[USG]주요 위험 관리 표준 및 프레임워크 #1, 2

[1주차] 주요 위험 관리 표준 및 프레임워크

이 과정에서, 우리는 위험 관리 경험과 위험 관리 경험이 거의 없는 조직들이 리스크 관리 노력을 설계하고 구현하는 데 있어 어떻게 국내 및 국제 기관에 지침을 제공하고 싶어하는지에 대해 학습한다. 이 분야에 지침을 제공하는 두 개의 주요한 조직이 있다. NIST라고 자주 불리는 미국 국립 표준 기술 연구소와 ISO로 줄여 불리는 국제 표준 기구다. 이 과정에서는 이 두 조직이 제공하는 리스크 관리 프레임워크와 표준을 검토한 다음, 사용 가능한 다른 접근 방식에 대해 논의하는 것으로 마무리한다.

[2주차] 주요 위험 관리 표준 프레임워크: NIST & ISO

학습목표

1. 사이버 보안에 대한 국제 표준을 수립하는 데 있어 ISO와 IEC의 역할을 설명한다.
2. 위험 관리를 관리하는 기준을 설명한다.
3. NIST 위험 관리 프레임워크의 구조와 사용에 대해 논의한다.

[2-1] 표준

표준은 어떤 작업을 측정하거나 수행하거나 항목을 개발하고 사용하기 위해 확립된 방법이다. 우리가 살면서 하는 거의 모든 일은 표준에 기반을 두고 있다. 킬로미터, 센티미터와 같은 길이 측정에서부터 리터 등의 부피 측정을 포함하는 단위까지 말이다. 표준은 만들어진 장치를 서로 교환하여 사용하고 사용할 수 있도록 보장하는 데 매우 중요하다. 드라이버나 렌치, 망치 등으로 품목을 수리하는 도구도 모두 표준에 기반을 두고 있다. 모든 것이 수작업으로 이루어지던 시절에는 두 품목이 동일하지 않았기 때문에 부품을 교환할 수 없었다. 표준은 원래 소비자를 보호하기 위해 만들어졌다. 공정하게 하기 위해 판매자는 구매자가 제공한 통화로 제품을 활용하고 있는지 알지 못했다. 따라서 우리는 판매자가 사용하는 방법이 공정하도록 보장하는 방법을 가져야 했다. 표준은 특히 비즈니스 상호 작용과 협력을 지원한다. 표준은 조직이 준수하기 위해 작업을 수행하는 방법을 설명하면서 연방 규정을 준수하도록 돕는다. 국제표준기구에 따르면, 표준은 재료, 제품, 프로세스 및 서비스가 자신의 목적에 적합한지 확인하기 위해 일관되게 사용할 수 있는 요구 사항, 사양, 지침 또는 특성을 제공하는 문서다. NIST에 따르면, 표준은 기술이 원활하게 작동하고 신뢰를 구축하여 시장이 원활하게 작동할 수 있도록 한다. 표준은 성능을 측정하고 평가하기 위한 공통 언어를 제공한다. 이는 다른 회사에서 만든 구성 요소의 상호 운용성을 가능하게 한다. 여기에서 안전, 내구성 및 시장 형평성을 보장하여 소비자를 보호할 수 있는 것이다. 정보 기술 분야에서 우리는 기술의 생성, 사용 및 수리에도 표준을 사용한다. 우리의 모든 기술은 표준에 기반을 두고 있는 셈이다. 그렇지 않으면 우리의 USB 드라이브가 가정용 컴퓨터와 사무용 컴퓨터에서 작동하지 않을 것이고, DVD 플레이어가 가정용 장치와 직장의 블루레이 플레이어와 컴퓨터에서 모두 재생할 수 없을 것이다.

 

우리가 표준에 대해 이야기할 때 사용되고 있는 표준에는 두 가지 유형, 즉 De Facto 표준과 De Jure 표준이 있다. De Facto 표준은 비공식적인 사용 때문에 존재하는 표준이다. 수년에 걸쳐 그것들은 제품을 생산하는 사람들 사이의 표준이 되었다. QWERTY 키보드 레이아웃은 De Facto 표준의 한 예시다. Shoals와 Glidden은 1873년에 기계식 타자기를 위해 그러한 레이아웃을 처음 만들었다. 이 키보드 레이아웃은 그 이후로 약간의 변형을 거쳐 사용되고 있다. 그리고 수년에 걸쳐 설계된 다른 키보드 레이아웃이 있기야 했다. 하지만 현대의 타자기와 컴퓨터에 사용되는 가장 큰 단일 유형의 키보드가 이 표준이다. 또 다른 De Facto 표준은 1980년대와 1990년대에 생겨난 IBM 호환 컴퓨터로, IBM이 그것을 바꾸기 전까지 IBM 개인용 컴퓨터 물리적 아키텍처에 기반을 두고 있다. 나머지 컴퓨터 산업은 IBM의 아키텍처를 그들이 따랐던 표준으로 계속 사용했고, 그것은 오늘날 많은 PC에서 사용되는 표준이다. 다른 유형의 표준은 De Jure 표준 또는 법에 따른 표준이다. 이것은 표준으로 채택된 항목의 품질 뒤에 조직의 이름을 두고 검토되고 채택된 공식적인 조직을 의미한다. 지배적인 위험 관리 프레임워크 표준 모두가 이 범주에 속한다. De Jure 표준으로 분류되기 위해 정부 조직일 필요는 없다. 산업 조직은 결제 카드 산업 데이터 보안 표준과 같은 기술 표준으로도 알려진 표준을 항상 수립했다. 이를 우리는 PCI DSS라고 말한다. 이 표준은 결제 카드 사용 및 보호를 위해 공급업체 사이에서 사용된다. 또한 비디오 디스크 산업은 정기적으로 표준을 수립하여 한 장치를 위해 만들어진 디스크를 다른 장치에서 재생할 수 있고, 심지어 미래에 개발된 장치에서 재생하여 블루레이 및 4k 장치와 같은 더 발전된 기술을 재생할 수 있다. 이 표준이 초안 작성되고 출판되며 이를 홍보하는 조직의 이름이 포함되면 De Jure 표준인 것이다. 조직의 허가 여부에 관계없이, 그리고 공식 문서 없이 복사되는 경우, 그것은 사실상의 표준이다. ISO는 8가지 범주의 표준을 정의했다. 기본 표준은 광범위한 적용 범위를 가지거나 자동차에서 패스너에 이르기까지 광범위한 제품에 영향을 미칠 수 있는 금속에 대한 표준과 같은 한 특정 분야에 대한 일반 조항을 포함한다. 용어 표준은 일반적으로 그 정의에 수반되는 용어와 관련이 있다. 표준은 거래를 체결한 산업 또는 당사자가 일반적이고 명확하게 이해된 용어를 사용할 수 있도록 허용하는 단어를 정의한다. 테스트 표준은 샘플링, 통계 방법의 사용 또는 테스트의 시퀀싱과 같은 테스트와 관련된 다른 조항으로 보충되는 테스트 방법과 관련이 있다. 이는 일반적으로 제품의 성능 또는 기타 특성을 평가하는 데 사용된다.

[2-2] NIST

NIST는 1901년에 국립표준국으로 설립되었다. 1988년에 이름이 바뀐 NIST는 현재 미국 상무부의 일부다. NIST는 미국에서 가장 오래된 물리과학 연구소 중 하나이기도 하다. NIST는 표준도량측정국을 대체하기 위해 만들어졌다. 의회는 그 당시 미국 산업 경쟁력에 대한 주요한 도전을 제거하기 위해 그 기관을 설립했다. 스마트 전력망과 전자 건강 기록에서부터 원자 시계, 첨단 나노 소재 및 컴퓨터 칩에 이르기까지 수많은 제품과 서비스는 국립표준기술연구소가 제공하는 기술, 측정 및 표준에 어떤 식으로든 의존한다. 오늘날 NIST 측정은 나노 스케일 장치에서 사람이 만든 창작물 중 가장 작은 기술부터 가장 크고 복잡한 기술, 즉 내진 설계된 고층 건물 및 글로벌 통신망까지 지원한다. 대부분의 사람들은 NIST를 측정을 개선하는 데만 일하는 연방 연구소로 생각하지만, 혁신을 가능하게 하는 것이 진정한 핵심 임무다. 그런데 측정 기관은 어떻게 혁신을 지원할까? 만약 우리가 무언가를 측정할 줄 안다면, 지진에 강한 초고층 건물과 글로벌 통신망까지, 그러면 어떻게 설계하고, 구축하고, 더 좋게 만들 것인지에 대해 생각하기 시작할 수 있을 것이다. 이러한 역량이 정말 기술 혁신의 본질이다. 측정은 우리가 물건을 만드는 방법, 판매하는 방법, 규제하는 방법에 이르기까지 우리 삶의 모든 측면에 스며 있다. NIST 측정은 우리가 시스템을 정확하게 신뢰할 수 있다는 것을 알 수 있는 방법을 제공한다. 오늘날 우리에게 가장 중요한 기술은 단일 독립형 기술이 아니라 실제로 서로 협력해야 하는 기술의 시스템이며 함께 어떻게 작동하는지가 표준을 통해 정의된다. 미국의 경우 표준 설정은 산업이 주도하지만 NIST는 그 노력을 지원하고 정의하고 육성하며 연방 정부와 조정하는 데 중요한 역할을 한다. 기술 기관 간 NIST의 역할은 여러 면에서 독특하다.

오랜 역사를 통해 우리는 모든 분야에 걸쳐 깊은 과학적 뿌리를 다져왔다. 규제 기관이 아닌 강력하고 다양한 과학적 전문 지식을 가지고 있기 때문에 우리는 광범위한 산업 및 기타 정부 기관과 긴밀히 협력할 수 있다. NIST는 전 세계의 유사한 기관과 협력하여 우리가 여기서 사용하는 측정 시스템이 전 세계적인 규모로 작동할 수 있도록 한다. 우리가 혁신을 생각할 때, 우리가 주변의 어떤 기술을 생각할 때, NIST가 그러한 혁신을 실현하는 데 필수적인 역할을 했을 가능성이 높다는 것이다. 다름아닌 미국의 표준 기관이니 말이다.

NIST 내에는 미국의 정보와 정보 시스템을 보호하기 위한 표준과 지침, 메커니즘, 도구, 메트릭 및 관행을 제공하는 데 필요한 연구, 개발 및 아웃리치를 수행하는 컴퓨터 보안 부서 또는 CSD가 있다. CSD에는 암호화 기술, 보안 시스템 및 애플리케이션, 보안 구성 요소 및 메커니즘, 보안 엔지니어링 및 위험 관리, 보안 테스트, 검증 및 측정 등의 작업 그룹이 포함된다. CSD의 주요 프로젝트 중 하나는 정보 보안에 대한 측정이며, 이는 조직이 기술적이고 높은 수준의 의사 결정을 지원하기 위해 정보의 품질과 유용성을 개선하도록 돕는 지침, 도구 및 리소스를 개발한다. NIST는 때로는 NICE라고도 불리는 사이버 보안 교육을 위한 국가 이니셔티브라는 주요 프로젝트를 가지고 있으며, 사이버 보안 교육, 훈련 및 인력 개발의 통합 생태계를 발전시키기 위해 함께 협력하여 강력한 커뮤니티에 에너지를 공급하고 촉진 및 조정하는 임무에 중점을 둔다. NICE 프로젝트의 일부는 보안 직원의 고용과 보상을 지원하기 위한 연방 정부의 사이버 보안 역할 개발 및 표준화다. 또한, NIST는 2013년부터 중요한 인프라 사이버 보안을 개선하기 위한 프레임워크인 사이버 보안 프레임워크에 참여해 왔다. NIST가 대중에게 제공하는 가장 가치 있는 리소스 중 하나는 컴퓨터 보안 리소스 센터 또는 CSRC다. 20년 이상 동안 자유롭게 다운로드할 수 있는 문서 라이브러리는 소개에서 관리, 기술에 이르기까지 보안의 전체 스펙트럼에 걸쳐 지침을 제공하고 모범 사례를 공유했다. CSRC의 출판물은 먼저 NIST 연구원에 의해 초안이 작성된 다음 일반 대중뿐만 아니라, 정부, 산업 및 학술 파트너에게 검토와 의견을 보낸다. NIST 간행물은 여러 범주로 나뉜다. FIPS라고 불리는 연방 정보 처리 표준, 보안 표준, NIST는 법령에 의해 요구되는 경우 또는 사이버 보안에 대한 강력한 연방 정부 요구 사항이 있는 경우 FIPS 간행물을 개발한다. FIPS 간행물은 1996년 정보 기술 관리 개혁법 제5131조에 따라 상무부 장관의 승인을 받은 후 NIST가 발행한다.

또한, NIST 내부 또는 기관 간 보고서는 FIPS 및 특별 간행물에 대한 배경 정보를 포함한 연구 결과 보고서다. NIST 정보 기술 연구소, ITL은 NIST 보안 및 개인 정보 보호 간행물, 프로그램 및 프로젝트에 대한 월간 개요인 게시판을 제공한다. NIST 특별 간행물에는 지침, 기술 사양, 권장 사항 및 참고 자료가 있다. 그리고 세 가지 시리즈의 SP, 특별 간행물이 있다. SP 800 시리즈는 컴퓨터 보안에 중점을 두고 컴퓨터 보안 커뮤니티에 관심 있는 정보를 제공한다. 이 시리즈는 NIST 사이버 보안 활동에 대한 지침, 권장 사항, 기술 사양 및 연간 보고서로 구성된다. SP 800 간행물은 미국 연방 정부 정보 및 정보 시스템의 보안 및 개인 정보 보호 요구를 해결하고 지원하기 위해 개발되었다. NIST는 2014년 연방 정보 보안 현대화법 또는 FISMA에 따른 법적 책임에 따라 SP 800 시리즈 간행물을 개발한다. SP 800 사이버 보안 관행 지침은 사이버 보안 커뮤니티에 실용적이고 사용 가능한 사이버 보안 솔루션을 제시한다. 이러한 솔루션은 표준 기반 접근 방식과 모범 사례를 적용하는 방법을 보여준다. SP 500 시리즈는 다른 시리즈에 대한 배경 및 지원을 제공하는 정보 기술 관련 문서다. SP 800 시리즈는 NIST가 제공하는 광범위한 주제를 지원하는 데 사용되는 문서 세트로 가장 많이 참조된다. NIST에서 추진하는 위험 관리 프레임워크와 관련된 대부분의 간행물이 이 범주에 해당한다.

[2-3] ISO/IEC

국제표준화기구(ISO)는 스위스 제네바에 기반을 둔 독립적인 비정부 국제기구로, 165개 이상의 국가 표준 단체들이 모여 있다. ISO는 동등하다는 의미의 그리스어 ISOS에서 유래되었다. ISO는 1946년 영국 런던에서 국제표준화의 미래를 논의하기 위해 25개국의 65명의 대표단이 만났다. 이후 1947년, ISO는 67개의 기술 위원회와 함께 공식적으로 존재하게 되었다. 이것들은 특정 주제에 초점을 맞춘 전문가 그룹이다. ISO의 첫 번째 표준은 산업 길이 측정에 초점을 맞췄고, 그 조직은 카탈로그에 여러 개의 산업 표준을 빠르게 추가했다.

ISO는 그 단체가 만들어진 같은 해에 첫 번째 저널을 출판했다. 그 저널은 기술 위원회들의 보고서들과 출판된 표준들과 조직 업데이트들에 대한 정보를 포함한다. ISO는 품질 관리에 초점을 맞춘 9000 시리즈로 가장 잘 알려져 있다. 우리의 논의와 관련된 다른 주요 국제 표준 기구는 국제 전기 기술 위원회(IEC)다. IEC는 1906년에 설립되었다. IEC는 모든 전기, 전자 및 관련 기술에 대한 국제 표준을 준비하고 출판하는 세계의 선도적인 조직이다. 이것들은 집합적으로 전기 기술로 알려져 있다. IEC는 1904년 세인트 루이스에서 열린 국제 전기 회의에서 시작되었다. 전기 장치 및 기계의 명명법과 등급의 표준화 문제를 고려하기 위해 대표적인 위원회의 임명에 의해 세계 기술 학회들의 협력을 확보하는 조치를 취해야 한다고 권고되었고, 따라서 IEC의 첫 번째 회의는 1906년 6월 영국 전기 기술자 협회의 후원으로 런던에서 열렸다. 16개 참가국 중 3개국은 당시 나열되었듯이 유럽, 미국 외부에서 왔다. 대표자들은 국가 기관 또는 정부에 의해 임명되었다. IEC는 런던에 본부를 두고 IEC의 두 개의 위원회가 만들어졌다. ISO가 주로 재료 및 공정 제어에 중점을 둔 반면, IEC는 완제품의 제조업체 및 테스트에 중점을 둔다. 그러다 두 조직 사이에 겹치는 영역이 있다는 것이 밝혀지면서, 두 조직 사이에 공동 기술 위원회가 설립되었다. 정보 기술을 위한 ISO/IEC JTC 1은 합의에 기반한 자발적인 국제 표준 그룹으로, 이러한 중복 내에서 작동한다.

ISO/IEC JTC 1은 비즈니스 및 사용자 요구 사항을 충족하는 글로벌 시장에서 요구하는 정보 기술 표준을 개발, 유지, 홍보 및 촉진하는 데 중점을 둔다. 이 표준은 IT 시스템 및 도구의 설계 및 개발, IT 제품 및 시스템의 성능 및 품질, IT 시스템 및 정보의 보안, 응용 프로그램의 휴대성, 정보 기술 제품 및 시스템의 상호 운용성, 통합 도구 및 환경, 조화된 정보 기술 어휘, 사용자 친화적이고 인체공학적으로 설계된 사용자 인터페이스 등의 분야에 적용된다. JTC 1의 작업은 ISO/IEC 정보 기술 태스크 포스, ITTF에 의해 계획되고 조정된다. ITTF는 기술 작업의 일상적인 계획 및 조정, 규칙 적용을 감독하고 JTC 1에게 절차 지점, 투표용지 관리 및 국제 표준의 인쇄, 배포 및 판매를 포함한 게시 활동에 대해 조언하는 행정 감독 기관 역할을 한다.

2005년 정보보안, 사이버보안, 프라이버시 보호 등에 중점을 둔 ISO/IEC JTC 1 Subsitude 27은 정보보안에 관한 관리체계 표준인 ISO/IEC 27001 또는 27001을 발족하였다. Subsitude 27은 1990년에 설립되어 현재 독일에 본부를 두고 있다.

ISO/IEC 27001은 ISO의 가장 대중적인 표준 중 하나가 되었다. 2005년 ISO는 영국 표준 7799 시리즈를 채택하고 정제했다. 사실 많은 ISO 표준들은 특정 국가나 산업군의 표준으로 시작하여, 이후 국제 표준으로 정제되어 발표되었다. 이 표준은 2013년 ISO/IEC 27001:2013으로 업데이트되었다. 정보 보안 및 사이버 보안 표준화를 위한 많은 기반을 제공하는 것이 ISO/IEC 27000 시리즈다. 이 계열에는 현재 거의 60개의 표준이 있다. ISO 27000은 27000 시리즈에 대해 자유롭게 사용할 수 있는 색인이며, 시리즈에 대한 개요와 어휘를 제공한다.