이십

Sep 02, 2023

편집자 주: 이 기사는 백악관 사이버 보안 정책에 관한 두 부분으로 구성된 시리즈 중 첫 번째입니다. 이 시리즈의 2부는 곧 출판될 예정입니다.

25년 전인 1998년 5월 22일, 클린턴 행정부는 백악관 최초의 국가 사이버 정책인 대통령 결정 63호(PDD 63)를 발표했습니다. 바이든 행정부는 2023년 3월 2일 백악관 최신 사이버 전략인 국가사이버보안전략(NCS)을 발표했다.

기후 변화나 이민 등 다른 국가적 문제와 비교하여 이 기사는 민주당 행정부 3곳과 공화당 행정부 2곳의 광범위한 사이버 정책 합의를 강조합니다. 새로운 행정부는 전임자들의 계획을 무너뜨리지 않았습니다. 오히려 각 백악관은 이를 기반으로 개선했습니다. 그러나 이러한 합의와 팀워크에는 단점이 있습니다. 수년에 걸쳐 사이버 전략이 다양하게 반복되고(그리고 이를 만들고 구현하기 위해 노력한 사람들의 노력에도 불구하고) 오늘날 미국이 직면하고 있는 많은 근본적인 사이버 문제는 1998년보다 더 심각합니다. 이 전략의 영향은 다를 것입니다.

새로운 전략을 지난 수십 년 동안의 전략과 비교하면 미국 사이버 정책이 어떻게 변화했는지, 그리고 이 전략이 연속성 또는 변화를 가장 잘 나타내는 부분이 강조됩니다. 가장 중요한 비교 주제는 사이버 공간의 가능성과 위협, 보안을 제공할 수 있는 시장 확보, 공공 부문과 민간 부문 간의 파트너십, 적에 대한 대응입니다.

전략적 개념과 우선순위

(내가 정부 세부담당자로서 초안을 작성하는 데 도움을 준) 새로운 NCS의 가장 중요한 변화는 규제(아래 언급)와 같은 헤드라인을 장식하는 조치가 아니라 필요한 항목 목록이 아닌 실제 전략 개념을 제시하는 조치입니다. 행위.

실제 전략 개념은 단순하고 짧아야 합니다. 미국의 냉전 전략은 한 단어(봉쇄)였다. 육군의 대반란 전략은 간단한 문구(대략 마음과 정신을 얻기 위한 것)로 요약될 수 있습니다. 더욱이, 전략적 개념은 확장 가능해야 합니다. 즉, 실무자는 기본 전략 아이디어를 취하고 이를 풀어 기존 개념에 맞춰 더 깊은 목표를 개발할 수 있어야 합니다. 또한 둘 다 부정할 수 있으므로 비평가는 "마음과 생각"이 아니라 "반군을 죽인다"고 주장할 수 있습니다. 이러한 노력이 함께 우선순위를 결정하므로 관료는 사이버 보안을 개선하는 우선순위 경쟁에 직면했을 때 어떤 것에 추가로 투자하고 어떤 것에 더 이상 사용하지 않을지 결정할 수 있습니다.

과거 미국의 사이버 전략에는 확장 가능하고 부정 가능한 전략적 개념이 부족했습니다. 그것들은 대체로 단지 행동 목록일 뿐이고, 연관성이 거의 없고, 우선순위를 정할 방법도 거의 없습니다. 예를 들어, 조지 W. 부시 대통령의 사이버 공간 확보를 위한 국가 전략(2003)에는 사이버 공격 방지, 국가 취약성 감소, 피해 최소화 및 복구 시간이라는 세 가지 전략적 목표가 있었지만 세 가지 중 어느 것이 더 중요한지에 대한 지침은 없습니다.

따라서 NCS는 2교대 근무와 변화 이론을 요구함으로써 새로운 지평을 열었습니다. NCS는 먼저 최종 사용자로부터 사이버 보안을 대규모로 개선할 수 있는 "가장 유능하고 위치에 있는 사이버 행위자"에게 부담을 이전할 것을 요구합니다. 보다 구체적으로, 이 전략은 사이버 공격 방어 책임을 중소기업과 개인 사용자(예: 연방 정부)로부터 옮기는 것을 목표로 합니다. 두 번째 변화는 더 많은 장기 투자에 대한 인센티브를 재조정하는 변화를 요구합니다. 다시 말해, 연방 자원을 재배분하고 오늘 마시멜로 한 개보다는 내일 마시멜로 두 개를 확보하도록 방향을 조정해야 합니다.

위의 두 가지 변화의 근간을 이루는 변화 이론은 레버리지입니다. 최소한의 자원 투자, 가장 작은 변화로 "방어성과 체계적 탄력성이 가장 크게 향상될 것입니다." 뉴욕 사이버 태스크 포스(New York Cyber ​​Task Force)에서 가져온 이러한 레버리지에 대한 강조는 어려운 투자 결정을 내리는 데 도움이 될 것입니다.