NIST, 프레임워크 코어·구현·프로파일 등 3단계로 프레임워크 구성

[보안뉴스 김경애] 지난 2월 12일 미국의 NIST(National Institute of Standards and Technology)는 사이버보안 프레임워크(Framework for Improving Critical Infrastructure Cybersecurity)를 발표한 바 있다. 
이는 금융, 에너지, 보건 등 ‘핵심 기반시설 사이버보안 개선’을 위한 미국 오바마 대통령 행정명령 13636호 발표에 따른 것으로, 국가 주요기반시설에 사이버 위협 상황에 대한 인식과 대응방안을 담고 있다. 이로 인해 국내에서도 사이버보안 프레임워크 핵심 내용에 관심이 집중되고 있다. 먼저 주요 구성단계를 살펴보면 △프레임워크 코어(Framework Core) △프레임워크 구현(Framework Implemetation Tiers) △프레임워크 프로파일(Framework Profile)로 구분된다.  

첫 번째로 프레임워크 코어는 주요 기반시설의 사이버보안 대응 프로세스를 △인지(Identify) △보호(Protect) △탐지(Detect) △대응(Respond) △복구(Recover)로 구분한다.

인지는 사이버보안 위험을 관리하기 위한 조직의 시스템, 자산, 데이터, 역량 등에 관한 이해를 의미하며, 자산관리(Asset Management), 위험평가(Risk Assessment) 등의 활동을 포함한다.

보호는 주요기반시설의 서비스 제공을 보장하기 위해 필요한 보호 수단을 개발하는 것으로, 접근제어(Access Control), 교육 및 훈련(Awareness and Training), 데이터보안(Data Security) 등이다.

탐지는 사이버보안 사고 발생을 감지할 수 있는 활동을 뜻하며, 지속적인 보안 모니터링(Security Continuous Monitoring) 등을 통해 구현된다.

대응은 탐지된 사이버보안 사고에 대한 조치를 취하기 위해 필요한 활동들을 의미하며, 보안위협의 분석(Analysis) 및 완화(Mitigation) 등이 포함된다.

복구는 사이버보안 사고로 손상된 기능과 주요 기반 시설 서비스를 복구하기 위한 활동으로서 복구계획(Recovery Planning) 등이 수립된다.



두 번째로 프레임워크 구현은 조직이 처한 위기관리 상황, 위협 환경, 법률 및 규제 요건, 사 목적 등에 따라 사이버보안 위험관리 방식을 적용 가능하도록 단계별로 제시한다. 단계별 내용은 다음과 같다.

△부분적 적용(Tier 1: Partial) 단계 - 사이버보안 위험에 대한 즉시·사후 대응 및 비정기적인 위험 관리 실시
△위험정보 활용단계(Tier 2: Risk-Informed) - 조직 내 일부 영역에 대해 사이버보안 위험관리 프로세스 도입
△위험정보 활용 및 반복단계(Tier 3: Risk-Informed and Repeatable) - 조직의 위험 관리 프로세스를 공식적으로 승인하고 이를 범조직적으로 시행
△적응 단계(Tier 4: Adaptive) - 사이버보안 활동을 통해 얻은 정보 및 예측 지표를 바탕으로 사이버보안 위험관리 프로세스의 지속적인 향상을 모색한다.


마지막으로 프레임워크 프로파일은 조직이 수행하고 있는 사이버보안 활동의 현재 상태(profile)와 목표 상태 간 격차를 파악하고, 이를 최소화할 수 있는 해결과제 또는 도출 방안을 제시하는 단계다.

프레임워크 프로파일에서는 프로파일 설정 메커니즘만을 제공하고 있으며, 프로파일 설정에 필요한 특정 양식 등은 각 조직이나 부문 별로 목적과 필요에 따라 설정하도록 요구한다.

NIST는 앞선 세 가지 구성요소들을 효과적으로 조직에 적용할 수 있도록 ‘사이버보안 프레임워크 적용 방안(How to Use the Framework)’을 다음과 같이 단계별로 나눠 제시하고 있다. 

△1단계: 프레임워크 적용 우선순위 및 범위 설정 △2단계: 프레임워크 적용 과정에서 요구되는 시스템, 자산규정 등을 파악 △3단계: 현재 상태에 관한 프로파일 작성 △4단계: 위험 요인 평가
△5단계: 목표 프로파일 작성
△6단계: 격차 도출과 분석 및 우선순위 설정 △6단계: 액션 플랜 시행을 거치는 프레임워크 적용 요구  

이번에 발표된 미국 NIST에서 발표한 사이버보안 프레임워크 원본은 본지 컨텐츠 코너(http://www.boannews.com/security_contents/info/view.asp?idx=640&code=01004)에서 다운로드 받을 수 있으며, 보다 세부적인 사항은 한국인터넷진흥원 인터넷침해대응센터 홈페이지(www.krcert.or.kr)를 통해서도 확인할 수 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>