 경우 당국에 보고할 의무가 있다.

사이버 보안 보고서 작성 조항은 국토안보, 정부 문제위원회 게리 피터스 상원 의원과 롭 포트만 위원장이 기초한 것으로 정부 자금 법안 일부로 상원을 통과했다. 조항은 중요한 인프라 소유자와 관리자에 대해 사이버 공격을 받은지 72시간 이내 혹은 랜섬웨어에 대한 지불을 하고 나서 24시간 이내 국토안보부 사이버 보안, 인프라 보안국 CISA에 보고해야 한다는 내용을 담고 있다. 보고를 게을리 하지 않은 경우 소환장이 발행되어 소환장에 따르지 않는 경우 사법부 조회가 이뤄진다는 것이다.

기초자인 피터스 상원 의원은 중요 인프라 사업자는 매일처럼 악의적 해커로부터 몸을 지키고 있다며 지금 바로 미국에 의한 우크라이나에 대한 지원에 대한 보복으로 러시아로부터의 사이버 공격일 이뤄진다고 밝혔다. 잠재력이 높고 위협이 더 강력해지고 있으며 사람들에게 위협에 대해 경고하고 광범위한 영향에 대비해 국민에게 소중한 서비스를 게속 제공할 수 있도록 가장 중요한 시스템을 온라인으로 유지하는데 도움이 될 것이라고 밝히고 있다.

포트만 위원장도 러시아에 의한 불법, 부당한 공격을 받는 우크라이나를 미국이 제대로 지원하는 한편 미국 내 중요한 인프라에 대한 러시아로부터의 사이버 공격이나 랜섬웨어 위협이 증대할 걸 우려하고 있다면서 연방정부는 빠르게 대응을 조정하고 이런 악질적인 공격자 책임을 추구해야 한다고 강조했다. 정부 전체 대응과 완화, 경고를 가능하게 하고 공격에 대응할 수 있도록 밸런스를 취해야 한다고 덧붙였다.

미국에선 2021년 파이프라인 대기업인 콜로니얼파이프라인(Colonial Pipeline)을 비롯해 여러 기업과 사업자가 랜섬웨어 공격을 받아 대응 우선도를 테러와 동등하게 끌어올린 바 있다. 피터스 상원 의원은 이 역사적 대처는 국민 삶과 생명에 지장을 줄 수 있는 에너지 공급 사업자나 은행 등 중요 인프라 기업에 대한 사이버 공격을 확실히 저지할 수 있도록 하는 것으로 대통령이 서명하고 조항이 성립되기를 기대하고 있다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독