오늘은 미국 국립표준기술원, NIST에서 개발한 사이버보안 프레임워크를 소개해 드리려고 합니다. 사이버보안 프레임워크, 줄여서 CSF는 사이버 보안을 강화하고 효율적으로 관리하기 위해 개발되었습니다. 이러한 CSF가 무엇인지, 어떻게 발전해 왔는지를 먼저 살펴보겠습니다.
CSF는 조직이 자체 사이버 보안 위험을 평가하고 관리할 수 있도록 여러 표준, 지침, 모범 사례로 구성된 표준화된 가이드입니다. CSF는 사이버 보안의 표준화된 접근 방식과 기준을 제시하여 이해관계자들이 지식을 공유하고 원활히 소통할 수 있는 기반을 마련하였습니다. 이러한 CSF의 특징은 사이버 보안 전략이나 계획을 개발하는데 있어 의사소통으로 인해 발생할 수 있는 혼란을 줄이고 효율성을 향상시켰습니다. CSF가 제시한 표준들은 미국 사이버보안 및 인프라 보안국, CISA의 사이버 레질리언스 리뷰, 사이버 위협 협회, CRI의 The CRI 프로파일, 미 국방부의 사이버 레퍼런스 아키텍처 등 이후 개발된 많은 사이버 보안 관련 문서들의 레퍼런스로 활용되었을 정도로 큰 의미를 가지고 있습니다.
이러한 CSF는 2013년 2월 12일, 미국 행정 명령 ‘주요 인프라 사이버 보안 강화’ 공표에 따라 개발이 시작되어 2014년 2월, 1.0 버전의 첫 CSF가 발간되었습니다. 이후 2018년 4월 개정판인 ‘인프라 사이버 보안 개선을 위한 프레임워크‘라는 이름으로 1.1 버전이 발간되었습니다. CSF가 앞서 나열한 문서들의 레퍼런스로 활용된 것은 미국 상무부 산하 기관인 NIST가 행정 명령을 충족시키기 위해 개발한 표준이자 공식적인 가이드라인이기 때문입니다. 현재 NIST는 발전된 사이버 보안 환경에 적합하도록 CSF의 새로운 버전을 공개하였습니다. 후에 설명드릴 CSF의 코어 기능에 Govern 영역을 추가한 2.0 버전의 초안으로, 해당 버전의 완성도를 위해 초안을 바탕으로 공개 의견을 수렴하고 있는 중입니다.
다음은 CSF의 주요 구성입니다. 아직 해당 버전이 완성되지 않은 점을 감안하여 1.1 버전을 통해 CSF가 어떻게 구성되어 있는지, 무엇을 말하고 있는지를 알아보겠습니다.
CSF는 코어, 구현 계층, 프로파일이라는 세 가지 주요 요소로 구성되어 있습니다. 프레임워크 코어는 주요 인프라 분야에 공통으로 적용할 수 있는 사이버 보안 활동, 이러한 활동으로부터 기대할 수 있는 성과, 조직에 적용 가능한 참조 사례를 하나로 묶은 세트입니다.
Implementation Tiers, 구현 계층은 보안 및 위험 관리 정도에 따라 단계를 구분한 것으로, 조직의 요건 및 상황에 따라 적용 가능한 단계별 사이버 보안 위험 관리 방식을 제시합니다.
마지막으로 프로파일은 조직이 수행하고 있는 사이버 보안 활동의 현재와 목표간 격차를 파악하고 해결 과제를 도출하기 위해 사용됩니다.
각각의 요소를 더 자세히 살펴본 후 어떤 의미를 가지고 있는지를 알아보도록 하겠습니다.
먼저 코어 요소입니다. 코어는 4가지 영역으로 구분됩니다./ 식별, 보호, 탐지, 대응, 복구 등, 가장 높은 수준에서 사이버 보안 활동을 정의한 기능, 이러한 기능을 프로그램 요구 사항 및 사이버 보안 특정 활동 단위로 세분화한 카테고리, 카테고리를 기술 및 관리 활동 단위로 세분화한 하위 카테고리, 하위 카테고리를 달성하기 위한 표준, 지침 및 관행 등을 설명하는 참조로 이루어져 있습니다.
코어는 5가지 기능에 대해 23개의 카테고리, 108개의 하위 카테고리로 구성되어 있습니다. 자세한 설명을 위해 보호 기능의 일부를 보여드리려 합니다.
화면은 보호 기능에 대한 ID관리, 인증 및 엑세스 제어라는 카테고리 중 자격 증명을 통해 신원 인증 및 권환 확인 후 엑세스 부여, 사용자, 디바이스 및 기타 자산은 거래의 위험 수준에 상응하는 인증 진행 등의 하위 카테고리를 보여드리고 있습니다. 코어는 총 6개의 참조 문서가 존재하는데, 각각의 하위 카테고리별로 문서의 참조 위치를 확인하실 수 있습니다.
대표적으로 코어를 구성하는 기능과 카테고리에 대해 살펴보겠습니다. 먼저 식별은 시스템, 자산, 데이터 및 기술에 대한 사이버 위험을 관리하기 위해 조직 차원의 사이버 위험 이해를 증진시키는 것을 의미합니다. 이러한 이해는 조직이 자산 및 자원에 대한 위험 관리 전략을 수립하기 위한 기초가 됩니다. 식별은 사이버 위험으로부터 보호할 자산을 식별하며 사이버 위험을 평가하고 이를 관리하기 위한 프로세스 및 전략을 수립하게 됩니다. 식별에는 자산관리, 비즈니스 환경, 거버넌스, 위험 평가, 위험 관리 전략, 공급망 위험 관리 등의 카테고리가 포함됩니다.
보호는 주요 서비스의 지속적인 제공을 위해 보안 대책을 개발하고 구현하는 것을 의미합니다. 보호는 자산 보호를 위한 기술 및 시스템 뿐만 아니라 조직 차원의 보안 의식과 관련 교육 또한 포함되어 있습니다. 엑세스 제어, 인식 및 교육, 데이터 보안, 정보 보호 프로세스 및 절차, 유지 보수, 보호 기술 등이 해당됩니다.
탐지 기능부터는 실제 사이버 공격이 발생했을 때를 대비한 내용으로 구성됩니다. 탐지는 조직이 사이버 보안 이벤트를 식별하고 이를 조직에 알릴 수 있는 방안을 개발하고 구현하는 것을 의미합니다. 이를 위해 시스템에 대한 실시간 인식 및 지속적인 모니터링을 강조하고 있습니다. 이상 및 이벤트, 보안 상시 모니터링, 탐지 프로세스 등이 포함됩니다.
대응은 탐지한 사이버 보안 이벤트에 대한 대응 방안을 개발하고 구현하는 것을 의미합니다. 나아가 실제 사이버 보안 이벤트가 발생했을 때, 이를 기반으로 기존 조치를 업데이트하는 과정까지 수립되어 있습니다. 대응 계획, 커뮤니케이션, 분석, 완화, 개선 등이 포함됩니다.
복구는 복구 계획을 관리하고 사이버 보안 이벤트로부터 손상된 기능 및 서비스를 복구하기 위한 방안을 개발하고 구현하는 것을 의미합니다. 대응 기능과 같이, 실제 사이버 보안 이벤트가 발생했을 때, 이를 기반으로 기존 방안을 업데이트하는 과정을 포함하고 있습니다. 복구는 복구 계획, 개선, 커뮤니케이션으로 이루어져 있습니다.
프레임워크 코어는 사이버 보안 활동의 표준을 정의한 것이며, 표준을 바탕으로 사이버 보안 위험을 줄일 수 있는 조치를 식별하고, 우선순위를 정하는데 사용할 수 있도록 개발되었습니다. CSF는 필요한 기능과 카테고리의 범위를 선별하여, 기업의 목적을 달성하기 위한 도구로 프레임워크 코어를 활용하라고 가이드하고 있습니다.
다음은 프레임워크 구현 계층입니다. 구현 계층은 조직의 보안 및 위험 관리 특성을 단계별로 구분하여 보여주며, 조직의 위험 관리 상황, 법률 및 규제 요건, 업무 우선순위, 예산 등 조직의 요건이나 상황에 따라 적용할 수 있는 사이버 보안 위험 관리 방식을 제시하고 있습니다. 각 계층은 부분 적용 단계, 위험 정보 활용 단계, 반복 단계, 적응 단계로 총 4단계로 구성되어 있습니다.
구현 계층은 세 가지 평가 항목을 바탕으로 구성되어 있습니다. 조직이 어떻게 위험 관리를 수행하는지를 나타내는 ‘위험 관리 프로세스’, 위험 관리를 위한 구조화된 방식을 의미하는 ‘통합 위험 관리 프로그램’, 조직이 외부 환경과 상호작용하고 정보를 주고받는 능력인 ‘외부 참여' 이러한 세가지 항목을 계층별로 정의하고 있습니다.
각 구현 계층을 자세히 살펴보겠습니다. 부분 적용 단계는 위험 관리가 임시적이며 사이버 보안 우선순위가 불명확한 단계로, 외부 협력 및 정보 공유가 부족한 상태입니다.
위험 정보 활용 단계는 위험 관리는 일부 공식화되었고, 미흡하지만 조직 전체적인 정책이 적용되고 있는 단계입니다. 비공식적이지만 외부와의 정보 공유가 이루어지고 있는 상태입니다.
반복 단계는 위험 관리가 공식적으로 승인되고 정기적인 업데이트가 이루어진 단계입니다. 위험 정보에 기반한 정책과 프로세스가 사용되고 있으며, 외부와의 활발한 정보 공유가 이루어지고 있는 상태입니다.
마지막으로 적응 단계는 조직의 현재 및 과거 활동을 기반으로 위험관리가 조정되며, 조직 전체적인 차원에서 통합 위험 관리 프로그램이 확립되어 있는 단계입니다. 실시간 정보를 활용, 외부와 협력하여 사이버 공급망 위험에 대응하는 성숙한 모습을 보여주는 상태입니다.
다만 구현 계층이 조직의 사이버 보안 성숙도 수준을 나타내는 것은 아닙니다. 프레임워크 구현 계층은 성숙도 모델이 아닌, 조직이 지향하기 위한 목표 참조 모델로서 개발되었습니다. CSF는 목표 구현 계층을 설정하여 현 조직이 목표 수준을 충족하고 있는지 확인하고, 이를 평가하도록 가이드하고 있습니다. 또한 프레임워크의 성공적인 이행은 높은 구현 계층을 달성하는 것이 아닌, 목표 프로파일을 달성하는 것이라고 설명하고 있습니다. 그렇다면 CSF의 주요 구성 마지막, 프로파일은 무엇인지를 함께 살펴보겠습니다.
프로파일은 기존의 사이버 보안 상태를 평가한 ‘현재’ 프로파일과 프레임워크 코어(Core) 요소를 조직의 비즈니스 요구 사항, 위험 허용 범위 및 리소스에 맞춰 재조정한 ‘목표’ 프로파일로 구분됩니다. 즉 프로파일의 설정은 조직의 목적과 필요에 따라 코어의 기능 및 카테고리를 선택하는 것으로 시작되며, 선택한 코어 영역이 제시하는 프로세스 별 달성 목표 수준과 현재 상태를 작성하게 됩니다. 또한 작성된 프로파일은 현재와 목표의 비교를 통해, 결정된 우선순위를 바탕으로 로드맵을 수립하는데 활용됩니다. CSF에서 제시하는 프로파일은 템플릿이 규정되어 있지 않아 조직의 상황에 맞게 유연하게 구현할 수 있습니다. 그러나 이러한 점이 프로파일을 이해하는데 어려움으로 작용할 수 있을 것이라 생각합니다. 따라서 프레임워크를 적용하는 전체적인 맥락 안에서 프로파일의 용도를 확인한다면 이해에 도움이 될 것입니다.
프레임워크 적용 방안은 총 7단계로 각 단계별로 수행해야 할 지침을 제시하고 있습니다.
먼저 우선순위 및 범위를 지정합니다. 프로젝트의 범위를 명확히하고 우선순위를 결정하며, 기업의 비즈니스 목표와 요구사항을 확립하고 위험에 대한 허용치를 결정합니다.
이후 방향을 설정합니다. 기업의 자산 및 시스템 재고를 파악하고 적용될 수 있는 규정, 위험 관리 방식, 위협 요인을 파악하여 이를 토대로 향후 방향성을 결정합니다.
방향이 설정되고 나면 현재 프로파일을 개발합니다. 위험을 관리하는 현재의 방식을 CSF의 카테고리 및 하위 카테고리별로 조명하여 프로파일을 작성합니다.
다음은 위험 평가를 수행합니다. 운영 환경, 새로운 위험, 사이버 보안 위협 정보를 종합적으로 평가하여, 해당 기업에 영향을 미칠 수 있는 사이버 보안 이벤트의 발생 가능성 및 심각도를 판단합니다.
위험 평가가 끝나면 위험 관리 목표를 정의한 목표 프로파일을 개발합니다. 해당 화면과 같이 기업의 비즈니스 목표, 환경적인 위협, 요구사항 등을 코어(Core)의 기능 및 카테고리와 매핑하여 프로파일을 작성합니다.
목표 프로파일이 완성되면 현재 프로파일과 목표 프로파일의 격차를 확인, 분석하고 우선순위를 결정하여 실행 계획을 수립합니다. 해당 화면과 같이 현재 프로파일과 목표 프로파일을 비교하여 격차를 확인하고, 이를 해결하기 위한 예산, 활동 등을 파악함으로써 구체적인 실행 계획을 수립하기 위한 분석을 진행합니다.
마지막으로 수립된 실행 계획을 이행합니다.
앞서 보여드린 단계는 단발적인 활동이 아닌 지속적으로 결과를 모니터링하고 업데이트해 나가는 과정입니다. CSF는 위의 단계를 반복함으로써, 조직의 사이버 보안 역량을 평가하고 개선점을 도출하여 기업 목표에 부합하는 프레임워크를 구현하도록 가이드하고 있습니다.
이로써 CSF 1.1버전의 모든 주요 구성 요소를 살펴보았습니다. CSF에서 강조하듯이 중요한 것은 기업의 비즈니스 환경과 목표, 요구사항에 적합하도록 CSF를 활용하여 기업의 사이버 보안 수준을 지속적으로 발전시키는 것입니다. 기업의 우선순위에 따라 단계를 두고 보안 수준을 지속적으로 발전시켜 나간다면, 한층 더 성숙한 사이버 보안을 이룰 수 있을 것입니다.
