2024-03-29 00:25 (금)
미 국토 안보부, 위험 요소 평가 위한 새로운 진단 프로그램 실시
상태바
미 국토 안보부, 위험 요소 평가 위한 새로운 진단 프로그램 실시
  • 배수연 기자
  • 승인 2017.09.27 17:53
이 기사를 공유합니다

20170925102752571.jpg

사진 출처 : 위키미디어 커먼즈

미국 국토 안보부(Department of Homeland Security, DHS)에서 새로운 지속적 진단 및 대응 프로그램(Continuous Diagnostic and Mitigation, CDM)이 진행 중이다. DHS는 새로운 공급망 위험 관리 계획을 추가하여 전국에 있는 정부 기관의 승인된 품목 리스트(APL)에 CDM을 실시하기로 결정했다. 새로운 IT 보안 문제를 해결하고 품목의 보안 및 신뢰성에 대한 기대를 높이기 위해서다.

새로운 CDM 프로그램을 활용해 기관들은 실시간으로 위험을 파악하고 어떤 문제를 가장 먼저 해결해야 하는지 우선 순위를 정할 수 있다.

CDM은 하드웨어, 소프트웨어 및 대행사가 중앙 기금을 통해 접근할 수 있는 서비스와 같은 상용 도구에 적용된다. DHS는 연방 총무청(GSA)과 함께 CDM 프로그램을 운영한다.

GSA는 지난 8월에 새로운 공급망 리스크 관리 프레임 워크를 만들었고 각 정부 기관에 보급했다. 정부 기관이 CDM을 통해 장비를 구입할 때 IT 공급 업체는 공급망 리스크를 파악, 평가 및 완화하고 정부 기관이 대행사 및 품목을 결정하는 데 용이하도록 정보를 제공했다.

GSA는 새로운 공급망 계획이 "제안자의 제품이 어떻게 개발되고, 통합되고, 전개되는지에 대한 구매자의 이해를 가시화하고 향상시키기 위한 목적"이라고 설명했다. 정부 기관은 물품을 구입할 때 보안성, 탄력성 및 품질을 보장하기 위해 사용된 절차 및 관행에 대한 정보를 얻을 수 있다.

DHS의 CDM 프로그램 담당자 케빈 콕스는 연방 뉴스 라디오와의 인터뷰에서 CDM 승인 제품 목록에 이름을 올리려는 공급 업체는 제출하는 제품에 대한 설문지를 작성해야 한다고 말했다.

설문지의 내용에는 제품의 제조 방법, 제품의 공급망을 추적하는 데 필요한 정보, 원래의 장비 제조 업체 등이 포함된다고 콕스는 설명했다. "이것은 CDM APL을 사용하는 사람에게 승인된 제품을 공급하는 기업이 정확히 어떤 곳이고, 어떤 공급망을 통해 제품이 공급됐는지 이해하도록 돕는 방법이다"라고 그는 덧붙였다.

그러나 미국표준기술연구소(NIST)에 따르면 사이버 보안과 관련하여 IT 공급망에 여러 위험이 ​​존재할 수 있으며 대부분은 소프트웨어 엔지니어링이나 심지어는 청소 및 보안 용역 등 제3의 공급 업체가 원인이다. "악의를 가지고 물리적 보안을 무력화한 뒤 사이버 공격을 시도하는 사람도 있다. 또 물리적인 결함을 모색하는 사람이라면 사이버 보안의 취약점 또한 발견할 수 있다. 물리적 보안과 사이버 보안 모두 같은 수준으로 신경 써야 한다"고 NIST는 강조했다.


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★