NIST 사이버 보안 프레임워크란 무엇인가요?

NIST(National Institute of Standards and Technology)는 측정 과학, 표준 및 기술을 발전시켜 혁신을 촉진하는 비규제 기관입니다.

NIST CSF는 모든 산업 분야의 모든 조직 내의 기존 보안 프로세스에 통합할 수 있을 만큼 유연합니다. 미국 내 민간 조직 대부분이 정보 보안과 사이버 보안 위험 관리를 도입할 수 있도록 훌륭한 출발점을 제공합니다.

2013년 2월 12일, 행정명령 13636 'Improving Critical Infrastructure Cybersecurity'가 발효되었습니다. 이를 통해 NIST는 미국 민간 영역과 함께 '기존의 자발적 합의 표준과 업계 모범 사례를 파악하여 이를 사이버 보안 프레임워크로 구축'하는 작업을 시작했습니다. 이 협업의 결과로 탄생한 것이 NIST 사이버 보안 프레임워크 버전 1.0입니다.

2014년에 사이버 보안 강화법(CEA)이 발효되자 NIST는 사이버 보안 프레임워크 개발에 더욱 박차를 가했습니다. 지금도 NIST CSF는 미국 산업 전체를 통틀어 가장 널리 채택된 보안 프레임워크 중 하나입니다.

NIST 사이버 보안 프레임워크는 기능, 분류, 소분류, 참조 정보로 구성됩니다.

기능은 모범 사례의 보안 프로토콜에 대한 일반적인 개요를 제공합니다. 기능은 절차적 단계가 아니라 '동적 사이버 보안 위험을 해결하는 운영 문화를 형성하기 위해 동시에 지속적으로' 수행됩니다. 분류와 소분류는 조직 내 특정 부서 또는 프로세스에 대한 구체적인 실행 계획을 제공합니다.

NIST 기능과 분류 예시:

• 식별: 사이버 보안 팀은 사이버 공격을 막기 위해 조직의 가장 중요한 자산과 리소스를 철저히 이해해야 합니다. 식별 기능에는 자산 관리, 비즈니스 환경, 거버넌스, 위험 평가, 위험 관리 전략 및 공급망 위험 관리와 같은 범주가 포함됩니다.
  
  
• 보호: 적절한 안전 장치를 개발 및 구현하고 중요한 인프라를 보호하기 위한 기술적 및 물리적 보안 제어의 대부분을 다룹니다. 이 분류에는 ID 관리 및 액세스 제어, 인식 및 교육, 데이터 보안, 정보 보호 프로세스 및 절차, 유지 관리 및 보호 기술이 있습니다.
  
  
• 탐지: 조직에 사이버 공격에 대해 경고하는 조치를 구현합니다. 탐지 분류는 이상 징후 및 이벤트, 보안, 지속적인 보안 모니터링 및 탐지 프로세스로 구성됩니다.
  
  
• 대응: 사이버 공격 및 기타 사이버 보안 이벤트에 대한 적절한 대응을 보장합니다. 구체적인 분류에는 대응 계획, 커뮤니케이션, 분석, 완화 및 개선이 있습니다.
• 복구: 사이버 복원을 위한 계획을 구현하고 사이버 공격, 보안 침해 또는 기타 사이버 보안 이벤트가 발생했을 때 사업 연속성을 보장하도록 도와줍니다. 복구 기능은 복구 계획 개선 및 커뮤니케이션입니다.

NIST CSF의 참조 정보는 다른 프레임워크의 기능, 분류, 소분류, 특정 보안 제어 간의 직접적인 상관 관계를 보여줍니다. 이러한 프레임워크는 다음과 같이 구성됩니다.

1. Center for Internet Security (CIS) Controls
2. COBIT 5
3. International Society of Automation (ISA) 62443-2-1:2009
4. ISA 62443-3-3:2013
5. International Organization for Standardization and the International Electrotechnical Commission 27001:2013
6. NIST SP 800-53 Rev. 4
   

NIST CSF는 물리적 장치와 시스템 재고를 관리하는 방법이나 소프트웨어 플랫폼과 애플리케이션 재고를 관리하는 방법을 알려주지는 않습니다. 완료해야 할 작업에 대해 점검 목록을 제공할 뿐입니다. 재고 관리 방법은 조직이 직접 선택할 수 있습니다.

추가 지침이 필요한 조직은 다른 보완 표준에서 관련 통제에 대한 정보를 참고할 수 있습니다. CSF에는 조직의 사이버 보안 위험 관리 요건에 가장 잘 맞는 도구를 선택할 자유가 있습니다.

프레임워크는 민간 조직이 NIST 사이버 보안 프레임워크 도입 진행 상황을 측정할 수 있도록 네 가지 도입 티어를 제시합니다.

• 티어 1 – 부분적: 조직이 NIST CSF에 익숙하며 인프라의 일부 영역에 일부 제어 요소가 구현되어 있을 수 있습니다. 사이버 보안 활동과 프로토콜을 미리 계획하기보다 사후 대응식으로 진행했습니다. 사이버 보안 위험에 대한 인식이 약하며 정보 보안을 위한 프로세스와 리소스가 부족합니다.
  
  
• 티어 2 – 위험 관련 정보 습득: 조직이 사이버 보안 위험에 대해 더 잘 알고 있으며 일상적으로 정보를 공유합니다. 계획적이고 반복 가능하며 선제적인 전사적 사이버 보안 위험 관리 프로세스가 갖춰져 있지 않습니다.
  
  
• 티어 3 – 반복 가능: 조직과 고위 임원진이 사이버 보안 위험을 알고 있습니다. 이들은 조직 전체의 사이버 보안 위험 관리 계획을 반복 가능한 방식으로 구현했습니다. 사이버 보안 팀은 사이버공격을 모니터링하고 효과적으로 대응하기 위한 행동 계획을 수립했습니다.
  
  
• 4단계 – 적응형: 이제 사이버 복원력을 갖췄고 사이버 공격을 예방하기 위해 습득한 교훈과 예측 지표를 활용합니다. 사이버 보안 팀은 조직의 사이버 보안 기술과 관행을 지속적으로 개선하고 발전시키며 위협의 변화에 빠르게 효율적으로 적응합니다. 위험 관련 정보에 입각한 의사 결정, 정책, 절차 및 프로세스를 통해 정보 보안 위험 관리에 전사적으로 접근합니다. 적응형 조직은 사이버 보안 위험 관리를 예산 결정과 조직 문화의 일부로 여깁니다.

NIST 사이버 보안 프레임워크는 정보 보안 위험 관리 프로그램을 수립하거나 개선하는 방법을 단계별로 제시합니다.

1. 우선순위와 범위 지정: 프로젝트 범위를 명확하게 정리하고 우선순위를 파악합니다. 상위 수준의 사업이나 임무 목표, 사업적 필요를 확립하고 조직의 위험 허용도를 결정합니다.
   
   
2. 위치 파악: 조직의 자산과 시스템을 평가하고 적용 가능한 규정, 위험 접근 방식 및 조직에 대한 위협을 식별합니다.
   
   
3. 현재 프로필 생성: 현재 프로필이란 CSF의 분류와 소분류에 정의된 대로 조직이 위험을 관리하는 방법에 대한 간단한 정리를 말합니다.
   
   
4. 위험 평가 실시: 운영 환경, 새로운 위험, 사이버 보안 위협 정보를 평가하여 사이버 보안 이벤트가 발생할 확률과 심각도를 판단합니다.
   
   
5. 목표 프로필 생성: 목표 프로필은 정보 보안 팀의 위험 관리 목표를 나타냅니다.
   
   
6. 격차 결정, 분석, 우선 순위 지정: 정보 보안 팀은 현재 프로필과 목표 프로필 간의 격차를 파악해서 이를 메우는 데 필요한 측정 가능한 마일스톤과 리소스(인력, 예산, 시간)를 포함한 실행 계획을 수립합니다.
   
   
7. 실행 계획 도입: 6단계에서 정의한 실행 계획을 도입합니다.