미국 주정부CIO연합(NASCIO)에서는 매년 상위 10가지의 전략적 우선순위 목록을 발표합니다. 놀랍지 않게 사이버 보안 및 위험 관리는 2024년에 다시 한 번 1위를 차지했습니다. 끊임없는 사이버 공격이 주 및 지방 기관에 영향을 미치고 있으므로 사이버 보안 및 위험 관리는 10년이 넘도록 1위를 유지하고 있습니다.
그러나 NASCIO에서 '역사적인 첫 번째'라고 이야기한 디지털 정부 서비스는 올해 사이버 보안과 공동 1위에 올랐습니다. 디지털 정부 서비스(즉, '전자 정부' 서비스)는 정보 및 통신 기술을 사용하여 일반 대중과 기업 커뮤니티에 제공되는 서비스입니다.
NASCIO 상임이사 Doug Robinson은 이러한 관계에 대해 이렇게 평했습니다. "사이버 보안과 디지털 정부는 주 CIO에게 중요한 두 가지 이슈이며 당분간은 계속될 것입니다."
이에 대해 반박하는 사람은 많지 않겠지만, 이는 우선순위가 지정된 목록이라는 점을 기억해야 합니다. 1위는 하나뿐이어야 하지 않을까요?
거의 모든 것이 온라인에서 제공되므로 사람들은 정부에서도 최고 수준의 디지털 서비스를 제공해 주기를 원합니다. 기관마다 각기 다른 일을 하는 것은 중요하지 않습니다. 사람들이 정부와 상호 작용하기 위해 수많은 기관 목록을 살펴보고, 적절한 웹 사이트를 찾으며, 또 다른 계정을 만들 필요는 없습니다. 누구도 복잡한 검색, 혼란스러운 프로세스, 시간 소모적인 애플리케이션 및 긴 응답 시간과 관련된 '시간 세금'으로 고생해서는 안 됩니다. 하지만 이것은 현재 우리나라 정부 서비스 대부분의 현실입니다.
주 정부와 지방 정부에서는 이러한 점을 잘 알고 있습니다. 일반 국민은 인지하지 못할 수 있지만, 정부 리더들은 서비스 제공에 깊은 관심을 가지며 조치를 취하고 있습니다.
예를 들어, 주 정부에서는 제공하는 모든 서비스에 대해 원활하게 기관 간 액세스를 가능하게 하는 공개 웹 포털에 투자하고 있습니다. 애플리케이션을 최신화할 때는 사람을 최우선으로 하는 인간 중심의 디자인이라는 최신 원칙을 적용합니다. 사용자는 싱글 사인온과 비밀번호가 없는 다단계 인증을 결합하여 하나의 자격 증명(비밀번호 없이!)만 관리하면 됩니다. 또한, 정부 서비스의 미래를 실현하기 위해 AI 기반 디지털 비서를 통해 혁신을 추진하고 있습니다.
의심할 여지 없이 훌륭한 디지털 경험은 정부를 신뢰하는 데 도움이 됩니다. 이러한 집중적인 관심은 디지털 서비스가 NASCIO 상위 10가지 목록에서 1위까지 오른 이유를 설명해 줍니다. 그러나 미흡한 보안과 개인정보 보호 관행은 모든 것을 훼손할 수 있으므로 이 또한 1순위이며, 따라서 공동 1위에 오릅니다.
이제 그 질문으로 돌아가 보겠습니다. 그 점이 정말 놀라웠나요? 당연히 놀랍지 않습니다. 대중의 관점에서 보면, 훌륭한 디지털 서비스와 강력한 보안은 별개의 우선순위가 아닙니다. 둘은 동일합니다.
NASCIO의 목록 중 가장 놀라운 것은 바로 '가용성', '신뢰성', '복원력' 등의 우선순위를 찾을 수 없다는 점이었을 겁니다. 제대로 작동하지 않는 서비스만큼 신뢰를 무너뜨리는 것도 드뭅니다.
물론 가용성은 기밀성 및 무결성과 함께 보안의 핵심 원칙이기 때문에 이것이 암묵적으로 보장되었다고 말할 수 있습니다. 그러나 최근에 신뢰할 수 있는 시스템의 기반으로 '복원력'이라는 용어가 더 명시적으로 등장했습니다. 복원력은 가용성을 나타내는 더 멋진 단어처럼 들릴 수도 있지만, 그 이상의 의미가 있습니다. 복원력은 핵심 사안인 신뢰 구축을 명확하게 해결해 줍니다. NASCIO에서는 거버넌스, 사용자 경험, 접근성, 제삼자 위험과 마찬가지로 이를 명시적으로 언급하는 것을 고려해야 합니다.
미국 국립표준기술연구소(NIST)에서는 조직에서 복원력을 강화할 수 있도록 신뢰할 수 있는 시스템(1권)과 사이버 복원력 이 있는 시스템(2권)에 대한 800-160 특별 간행물 2권을 출간했습니다. 다음과 같은 핵심 인용문이 눈에 띕니다. "신뢰성이란 역경에 직면했을 때 기대에 부응하는 것을 포함하여 기대를 충족시킬 수 있는 능력이 입증된, 따라서 신뢰할 수 있는 엔티티의 가치입니다." 다시 말해, 어려운 시기에 대해서도 일관되게 전달하면 신뢰를 얻는 것입니다.
시스템이 느려지거나 응답하지 않으면 빠르게 상황이 어려워질 수 있습니다. 랜섬웨어나 서비스 거부 공격과 같은 사이버 문제가 원인일 수도 있지만, 예기치 않은 트래픽 급증, 사람의 실수 등 운영상의 문제가 본격적인 위기로 이어졌을 수도 있습니다. 팬데믹으로 인해 전국의 사업장이 문을 닫고 수백만 명의 사람들이 각 주의 실업수당 신청 시스템에 몰려들어 웹사이트가 다운되고 필수 수당 지급이 오랫동안 지연되었던 일을 잊을 사람은 거의 없을 것입니다. 이처럼 역경을 겪으면서 실패한 경험은 중요한 시기에 정부에 대한 신뢰를 무너뜨리는 일조했습니다.
좋은 소식은 500페이지에 달하는 NIST 간행물을 일일이 읽지 않고도 디지털 서비스에 대한 신뢰와 복원력을 구축할 수 있는 간단한 플레이북이 있다는 점입니다. 아니면 내년도 상위 10가지 목록을 기다려 보세요.
자, NIST 800-160 시리즈를 살펴보는 것도 권장하지만, 다음은 사이버 보안 및 디지털 서비스 프로그램의 복원력을 쉽게 구축할 수 있는 5가지 우선순위입니다.
DDoS 완화
공격자는 분산 서비스 거부(DDoS) 공격을 서비스를 방해하거나 때로는 단순히 다른 공격으로부터 관심을 돌리기 위해 사용합니다. DDoS 공격은 다양한 소스에서 발생한 트래픽으로 시스템을 압도하므로 업스트림 인터넷 서비스 공급자도 이를 막기 어렵습니다. 하지만 반드시 이런 식일 필요는 없습니다. 이제 디지털 서비스를 최신 글로벌 클라우드 연결성에 연결하여 DDoS 공격을 식별하고 차단하는 데 필요한 가시성과 전문성을 확보할 수 있습니다.
안전한 DNS
다른 핵심 인터넷 서비스와 마찬가지로 도메인 네임 시스템(DNS)은 보안을 염두에 두고 설계되지 않았습니다. 따라서 공격자는 이메일의 약점을 악용하고 서비스 품질을 저하시키거나 사용자를 악의적 사이트로 리디렉션하거나 이메일을 가로챌 수 있습니다. 도메인 이름 시스템 보안 확장(DNSSEC) 프로토콜 등의 DNS 강화 기능은 DNS 요청을 인증하도록 진화했지만, 여전히 DDoS 공격을 방어하지는 못했습니다. 따라서 고성능 DNS 서비스와 DNSSEC 및 DDoS 방어를 결합한 안전한 DNS 솔루션을 최우선으로 채택하여 서비스를 항상 이용하고 DNS 기반 공격으로부터 보호할 수 있도록 해야 합니다.
웹 애플리케이션 보호
웹 플랫폼은 새롭게 떠오르는 위협 벡터와 전술로 끊임없이 공격을 받고 있습니다. 오픈 월드와이드 애플리케이션 보안 프로젝트(OWASP)이든, 새롭게 떠오르는 새로운 zero-day 위협 벡터에서 잘 알려지고 정의된 위협이든 관계없이, 최신 웹 애플리케이션 방화벽(WAF)은 두 가지 모두를 대규모로 해결할 수 있어야 합니다. 노출된 자격 증명 확인, API 중심 제어, 응답 내 중요한 데이터 감지 등도 웹 애플리케이션 보호를 위한 총체적인 접근 방식에서 중요한 사항입니다. 이러한 제어는 끊임없이 변화하는 환경에 맞춰 지속해서 업데이트해야 합니다. 그러므로 광범위한 전역 센서 네트워크에서 학습되는 머신 러닝을 활용하여 이러한 새롭게 떠오르는 위협을 파악하고 대응하는 WAF 공급자를 고려해 보십시오.
애플리케이션 가속화 서비스
디지털 서비스 내에서 사 용자 경험을 촉진하려면 애플리케이션 아키텍처와 인간 중심의 설계 원칙뿐만 아니라 최종 사용자에 대한 콘텐츠의 가용성과 가속화도 중요합니다. 앞서 언급한 보안 제어에 본질적으로 포함된 고급 캐싱 및 콘텐츠 관리 기능은 이러한 시스템의 성능, 복원력, 궁극적인 신뢰를 촉진하는 데 중요한 구성 요소입니다. 이러한 목표를 효과적으로 달성하려면 공급자는 가속과 보안이 긴밀하게 결합된 분산된 공간을 확보해야 합니다.
네트워크 가속화 서비스
서비스 노드 또는 정책 시행 지점(PEP)을 상호 연결하는 네트워크 백본을 운영하는 공급자는 복원력에 또 다른 측면을 제공합니다. 예를 들어, 병목 현상이 발생할 때 혼잡 지역 주변의 트래픽을 대체 노드로 다시 라우팅할 수 있습니다. 엔드투엔드 경로를 확인하고 실시간 조건에 따라 요청과 응답이 라우팅되는 방식을 제어할 수 있는 이러한 기능에 따라 복원력과 성능을 크게 향상됩니다. 보안 및 가속 서비스를 위한 PEP의 글로벌 배포뿐만 아니라 해당 PEP를 상호 연결하는 네트워크 인프라까지도 운영하는 클라우드 보안 공급자를 고려해 보세요.
NASCIO에서 CIO 우선순위 공동 1위를 차지한 것은 역사상 처음 있는 일이지만, 전혀 놀라운 일은 아닙니다. 기관이 대중에게 서비스를 제공하고 신뢰를 구축하려면, 강력한 사이버 보안과 단순한 디지털 경험이 모두 필요합니다. 하지만 신뢰는 어려운 상황에서 항상 중요한 서비스를 이용할 수 있는 복원력에 따라 좌우됩니다. 지금까지 논의한 상위 5가지 우선순위는 신뢰할 수 있고 안정적인 디지털 서비스를 제공하는 데 큰 도움이 될 것입니다.
아직 명확하지 않다면, 2025년의 최우선 과제를 고려하는 국가 CIO에게 권장할 사항은 디지털 정부 우선순위 중 '복원력'에 대해 구체적으로 논의하라는 것입니다. 이 작업은 매우 중요하지만, 생각보다 쉽습니다.
Cloudflare에서는 미국 정부 및 공공 부문 조직을 위해 특별히 설계된 서비스 제품군을 제공합니다. 조직에서는 이러한 서비스를 통해 엔드포인트, 사용자, 클라우드 전반에서 보안을 강화하는 동시에 빠르고 안정적이며 확장 가능한 서비스를 구축할 수 있습니다. 서비스는 보안과 성능이 기본 제공되는 고도로 탄력적 인 전역 클라우드 네트워크에서 제공됩니다. Cloudflare를 이용하여 조직에서는 복잡성을 추가하지 않고 두 NASCIO 우선순위를 모두 해결할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 미치는 최신 동향 및 주제에 대한 시리즈의 일부입니다.
이 글은 원래 GovTech용으로 작성되었습니다.
Zero Trust 아키텍처로 이어지는 로드맵 가이드에서 연방 정부에서 Zero Trust 보안 요건을 달성하는 방법을 자세히 알아보세요.
Scottie Ray — @H20nly
Cloudflare 수석 솔루션 아키텍트
Steve Caimi — @stevecaimi
Cloudflare 수석 제품 관리자
이 글을 읽고 나면 다음을 이해할 수 있습니다.
디지털 서비스를 강화하기 위한 정부의 노력
신뢰 구축에 복원력이 중요한 이유
사이버 보안 및 디지털 서비스의 복원력을 구축하기 위한 5가지 우선순위