[º¸¾È´º½º= ÀÓäȣ KAIST Ãʺù±³¼ö] ¡°Áß¿ä º¸¾ÈÅëÁ¦´Â °¡Àå ÈçÇÑ °ø°ÝÀ¸·ÎºÎÅÍ ¹æ¾îÇϱâ À§ÇÑ ±¸Ã¼ÀûÀÌ°í ½ÇÇà °¡´ÉÇÑ ¹æ¹ýÀ» Á¦°øÇϸç, ÀÌ´Â ¿ì¼±¼øÀ§¿¡ µû¸£´Â ºñ¿ëÈ¿À²ÀûÀÎ Á¢±Ù¹æ½ÄÀÌ´Ù.¡±
Áß¿ä º¸¾ÈÅëÁ¦´Â °¡Àå ³Ð°Ô ÀοëµÇ´Â °ø°Ý ÆÐÅÏ¿¡ ´ëÀÀÇϱâ À§ÇÑ °¡Àå ±âº»ÀûÀÎ Á¶Ä¡·Î, ÀÌ´Â ¹Ì±¹ NSA, ¿øÀڷ¿¬±¸¼Ò, »ç¹ýºÎ ¹× ±³À°ºÎ µîÀÇ ÀÚµ¿ ÆÐÅÏÀ» ¾Æ´Â Àü¹®°¡¿¡ ÀÇÇØ ¸¸µé¾îÁø °ÍÀÌ´Ù.
¡ã ±×¸² 1. SANS Áß¿ä º¸¾ÈÅëÁ¦ 20 ¹× °ü·Ã ¾÷ü(SANS)
¡ã Ç¥ 1. Critical Security Control Version 6.0
NIST ISCM
¡°Áö¼Ó °¨½Ã¸¦ ÅëÇØ ºñÁ¤»ó À§ÇùÀ» ¾Ë¾Æ³»°í ´ëÀÀÇØ Á¶Á÷ÀÇ À§Çè°ü¸®¸¦ È¿À²ÀûÀ¸·Î ¼öÇàÇÑ´Ù.¡±
NISTÀÇ Á¤º¸º¸¾È Áö¼Ó°¨½Ã(Continuous Monitoring) ¹®¼´Â ¿¬¹æÁ¤ºÎ °¡¿îµ¥ IT ȯ°æÀÌ ¸Å¿ì Áß¿äÇÑ Á¶Á÷¿¡ ÀÖ¾î Àü»ç º¸¾È±¸Á¶ ¼³°è¿¡ µµ¿òÀ» ÁÖ±â À§ÇØ Á¦°øµÇ°í ÀÖ´Ù. Á¶Á÷ÀÇ À§Çè°ü¸®¿¡¼ Áö¼ÓÀûÀÎ ¸ð´ÏÅ͸µÀº ¸Å¿ì Áß¿äÇÑ ºÎºÐÀÌ´Ù. Á¶Á÷ÀÇ Àü¹ÝÀûÀÎ º¸¾È ¾ÆÅ°ÅØó ¹× º¸¾È ÇÁ·Î±×·¥Àº Á¶Á÷ Àü¹ÝÀûÀÎ º¯È¿¡µµ ºÒ±¸ÇÏ°í, À§Çè Çã¿ë ¼öÁØ ³»¿¡¼ À¯ÁöÇϱâ À§ÇØ °¨½ÃµÇ¾î¾ß ÇÑ´Ù.
Áö¼ÓÀûÀÎ Á¤º¸º¸¾È ¸ð´ÏÅ͸µ(ISCM)Àº Á¶Á÷ÀÇ À§Çè°ü¸® ÀÇ»ç °áÁ¤À» Áö¿øÇÏ´Â Á¤º¸º¸¾È, Ãë¾àÁ¡, À§Çù¿¡ ´ëÇÑ Áö¼ÓÀûÀÎ ÀνÄÀ» À¯ÁöÇÏ´Â °ÍÀ¸·Î Á¤ÀǵȴÙ. Á¶Á÷ Àü¹Ý¿¡ °ÉÃÄ Á¤º¸º¸¾ÈÀÇ Áö¼ÓÀûÀÎ ¸ð´ÏÅ͸µÀ» Áö¿øÇϱâ À§ÇÑ ¸ðµç ³ë·ÂÀ̳ª °úÁ¤Àº ¸®´õ½Ê ±â¼ú, ÇÁ·Î¼¼½º, ÀýÂ÷, ¿î¿µ ȯ°æ, »ç¶÷µéÀ» Æ÷°ýÇÏ´Â Á¾ÇÕ ISCM Àü·«ÀÌ ÇÊ¿äÇÏ´Ù.
1) ÁöÇ¥ Ç¥ÁØ(Metrics)ÀÌ ÇÊ¿äÇÏ´Ù, ÀÌ´Â Á¶Á÷ ¸ðµç °èÃþÀÇ º¸¾ÈÀ» Ç¥½ÃÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù.
2) ¸ðµç º¸¾ÈÅëÁ¦ Áö¼ÓÀûÀÎ È¿À²¼ºÀ» °¡Á®¾ß ÇÑ´Ù.
3) ¹ýÀû Áؼö»çÇ×(Compliance)À» °ËÁõÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù. Á¶Á÷ÀÇ °æ¿µ ºñÁî´Ï½º ¸ñÀû°ú ¿ÜºÎ ¹ý·ÉÀ» ÁؼöÇØ¾ß ÇÑ´Ù.
4) ÀÌ »çÇ×Àº ¸ðµç Á¶Á÷ÀÇ IT Àڻ꿡 Àû¿ëµÇ¾î¾ß ÇÑ´Ù.
5) ½Ã½ºÅÛ°ú ¸ðµç ¿î¿µ»óÀÇ º¯°æÀÌ ¾Ë·ÁÁö°í °øÀ¯µÇ¾î¾ß ÇÑ´Ù.
6) À§Çù°ú Ãë¾àÁ¡¿¡ ´ëÇÑ Àνĵµ °øÀ¯µÇ¾î¾ß ÇÑ´Ù.
ISCM ÇÁ·Î±×·¥Àº ¹Ì¸® ¼³Á¤µÈ º¸¾ÈÅëÁ¦ ÃøÁ¤ Ç׸ñ¿¡ µû¸¥ Á¤º¸¸¦ ¼öÁýÇϵµ·Ï ¼³Á¤µÇ¾î¾ß ÇÑ´Ù. ´ã´çÀÚ´Â Á¶Á÷ °ü¸®, Á¶Á÷ °èÃþ¿¡ ´ëÇÑ ÀûÀýÇÑ À§ÇèÀ» °ü¸®Çϴµ¥ ÀÖ¾î ÇÊ¿ä¿¡ µû¶ó Á¤±âÀûÀ¸·Î µ¥ÀÌÅ͸¦ ºÐ¼®Çϴµ¥, ÀÌ °úÁ¤Àº °³¹ß¡¤±¸Çö, Á¶Á÷ÀÇ ÇÙ½É ÀÓ¹«¿Í ºñÁî´Ï½º ÇÁ·Î¼¼½º¸¦ Áö¿øÇÏ´Â ½Ã½ºÅÛ ¿î¿µÀÚ ¹× Àü·«Àû ºñÀüÀ» Á¦°ø °íÀ§Ãþ, Àüü Á¶Á÷À» Æ÷ÇÔÇØ¾ß ÇÑ´Ù.
°á°úÀûÀ¸·Î ÀÌ·¯ÇÑ ÇÁ·Î¼¼½º´Â À§ÇèÀ» ÁÙÀ̰ųª ȸÇÇÇϰųª ÀÌÀü½ÃÅ°°Å³ª ¼ö¿ëÇÏ´Â °á°ú¸¦ °¡Á®¿Â´Ù. ¶ÇÇÑ Á¶Á÷ÀÇ º¸¾È ¾ÆÅ°ÅØó, ¿î¿µ º¸¾È ±â´É ¹× ¸ð´ÏÅ͸µ ÇÁ·Î¼¼½º¸¦ °³¼±ÇÔÀ¸·Î¼ ¼ö½Ã·Î ³ªÅ¸³ª´Â µ¿Àû À§Çù ¹× Ãë¾àÁ¡ »óȲ¿¡ ´ëÇÑ ´ëÀÀÀÌ ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù. ISCM Àü·«°ú ÇÁ·Î±×·¥Àº Á¤±âÀûÀ¸·Î Àç°ËÅä ¹× ºÐ¼®µÇ¾î ÀÚ»ê°ú Ãë¾à¼º¿¡ ´ëÇÑ °¡½ÃÀûÀΠȯ°æÀÌ °³¼±µÉ ¼ö ÀÖ´Ù. °Ô´Ù°¡ Á¶Á÷ÀÇ º¸¾È±¸Á¶¸¦ ½ÇÁ¦ µ¥ÀÌÅÍ¿¡ ±â¹ÝÇÑ º¸¾ÈÅëÁ¦¸¦ Àû¿ë½ÃÅ°±â ¶§¹®¿¡ Á¶Á÷ÀÇ À¯¿¬¼ºÀ» Áõ°¡½ÃŲ´Ù.
Á¶Á÷ Àü¹ÝÀûÀÎ ISCM ü°è´Â ÀÚµ¿Ã³¸® ¹× ¼öµ¿Ã³¸®°¡ È¥ÀçµÇ¾î ³ôÀº È¿À²¼ºÀ» ±â´ëÇÒ ¼ö ÀÖ´Ù. ¼öµ¿ 󸮴 ÀÏ°üµÈ ±¸ÇöÀ» °¡´ÉÇÏ°Ô ÇÏ¸ç ¹Ýº¹, °ËÁõÀÌ °¡´ÉÇÏ´Ù. ÀÚµ¿È Áö¿ø µµ±¸(¿¹¸¦ µé¾î, Ãë¾à¼º °Ë»ç µµ±¸, ³×Æ®¿öÅ© ½ºÄ³´×)ÀÇ »ç¿ëÀ» Æ÷ÇÔÇÏ´Â ÀÚµ¿ÈµÈ ÇÁ·Î¼¼½º´Â ´õ¿í È¿À²ÀûÀÎ ¸ð´ÏÅ͸µ °úÁ¤À» ±¸ÇöÇÒ ¼ö ÀÖ´Ù. º¸¾ÈÅëÁ¦ÀÇ È¿À²¼º°ú Á¶Á÷ º¸¾È»óÅÂÀÇ µ¿ÀûÀÎ ½Ã°¢È°¡ °¡´ÉÇÑ ÀÚµ¿ÈµÈ µµ±¸¸¦ »ç¿ëÇØ ±¸ÇöµÈ º¸¾ÈÅëÁ¦ÀÇ ½Ç½Ã°£ °¨½Ã°¡ °¡´ÉÇÑ °ÍÀÌ´Ù. °á±¹ ÀÓÀÇÀÇ ±¤¹üÀ§ÇÑ Á¤º¸º¸¾È ÇÁ·Î±×·¥À» ÀÎÁöÇÒ ¼ö ÀÖµµ·Ï ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù. ¸ðµç ±¸ÇöµÈ º¸¾ÈÅëÁ¦´Â Á¤±âÀûÀ¸·Î ½±°Ô ÀÚµ¿ÈÇϰųª ±×·¸Áö ¾ÊÀº °æ¿ì¿¡µµ ±× È¿°ú¿¡ ´ëÇØ Æò°¡µÇ¾î¾ß ÇÑ´Ù.
Á¶Á÷ÀÇ º¸¾ÈÅëÁ¦ °¨½Ã¸¦ ½Ç½Ã°£À¸·Î ÁøÇàÇÒ ¶§µµ ȤÀº ISMS ¿ÜºÎ Àü¹®°¡µé¿¡ ÀÇÇÑ ÇöÀå½É»ç Æò°¡°¡ ÀÌ·ç¾îÁú ¶§¿¡µµ ´ëºÎºÐÀº ±â·ÏÀ¸·Î È®ÀÎÇÏ°Ô µÈ´Ù. ÀÌ·¯ÇÑ Áö¼Ó°¨½Ã ü°è´Â Áö¼ÓÀûÀÎ ±â·Ï°ú Æò°¡·Î ÀÌ·ç¾îÁö¹Ç·Î ¸¹Àº ºÎºÐÀ» ÇØ°áÇÒ ¼ö ÀÖ´Â Áß¿äÇÑ µµ±¸°¡ µÈ´Ù. Áö¼ÓÀûÀÎ º¸¾È °¨½Ãü°è¿¡¼ÀÇ Ãë¾à¼º°ü¸®, ÆÐÄ¡°ü¸®, À̺¥Æ®°ü¸®, »ç°í °ü¸®, ÀÚ»ê°ü¸®, ¾Ç¼ºÄÚµå ŽÁö, ³×Æ®¿öÅ© °ü¸®, ±¸¼º°ü¸®, ¼ÒÇÁÆ®¿þ¾î º¸Áõ µîÀº NIST SP-53 º¸¾ÈÅëÁ¦»Ó ¾Æ´Ï¶ó ISMS ü°èÀÇ º¸¾ÈÅëÁ¦¿¡ ÀÖ¾î Áß¿äÇÑ ±¸¼º¿ä¼Ò´Ù. »ç½Ç ISMS Æò°¡ ½Ã¿¡µµ ÀÌ Ã¼°è¸¦ ÀÌ¿ëÇÑ ´©ÀûµÈ µ¥ÀÌÅ͸¦ º¸¿©Áְųª Ãâ·ÂÇØÁ־ µÈ´Ù.
º¸¾È °æ¿µ°èÃþÀº ´ÙÀ½°ú °°Àº ISCM Á¤Ã¥À» °áÁ¤ÇØ¾ß ÇÑ´Ù.
1) Ç¥ÁØ ÁöÇ¥ÀÎ ¸ÞÆ®¸¯½º(Metrics) Á¤ÀÇ
2) °¨½Ã Àü·« ¼öÁ¤ ¹× À¯Áö Àü·«
3) º¸¾ÈÅëÁ¦ È¿°ú¼ºÀ» Æò°¡ÇÏ´Â Á¤Ã¥
4) »óÅ °¨½Ã¸¦ À§ÇÑ Á¤Ã¥°ú ÀýÂ÷
5) º¸¾ÈÅëÁ¦ÀÇ È¿À²¼ºÀ» º¸°íÇÏ´Â Á¤Ã¥ ¹× ÀýÂ÷
6) À§ÇùÁ¤º¸¸¦ ºÐ¼®ÇÑ ÈÄ À§ÇèÀ» Æò°¡ÇÏ´Â ÀÇ¹Ì ÀÖ´Â º¸°íÀÇ Á¤Ã¥ ¹× ÀýÂ÷
7) º¸¾È ¹®Á¦Á¡ ºÐ¼®À» À§ÇÑ ±¸¼º°ü¸® Á¤Ã¥ ¹× ÀýÂ÷
8) Á¶Á÷ Àü¹ÝÀûÀÎ µµ±¸ÀÇ ±¸Çö Á¤Ã¥ ¹× ÀýÂ÷
9) ºÐ¼® ¹× º¸°íÁÖ±âÀÇ Á¤Ã¥ ¹× ÀýÂ÷
10) Æò°¡ ´ë»ó »ùÇøµ »çÀÌÁî Á¤Ã¥ ¹× ÀýÂ÷
11) º¸¾È ÁöÇ¥ Ç¥ÁØ°ú µ¥ÀÌÅÍ ¿øõÀÇ °áÁ¤ ÀýÂ÷
12) À§ÇèÆò°¡ Ç¥ÁØÁöÇ¥ ¾ç½Ä
13) º¸¾ÈÅëÁ¦ º¸°í ¾ç½Ä
¡ã ±×¸² 2. ISCM º¸¾ÈÅëÁ¦ µ¥ÀÌÅÍ ÀÚµ¿ ¼öÁý ÀÚµ¿È ºÐ¾ß
1) º¸¾ÈÅëÁ¦ÀÇ Áö¼ÓÀûÀÎ ÀûÀý¼º Æò°¡°¡´É
2) º¸¾È´ã´çÀÚ¿¡°Ô ÇöȲ º¸°í °¡´É
3) º¸¾È À§ÇèÀ» Æò°¡, °ËÁõÇϰųª ¾àȽÃÅ°´Â ÇöȲ º¸°í °¡´É
4) ¿ÜºÎ ¹ýÀû Áؼö»çÇ× ¹× ³»ºÎ ¹ýÀû ¹®Á¦ º¸°í °¡´É
5) ¿î¿µÈ¯°æÀÇ º¯È¿¡ µû¸£´Â °á°ú¸¦ ºÐ¼® °¡´É
Ç¥ 2´Â ICSM ´ë»ó º¸¾ÈÅëÁ¦ µ¥ÀÌÅÍ ÀÚµ¿¼öÁý ´ë»óµéÀ» º¸¿©ÁÖ°í ÀÖ´Ù. ¿¬°üµÈ º¸¾ÈÅëÁ¦µéÀº ¹Ì±¹ÀÇ SP-53 º¸¾ÈÅëÁ¦ÀÌÁö¸¸, SP-53 º¸¾ÈÅëÁ¦¿¡´Â ISMS º¸¾ÈÅëÁ¦¿Í ¸ÅÇÎ Å×À̺íÀÌ Á¸ÀçÇÑ´Ù. ±¹³» ISMS º¸¾ÈÅëÁ¦´Â ¹Ì±¹ Ç¥ÁØ°úÀÇ È£È¯¼ºÀ» À§ÇØ ISMS º¸¾ÈÅëÁ¦ ÄÚµåÈ°¡ ¿ä±¸µÈ´Ù. ´ë±Ô¸ð °èÃþÀ» °¡Áø Á¶Á÷Àº ºñ¿ëÈ¿°úÀûÀÎ °æ¿µº¸¾ÈÀ» À§ÇØ ÀÚµ¿È¸¦ ÃßÁøÇÒ Çʿ伺ÀÌ ÀÖ´Ù,
¡ã Ç¥ 2. ISCM º¸¾ÈÅëÁ¦ ÀÚµ¿ µ¥ÀÌÅÍ ¼öÁý Ç׸ñ, º¸¾ÈÅëÁ¦
Á¶Á÷±â¹Ý Áö¼Ó¸ð´ÏÅ͸µ ½Ã½ºÅÛ ¸ðµ¨(Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture)Àº 2010³âºÎÅÍ OMB µîÀÇ ¿ä±¸·Î °³½ÃµÆ´Ù. »ç½Ç ±¹³»¿¡¼´Â ¸¹Àº º¸¾È°üÁ¦ ±â¾÷ÀÌ À¯»çÇÑ ¸ðµ¨À» ¿î¿µ ÁßÀÌ´Ù. ÀÌ´Â Á¶Á÷ÀÇ À§ÇèÀ» Áö¼ÓÀûÀ¸·Î °¨½ÃÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î ¿î¿µµÈ´Ù.
¡ã ±×¸² 3. Á¶Á÷±â¹Ý Áö¼Ó¸ð´ÏÅ͸µ ½Ã½ºÅÛ ¸ðµ¨
Security Metrics
2010³â CIS´Â ¸¹Àº Á¶Á÷µéÀÌ °øÅëÀ¸·Î Âü¿©ÇÒ ¼ö ÀÖ´Â º¸¾ÈÁöÇ¥(Metrics)¸¦ ¹ßÇ¥Çß´Ù. ÀÌ´Â Á¶Á÷ÀÌ ½º½º·Î º¸¾ÈÅëÁ¦ ÁؼöÀ²À» Á¡°ËÇÏ°íÀÚ ÇÏ´Â ÁöÇ¥¶ó°í ÇÒ ¼ö ÀÖ´Ù.
Á¶Á÷Àº ºñ¿ëÈ¿°úÀûÀÎ º¸¾ÈÅõÀÚ °áÁ¤¿¡ ¾î·Á¿òÀ» °Þ°í ÀÖ´Ù. Á¤º¸º¸¾È Àü¹®°¡°¡ ºÎÁ·ÇÏ°í °æ¿µº¸¾È ÅõÀÚ °áÁ¤À» ÇÏ´Â º¸¾ÈÁöÇ¥°¡ ºÒºÐ¸íÇÑ »óÅÂÀÎ °ÍÀÌ´Ù. CIS´Â 150°³ º¸¾È Àü¹®±â¾÷°ú ÇÔ²² ÀÌ ¹®Á¦ ÇØ°áÀ» À§ÇÑ ÆÀÀ» ¸¸µé°í Ç¥ÁØ ÁöÇ¥ ÃʾÈÀ» ¸¸µé¾ú´Ù. °á°ú Ç¥ÁØ ÁöÇ¥¸¦ ¸¸µé°í Á¶Á÷ÀÌ º¸¾È ¼º´ÉÀ» ÃøÁ¤ÇÒ ¼ö ÀÖ´Â µ¥ÀÌÅ͸¦ ¼öÁý ºÐ¼®ÇÒ ¼ö ÀÖµµ·Ï Çß´Ù. ÀÌ ¹®¼´Â 28°³ÀÇ ÁöÇ¥¸¦ Á¤ÀÇÇÏ°í 7°³ÀÇ Áß¿äÇÑ ºñÁî´Ï½º ±â´ÉÀÇ º¸¾ÈÀ» Ç¥ÇöÇÏ°í ÀÖ´Ù.
¡â º¸¾È»ç°í°ü¸®(Incident Management)
¡â Ãë¾à¼º°ü¸®(Vulnerability Management)
¡â ÆÐÄ¡°ü¸®(Patch Management)
¡â ¾ÖÇø®ÄÉÀÌ¼Ç º¸¾È°ü¸®(Application Security)
¡â ±¸¼º°ü¸®(Configuration Management)
¡â º¯°æ°ü¸®(Change Management)
¡â Àڱݰü¸®(Financial Metrics)
¡ã Ç¥ 3. Ç¥ÁØ ÁöÇ¥ ÃʾÈ
º¸¾ÈÅëÁ¦ ±¸Çö ¹× ºÐ¼®»ç·Ê
[2014³â ¹Ì±¹ OMB º¸°í ÀÚ·á ºÐ¼® ³»¿ë »ç·Ê]
ÀÌ º¸°íÀÇ ¸ñÀûÀº ¿¬¹æÁ¤ºÎÀÇ Á¤º¸º¸¾È Ãë¾àÁ¡°ú À§ÇùÀÇ Áö¼ÓÀûÀÎ ºÐ¼®°ú ÀνÄÀ» ÅëÇØ »çÀ̹ö º¸¾È ¼º´É Çâ»ó½ÃÅ°°íÀÚ ÇÑ °ÍÀÌ´Ù. ±ÇÇÑÀÌ ÀÖ´Â »ç¿ëÀÚ¸¸ IT ÀÚ¿ø¿¡ Á¢±ÙÇÒ ¼ö ÀÖÀ½À» º¸ÀåÇÏ°í, ¾Ç¼ºÄÚµåÀÇ À§ÇèÀ» °¨¼Ò½ÃÅ°´Â ±â¼ú°ú ÇÁ·Î¼¼½ºÀÇ ±¸ÇöÀ» À§ÇØ º¸°íµÇ´Â ³»¿ëÀÌ´Ù. º¸¾È°ü¸®ÀÇ ¿ì¼±¼øÀ§¸¦ °í·ÁÇÑ »çÀ̹öº¸¾È ±â´ÉÀ» ±¸ÇöÇÏ°í ÃøÁ¤ÇÏ´Â ¼º´É ±â¹Ý ÁöÇ¥¸¦ °³¹ßÇÏ°íÀÚ ÇÔÀε¥ ´ÙÀ½°ú °°Àº ¼º°ú¸¦ º¸¿©ÁØ´Ù.
1) Á¤º¸º¸¾È Áö¼ÓÀûÀÎ ¸ð´ÏÅ͸µ °È(ISCM) - Áö¼ÓÀûÀ¸·Î °üÂû, Æò°¡, ºÐ¼®À» Á¦°øÇÏ°í Á¶Á÷ÀÇ »çÀ̹ö º¸¾È Áø´Ü ÀÚ¼¼, ¿î¿µ Áغñ
2) Á¢±ÙÁ¦¾î¸¦ ÅëÇÑ ÀÚ°Ý Áõ¸í, »ç¿ëÀÚ¸¦ º¸Àå ±â´É, ÀÎÁõ¿¡ ÇÊ¿äÇÑ Á¢±ÙÁ¦¾î Á÷¹«
3) ¾ÈƼ ÇǽÌ/¾Ç¼ºÄÚµå ¹æ¾î·Î¼ ¾Ç¼ºÄÚµå À§ÇèÀ» °¨¼ÒÇÏ´Â ±â¼ú, ÇÁ·Î¼¼½º ¹× ±³À°
4) ½Å·ÚÇÏ´Â ÀÎÅÍ³Ý ¿¬°á·Î¼ TIC ¿¬µ¿À» ÅëÇÑ ¿¬¹æ ³×Æ®¿öÅ© ¿¬°á, Á¾·á º¸È£ È®ÀÎ
[¿¡³ÊÁöºÎ(DOE) »çÀ̹öº¸¾È º¸¾ÈÁöÇ¥ ±¸Çö»ç·Ê]
¹Ì±¹ ¿¡³ÊÁöºÎ´Â 9õ°³°¡ ³Ñ´Â PC, 500°³ÀÇ ¼¹ö, 400Á¾ÀÇ ¾ÖÇø®ÄÉÀ̼ÇÀÌ ÀÖ´Â ¿¬¹æÁ¤ºÎ Á¶Á÷ÀÌ´Ù. 2014³â ¿¡³ÊÁöºÎ´Â ¿¹»êû¿¡ ÀÇÇÑ FISMA º¸¾È ¼º´É Á¡¼ö¿¡¼ C+ µî±ÞÀ» ¹Þ¾Ò´Ù. º¸¾ÈÅëÁ¦ ÁؼöÀ² °ªÀÌ´Ù. ±×·¸´Ù¸é Aµî±ÞÀº ÁÖ¾îÁø º¸¾ÈÅëÁ¦ ÁؼöÀ², ƯÈ÷ È¿°úÀûÀÌ°í, È¿À²ÀûÀ̸ç ƯÈ÷ APT ´ëÀÀ µî ³×Æ®¿öÅ© º¸¾ÈÀ» Àß ¿î¿µÇÏ´Â Á¶Á÷ÀÌ µÇ¾î¾ß ÇÑ´Ù. ÇÏÁö¸¸ ±¹³» ÇѼö¿ø »çÅ¿¡¼µµ ³ª¿Â À̾߱âÁö¸¸, ¡°»çÀ̹ö À§ÇùÀº º¸ÀÌÁö ¾Ê´Â´Ù¡±´Â ¸»Ã³·³ ¡®ºí·¢È¦(Black Hole)¡¯Ã³·³ »ý°¢Çϱ⠽±´Ù.
1) ¾î¶² ÀÏÀÌ ¹ú¾îÁö°í ÀÖ´ÂÁö ¾Ë¾Æ¾ß Çϸç
2) IT ºñÁî´Ï½º°¡ Metrics ÇÁ·Î¼¼½º¸¦ °¡Á®¾ß Çϸç
3) °á°ú µ¥ÀÌÅÍ°¡ º¸¾È ¼º´ÉÀ» Çâ»ó½ÃÄÑ¾ß Çϸç
4) ¿î¿µ ³»¿ëÀÌ Åõ¸íÇÏ°Ô °ü¸®µÇ¾î¾ß ÇÑ´Ù
±×µéÀº CIS º¸¾ÈÁöÇ¥(Metrics)¸¦ Âü°íÇß´Ù. ¿¹¸¦ µé¾î Ãë¾à¼º ºÐ¼®ÀÇ °æ¿ì¿¡´Â ´ÙÀ½°ú °°Àº °ø½ÄÀ¸·Î Á¡¼ö¸¦ Ãâ·ÂÇÑ´Ù.
VSC = (Scan ÇÏ¿© Ãë¾àÁ¡ ÇØ°áÇÑ ¼ö) / Á¶Á÷³» ¸ðµç ´ë»ó ¼¹ö ´ë¼ö) X 100
* VSC : Vulnerability Scan Counter
À¯»çÇÏ°Ô ´ÙÀ½ ±×¸² 5¿Í ±×¸² 6¿¡¼ ½ÅÁ¾ ¾Ç¼ºÄÚµå ¹ß°ßÀ²°ú Á¦°ÅÀ²À» º¸ÀÌ°í ÀÖ´Ù.
¡ã ±×¸² 4. Ãë¾àÁ¡ Á¡°Ë ¼öÁØ(Á¡°Ë ºñÀ²)
¡ã ±×¸² 5. ½ÅÁ¾ ¾Ç¼ºÄÚµå ¹ß°ßÀ²
¡ã ±×¸² 6. ½ÅÁ¾¾Ç¼ºÄÚµå Á¦°ÅÀ²
[±¹³» ½ÃÇ豸Çö »ç·Ê]
ÀÌ ÀÚ·á´Â »çÀ̹öº¸¾È ÁöÇ¥¿Í °ü·ÃÇÑ Á¶Á÷ÀÇ »çÀ̹öº¸¾È ¼º´É ÃøÁ¤¿¬±¸°úÁ¦ °á°ú¸¦ Âü°íÇÏ¿© ÀÛ¼ºÇÑ °ÍÀÌ´Ù.
¡â A ¿¬±¸¿ø »ç·Ê
ÀÌ ¿¬±¸¿øÀº BS7799, ISMS Æò°¡ ÀÎÁõ µîÀ» ÀÌ¹Ì È¹µæÇÑ Á¶Á÷À̾úÁö¸¸ ½Ç½Ã°£ º¸¾ÈÅëÁ¦ °ü¸® ü°è, Metrics ±â¹ÝÀ¸·Î º¸¾ÈÇÁ·Î±×·¥À» ½ÃÇè ±¸ÇöÇß´Ù. ±×¸² 7¿¡¼ ÇÁ·ÎÅäŸÀÔÀ¸·Î ±¸ÇöÇÒ º¸¾ÈÅëÁ¦ÀÇ Metrics¸¦ Á¤ÀÇÇß´Ù. ±â°£Àº 2010³â 9¿ùºÎÅÍ 12¿ù±îÁö 1ºÐ±â¸¦ ÃøÁ¤ÇÑ °ÍÀÌ´Ù. ±× °á°ú °ü¸®ÀÚ°¡ ±ô¦ ³î¶ö °á°ú°¡ ±×¸² 10ó·³ ³ªÅ¸³µ´Ù. »ç°í´ëÀÀ, Ãë¾à¼º ºÐ¼® ¹× PC º¸¾È°ü¸® µîÀÇ Ç׸ñÀº A¼öÁØÀÌ ³ªÅ¸³µÀ¸³ª Á¢±ÙÁ¦¾î º¸¾ÈÅëÁ¦´Â D±Þ ¼öÁØÀ¸·Î ³ªÅ¸³ °ÍÀÌ´Ù.
¡ã ±×¸² 7. A ¿¬±¸¿ø º¸¾È Metrics »ç·Ê
¶ÇÇÑ, PC º¸¾È Ãø¸é¿¡¼ °©Àڱ⠳ªÅ¸³ ÀúÁ¶ÇÑ ¼ºÀûÀ¸·Î ¼öµ¿ ºÐ¼®Çغ¸´Ï ´ë»ó PCÀÇ OS º¯µ¿»çÇ×À» ŽÁöÇÏÁö ¸øÇÑ »ç·Ê°¡ ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù. Á¢±ÙÁ¦¾î ºÎºÐÀº ¿¬±¸¿øÀÇ ¿äûÀ¸·Î °³¹æÇÑ IP, Port¸¦ ±â°£ Á¾·á ÀÌÈÄ ´Ý´Â °ÍÀ» Àؾî¹ö¸° »ç·Ê°¡ ¸¹¾Ò´ø °ÍÀÌ´Ù. º¸¾ÈÅëÁ¦ÀÇ Áö¼ÓÀûÀÎ ½Ç½Ã°£ È®Àΰú °³¼±Ã¥ ºÐ¼®ÀÌ °¡´ÉÇß´ø °ÍÀÌ´Ù.
[±Û _ ÀÓäȣ KAIST Ãʺù±³¼ö, KAIST Àü»êÇаú Á¤º¸º¸È£ Àü°ø(hlim@kaist.ac.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>