US Congress Approves Strengthening American Cybersecurity Act
미국 정부기관, 중요한 인프라설비 기업가, 보안 운영자들은 모두 사이버 공격에 대한 대응방법에 대해 다시 고민을 해야할지 모르는 상황에 있습니다. 미 의회는 사이버 공격이 일어나면 72시간 이내에 보고를 해야 하는 의무를 강제화 하고 있으며, 더불어 랜섬웨어에 몸값을 지불한 경우 24시간 이내에 보고하는 의무 조항도 추가한 법안을 통과시켰습니다.
Federal agencies and critical infrastructure owners and operators may need to change how they respond to cyber attacks. The U.S. Congress passed new legislation mandating they report attacks within 72 hours. In addition, it requires them to report ransomware payments within 24 hours.
[ 16개의 중요한 인프라 분야에 영향을 끼치는 조항 ]
현재 우크라이나에서 진행되고 있는 전쟁 이 새 법규에도 영향을 미치고 있습니다. 3월 초 승인된 이전 법안 ( 상세내용: Strengthening American Cybersecurity ) 은 이후 하원의원들도 유사한 복합조항을 묶어 다시 법안을 진행하여 이번달 초에 상원의원의 적극적인 지지를 받으며 법안이 통과하였습니다. 이 법안은 이제 조 바이든 대통령의 승인을 기다리고 있습니다.
법안은 에너지, 금융, 제조업, 헬스케어 서비스 등의 16개의 중요 인프라 산업들을 대상으로 하고 있습니다. 연계법안은 14조 달러에 이르는데 여기에는 러시아로 부터 우크라이나를 보호하기 위한 긴급 보안 지원금과 국방부, 국무부, 법무부, 재정부, 상무부 등 국가 부처에 대한 지원도 포함하고 있습니다. 이후 각 부처들은 IT 인프라설비와 사이버 보안 서비스를 포함한 기술적인 지원을 받을 수 있도록 있습니다.
Provision Impacts 16 Critical Infrastructure Sectors
This new federal legislation was also influenced by the ongoing war in Ukraine. The Strengthening American Cybersecurity Act was first approved by the Senate in early March. Later, house lawmakers packaged the reporting clause into a larger omnibus spending bill. The Senate also passed this by a large margin earlier this month. The new bill now awaits President Joe Biden’s signature for approval.
The legislation targets organizations across 16 federally designated critical infrastructure sectors, including energy, financial, manufacturing and health care services. The larger omnibus bill includes some $14 billion in emergency assistance to Ukraine in its defense against Russia, with lawmakers often citing the rise of cyber threats in the conflict.The provision includes further assistance for the departments of Defense, State, Justice, Treasury, Commerce and others. They will receive technological and continuity-of-government aid, which includes IT infrastructure and cybersecurity services.
[ 우크라이나와의 갈등 상황 속, 미 양당의 지원 ]
국토안보부의 주요 상원의원인 게리포터 (민주당-마이애미) 와 랍 포트만 (공화당-오하이오) 은 양 당의 지원을 모두 받으며 다음과 같이 발의하였습니다. 발의서에 따르면, 상원의원 게리 피터는 " 중요 인프라의 보안운영자들은 매일 악의적인 해커들의 공격에 대응하고 있습으며, 이러한 위협은 우크라이나를 지원하고 있는 것에 대한 러시아의 사이버 보복공격일 가능성이 높습니다. 우리는 사이버 방어력을 증가시키기 위한 강력한 조치를 취애야 합니다. 발의된 이 조항은 중요한 인프라 운영자가 사이버 공격에 대해 바로 정부에게 알리게 하여, 공격 초기에 전방위적인 대응이 가능한 환경을 만들 수 있습니다. 이러한 시행이 정부가 다른 사이버 위협에 대해 대해서 경고를 하고, 그 여파에 대해 사전에 준비하고 나아가 국가의 가장 중요한 시스템이 다시 작동될수 있도록 하여, 미국 국민들에게 소중한 서비스를 지속적으로 제공될 수 있도록 할 수 있습니다."
바이든 대통령이 서명을 한다면, 법안은 정부기관들 사이에 협력을 강화시킬 수 있도록 보안법인 개정이 되는 것 입니다. 이는 정부기관이 사이버 공격에 대한 위험기반의 접근을 할 수 있게 하며, 민간 단체들 역시 정해진 시간 내에 CISA (기반시설 사이버 보안기관) 에 사이버 공격에 대한 보고를 하게 됩니다. 이는 72시간 내에 보안사고 리포팅과 24시간 이내에 랜섬웨어 몸값지불에 대한 보고를 모두 요구하고 있습니다. 이 조항은 이러한 보고 의무를 저버린 기업들을 소환할 수 있는 권한을 CISA 에 주는 것인 반면, CISA 또한 랜섬웨어와 관련된 유용한 취약점들에 대해 기업들에게 알려주는 프로그램을 운영할 의무를 지게 하고 있습니다. 이 조항은 CISA (기반시설 사이버 보안국) 에게 랸섬웨어에 대한 몸값지불에 대한 보고를 하지 않은 경우, 기업을 소환할 수 있는 권한을 갖게 되고, 반면에 이는 CISA 가 랜섬웨어와 관련된 노출취약점에 대해서 보안국에 알려주는 프로그램에도 지원을 하는 상황으로 만듭니다. CISA의 Jen Easterly 이사는 랜섬웨어 테스크 포스를 만들어 연방차원의 노력을 할 예정에 있습니다. 젠 이스터리는 이러한 정부의 방향을 위해 테스크포스를 구성하여 추진할 예정에 있습니다.
Bipartisan Support During Ukraine Conflict
U.S. Senators Gary Peters (D-MI) and Rob Portman (R-OH), chairman and ranking member of the Homeland Security and Governmental Affairs Committee, authored the bipartisan mandate. In a statement, Senator Peters said, “Critical infrastructure operators defend against malicious hackers every day, and right now, these threats are even more pronounced due to possible cyber attacks from the Russian government in retaliation for our support of Ukraine. It’s clear we must take bold action to improve our online defenses. This provision will create the first holistic requirement for critical infrastructure operators to report cyber incidents so the federal government can warn others of the threat, prepare for widespread impacts and help get our nation’s most essential systems back online so they can continue providing invaluable services to the American people.”
If signed by President Biden, the legislation would amend federal government cybersecurity laws to strengthen teamwork between federal agencies, require the federal government to adopt a risk-based approach to cybersecurity and require civilian agencies to report all cyberattacks to the Cybersecurity and Infrastructure Security Agency (CISA) within strict time limits. It would require reporting of cyber incidents to be completed within 72 hours and ransomware payments within 24 hours. The provision also gives CISA the authority to subpoena entities that fail to report cyber attacks or the payment of ransomware. Meanwhile, it will oblige CISA to sponsor a program to alert agencies of exploitable vulnerabilities connected with ransomware. CISA Director Jen Easterly will establish a joint ransomware task force to organize the federal efforts.
[ 사이버보안의 게임 체인저 ]
이런 행정명령의 통과안에 대해 젠 이스터리는 트위터에서 이와같이 언급하였습니다. "사이버 공격에 대해 보고해야하는 법안이 통과되는 것을 보면 기쁩니다. 이 법안은 게임체인저 이자 우리 국가의 사이버 보안이 미래로 나가는데 중요한 발돋움이 될 것 입니다. 국가의 사이버 보안기관에 일원으로써, 이것은 @CISAgov 를 도와 우리의 네트워크 환경과 중요 인프라 산업에 도움을 줄 수 있을 것이라고 생각합니다" Easterly는 또한 CISA는 사고보고의무가 이러한 공격으로 부터 고통받는 희생자들을 지원하고, 다양한 분야에서 위협이 일어나는 지점을 분석하고, 빠르게 네트워크 보안 담당자에게 정보를 공유해서, 더 많은 공격으로 부터 보호하게 할 것이라고 주장합니다.
Cybersecurity Game Changer
Commenting on the passage of the mandate, Easterly took to Twitter to say, “Thrilled to see that the cyber incident reporting legislation has passed! This bill is a game-changer & a critical step forward for our Nation’s cybersecurity. As the nation’s cyber defense agency, it will help @CISAgov better protect our networks & critical infrastructure.” Easterly also commented that CISA will use incident reporting to render assistance to victims suffering attacks, analyze reporting to spot trends across sectors and quickly share information with network defenders to warn potential victims and help prevent further attacks.
> 기사 원문 보러가기 : https://securityintelligence.com/news/us-congress-approves-american-cybersecurity-act