미국 주정부 CISO들, 진화하는 사이버 위협과 생성형 AI 과제 직면

정부의 디지털화가 진행되면서 사이버 공격에 대한 취약성이 높아지고 있다. 딜로이트와 주정부최고정보책임자협회(NASCIO)의 ‘2024 사이버보안 조사’에 따르면, 더 많은 정보가 온라인과 사물인터넷(IoT)을 통해 유통되고 있으며, 국민의 건강, 재무 등 민감한 개인정보가 다수의 서버에 저장되고 있다. 교통, 수도, 전력 등 주요 기반시설이 온라인 운영 시스템과 통합되면서 취약점도 증가하고 있다.

2024년 3월 백악관은 주지사들에게 서한을 보내 미국 수자원 시스템에 대한 외국 정부 연계 위협 행위자들의 공격을 경고했다. 서한은 “수자원 및 폐수 시스템이 필수 기반시설임에도 불구하고 보안 자원과 기술력 부족으로 사이버 공격의 매력적인 표적이 되고 있다”고 지적했다.

모든 주정부가 최고정보보안책임자(CISO)를 보유하고 있으며, 98%가 공식적인 메커니즘을 통해 권한을 부여받고 있다. CISO들의 책임은 보안 관리·운영(98%), 전략·거버넌스·리스크 관리(98%), 사고대응(96%)을 포함한다. 데이터 프라이버시 관련 책임은 2022년 60%에서 2024년 86%로 증가했으며, 현재 20개 주가 포괄적인 데이터 프라이버시법을 시행하고 있다.

물리적 보안 책임은 감소 추세다. 데이터 센터와 건물 보안을 담당하는 CISO가 2022년 대비 10명 감소했으며, 물리적 보안에 사이버보안 예산을 사용하는 주도 15개에서 6개로 줄었다. 이는 데이터 센터 통합과 클라우드 서비스 이전 증가에 따른 것으로 보인다.

위협의 우선순위가 변화하고 있다. 2022년에는 멀웨어와 랜섬웨어가 최대 위협이었으며, 4년 전에는 피싱이 가장 큰 우려사항이었다. 현재는 제3자 보안위반이 최대 위협으로 꼽혔으며, AI를 활용한 공격이 두 번째로 높은 위협으로 조사됐다.

생성형 AI와 관련해 88%의 CISO가 전략 개발에, 96%가 보안정책 개발에 참여하고 있다. 21개 주가 보안 운영 개선을 위해 생성형 AI를 활용 중이며, 22개 주가 향후 12개월 내 도입을 계획하고 있다. 그러나 41%의 CISO가 AI 위협으로부터 주정부의 정보자산을 보호하는 데 자신이 없다고 응답했다. 예산 측면에서는 25%의 주정부만이 생성형 AI 거버넌스와 보안통제에 예산을 할당하고 있다.

사이버보안 전담 인력 규모가 증가하고 있다. 5명 이하의 전담 직원을 보유한 CISO 비율이 4년 전 16%에서 현재 4%로 감소했으며, 약 절반의 CISO가 6-25명의 사이버보안 전문가를 보유하고 있다.

인력의 질적 측면에서도 개선이 있었다. 필요한 역량을 갖춘 직원 보유율이 2020년 28%에서 2024년 47%로 증가했다. 그러나 여전히 27개 주가 역량 격차를 보고했다.

약 40%의 CISO들이 규제 준수에 필요한 예산이 부족하다고 응답했다. 일부 주정부의 사이버보안 예산은 전체 IT예산의 1% 이하로, 연방정부 기관의 10~12% 수준에 크게 못 미친다. 연방 보조금 프로그램은 복잡한 가이드라인과 행정적 부담이 크고 규모도 불충분한 것으로 평가됐다.

CISO의 평균 재직 기간은 30개월에서 23개월로 감소했으며, 응답자의 절반이 사이버보안 인력 부족을 주요 과제로 꼽았다.

사이버 보안 사고 대응을 위해 80%가 사이버보안 대응팀을, 75%가 중앙 IT 보안그룹을 운영한다. 제3자 계약업체(59%), 다주간 정보공유분석센터(57%), 국토안보부(41%), 주방위군(37%) 활용도 있으며, 31%는 개별 기관에서 사고를 처리한다.

외부 위탁의 경우, 75%가 중앙 보안운영센터를, 65%가 포렌식/법률 지원을, 55%가 사이버위협 위험평가와 관리 서비스를 위탁하고 있다.

계약업체, 서비스 제공업체, 비즈니스 파트너의 사이버보안 관행에 대한 CISO들의 신뢰도가 전반적으로 하락했다. “매우 신뢰한다”는 응답이 크게 감소했으며, 지방정부와 공립 고등교육기관의 보안 관행에 대한 신뢰도도 낮은 수준을 보였다.

63%의 CISO가 직원과 계약자를 위한 신원 및 접근 관리(IAM) 시스템을 보유하고 있다. IAM 시스템 중 94%가 다중인증, 78%가 단일 로그인, 53%가 특권 접근 관리를 제공한다.

CISO들의 워크포스 다양성 접근 방식은 주별로 차이를 보인다. 일부는 채용 정책을 통해 다양성을 추구하지만, 법률이나 단체협약으로 제한되는 주들도 있다.

보고서는 CISO들에게 지속적인 예산 확보, 디지털 전환 과정 참여, 정책 개발 참여, 후계자 계획 수립, AI 정책 수립 참여, 제3자 통제 강화, 위협 대응 도구 현대화, 인력 역량 강화를 권고했다.

기사에 인용된 리포트의 원문은 링크에서 확인할 수 있다.

기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다. 

관련 콘텐츠 더보기