DoD의 중요 인프라는 위험할 정도로 안전하지 않습니다.

[힘힘]

DoD의 중요 인프라는 위험할 정도로 안전하지 않습니다.

국가로서 우리는 국회의원과 국방부 지도자에게 임무에 중요한 인프라와 조치를 보호하기 위한 책임을 요구해야 합니다.

앨리슨 킹 마이클 맥러플린

동아시아의 끓어오르는 긴장이 고조되는 가운데, 최근 중국이 괌에서 미군 통신 시스템에 침투했다는 사실이 발견되면서 행정부와 의회 전체에 경종이 울려 퍼질 것입니다. 간첩 활동을 위해 중국이 미국 네트워크에 침투한 사실은 20년 넘게 잘 문서화되어 있지만, 중요 인프라를 표적으로 삼는 것은 중국의 상당한 확대를 의미하며 국방부(DoD)가 즉시 해결해야 하는 심각한 취약점을 강조합니다.

미국은 전쟁을 군대가 직면하는 도전으로 보는 경향이 있지만, 적들은 크게 다른 전망을 가지고 있습니다.

미국의 적들은 항상 전 세계적으로 동원하고 국가 안보 목표를 대규모로 실행하는 우리 군대의 능력을 부정 하거나 저하시키려고 노력합니다. 우크라이나 전쟁, 남중국해에서의 무력 충돌, 그리고 곧 다가온 미국 대통령 선거는 지정학적 긴장을 더욱 악화시키고 있습니다. 최근에는 중요한 인프라의 대부분을 제어하는 ​​OT(운영 기술) 장치의 취약점을 악용하여 성공했습니다. 

최근  3개 미군 전략 기지가 있는 괌에서 미군이 사용하는 통신 시스템에 내장된 중국 악성 코드가 발견 되면서 국가 안보 커뮤니티에 파문이 일었다. 중국 공산당(CCP)은 현재 간첩 활동과 지적 재산 절도 목적을 달성하기 위해 사이버 공간을 사용하고 있습니다. 그러나 그들은 우리의 중요한 네트워크에 숨겨진 악성 코드를 사용하여 향후 중국 공산당의 대만 침공에 대한 우리의 대응을 방해하려고 합니다. 이는 아무리 강조해도 지나치지 않습니다. 수비대에서 무기 시스템의 가용성을 거부하는 것은 전장에서 무기 시스템을 파괴하는 것만큼 효과적입니다.

이제는 DoD의 제어 시스템(CS)과 OT 보안을 강화하고 부서의 방대한 디지털 환경 전반에 걸쳐 탄력성을 구축할 때입니다.

십자선의 중요 인프라

지난 10년 동안 레거시 OT 시스템 내 어디에나 존재하는 취약성과 대부분의 사물 인터넷(IoT) 장치에 보안 제어 표준이 부족하여 중요 인프라가 적대적인 국가와 교묘한 범죄 행위자들의 표적이 되었습니다. 

중요한 인프라 사이버 침해의 대표적인 예로는 2013년 이란 해커가 뉴욕 Bowman Avenue 댐을 공격한 사이버 공격, 2021 년 전 직원이 캘리포니아 디스커버리 베이 정수장을 대상으로 한 사이버 공격, 2021년 러시아가 Colonial Pipeline을 대상으로 한 랜섬웨어 공격 등이 있습니다. -링크된 Darkside Group 및 슈퍼볼을 앞두고 탬파 대도시 지역에 서비스를 제공하는 플로리다주 올드스마 수처리 시설 의 2022년 타협 . 중요한 인프라는 성공 가능성이 높은 수익성 있는 목표를 나타내기 때문에 이 목록은 계속 늘어나고 있습니다.

민간인을 지원하는 주요 인프라 기관에서 사용되는 것과 동일한 취약한 장치, 시스템 및 애플리케이션 중 상당수가 국내외 군사 기지에서 발견됩니다. 가장 기본적인 수준에서 모든 군사 기지에는 무정전 전원 공급, 통신, 의료, 상하수 처리 지원이 필요합니다. 70개 국가와 영토에 걸쳐 800개 이상의 시설에 분산되어 있는 전 세계 군대의 준비 상태에 심각한 영향을 미치지 않으면 많은 임무 핵심 자산이 오프라인 상태가 될 수 없습니다 .

의회는 책임을 기대합니다

업무상 중요한 자산에 대한 국방부의 가시성 부족과 중요 기반시설의 보안 무능력에 대한 의회의 우려는 7년 전 일련의 정부 보고 요건에 문서화되어 있습니다. 몇 가지 주요 내용은 다음과 같습니다. 2016 회계연도(FY) 1647항에서는 NDAA(국방수권법)에서 무기 시스템의 사이버 취약성에 대한 통찰력을 요청했습니다. FY2017 NDAA의 섹션 1650은 사이버 침입으로부터 CS를 보호할 수 있는 더 나은 옵션을 이해하기 위한 파일럿 프로그램을 지시했습니다. FY2018 NDAA의 섹션 1639에서는 CS/OT가 국방부 장관(SECDEF)의 사이버 스코어카드에 포함되도록 규정하고 있습니다. FY2019 NDAA의 섹션 1643에서는 국방부 장관이 DoD의 CS/OT를 담당하는 공무원 한 명을 지정하도록 요구했습니다. 

가장 최근에는 2022 회계연도 NDAA의 섹션 1505에 따라 DoD 최고 정보 책임자(CIO)가 CS/OT 자산을 보호하기 위해 정의된 표준 및 목표에 따라 미션 크리티컬 자산 및 운영 인프라를 보호하는 부서의 능력을 문서화함으로써 올 11월 사이버 보안 준비 상태를 다루도록 요구합니다. 이 조항은 의회의 향후 자금 지원 요건을 정의하고 2025년 1월 1일까지 시행하는 데 중요합니다.

DoD가 진행 상황을 보여주려고 하는 상황에서 부서 전체의 많은 사람들은 부서의 "제로 트러스트" 전략을 배포하기 위한 길잡이로서 "제어 시스템을 위한 추가 상황 인식"("MOSAICS"로 발음) 운영 프로토타입 플랫폼을 지적했습니다. 대규모 산업 제어 시스템. 그러나 모자이크와 같은 아키텍처를 구축하기 위한 대통령의 FY24 예산 요청은 단지 수백만 달러에 불과하며 초기 프로토타입 단계에 남아 있습니다.

이러한 관점에서 볼 때, 미국 최대 은행은 연간 평균 예산의 10%를 사이버 보안에 지출하며, 종종 은행당 10억 달러를 초과합니다 . 대비가 놀랍습니다.

해야 할 일

정부 지도자들은 사이버 보안에 대한 자금이 계속 부족할 경우 치명적인 실패가 발생할 수 있다는 점을 인정해야 합니다. 최소한 보다 안전한 통신과 취약한 장치의 지속적인 모니터링 및 교정을 포함하려면 보다 강력한 예산 제출이 필요합니다. 즉시 그렇게 하면 국내외에서 알려진 취약점을 악용하는 적들로 인해 우리 군대가 받는 위험을 최소화하는 데 도움이 될 것입니다.

국방부는 단순히 CS/OT 사이버 보안 문제를 연구하는 수준을 넘어 가능한 경우 기존 프로그램을 통해 기능 구현을 즉시 시작 하고 프로그램이 없는 경우 새로운 투자를 시작해야 합니다. 

또한 의회는 중요한 인프라를 보호하기 위한 DoD의 계획과 자금 요청을 더 잘 이해하기 위해 이 세션 동안 청문회를 개최해야 합니다. DoD 고위 관계자와 CS/OT 민간 업계 사이버 보안 전문가의 증언은 위원회 구성원에게 DoD의 미션 크리티컬 CS/OT 전반에 걸쳐 사이버 복원력을 구축하는 데 필요한 조치를 촉진하는 답변을 제공할 것입니다. 이것은 기다릴 수 없습니다.

국가로서 우리는 국회의원과 국방부 지도자에게 임무에 중요한 인프라와 조치를 보호하기 위한 책임을 요구해야 합니다. 

국가 안보가 위태로워졌습니다.

Alison King은 Forescout Technologies의 정부 업무 담당 부사장입니다. 그녀는 미국 사이버 공간 일광욕실 위원회에서 전략 커뮤니케이션 및 입법 업무 담당 이사로 근무했습니다. Forescout는 OT 사이버 연합의 집행 회원입니다.

Michael McLaughlin은 Buchanan Ingersoll & Rooney, PC 법률 회사의 사이버 보안 및 데이터 개인 정보 보호 실무 그룹 공동 회장입니다. 그는 Battlefield Cyber: How China and Russia are Undermining our Democracy and National Security의 공동 저자  이며 이전에는 미국 사이버 사령부(United States Cyber ​​Command)의 수석 방첩 고문으로 근무했습니다.  

이미지: 셔터스톡.