NIST 사이버 보안 프레임워크 2.0 살펴보기
NIST 사이버 보안 프레임워크(CSF)는 조직이 비즈니스 동인에 초점을 맞춘 공통 언어를 사용하여 위험 관리를 개선함으로써 사이버 보안을 강화하는 데 도움이 됩니다.
NIST CSF 1.0은 2014년 2월에 출시되었고, 1.1 버전은 2018년 4월에 출시되었습니다. 2024년 2월, NIST는 최신 CSF 버전인 2.0을 출시했습니다. CSF 2.0으로의 여정은 2022년 2월 정보 요청(RFI)으로 시작되었습니다. 이후 2년 동안 NIST는 분석, 워크숍, 의견 수렴 및 초안 수정을 통해 사이버 보안 커뮤니티와 협력하여 기존 표준을 개선하고 진화하는 보안 문제를 반영하는 새로운 모델을 만들었습니다.
CSF의 핵심은 동일하게 유지되지만 새 버전에는 몇 가지 주목할 만한 추가 사항이 있습니다. 다음은 기업이 새로운 프레임워크에 대해 알아야 할 사항, 이 프레임워크가 운영에 미치는 영향, IT 팀이 CSF 버전 2.0을 일상적인 운영에 효과적으로 적용할 수 있는 방법입니다.
첫 번째는 원래 NIST 프레임워크의 5가지 기능인 식별, 보호, 탐지, 대응 및 복구를 모두 뒷받침하는 '거버넌스' 기능을 도입한 것입니다. 원래 CSF 1.0 문서에서 언급했듯이 "이러한 함수는 직렬 경로를 형성하거나 원하는 정적인 최종 상태로 이어지기 위한 것이 아닙니다. 오히려 기능을 동시에 지속적으로 수행하여 역동적인 보안 위험을 해결하는 운영 문화를 형성할 수 있습니다."
따라서 함수는 종종 중앙 CST 프레임워크를 둘러싸는 다섯 부분으로 구성된 원으로 묘사됩니다. 각 기능은 다음 기능으로 이어지며, 어떤 기능도 다른 기능과 독립적이지 않습니다.
NIST CSF 2.0은 이러한 기능을 유지하면서 5개의 외부 기능 아래에 완전한 내부 링으로 Govern을 추가합니다. Govern은 기타 기능이 비즈니스 요구 사항에 맞게 조정되고 운영 팀이 정기적으로 평가하며 보안 책임자가 관리하는지 확인하는 데 중점을 둡니다.
즉, Govern은 보안 대화에 리더십을 도입하려고 합니다. 이는 이미 대부분의 비즈니스에서 일어나고 있지만 CSF 2.0은 이를 최우선 과제로 삼고 있습니다.
업계 뉴스레터
전문가의 인사이트를 바탕으로 한 최신 기술 뉴스
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
처음 두 CSF 버전은 중요 인프라에 우선순위를 두었습니다. 다른 산업 및 기관에서도 이 프레임워크를 채택했지만, 주로 중요 인프라 부문에서 사이버 보안 사고의 영향을 줄이기 위해 설계되었습니다.
그러나 프레임워크가 광범위하게 채택되면서 관행과 프로세스가 모든 부문과 산업에 걸쳐 공공 및 민간 조직에 적용된다는 것이 분명해졌습니다. 따라서 NIST CSF 2.0은 모든 규모 및 유형의 비즈니스에 광범위하게 적용할 수 있는 확장된 모범 사례를 제공합니다.
예를 들어, 새로운 CSF는 모든 기업이 현재 및 대상 사이버 보안 태세를 설명하는 조직 프로필을 만들 것을 권장합니다. 이를 통해 기업은 목표를 설정하고 이러한 목표를 달성하는 데 필요한 관행을 정의할 수 있습니다. 새로운 프레임워크는 커뮤니티 프로필의 역할도 강조합니다. 이러한 프로필은 동일한 부문 또는 하위 부문을 점유하거나 유사한 기술을 사용하거나 유사한 위협 유형을 경험하는 여러 조직의 공유된 사이버 보안 관심사와 목표를 해결하기 위해 만들어집니다.
거버넌스 강화와 모범 사례 확장에 중점을 둔 새로운 NIST CSF는 기업이 보안을 강화하고 위험을 줄이는 데 도움이 될 수 있습니다. 조직은 이 프레임워크를 효과적으로 구현하기 위해 네 가지 접근 방식을 사용하는 것이 좋습니다.
1. 사용 가능한 권장 사항 및 리소스 사용
CSF 2.0의 확장된 범위와 규모로 인해 모든 규모의 기업이 새로운 권장 사항을 효과적으로 구현하기 어려울 수 있습니다. 소규모 기업의 경우 제한된 IT 지원이 새로운 관행 개발에 영향을 미칠 수 있는 반면, 대규모 조직은 IT 환경의 복잡성으로 인해 어려움을 겪을 수 있습니다.
프로세스를 간소화하기 위해 기업은 다음과 같은 가용 리소스를 최대한 활용해야 합니다.
2. 리더의 참여 유도
다음 단계는 리더의 참여를 유도하는 것입니다. CSF 2.0은 거버넌스와 감독을 염두에 두고 설계되었지만 기술 전문가가 아닌 많은 최고 경영진은 프레임워크와 그 영향에 대한 지식이 제한적일 수 있습니다. 따라서 CTO, CIO 및 CISO와 같은 IT 리더와 팀은 이사회 구성원과 함께 앉아 CSF 2.0의 영향에 대해 논의하는 것이 좋습니다. 이는 또한 비즈니스 목표와 보안 전략이 일치하는지 확인할 수 있는 기회이기도 합니다.
또한 이러한 회의를 통해 주요 보안 메트릭을 정의하고, 수집 방법을 결정하고, 수집, 보고 및 조치에 대한 자세한 일정을 수립할 수 있습니다. CSF 구현 초기부터 리더를 대화에 참여시킴으로써 기업은 지속적인 가시성을 확보할 수 있는 발판을 마련할 수 있습니다.
3. 외부 파트너십 평가
새로운 Govern 기능의 일환으로 CSF 2.0에는 공급업체 및 공급업체 관리에 대한 새로운 하위 섹션이 포함됩니다. 예를 들어, GV.SC-04는 운영에 대한 중요도에 따라 공급업체를 파악하고 우선순위를 정하는 데 중점을 두는 반면, GV.SC-06은 제3자 관계를 시작하기 전에 필요한 계획 및 실사에 대해 설명합니다. 마지막으로, 하위 섹션 GV.SC-10은 기업이 공급업체 또는 파트너 관계의 종료를 계획하는 데 도움이 될 수 있습니다.
타사 침해의 위험과 영향이 점점 더 커지고 있다는 점을 고려할 때 이러한 평가는 매우 중요합니다. 중요한 회사 데이터에 액세스할 수 있는 공급업체 또는 공급업체가 잘못된 사이버 보안 관행으로 인해 손상되면 조직의 자체 CSF 2.0 규정 준수 여부와 관계없이 조직이 위험에 처하게 됩니다.
4. 관리 및 모니터링 툴 배포
기존의 5가지 기능을 모두 지원하고 새로운 거버넌스 노력을 알리는 데 필요한 데이터를 제공하려면 잠재적인 위협을 탐지하고 침해 지표(IOC)를 추적하며 총 위험을 줄이기 위한 조치를 취할 수 있는 모니터링 툴이 필요합니다.
예를 들어, 위협 인텔리전스 툴은 조직이 일반적인 공격 패턴과 대상을 정확히 파악하는 데 도움이 되며, 이를 통해 팀은 효과적인 대책을 만들고 배포하는 데 필요한 데이터를 얻을 수 있습니다. 이 데이터는 또한 보안 지출을 측정 가능한 비즈니스 성과와 연결하는 데 도움이 됩니다.
CSF 2.0은 NIST 사이버 보안 프레임워크의 최신 버전이지만, 마지막 버전은 아닙니다. NIST에서 언급한 바와 같이 이 프레임워크는 새로운 사이버 보안 요구 사항을 충족하고 기업이 변화하는 위협 환경을 탐색할 수 있도록 진화하는 살아있는 문서로 설계되었습니다.
실제로 이는 모범 사례에서 일반적인 관행으로 전환하는 것을 의미합니다. 예를 들어, 버전 1.0과 1.1은 중요 인프라에 대한 모범 사례를 제공했다면, 버전 2.0은 이를 모든 조직의 공통 사례로 포함하면서 새로운 모범 사례인 거버넌스를 정의합니다. 시간이 지남에 따라 이러한 관행은 보편화되어 조직이 위협 발견을 강화하고 인시던트 대응을 개선하며 총 위험을 줄이는 데 도움이 되는 추가 개발의 발판을 마련할 것입니다.