미국 정부, 사이버 결함 공개 규정 발표

트럼프 행정부는 오랫동안 수수께끼에 숨어있는 프로세스에 더 많은 투명성을 부여하기 위해 보안 연구원이 사이버 보안 결함을 공개할지 또는 비밀로 유지할지 여부를 결정하는 공개 규칙을 공개했다.

 

이번 조치는 미국 정부가 컴퓨터 시스템에 대한 자체 공격을 개시 할 수있는 능력을 보존하기 위해 탐지 한 취약성을 비축함으로써 IT 보안을 너무 자주 위험에 빠뜨린다는 비판을 제기하려는 시도이다.

 

개정 된 규칙은 연방 정부 기관은 결함 비밀을 유지하는 비용의 무게를 어떻게 다양한위한 과정을 밝혀하기위한 것입니다, 롭 조이스, 백악관 사이버 보안 조정관은 말했다.

 

조이스 대변인은 워싱턴에서 열린 아스펜 연구소 (Aspen Institute) 행사에서이 규칙은 세계에서 가장 정교하고 대부분의 다른 나라들과 차별화된다고 말했다.

 

사기업들은 기술의 결함에 대해 "중국, 러시아, 북한,이란으로부터 조언을 얻지 못하고있다"고 말했다.

 

버락 오바마 전 대통령 하에서 미국 정부는 국가 안보국 (NSA)과 같은 정보 기관에 의해 주로 발굴 된 결함을 어떻게 처리 할 것인지를 결정하기 위해 취약성 공평 처리 (vulnerabilities equity processes)라고하는 기관 간 검토를 만들었다.

 

이 프로세스는 법 집행 기관과 미국 정보 기관의 의도를 조율하여 장치를 해킹하여 제조 업체가 범죄자와 다른 해커가이를 활용하기 전에 구멍을 뚫을 수 있도록 경고해야 할 필요성을 염두에두고 마련되었습니다.

 

이 프로세스의 새로운 트럼프 행정 헌장은 취약점 검토에 참여한 기관의 기능 및 이름을 설명합니다. 여기에는 상무부, 재무부, 에너지 및 주를 비롯한 여러 민간 부서 외에 정보 기관이 포함됩니다.

 

국가 안보국 (NSA)은 기관 간 그룹의 "집행 사무국"으로 등록되어 있으며, 공개 여부에 대한 의견 차이가있을 경우 여러 기관이 제출 한 결함에 대한 토론을 조정하고있다. 불일치가 조정되지 않으면 그룹은 결함을 공개할지 또는 유지할지 여부에 대해 투표합니다.

 

이 규칙은 또한 연례 보고서를 필요로하며, 일부는 공개되며, 발견, 보유 및 공개 된 결함의 양에 대한 척도를 제공합니다.

 

헌장에 따르면 취약성을 유지하기위한 결정은 매년 재검토되어야합니다.

 

이 헌장의 발간은 "큰 개선"이라고 사이버 보안 정책 및 법률 연합 (Coalition for Cyber ​​security Policy and Law)의 코디네이터이자 오바마 행정부의 전직 사이버 관계자였던 아리 스와 르츠 (Ari Scwhartz)는 말했다. 오바마 행정부는 작년 말 이전에 유사한 문서를 공개하려고했지만 시간이 없어졌다.

 

일부 보안 전문가들은이 과정을 과도하게 비밀스럽고 너무 자주 공개적으로 잘못한 것으로 오랫동안 비판 해 왔습니다.

 

Joyce는 결함의 90 % 이상이 궁극적으로 공개되지만 일부 비평가는 충분히 빨리 공유하지 못하고 가장 심각한 결함은 너무 자주 비축되었다고 말했습니다.

비판은 올해 초 WannaCry로 알려진 전세계의 ransomware 공격이 병원을 오프라인에서 노크하고 공장에서 서비스를 방해하는 적어도 150 개국의 컴퓨터에 감염되면서 증가했습니다.

 

이 공격은 NSA가 자체적으로 사용하기 위해 해킹 도구를 구축하는 데 사용했던 Microsoft Windows 소프트웨어의 결함으로 인해 가능했습니다.

 

그러나 미국의 수사관들은 여전히 ​​쉐도우 브로커 (Shadow Brokers)라고 불리는 신비한 그룹의 손에 도구와 다른 사람들이 결국 온라인으로 공개된다는 사실을 이해하기 위해 노력하고 있습니다.

 

보안 전문가들은 북한의 해커로 의심되는 사람들이 윈도우의 결함을 발견하고 WannaCry 공격을 일으킬 수 있다고 재확인했다. 북한은 일상적으로 다른 국가들에 대한 사이버 공격에 개입하지 않았다.

 

Janna은 WannaCry 공격에 대한 질문에 NSA가 탐지 한 Windows의 결함이 취약점 검토 프로세스를 거쳤는지 여부를 밝히지 않았습니다.