<중대한 악성 사이버 지원 활동과 관련하여 국가 비상사태를 해결하기 위한 추가 조치를 취하는 행정명령>
국제비상경제권력법(IEPA), 국가비상사태법(50 U.S.C. 1701 등), 미국 국가비상사태법(50 U.S.C. 1601 등), 미국법(ENSE)에 의해 내가 대통령으로서 부여받은 권한에 의해.
I, Donald J. TRUMP 미국 대통령은 2015년 4월 1일 행정명령 13694(중대한 악의적인 사이버 지원 활동에 관여하는 특정인의 재산 차단)에서 선언된 중대한 악의적인 사이버 지원 활동과 관련된 국가 비상사태에 대처하기 위해 추가 조치를 취해야 한다는 것을 발견했다. 개정된 대로, 외국의 악의적인 사이버 행위자에 의한 미국 서비스 인프라(IaaS) 제품의 사용을 다루기 위한 것이다. IaaS 제품은 사용자에게 서버의 유지 관리 및 운영 비용에 대한 책임 없이 임대 또는 임대용으로 제공되는 서버에 소프트웨어를 실행하고 데이터를 저장할 수 있는 기능을 제한다. 외국의 악성 사이버 행위자들은 지적 재산과 민감한 데이터의 도용을 통해 미국 경제를 해치고 악의적인 사이버 지원 활동을 위한 미국의 중요 인프라를 목표로 하여 국가 안보를 위협하는 것을 목표로 하고 있다. 외국 행위자는 악의적인 사이버 지원 활동을 수행하는 데 있어 다양한 작업에 미국 IaaS 제품을 사용하며, 이는 미국 관리들이 이러한 외국 행위자들이 대체 인프라로 전환하고 이전 활동의 증거를 파기하기 전에 법적 절차를 통해 정보를 추적하고 얻는 것을 매우 어렵게 만든다.미국 IaaS 제품의 외국 리셀러는 외국 행위자가 이러한 제품에 더 쉽게 액세스하고 탐지를 회피할 수 있도록 한다. 이 명령은 외국거래와 관련하여 기록보관 의무를 부과할 권한을 제공한다. 이러한 위협에 대처하고, 외국 악성 사이버 행위자의 미국 IaaS 제품 사용을 차단하고, 외국 악성 사이버 행위자와 관련된 거래 조사를 지원하기 위해, 미국은 미국 IaaS 제품을 제공하는 제공자가 IaaS 계정(“계정”)을 획득하는 사람의 신원을 확인하도록 보장해야 한다. 또는 이러한 제품의 제공 및 해당 거래에 대한 기록 유지. 적절한 상황에서 악의적인 사이버 지원 활동을 더욱 보호하기 위해, 미국은 또한 특정 외국 행위자의 미국 IaaS 제품에 대한 접근을 제한해야 한다. 또한, 미국은 해외 악의적인 사이버 행위자들의 행동을 저지하기 위한 노력을 강화하기 위해 자발적인 정보 공유를 포함하여 미국 IaaS 제공자 간의 보다 강력한 협력을 장려해야 한다.
이에 따라 다음과 같이 주문합니다.
1절. ID 확인. 이 명령의 날짜로부터 180일 이내에 상무장관(장관)은 미국 IaaS 제공자에게 계정을 획득한 외국인의 신원을 확인하도록 요구하는 고지 및 의견 규정을 제안해야 한다.
이 규정들은 최소한 다음을 충족해야 한다.
(a) 미국 IaaS 제공업체가 계정 개설 또는 기존 계정 유지와 관련하여 외국인의 신원을 확인하기 위해 채택해야 하는 최소 표준은 다음과 같다.
(i) 이러한 제품 또는 서비스의 리스너 또는 서브 리스너 역할을 하는 외국인의 신원을 확인하는 데 필요한 문서 및 절차의 유형
(ii) 미국 IaaS 제공자가 계정을 획득한 외국인과 관련하여 다음을 설정하는 정보를 포함하여 안전하게 유지해야 하는 기록:
(가) 해당 외국인의 신원 및 이름, 국가 식별 번호 및 주소를 포함한 그 사람의 정보
(나) 지급 수단 및 출처(카드 번호, 계좌 번호, 고객 식별자, 거래 식별자 또는 가상 통화 지갑 또는 지갑 주소 식별자 등 관련 금융 기관 및 기타 식별자를 포함한다)
(다) 외국인의 신원을 확인하는 데 사용되는 전자 우편 주소 및 전화 연락 정보
(라) 액세스 또는 관리에 사용되는 인터넷 프로토콜 주소와 해당 계정에 대한 해당 외국인의 소유권에 대한 지속적인 확인과 관련된 각 액세스 또는 관리 조치의 날짜와 시간
(iii) 본 하위 절에 기술된 정보에 대한 모든 제3자 접근을 제한하는 방법. 단, 그러한 접근은 본 주문과 일관되며 해당 법률에 따라 허용된다.
(b) 미국 IaaS 제공자가 유지하는 계정 유형, 계정 개설 방법 및 이러한 제품을 사용하는 외국 악의적인 사이버 행위자를 식별하고 해당 제공자에게 과도한 부담을 주지 않도록 하는 목적을 달성하기 위해 이용할 수 있는 정보 유형을 고려한다.
(c) 장관이 국방장관, 법무장관, 국토안보부장관, 국가정보국장과 협의하여, 그러한 표준과 절차에 따라, 미국 IaaS 제공자 또는 특정 유형의 회계사로부터 면제할 수 있도록 허용한다. 이 조에 따라 발행된 모든 규정의 요건 이러한 표준 및 절차에는 공급자나 계정 또는 리스이용자가 IaaS 제품의 남용을 방지하기 위한 보안 모범 사례를 준수한다는 사무총장의 결과가 포함될 수 있다.
2절. 특정 외국 관할권 또는 외국인을 위한 특별 조치. (a) 본 주문일로부터 180일 이내에, 장관은 장관과 협의하여 본 조의 (d)에 기술된 특별 조치를 취할 것을 미국 IaaS 제공자에게 요구하는 규정을 통지 및 주석으로 제안해야 한다.국무장관, 재무장관, 국방부장관, 법무장관, 국토안보부, 국가정보국장 및 기타 집행부 및 기관장(기관)은 다음과 같은 사항을 파악한다.
(i) 외국 관할구역이 악의적인 사이버 지원 활동에 사용되는 미국 IaaS 제품을 제공하는 외국인의 수 또는 악의적인 사이버 지원 활동에 사용하기 위해 미국 IaaS 제품을 직접 구입하는 외국인의 수 중 상당수를 보유하고 있다는 결론을 내릴 수 있는 합리적인 근거가 존재한다.e, 본조 (b)에 따라, 또는
(ii) 외국인은 악의적인 사이버 지원 활동에 사용되는 미국 IaaS 제품을 제공하거나 악의적인 사이버 지원 활동에 사용하기 위해 미국 IaaS 제품을 직접 구입하는 행동 양식을 확립했다는 결론을 내릴 수 있는 합리적인 근거가 존재한다.(b) 본조 (a)에 따라 악의적 사이버 지원 활동에서 미국 IaaS 제품의 사용에 관한 결과를 도출할 때, 장관은 관련성이 있다고 판단하는 모든 정보와 다음 요소에 관한 정보를 고려해야 한다.
(i) 특정 외국 관할구역과 관련된 요소, 다음을 포함한다.
(A) 해당 해외 관할구역에서 미국 IaaS 제품을 제공하는 사람으로부터 외국 악성 사이버 행위자가 미국 IaaS 제품을 획득했다는 증거(리셀러 어카운트를 통해 그러한 IaaS 제품을 획득했는지 여부 포함)
(나) 해외 관할권이 악의적인 사이버 가능 활동의 원천인 범위
(C) 미국이 그 외국 관할권과 상호 법률 지원 조약을 맺고 있는지 여부, 그리고 그러한 외국 관할권을 통해 출발하거나 통과된 미국 IaaS 제품과 관련된 활동에 대한 정보를 얻었던 미국 사법 당국 및 규제 당국자의 경험
(ii) 특정 외국인과 관련된 요인:
(가) 외국인이 미국 IaaS 제품을 사용하여 악의적인 사이버 지원 활동을 수행, 촉진 또는 촉진하는 범위
(B) 악의적인 사이버 지원 활동을 촉진하거나 촉진하기 위해 외국인이 제공하는 미국 IaaS 제품을 사용하는 범위
(C) 외국인이 제공한 미국 IaaS 제품이 관할 지역에서 합법적인 비즈니스 목적으로 사용되는 범위
(D) 본조 (d)에 따른 특별 조치의 부과에 미달하는 조치가 악의적인 사이버 지원 활동을 방지하기 위해 미국 IaaS 제품을 제공하는 외국인의 거래에 관한 것으로 충분한 범위.
(c) 장관은 본 조에 따라 취할 특별 조치 또는 조치를 선정할 때 다음을 고려한다.
(i) 어떤 특별 조치의 부과가 미국 IaaS 제공자에게 규정 준수와 관련된 과도한 비용 또는 부담을 포함하여 상당한 경쟁적 불이익을 초래하는지 여부
(ii) 특별 조치의 부과 또는 특별 조치의 시기가 특정 외국인 관할구역 또는 외국인을 포함하는 합법적인 사업 활동에 중대한 악영향을 미치는 범위
(iii) 미국 국가 안보, 사법 조사 또는 대외 정책에 대한 특별 조치의 영향.
(d) (a), (b) 및 (b)에서 언급한 특별조치
이 조의 (c)는 다음과 같다.
(i) 특정 외국 관할구역 내 계좌에 대한 금지 또는 조건: 장관은 악의적 사이버 지원 활동에 사용되는 미국 IaaS 제품을 제공하는 외국인을 상당히 많이 보유하고 있는 것으로 판명된 외국 관할 지역에 거주하는 모든 외국인에 의해 리셀러 계정을 포함한 미국 IaaS 제공자의 개설 또는 유지를 금지하거나 조건을 부과할 수 있습니다.외국인을 위한 또는 대리인을 위한 미국 IaaS 제공자에 의한 관계.
(ii) 특정 외국인에 대한 금지 또는 조건: 장관은 외국인에 대한 미국 IaaS 제공자가 악의적 사이버 사용에 사용되는 미국 IaaS 제품을 제공하는 것으로 판명된 외국인과 관련된 경우, 재판매자 계정을 포함한 미국 내 계정 개설 또는 유지를 금지하거나 조건을 부과할 수 있습니다.d 활동 또는 악의적인 사이버 지원 활동에 사용하기 위해 미국 IaaS 제품을 직접 획득한다.
(e) 장관은 미국 IaaS 제공자가 본 주문서 제1절에 기술된 최종 규정을 발행한 후 180일 이내에 본 조 (d)에 기술된 특별 조치를 취하도록 요구해서는 안 된다.
제3장. 미국 IaaS 제품의 남용을 막기 위한 협력적 노력에 대한 권고. (a) 본 주문일로부터 120일 이내에 법무장관 및 국토안보부 장관이 장관 및 법무장관 및 국토안보부 장관이 적합하다고 판단되는 경우, 다른 책임자와 협조하여 기관들은 IaaS 제공자 간의 정보 공유 및 협업을 증가시키는 방법과 IaaS 제공자와 본조 (b)에 따른 권고사항을 알리기 위해 업계로부터 피드백을 요청해야 한다.(b) 법무장관 및 국토안보부 장관은 본 주문서 작성일로부터 240일 이내에, 법무장관 및 국토안보부 장관이 적절하다고 판단될 경우, 다른 기관의 장은 다음과 같은 권고사항을 포함하는 보고서를 작성하여 대통령에게 제출해야 한다.
(i) 미국 IaaS 제공업체 간의 자발적인 정보 공유 및 협업
(ii) 미국에 대한 추가 피해를 방지하기 위한 목적으로 미국 IaaS 제공자와 적절한 기관 간의 정보 공유(사건, 범죄 및 기타 국가 안보 위협 보고 포함)
(c) 본조 (b)에 따라 제공된 보고서 및 권장사항은 사이버보안 정보공유법 (6 U.S.C. 1503 등)을 포함하여 이러한 공유 및 협업에 대한 기존의 메커니즘을 고려해야 하며, 현행 법률, 정책 또는 절차의 차이를 식별해야 한다. 보고서에는 다음 사항도 포함되어야 한다.
(i) 해외 악의적인 사이버 행위자의 운영과 관련된 정보, 해당 행위자가 미국 내에서 IaaS 제품을 사용하는 수단, 악의적인 능력 및 무역 크래프트, 미국 내 사람들이 이러한 활동에 노출되거나 무의식적으로 관여하는 정도
(ii) 미국 IaaS 제공자들이 서로 그리고 미국 정부와 정보를 공유하도록 권장하는 데 필요할 수 있는 기존 법률의 권고 사항 이외의 책임 보호 권고 사항
(iii) 해외 악의적인 사이버 행위자를 포함하는 계정 및 활동의 탐지 및 식별을 촉진하기 위한 권고 사항.
4단계. 구현을 위한 충분한 리소스 확보 장관은 장관이 적절하다고 판단하는 기관의 장과 협의하여 이 순서에 따라 기술된 노력을 지원하기 위한 자금요건을 파악하여 관리예산과 연간 예산제출에 반영하여야 한다.
5장 정의. 이 주문의 목적상 다음 정의가 적용됩니다.
(a) “기업”이란 협력, 협회, 신탁, 합작, 법인, 단체, 하위그룹 또는 그 밖의 단체를 말한다.
(b) “해외 관할권”이란 미국의 민간 또는 군사 관할권 대상국을 제외한 모든 국가, 하위 국토 또는 지역을 말한다. 이러한 국가, 하위 국토 또는 지역을 포함한 모든 개인 또는 단체가 주권 또는 사법권을 행사한다.개인 또는 개인 집단이 미국에 의해 인정받았거나 인정되지 않았거나 관계없이, 개인은 정부 권한을 행사할 것으로 가정한다.
(c) “외국인”이란 미국인이 아닌 사람을 말한다.
(d) “서비스 계정으로서의 인프라” 또는 “계정”이란 IaaS 제품을 해당 거래의 세부사항이 기록된 개인에게 제공하기 위해 설립된 공식적인 업무관계를 말한다.
(e) “서비스로서의 인프라(Infrastructure as a Service Product)”란 처리, 스토리지, 네트워크 또는 기타 기본 컴퓨팅 리소스를 제공하고, 소비자가 운영 체제를 포함하여 미리 정의되지 않은 소프트웨어를 배포 및 실행할 수 있는 무료 또는 “테스트” 서비스를 포함하여 소비자에게 제공되는 모든 제품 또는 서비스를 말한다.모래 응용 프로그램 소비자는 일반적으로 대부분의 기본 하드웨어를 관리하거나 제어하지 않지만 운영 체제, 스토리지 및 배포된 모든 애플리케이션을 제어합니다. 이 용어는 제공자가 시스템 구성이나 유지보수의 일부 측면을 책임지는 “관리되지 않은” 제품 또는 서비스와 제공자가 제품이 소비자가 사용할 수 있도록 보장하는 것만을 책임지는 “관리되지 않은” 제품 또는 서비스를 포함한다. 이 용어는 또한 “가상화된” 제품과 서비스를 포함하며, 물리적 시스템의 컴퓨팅 리소스가 인터넷을 통해 액세스할 수 있는 가상화된 컴퓨터(예: “가상 사설 서버”)와 물리적 시스템의 총 컴퓨팅 리소스가 단일 시스템에 제공되는 “전용” 제품 또는 서비스로 분할됩니다. 개인(예: “메탈” 서버);
(f) “악의적인 사이버 지원 활동”이란 컴퓨터, 정보 또는 통신 시스템, 네트워크, 물리적 또는 가상 인프라의 기밀성, 무결성 또는 가용성을 훼손하거나 훼손하려는 미국 법률에 의해 승인된 활동을 제외한 활동을 말한다. 정보 시스템 또는 여기에 상주하는 정보
(g) “사람”이란 개인 또는 기업을 말한다.
(h) “리셀러 어카운트”란 IaaS 제품을 후속적으로 또는 부분적으로 제3자에게 제공할 사람에게 제공하기 위해 설립된 서비스 어카운트로서의 인프라(IaaS)를 말한다.(i) “서비스 상품으로서의 미국 인프라”란 미국 개인이 소유하거나 미국 영토 내에서 운영되는 서비스 상품으로서의 인프라(IaaS)를 말한다.
(j) “서비스 제공자로서 미국 인프라”란 서비스 제품으로서 인프라를 제공하는 미국인을 말한다.
(k) “미국 사람”이란 미국 시민권자, 이민국법 및 국적법에 정의된 합법적 미국 영주권자, 미국법령 또는 미국 내 관할권(외국인 지사 포함)에 따라 조직된 법인 또는 미국에 위치한 사람을 말한다.
6장 보고 권한 수정. 개정된 행정명령 13694의 섹션 (9)은 다음과 같이 추가로 개정된다.
“9초” 재무장관은 국무장관, 법무장관, 상무장관과 협의하여, 본 주문서에 선언된 국가 비상사태에 대한 반복적이고 최종적인 보고서를 의회에 제출할 권한이 있으며, 이는 NEA (50 U.S.C.) (50 U.S.C.) (50 U.S. 1641 (c) 및 204 (EC) 섹션과 일치한다. (50 U.S.C. 1703(c).”
제7절. (a) 사무총장은 적절하다고 판단하는 다른 기관의 장과 협의하여 이 명령의 목적을 수행하기 위해 필요한 경우 규칙 및 규정의 공포를 포함한 모든 조치를 취할 수 있으며, IEPA가 대통령에게 부여한 모든 권한을 고용할 수 있다.r. 장관은 해당 법률과 일치하는, 상무부 내의 다른 임원에게 이러한 직무를 재위임할 수 있다. 미국 정부의 모든 부서와 기관은 본 주문서의 조항을 수행하기 위해 권한 내에서 모든 적절한 조치를 취하도록 지시받는다.
(b) 본 주문서의 그 어떤 것도 다음을 손상시키거나 다른 영향을 미치는 것으로 해석해서는 안 된다.
(i) 법에 의해 집행부나 기관 또는 그 기관장에게 부여된 권한
(ii) 예산, 행정 또는 입법 제안과 관련된 관리 및 예산 책임자의 기능
(c) 본 주문서는 적용 가능한 법률에 따라 이행되어야 하며, 충당금 가용성에 따라 이행되어야 한다.
(d) 이 명령의 어떤 것도 국가 보안이나 공공 안전 활동의 진보에 있어서 공인된 정보, 군사, 법 집행 또는 기타 활동을 금지하거나 제한하지 않는다.
(e) 본 주문서는 미국, 부서, 기관 또는 단체, 임원, 직원, 대리인 또는 다른 사람에 대해 법률 또는 자본에 의해 시행될 수 있는 어떤 권리나 이익을 창출하거나 창출하지 않는다.
도널드 트럼프
(출처) 백악관