국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
솔라윈즈와 MS 익스체인지 사고에서 얻은 교훈 원문보기 1
- 국가 미국
- 생성기관 회계감사원
- 주제분류 핵심R&D분야
- 원문발표일 2022-01-13
- 등록일 2022-02-18
- 권호 208
○ 회계감사원(GAO)은 솔라윈즈(SolarWinds)와 마이크로소프트(MS) 익스체인지 사이버 보안 사고에 대한 연방 정부의 대응 과정에서 얻은 교훈을 정리한 보고서*를 발표함
* Cybersecurity: Federal Response to SolarWinds and Microsoft Exchange Incidents
○ 최근 미국은 네트워크 관리 소프트웨어 솔라윈즈(SolarWinds)와 마이크로소프트(MS) 익스체인지 사고를 경험하였으며, 이는 사이버 위협의 심각한 문제점을 보여주고 있음
- 러시아의 해외정보부는 2019년 1월부터 솔라윈즈(SolarWinds)를 통해 연방 기관의 네트워크에 침입하였으며, 각종 정보와 데이터를 획득하였음
- 중국의 국가안전부는 2021년 3월 마이크로소프트(MS)의 익스체인지의 취약점을 활용해 데이터를 추출하거나, 랜섬웨어 공격을 시행하거나, 신원 정보를 취득하였음
○ 사건에 대응하기 위해 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI), 국가정보장실(ODNI), 국가안전보장국(NSA) 등이 참여하는 통합조정그룹(Unified Coordination Group, UCG)이 신설되었음
- 사이버보안 및 인프라 보안국(CISA)은 연방 기관에 취약점을 알리고 사건에 대응할 수 있도록 긴급 지침을 제공하였음
- 통합조정그룹(UCG)도 해커의 도구와 목표, 기술, 역량 등에 대한 정보를 제공하며 자문과 경보, 도구를 통해 지침을 제공하였음
○ 연방 정부는 솔라윈즈(SolarWinds)와 마이크로소프트(MS) 익스체인지 사이버 보안 사고에 대응하고 협력해왔으며, 이를 통해 다음과 같은 교훈을 얻었음
- 민간 산업과의 협력을 통해 기관의 사고 보고 노력의 효율성을 높일 수 있었으며, 연방 기관과 민간 기업이 논의할 수 있는 중앙화된 공간을 제공한 것이 협력을 개선하였음
- 기관 간 정보를 공유하는 것은 느리고, 쉽지 않고, 시간을 많이 필요로 하였으며, 기관 간 데이터 보전 수준의 차이로 증거를 수집하는 것이 제한되었음
* Cybersecurity: Federal Response to SolarWinds and Microsoft Exchange Incidents
○ 최근 미국은 네트워크 관리 소프트웨어 솔라윈즈(SolarWinds)와 마이크로소프트(MS) 익스체인지 사고를 경험하였으며, 이는 사이버 위협의 심각한 문제점을 보여주고 있음
- 러시아의 해외정보부는 2019년 1월부터 솔라윈즈(SolarWinds)를 통해 연방 기관의 네트워크에 침입하였으며, 각종 정보와 데이터를 획득하였음
- 중국의 국가안전부는 2021년 3월 마이크로소프트(MS)의 익스체인지의 취약점을 활용해 데이터를 추출하거나, 랜섬웨어 공격을 시행하거나, 신원 정보를 취득하였음
○ 사건에 대응하기 위해 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI), 국가정보장실(ODNI), 국가안전보장국(NSA) 등이 참여하는 통합조정그룹(Unified Coordination Group, UCG)이 신설되었음
- 사이버보안 및 인프라 보안국(CISA)은 연방 기관에 취약점을 알리고 사건에 대응할 수 있도록 긴급 지침을 제공하였음
- 통합조정그룹(UCG)도 해커의 도구와 목표, 기술, 역량 등에 대한 정보를 제공하며 자문과 경보, 도구를 통해 지침을 제공하였음
○ 연방 정부는 솔라윈즈(SolarWinds)와 마이크로소프트(MS) 익스체인지 사이버 보안 사고에 대응하고 협력해왔으며, 이를 통해 다음과 같은 교훈을 얻었음
- 민간 산업과의 협력을 통해 기관의 사고 보고 노력의 효율성을 높일 수 있었으며, 연방 기관과 민간 기업이 논의할 수 있는 중앙화된 공간을 제공한 것이 협력을 개선하였음
- 기관 간 정보를 공유하는 것은 느리고, 쉽지 않고, 시간을 많이 필요로 하였으며, 기관 간 데이터 보전 수준의 차이로 증거를 수집하는 것이 제한되었음
