미 정부 사이버 보안 기관 CISA가 연방기관이 2021년 3월까지 취약점 공개 정책을 구현하도록 하는 명령을 발표했다.

취약점 공개 정책의 주요 목적은 기밀 비즈니스 정보 이외 필수 정보가 대중에게 공개되고, 적시에 정확하고 안전하게 관련 당사자와 공유되도록 하는 것이다.

이러한 움직임은 정부 기관에 보안 연구원과 화이트 해커로부터 인프라 취약점을 보고 받는 공식적인 메커니즘 제공을 목표로 한다. 취약점 공개 정책을 통해 연방 기관과 대중 간의 협력을 장려해 정부 인프라의 복원력을 향상시킬 수 있다.

CISA 지침은 “기관이 취약성 보고를 기존 사이버 보안 위협 관리에 통합하면, 더 광범위한 사항을 평가하고 해결할 수 있다. 또한 대중이 정부에 맡긴 정보를 보호하는데 도움이 되고, 연방 사이버 보안 팀이 기관을 보호하기 위해 더 많은 데이터를 제공할 수 있다. 기관 전체에 걸쳐 일관된 정책을 보장해 취약점을 보고하는 연구자들에게 동등한 결과를 보장할 수 있다”고 설명한다.

취약점 공개 정책은 온라인에 노출되지 않은 시스템을 포함해 프로세스의 일부로 적용되는 시스템들을 지정한다. 해당 지침은 조직이 어떤 시스템이 범위 내에 있는지 명확하게 표현한 정책을 구현하고 선의의 보안 연구를 보장한다.

이 지침의 초안은 2019년 12월에 처음 발표되었고, 이후 40명 이상의 보안 전문가, 학계, 연방 기관, 시민, 의원으로부터 200개 이상 권고를 받았다.

향후 60일 내에 CISA는 정보보안 프로그램에 취약점 공개 정책을 구현하는 추가 지침을 게시할 것이며, 모든 기관은 180일 이내에 정책을 게시해야 한다. 또한, 240일 이내에 기관은 모든 정부 정보 시스템을 포괄하는 정책 이정표를 보고해야 하고, 구현된 프로세스 조정을 시작해야 한다.

★정보보안 대표 미디어 데일리시큐!★