미국 회계감사원(GAO)의 새로운 보고서는 미국 외교부가 (여전히) "사이버 보안 관행"이 무엇을 의미하는지 이해하지 못하고 있음을 강조합니다. 국무부는 적절한 사이버 보안 위험 관리 계획이 있다고 주장하지만 이는 서류상일 뿐입니다.
GAO 보고서 GAO-23-107012는 미국 외교를 수행하고 미국 외교 정책 형성을 돕는 정부 기관인 국무부의 열악한 사이버 문제 상태를 조사합니다. 국무부의 임무를 지원하는 IT 시스템을 확보하는 것은 중요한 목표가 되어야 하며, 지금까지 국무부는 그 목표를 달성하는 데 "매우 훌륭한 일"을 해왔습니다.
GAO 보고서는 국무부가 "연방 요구 사항을 충족하는" 사이버 보안 위험 관리 계획을 문서화했다고 밝혔습니다. 이 계획에서는 위험 관리 역할과 책임을 식별하고 적절한 위험 관리 전략을 개발합니다. 그러나 이 계획은 "완전히" 실행되지 않았으며 국무부는 IT 자산에 대한 위험을 식별하거나 모니터링할 수도 없으며 실제로 얼마나 많은 IT 자산을 소유하고 있는지도 모릅니다.
전체 보고서에는 미 국무부가 임무 수행에 영향을 미치는 정보 보안 취약성과 사이버 위협을 "아마도 완전히 인식하지 못하고 있을 것"이라고 나와 있습니다. 미국 국무부는 24시간 내내 보안 문제를 모니터링하고 식별하는 '사이버 사고 대응팀'을 갖추고 있지만 사고 대응 계획을 지원하기 위한 '포괄적인 구현 프로세스'가 부족합니다.
미국 국무부는 IT 인프라를 "적절하게 보호하지 않습니다". 이는 정부 기관이 여전히 Windows XP 기반 PC를 사용하고 있을 가능성이 높기 때문에 이는 아마도 올해의 절제된 표현일 것입니다. 미국 회계감사원(U.S. Government Accountability Office)은 일부 운영 체제가 "13년 전 초에" 지원 종료에 도달했음을 확인했습니다. 이는 2009년 4월 14일 XP 주류 지원 종료와 거의 정확히 일치합니다. Microsoft는 전설적인 PC 운영 체제에 대한 연장 지원을 2014년 4월 8일까지 제공합니다.
IT 인프라와 관련된 다른 문제로는 23,689개의 "하드웨어 시스템"과 3,102개의 네트워크 및 서버 운영 체제 설치가 수명이 다해 더 이상 지원되지 않는다는 점 등이 있습니다. 미국 회계감사원 보고서는 정보 기술 보안 문제가 사람들의 우려를 불러일으킬 만큼 충분하지 않다면 미 국무부의 관료주의와 공동 구조가 자기 파괴에 매우 성공적이라고 지적합니다.
국무부는 IT 관리 책임을 최고정보책임자(CIO)와 하위 기관으로 나누었고, 이러한 "사일로 문화"는 의사소통 부족을 조장하여 결국 보고서에 언급된 많은 결함을 초래했습니다. 이러한 통신 문제로 인해 국무부의 ECM(Enterprise Configuration Management) 데이터베이스는 아직 사용 중인 모든 하드웨어와 소프트웨어에 대한 완전한 그림을 제공하지 못한다고 GAO는 말했습니다. ECM 데이터베이스에는 북한의 20개 외교 전초 기지에서 사용하는 IT 자산에 대한 데이터가 전혀 없는 것으로 보입니다.
미국 회계감사원(U.S. Government Accountability Office)은 미국 국무부의 IT 인프라에서 확인된 많은 문제를 해결하기 위해 15가지 권장 사항을 제시했습니다. 또한 감독실은 나중에 미국 외교 기관의 열악한 상태를 개선하기 위한 추가 500개 권고 사항을 강조하는 또 다른 "제한적 배포" 보고서를 발표할 예정입니다.