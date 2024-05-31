최근 미국 정부 회계 감사국은 행정명령 14028, 국가 사이버 보안 개선의 진행 상황에 대한 업데이트를 발표했습니다.
2021년에 백악관은 연방 IT 시스템의 사이버 보안을 개선하기 위해 충족해야 하는 55가지 리더십 및 감독 요구 사항을 확인했으며, 모든 시스템은 명시된 표준을 충족하거나 초과해야 합니다. 국가 사이버 보안 개선에 관한 행정명령(14028)에서는 "사이버 인시던트의 예방, 탐지, 평가 및 해결이 최우선 순위이며 국가 및 경제 안보에 필수적"이라고 언급하면서 요구 사항의 이유를 자세히 설명합니다.
또한 행정명령(EO)은 정부가 모범을 보여 민간 부문에서도 사이버 보안 침해 및 공격의 위험을 줄이도록 장려해야 하기 때문에 이러한 조치를 완료하는 것이 필수적이라고 말했습니다.
행정명령은 요구 사항을 충족할 책임이 있는 기관으로 국토안보부의 사이버 보안 및 인프라 보안국(CISA), 미국 국립표준기술연구소(NIST), 관리 및 예산국(OMB)을 지정했습니다.
이 행정명령의 주요 요구 사항은 다음과 같은 사이버 보안 솔루션에 중점을 두었습니다.
2024년 4월 업데이트에 따르면 3개 담당 기관이 요구 사항 중 49개를 완료한 것으로 나타났습니다. 사이버 보안 취약성 및 사고에 대응하기 위한 플레이북을 표준화하기 위한 요구 사항은 적용되지 않는 것으로 결정되었습니다. 또한 기관은 나머지 5가지 요구 사항을 부분적으로 완료했습니다.
주요 요구 사항 중 연방 정부 사이버 보안을 현대화하는 것만이 완전히 충족되었습니다. 해당 분야에서의 노력에는 연방 기관을 위한 제로 트러스트 아키텍처 구현 또는 구현 시작, 클라우드 서비스 보안, 사이버 보안 데이터에 대한 액세스 중앙화 등이 포함되었습니다.
기타 이니셔티브에는 분류되지 않은 데이터 해결, 다단계 인증 및 암호화 구현 진행, 그리고 클라우드 보안 기술 참조 아키텍처 문서 개발이 포함되었습니다.
이 업데이트에서는 연방 사이버 보안을 개선하기 위한 기관의 노력을 높이 평가했지만, 결론은 나머지 요구 사항을 충족하는 것이 중요하다는 점을 강조했습니다.
나머지 5가지 요구 사항은 다음과 같습니다.
OMB는 비용 분석을 연간 예산 프로세스에 부분적으로 통합했지만 모든 리더십 및 감독 요구 사항의 구현에 대한 세부 정보에 대한 증거는 제공하지 않았습니다.
CISA와 OMB는 필요한 연방 정부 소프트웨어 보안 조치에 대한 기준과 가이드라인을 NIST에 지원했습니다. CISA, OMB 및 NIST는 또한 중요 소프트웨어에 대한 정의와 일치하는 소프트웨어의 공통 범주에 대한 예비 목록을 작성했습니다. 그러나 CISA는 2023년 9월 기한까지 소프트웨어의 공통 카테고리 목록을 발행하지 않았습니다.
CISA는 향후 운영 개선을 위한 권장 사항을 통해 운영 개선을 위해 취한 조치에 대한 증거를 제공하지 않았습니다. 업데이트에서는 이 단계가 이사회가 향후 사고 검토를 효과적으로 수행할 수 있도록 하는 데 핵심적인 역할을 한다고 명시하고 있습니다.
OMB는 예산 제출을 위해 기관에 대한 지침에 엔드포인트 탐지 및 대응(EDR)을 포함하고 2023 회계연도에 FISMA 지표 목록에 EDR을 포함했다고 보고했지만, 이 문서에 대한 증거는 제공하지 못했습니다. 이 업데이트는 증거가 없으면 기관이 EDR 이니셔티브를 위한 충분한 자금을 받지 못할 수 있다는 우려를 담고 있습니다.
OMB는 기관에 로그 보존 및 로그 관리와 같은 로깅과 관련된 지침을 제공했습니다. 그러나 OMB는 기관이 로깅, 로그 보존 또는 로그 관리를 구현할 수 있는 충분한 리소스를 보유하고 있음을 입증하지 못했습니다.
이 업데이트에서는 나머지 5가지 요구 사항에 대한 구체적인 경영진 조치 권장 사항을 2024년 12월 31일까지 완료하도록 했습니다.