| 美 NIST ‘사이버보안 프레임워크’ 핵심 3단계 | 2014.03.17 | ||
NIST, 프레임워크 코어·구현·프로파일 등 3단계로 프레임워크 구성 [보안뉴스 김경애] 지난 2월 12일 미국의 NIST(National Institute of Standards and Technology)는 사이버보안 프레임워크(Framework for Improving Critical Infrastructure Cybersecurity)를 발표한 바 있다. 첫 번째로 프레임워크 코어는 주요 기반시설의 사이버보안 대응 프로세스를 △인지(Identify) △보호(Protect) △탐지(Detect) △대응(Respond) △복구(Recover)로 구분한다. 인지는 사이버보안 위험을 관리하기 위한 조직의 시스템, 자산, 데이터, 역량 등에 관한 이해를 의미하며, 자산관리(Asset Management), 위험평가(Risk Assessment) 등의 활동을 포함한다. 보호는 주요기반시설의 서비스 제공을 보장하기 위해 필요한 보호 수단을 개발하는 것으로, 접근제어(Access Control), 교육 및 훈련(Awareness and Training), 데이터보안(Data Security) 등이다. 탐지는 사이버보안 사고 발생을 감지할 수 있는 활동을 뜻하며, 지속적인 보안 모니터링(Security Continuous Monitoring) 등을 통해 구현된다. 대응은 탐지된 사이버보안 사고에 대한 조치를 취하기 위해 필요한 활동들을 의미하며, 보안위협의 분석(Analysis) 및 완화(Mitigation) 등이 포함된다. 복구는 사이버보안 사고로 손상된 기능과 주요 기반 시설 서비스를 복구하기 위한 활동으로서 복구계획(Recovery Planning) 등이 수립된다.
두 번째로 프레임워크 구현은 조직이 처한 위기관리 상황, 위협 환경, 법률 및 규제 요건, 사 목적 등에 따라 사이버보안 위험관리 방식을 적용 가능하도록 단계별로 제시한다. 단계별 내용은 다음과 같다. △부분적 적용(Tier 1: Partial) 단계 - 사이버보안 위험에 대한 즉시·사후 대응 및 비정기적인 위험 관리 실시
마지막으로 프레임워크 프로파일은 조직이 수행하고 있는 사이버보안 활동의 현재 상태(profile)와 목표 상태 간 격차를 파악하고, 이를 최소화할 수 있는 해결과제 또는 도출 방안을 제시하는 단계다. 프레임워크 프로파일에서는 프로파일 설정 메커니즘만을 제공하고 있으며, 프로파일 설정에 필요한 특정 양식 등은 각 조직이나 부문 별로 목적과 필요에 따라 설정하도록 요구한다. NIST는 앞선 세 가지 구성요소들을 효과적으로 조직에 적용할 수 있도록 ‘사이버보안 프레임워크 적용 방안(How to Use the Framework)’을 다음과 같이 단계별로 나눠 제시하고 있다. △5단계: 목표 프로파일 작성 △6단계: 격차 도출과 분석 및 우선순위 설정 이번에 발표된 미국 NIST에서 발표한 사이버보안 프레임워크 원본은 본지 컨텐츠 코너(http://www.boannews.com/security_contents/info/view.asp?idx=640&code=01004)에서 다운로드 받을 수 있으며, 보다 세부적인 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지(www.krcert.or.kr)를 통해서도 확인할 수 있다. [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
