1. 사이버보안 트랜스포메이션의 개요
전 세계적으로 사이버 공격의 빈도와 심각성이 증가하고 있으며, 향후 10년 동안 가장 우려되는 10대 글로벌 위험 중 하나로 2030년까지 약 519조의 지출이 예상된다는 것은 사이버 보안의 중요성을 인식할 수 있게 해 준다.
사이버 공격 방어의 목표에서 데이터 중심 보안의 관리는 데이터가 있는 위치나 공유 대상에 관계없이 정보 보호를 강화하는 것으로, 데이터의 속성, 등급, 보호 요구사항에 대한 메커니즘이 필요하다.
사이버 보안 트랜스포메이션은 디지털 전환 시대에 사이버 위협의 조직 및 국가를 보호하는 핵심 가치이며 이에 따라 ISO/IEC 27002 개정은 사이버보안 트랜스포메이션의 가치 있는 변곡점이라 할 수 있다. 그 변곡점의 배경으로는 AI, 빅데이터, 블록체인, 클라우드, 데이터 중심의 디지털이 디지털 경제에 미치는 불확실성의 영향으로 사이버 공간이 위험해지기 때문이다.
그렇기에 국가와 기업에서 사이버 위협을 방어하고 관리하기 위한 전략적인 방법은 체계적인 사이버보안 위험 관리 프레임워크를 모든 조직에 적용하는 것이다.
※ 사이버보안 트랜스포메이션 VS 사이버보안 프레임워크
둘 다 ISO/IEC 27001, 27002의 처리 기준을 갖고 있으나 개념에서 차이가 발생한다. 사이버보안 트랜스포메이션은 '사이버 공격에 얼마나 잘 준비되어 있는가' 라면, 사이버보안 프레임워크는 '사이버 공격에 얼마나 잘 대응할 수 있는가'가 되겠다.
2. 사이버보안 트랜스포메이션의 가이드라인
사이버 위험 특성과 디지털 및 데이터 경제 비즈니스의 연속성에 대한 사이버 회복 탄력성의 중요성을 고려할 때, 사이버 위협을 기술적 문제로 보는 조직의 인식을 취약한 보안 관행이며, 중대한 사이버 보안의 현실적 수준이다.
2040년까지는 사이버보안 및 섹터 사이버보안의 표준으로 확장될 텐데, 우리는 지금 지속가능성이라는 중대한 위기에 직면해 있다. 과거 2000~2020년의 변곡점을 지나 미래 20년은 지속 가능한 사이버보안 트랜스포메이션의 대전환 디지털 사회 및 디지털 경제 패러다임 시대가 진행되고 있으며, ESG는 사이버보안 전환의 문을 여는 핵심 키워드로 부상하였다. 그 중심은 지속 가능한 사이버보안, Sustainable Cybersecurity가 되겠다.
정보보안의 보호 대상은 정보자산 보호 중심이며, 사이버보안은 사이버공간과 연결된 데이터 자산, 디지털 자산, 지식 재산의 보호를 목표로 하고 있는데, 이는 사이버보안 전환의 핵심 가치이자 의미 있는 목적이라 할 수 있다.
국내 1호 정보보안과 사이버보안 검증 심사원이 권장하는 사이버보안 트랜스포메이션의 가이드라인은 다음과 같다.
| 구분 | 정보보안 1.0 | 사이버보안 트랜스포메이션 |
사이버보안 트랜스포메이션 가이드라인 |
| 원칙/기준 | 정보보안 요구사항 | 사이버보안 및 데이터 보호 요구사항 |
정보보안에서의 사이버보안 및 데이터 보호 국제표준, 규제, 컴플라이언스 |
| 정보보안 속성 | 기밀성 무결성 가용성 |
사이버 복원력 안전성 데이터 보호 |
▶정보보안 3가지 속성에서 복원력, 안전성, 보호의 사이버보안 또는 개념 요구사항이 필수적임 ▶ 최근 글로벌 사이버보안 성숙도는 조직 및 국가의 사이버 리질리언스 능력을 요구하고 있으며, 사이버 공격에 대비하고 복구하는 능력을 의미함 |
| 사이버보안 컨셉 | - | 식별, 보호, 탐지, 대응, 복구 |
▶사이버보안 프레임워크의 5가지 사이버보안 속성은 국제표준에서 구현을 권장함 ▶사이버 위험에 대응하기 위한 ISO/IEC 27002 기반 통제가 필요함 |
| 보호 대상 | 정보 자산 | 디지털 자산 데이터 자산 지식 재산 빅데이터 |
▶정보 자산 중심 보안에서 디지털 및 데이터 중심 사이버보안 대상으로 확장함 ▶디지털의 신기술 및 블록체인, 메타버스 등 디지털 전환으로 보호 대상을 확장함 |
| 통제 메커니즘 | 정보보안 위험 | 사이버보안 위험 | ▶정보보안 및 사이버보안 프레임워크의 통제 원칙과 기준은 위험 기반 원칙임 ▶사이버보안 프레임워크의 사이버보안 속성 또는 개념을 추가적으로 구현 ▶원칙 및 기준은 Step 3 단계인 위험평가, 위험조치, 위험완화 단계이고, 위험 완화 메커니즘은 정보보안, 사이버보안 통제를 유효하게 구현하는 것임 |
| 구현 메커니즘 | 정보보안 통제 | 사이버보안 통제 확장 및 추가 |
▶정보보안, 사이버보안, 개인정보보호의 통제 프레임워크를 권장함 |
| 추가 통제 | - | 사이버보안 클라우드 서비스 보안 개인정보보호 |
▶사이버보안 통제 - ISO/IEC 27002(3 Edition) 사이버보안 통제 ▶클라우드 서비스 보안 및 개인정보보호(ISO/IEC 27017, 27018, 27701) |
| 섹터 사이버보안 | - | 자동차 사이버보안 컴플라이언스 |
▶UNECE CSMS ▶ISO/SAE 21434:2021(1 Edition) |
| 국제 표준 | ISO/IEC 27001 ISO/IEC 27002 (1, 2 Edition) |
ISO/IEC 27001 ISO/IEC 27002 (3 Edition) |
▶정보보안, 사이버보안, 개인정보보호 |
| 참조 모델 | - | NIST 사이버보안 프레임워크 |
▶ ISO/IEC 27002(3 Edition)의 통제 속성에서 사이버보안 개념을 구현할 수 있음 |
| 보안 아키텍처 | 경계망 보안 | 제로 트러스트 | ▶경계 기반 네트워크 보안의 한계로 아이덴티티, 엔드포인트, 애플리케이션 및 데이터 중심 보안과 사이버보안 아키텍처 모델이 있음 ▶미국 NIST ZTA 표준 및 연방정부 사이버보안 위험을 줄이기 위해 NIST 사이버보안 프레임워크 참조 모델을 권장함 |
| 컴플라이언스 | - | GDPR CSMS |
▶EU 데이터 보호 컴플라이언스 및 규제 ▶자동차 사이버보안 규제 및 컴플라이언스 |
3. 데이터 중심 보안의 가이드라인
정보보호 중심 보안에서 향후 2030~2040년까지는 데이터 및 디지털 경제 전환에 따라 데이터 중심 보안이 사이버보안 공격에서 가장 가치 있는 보호자산이 될 것이다. 데이터 보호의 가치는 국제/미국/EU 및 사이버보안 법규와 규제의 흐름에서 사이버 공격 방지 및 보호에 따른 중장기적인(2030~2040) 규범이자 흐름이다.
사이버 트랜스포메이션의 변곡점은 불확실성의 영향으로 인시던트에서 디스럽션의 용어를 사용하는데, 사이버 공격의 피해를 예측할 수 없을 정도로 중단의 영향에 따라 안전성, 보호, 복원력의 사이버보안 속성을 갖는다.
| 카테고리 | 정보 중심 보안 | 데이터 중심 보안 |
| 역사 및 패러다임 | ▶정보보안에서 사이버보안 트랜스포메이션으로 전환하는 변곡점 | ▶정보보안 3가지 속성에서 더 강력한 사이버보안 속성으로 전환 및 확장 |
| 원칙 및 속성 | ▶3가지 속성을 기반으로 정보의 기밀성, 무결성, 가용성 보호 | ▶정보의 기밀성, 무결성, 가용성의 3가지 기본 속성에 사이버보안 속성을 추가 ▶안전성, 보호, 복원력, 데이터 보호 |
| 보호 대상 | ▶정보 자산 | ▶데이터 자산 |
| 보호 목표 | ▶정보의 기밀성, 무결성, 가용성 보호 | ▶사이버보안 및 데이터 보호 지침에 따라 데이터 및 통신의 안전한 암호화 보장 |
| 기술 메커니즘 | ▶경계망 보안 | ▶제로 트러스트 아키텍처의 모델 및 원칙은 데이터 보호가 핵심 |
4. 취약한 보안 관행의 한계
국내 현실은 20년 전 구식 보안 프레임워크와 보안 관행, 구식 사이버공격 보호 및 방어 기술의 한계로 사이버 공격으로부터 엄청난 약점을 노출하고 있다. 사이버보안 수준은 미국, 유럽연합 대비 매우 낮은 수준으로, 지능화, 타깃 사이버 공격에 매우 취약하다. 당장 우리에게 가장 위협이 되는 건 중국, 북한인데, 그들에게 늘 털리는 것이 실상이다. 중소기업 정보보안 및 사이버보안 수준은 매우 심각한데, 최근 10년 동안 사이버보안 수준을 평가한 결과, 평균 30점에도 미치지 못하는 것으로 나타났다. 사이버 공격이 발생하면 그야말로 "어서 오세요" 하는 것이 실상인 것이다.
5. 국내 사이버보안 개선
세계경제포럼과 사이버보안센터에 따르면, 향후 10년 디지털 및 데이터 경제 사회에서는 디지털 바이러스 피해가 치명적인 미래의 현실이다.
조만간 떠나실 바이든 대통령의 경우, 국가 사이버보안 개선에 대한 행정 명령 중에서 연방정부 사이버보안 체계 현대화를 위한 Security Best Practice로, 취약한 보안 관행을 타파하기 위한 강력한 사이버보안 현대화라는 목표를 제시하였다.
사이버 공격으로부터 방어 및 대응하기 위한 국내 사이버보안 강화를 위한 실무적인 방법과 가이드는 다음과 같다.
| 관점 | 국내 사이버보안 권장사항 |
| 조직의 사이버보안 체질 개선 | ① 조직 측면에서 지속 가능한 경영을 위해 ESG의 사이버보안 활동 강화 ② 조직의 사이버보안 문화 및 인식 강화 ③ 체크리스트와 컴플라이언스 중심에서 사이버보안의 근본적 문제점을 인식하고 국제기준, 국제표준, 글로벌 표준으로 사이버보안 위험 관리를 인식 및 적용 |
| 사이버보안 프레임워크를 기반으로 현대화 | ① 국제기준, 국제표준에 기반한 사이버보안 위험 관리 및 조직의 사이버보안 관행 강화 ② 데이터 보호 원칙의 적법성/투명성/책임성 중심, 데이터 중심의 사이버보안 관행 개선 및 강화 ③ 프레임워크 방법론 측면에서 최신 ISO 27002:2022 정보보안, 사이버보안, 개인정보보호 프레임워크의 기반 통제 적용 및 보안 수준 강화 |
| 사이버보안 권장사항 | ① 20년식 구식 체크리스트 기반의 구조적 한계성에서 최신 국제표준 사이버보안 프레임워크의 모범 사례 선택 및 구현 ② 조직의 사이버보안 능력을 입증하고, 사이버보안 규제에 대응할 수 있는 조직의 사이버보안 능력과 성숙도 개선 및 강화 ③ 사이버 공격으로부터 데이터 보호를 위한 20년식 구식 체크리스트 중심의 위험 관리에서 벗어나, 국제 수준의 위협 분석 및 위험 평가(TARA) 방법론에 깁나한 사이버보안 예방, 보호, 탐지, 대응, 복구의 사이버보안 프레임워크 구현 및 강화 |
6. 국제표준 정보보안 용어
정보보안 위험은 위협이 정보자산이나 정보자산 그룹의 취약성을 악용하여 조직에 피해를 줄 가능성과 관련이 있기 때문에 조직 및 이해 관계자는 정보보안 위험을 관리하는 것이 정보보안의 목표이다. 정보보안 위험은 정보보안 목표에 대한 불확실성의 부정적 영향이다.
최신 사이버보안 공격의 패턴으로는 공격 벡터와 공격 표면 기법이 많이 애용되는데, 공격자가 액세스 할 수 있는 경로 또는 수단은 공격 벡터이고, 공격에 노출된 시스템 또는 네트워크 지점이 공격 표면이다. 따라서 공격 벡터 방법을 활용하여 위협 및 위험 식별, 분석 활동, 사이버 위험을 관리하는 것이 필요할 것이다.
ISO/IEC 27000 정보보안 용어, 원칙 및 정보보안 위험 평가 내용으로 구성되며, 정보보안 및 사이버보안 이해 관계자는 정보보안과 사이버보안의 위험 관리를 이해하고 정보보안 목표를 달성하는 것이 핵심 과제이다.
| ISO/IEC 27000 용어 | 국제표준 정보보안 설명 | |
| 정보보안 | ▶정보의 기밀성, 무결성, 가용성 보호 ▶3가지 정보보안 속성 외 추가로 책임성, 부인방지, 신뢰성이 포함될 수 있음 |
|
| 정보보안 관리 체계 원칙 (ISMS) |
▶조직의 비즈니스 목표를 달성하기 위해 위험 수용 기준을 기반으로 함 ▶정보자산을 보호하기 위해 적절한 통제를 적용하여 ISMS 구현에 기여함 ▶정보의 생성, 처리, 저장, 전송, 보호, 파기 단계의 적절한 보호가 필요함 ▶정보보안 3가지 속성은 정보의 기밀성, 무결성, 가용성을 보장해야 함 ▶연속성을 보장하고 정보보안 사고를 최소화하기 위한 목적으로 적절한 통제 구현 및 관리가 필요함 ▶정보보안 통제는 조직의 비즈니스 프로세스와 원활하게 통합되어야 함 ▶정보보안은 적절한 통제를 적용하고 관리해야 함 |
|
| 정보보안 위험평가 |
위협 | ▶시스템이나 조직에 피해를 줄 수 있는 잠재적 사고의 원인 ▶사이버보안 위험 분석 시 공격 표면, 공격 벡터, 위협 및 취약점 조합 등 위험 분석 방법론을 적용함 |
| 취약점 | ▶위협에 의해 악용될 수 있는 자산 또는 통제의 약점 ▶악용 또는 오용될 수 있는 시스템, 애플리케이션, 네트워크의 약점 ▶취약점은 정보시스템, 시스템 보안 절차, 내부 통제 또는 위협 소스에 의해 악용될 수 있는 약점 |
|
| 위험 | ▶목표에 대한 불확실성의 영향 ▶발생 가능성, 결과의 조합, 잠재적 사건으로 표현함 |
|
| 위험 평가 | ▶위험 평가 활동은 위험 식별, 위험 분석, 위험 평가의 프로세스 ▶위험 분석은 자산 식별, 위협 식별, 기존 통제 식별, 취약성 식별, 결과 식별의 활동 |
|
| 위험 처리 | ▶위험 처리 활동은 정보보안 통제인 정보보안, 사이버보안, 개인정보보호 통제를 적용하며, 추가 통제를 구현해야 함 ▶위험 완화하는 프로세스는 위험 처리 활동에 속함 |
|
'보안 > 개념' 카테고리의 다른 글
| 제로 트러스트 가이드라인 1.0 주요 개념 추출 (0) | 2024.07.31 |
|---|---|
| IoT 공통 보안 가이드 주요 개념 추출 (0) | 2024.07.31 |
| 24년 상반기 보안 트렌드 개념 추출 (0) | 2024.07.10 |
| 합성데이터 생성 참조모델(2024.05) 개념 추출 (0) | 2024.07.08 |
| 2024 개인정보 이슈심층 분석 보고서(VOL.1) 개념 추출 (0) | 2024.07.08 |