[º¸¾È´º½º= ÀÓäȣ KAIST Ãʺù±³¼ö] ¿Ö º¸¾È»ç°í°¡ ºó¹øÈ÷ ¹ß»ýÇϴ°¡? ¿ì¼öÇÑ ÀÎÀû ±¸¼º¿ä¼Ò, º¸¾È ¼³ºñ ¹× ¼Ö·ç¼ÇÀ» µµÀÔÇÑ Á¶Á÷µéÀϼö·Ï º¸¾È»ç°í°¡ ´õ ¸¹ÀÌ ¹ß»ýÇÑ´Ù. Áï º¸¾È¿¡ ¸¹Àº ÀÚ¿ø(Resource)À» ÅõÀÚÇÏ°íµµ ¹®Á¦°¡ ¹ß»ýÇÏ°í ÀÖ´Ù. ƯÈ÷ ¹Ì·¡ºÎÀÇ ISMS ü°è, ±¹°¡Á¤º¸¿øÀÇ º¸¾È°¨»ç¸¦ ÀÌÇàÇصµ »ç°í´Â ¹ß»ýÇÑ´Ù´Â Á¡Àº ¹®Á¦·Î ÁöÀûµÈ´Ù.
»çÀ̹öº¸¾È°ú ÀÌÀü¿¡ »ý°¢ÇÏ´ø º¸È£ À§ÁÖÀÇ º¸¾È°ú´Â ±«¸®°¡ ÀÖ´Â °ÍÀÌ ºÐ¸íÇÏ´Ù. ±ÝÀ¶, ÀÎÅÍ³Ý ±â¾÷Àº ¹°·Ð, ÇѼö¿ø, ¼¿ï¸ÞÆ®·Î µîÀ» ´ë»óÀ¸·Î ÇÑ »çÀ̹ö°ø°ÝÀº µ· ¹®Á¦°¡ ¾Æ´Ñ Å×·¯¿Í ÁÖ¿ä±â¹Ý½Ã¼³ÀÇ ¸¶ºñ¿Í È¥¶õÀ» ÃÊ·¡Çϱâ À§ÇÑ °ÍÀÌ´Ù. »çÀ̹öº¸¾È »ç°í´Â ÀÎÅÍ³Ý Á¢¼ÓÀÌ ÀÌ·ç¾îÁø ½Ã½ºÅÛ°ú ¿¬°è¸¸ µÅµµ ¹ß»ýÇÒ ¼ö ÀÖ´Ù. ÀÌ·¸µí ÀÎÅͳÝÀ» Æ÷ÇÔÇÑ IT ±â¼úÀÌ ¸ðµç »ê¾÷°ú ±¹°¡¿¡ º¸±ÞµÈ »óȲ¿¡¼ »çÀ̹öº¸¾ÈÀº °æ¿µÀ¸·Î ÇØ°áµÇ¾î¾ß ÇÑ´Ù.
°æ¿µº¸¾ÈÀÇ ¹®Á¦¶ó´Â °ÍÀº ´ë±â¾÷ µî°ú ¿¬°èµÈ Çù·Â¾÷ü³ª °è¿»ç µî ÇÑ°÷¸¸ °ø°ÝÀ» ´çÇصµ º»»ç¸¦ ºñ·ÔÇÑ Àü»çÀûÀÎ ¹®Á¦·Î È®´ëµÇ±â ¶§¹®ÀÌ´Ù. ÀÌ´Â Á¤ºÎ±â°ü ¹× Áö¹æÀÚÄ¡´Üü, ±×¸®°í ±¹¹æ ÀÎÇÁ¶óµµ ¸¶Âù°¡Áö´Ù. ±¹¹ÎµéÀº Á¤ºÎÀÎÇÁ¶ó, ±ÝÀ¶ÀÎÇÁ¶ó ¼ºñ½º¸¦ ÀÌ¿ëÇÑ´Ù. °ÝÀÚ·Î ¿¬°áµÈ ¡®³×Æ®¿öÅ©¡¯·Î ÀÌ·ç¾îÁø ³×Æ®¿öÅ© º¹Àâ°è(Network Complex)ÀÌ´Ù. ³×Æ®¿öÅ© º¹Àâ°è´Â ¿À´Ã³¯ ¡®ºòµ¥ÀÌÅÍ¡¯¶ó°í ºÎ¸£´Â ½Ç¿ëÀûÀÎ Çй®ÀÌ´Ù. ½ÇÁ¦ ³×Æ®¿öÅ©¸¦ ÀÌ¿ëÇÑ ¸ðµç ½Ã½ºÅÛ¿¡¼ÀÇ ±â·Ï°ú »ç¿ëÀÚÀÇ È°¿ë ¿©ºÎ·Î ÆÇ´ÜÇÏ´Â °ÍÀº ¸Å¿ì ½Ç¿ëÀûÀÌ´Ù.
º¸¾ÈÅëÁ¦¶õ ¹«¾ùÀΰ¡
º¸¾ÈÅëÁ¦´Â º¸¾È »ç°í¸¦ ¹Ì¿¬¿¡ ¹æÁöÇÒ ¼ö Àִ ȯ°æÀ» ¸¸µé¾î ÁÖ°í À¯ÁöÇØ¾ß ÇÏ´Â ±âÃÊÀûÀÎ ¾÷¹«À̸ç Á¶Á÷ÀÇ À§ÇèÀ» °ü¸®ÇÒ ¼ö ÀÖ´Â ¹ÙÅÁÀÌ´Ù. ±×·¸´Ù¸é ¿Ïº®ÇÑ º¸¾ÈÅëÁ¦°¡ ÀÌÇàµÇ°í ÀÖ´Ù¸é ¸ðµç À§ÇùÀ¸·ÎºÎÅÍ ÀÚÀ¯·Î¿ï ¼ö ÀÖ¾î¾ß ÇÑ´Ù. ÇÏÁö¸¸ ÇöÀçÀÇ º¸¾ÈÅëÁ¦´Â Áö±Ý±îÁö ¾Ë·ÁÁø À§Çù¸¸À» ¸·À» ¼ö ÀÖ´Ù. Á¦·Îµ¥ÀÌ °ø°Ý(Zero-Day)À» ¸·À» ¼ö ÀÖ´Â º¸¾ÈÅëÁ¦´Â ¾ø°í ½Å¼ÓÇÑ ºñÁ¤»ó ÇàÀ§ ŽÁö, ºÐ¼® ¹× ´ëÀÀÀÌ ÇÊ¿äÇÏ´Ù.
¡ã ±×¸² 1 º¸¾ÈÅëÁ¦¿Í À§Çè°ü¸®
ÇÏÁö¸¸ º¸¾ÈÅëÁ¦ÀÇ Áß¾ÓÁýÁßÀû °ü¸® ¿î¿µÃ¼°è¿Í ¾÷¹«ÀýÂ÷, ÇÁ·Î¼¼½º¸¦ °¡Áø Á¶Á÷°ú ±×·¸Áö ¾Ê´Â Á¶Á÷Àº ´ç¿¬È÷ Å« Â÷ÀÌ°¡ ÀÖ´Ù. ¶ÇÇÑ ³×Æ®¿öÅ©¿¡ Âü¿©ÇÏ´Â ¸ðµç Á¶Á÷°ú ±¹¹ÎµéÀÌ ³×Æ®¿öÅ©ÀÇ ³ëµå·Î º»´Ù¸é, ±× ¸µÅ©·Î ÀÎÇÑ ¿¬°áÀº ºñÁ¤»óÀ» ã¾Æ¾ß ÇÏ´Â ½É°¢ÇÑ ¹®Á¦¿¡ ºÀÂøÇÑ´Ù. ¶ÇÇÑ ¿ÜÁÖ Çù·Â»ç Á÷¿øÀ̳ª ³»ºÎÀο¡ ÀÇÇÑ ±â¹ÐÁ¤º¸ À¯Ã⠵ ¾Ë·ÁÁöÁö ¾Ê¾Ò´ø ºñÁ¤»ó ÇàÀ§ÀÌ´Ù.
±×¸² 1Àº À§Çè°ü¸®¿¡¼ÀÇ º¸¾ÈÅëÁ¦¸¦ º¸¿©ÁÖ°í ÀÖ´Ù. À§Çù(Threat)À¸·Î ÀÎÇÑ »çÀ̹ö À§ÇèÀº °áÄÚ ¾ø¾Ö°Å³ª ÁÙÀÏ ¼ö ¾ø¾î Ç×»ó °ü¸®µÇ¾î¾ß ÇÑ´Ù. ±×¸®°í ¸ðµç À§ÇèÀ» ¾ø¾îÁöµµ·Ï ¸¸µé ¼ö ¾ø´Ù. º¸¾ÈÅëÁ¦´Â ±×¸² 1¿¡¼ º¸ÀÌ´Â À§Çù(Threats)À» Á¦¿ÜÇÑ ¸ðµç ±¸¼º¿ä¼ÒµéÀ» Æ÷ÇÔÇÑ´Ù. ´ÜÁö ÅëÁ¦(Control)¸¸ ÇØ´çµÇÁö ¾Ê°í ÀÚ»ê°ü¸®, Ãë¾à¼º °ü¸® µîÀ» ¸ðµÎ Æ÷ÇÔÇÑ´Ù.
ÀÌ´Â ÀÚ»êÀ» Áß¿äµµ¿¡ µû¶ó ºÐ·ùÇÏ°í Ãë¾à¼ºÀ» Áö¼ÓÀûÀ¸·Î Á¦°ÅÇØ¾ß À§ÇùÀ» Á¦°ÅÇÑ´Ù´Â ¶æÀÌ´Ù. ±×·³¿¡µµ ºÒ±¸ÇÏ°í À§ÇùÀº Á¸ÀçÇÑ´Ù, »õ·ÎÀÌ ÅõÀÚµÈ IT ÀÚ»êÀ̳ª ±âÁ¸ Àڻ꿡¼ ¹ß°ßµÇ´Â »õ·Î¿î Ãë¾à¼ºÀ» ¹ß°ßÇÏ°í À§ÇùÀÌ ¹ß»ýÇÏ´Â °ÍÀÌ´Ù. ÀÌ°ÍÀº ¹æ¹ü CCTV¸¦ ¿ìȸÇϱâ À§ÇØ º¯ÀåÇϰųª »ç°¢Áö´ë¸¦ ÀÌ¿ëÇÏ´Â ¹üÁËÀÚ¿Í °°À¸¸ç ¹üÁËÀÚ´Â ¾ðÁ¦ ¾îµð¼³ª Á¸ÀçÇÑ´Ù. ¹üÁËÀÚ´Â ¿ÜºÎÀÎÀÌµç ³»ºÎÀÎÀ̵ç Á¸ÀçÇÑ´Ù.
¶ÇÇÑ Á¤»óÀεµ ¹üÁËÀÚ·Î º¯ÇÒ ¼ö ÀÖ°í ¹üÁËÀÚ°¡ Á¤»óÀÎÀ» ´ë½ÅÇÒ ¼ö ÀÖ´Ù. Á¶Á÷ÀÇ »çÀ̹öº¸¾È ¿ª·® ȤÀº ¼öÁØÀº ±× Á¶Á÷ÀÇ ÀÓÁ÷¿ø ¹× ´ã´çÀÚµéÀÇ º¸¾ÈÅëÁ¦ ÁؼöÀ²·Î °áÁ¤µÈ´Ù. º¸¾ÈÅëÁ¦ ÁؼöÀ²Àº ±× Á¶Á÷ÀÇ À§Çè°ü¸® ¼öÁØÀÌ´Ù. °á±¹ Á¶Á÷ ±¸¼º¿øµéÀÌ ÁÖ¾îÁø º¸¾ÈÅëÁ¦¸¦ ¾ó¸¶³ª ÁؼöÇÏ°í ÀÖ´ÂÁö°¡ Áß¿äÇÑ ¿äÀÎÀÎ °ÍÀÌ´Ù.
¡ã ±×¸² 2 ¹Ì±¹ ¿¬¹æÁ¤ºÎ º¸¾È ¼öÁØ(2003-2006)
±×¸² 2´Â ¹Ì±¹ ¿¬¹æ Á¤ºÎÀÇ º¸¾È ¼öÁØÀ» 2003³âºÎÅÍ 2006³â±îÁö º¸¿©ÁÖ°í ÀÖ´Ù. ÀÌ º¸¾ÈÅëÁ¦ ÁؼöÀ²Àº ¿¹»êûÀÌ ÀÇȸ ¹× ¹é¾Ç°ü ¿¬·Êº¸°í »çÇ×ÀÌ´Ù. FISMA ¹ý·É¿¡ ÀÇÇØ ±¹¹ÎÀÇ ¼¼±ÝÀ¸·Î °¢ ¿¬¹æÁ¤ºÎ¿¡ º¸¾È¼º´É Çâ»óÀ» À§ÇØ º¸¾È¿¹»êÀ» ÅõÀÔÇÏ´Â °ÍÀ̹ǷΠ°ø°³µÇ°í ÀÖ´Â °ÍÀÌ´Ù. °è·®ÈµÈ º¸¾ÈÅëÁ¦´Â Á¶Á÷ÀÇ º¸¾È ¿ª·®À¸·Î ³ªÅ¸³ª´Âµ¥, ÀÌ´Â ÁÖ¾îÁø º¸¾ÈÅëÁ¦ÀÇ ¼ö·® Áß È¿°úÀû(Effective)Àΰ¡, È¿À²Àû(Efficient)Àΰ¡, ¹ýÀûÁؼö»çÇ×(Compliance) ÀÌÇà ¿©ºÎ µîÀ» ÁöÅ°´Â º¸¾ÈÅëÁ¦·Î ³ª´©°í ¹éºÐÀ²À» Çϸé Ç¥ÁØÁ¡¼ö(Normalized degrade)°¡ ³ªÅ¸³´Ù. À̸¦ ¼öÇÐÀû °ø½ÄÀ¸·Î º¸¸é ´ÙÀ½°ú °°´Ù.
Security Capability = ¢²(C1(EF, EC, CP), C2(EF, EC, CP), CN(EF, EC, CP)
C : º¸¾ÈÅëÁ¦
EF : Effectiveness, º¸¾ÈÅëÁ¦ÀÇ È¿°ú¼º
EC : Efficiency, º¸¾ÈÅëÁ¦ÀÇ È¿À²¼º
CP : Compliance, º¸¾ÈÅëÁ¦ÀÇ ¹ýÀû Áؼö»çÇ×
Á¶Á÷Àº Á¶Á÷¸¶´Ù ¼·Î ´Ù¸¥ ºñÁî´Ï½º¿¡ µû¶ó ¿ä±¸µÇ´Â º¸¾ÈÅëÁ¦°¡ »óÀÌÇÏ´Ù. ÇÏÁö¸¸ °¢°¢ÀÇ º¸¾ÈÅëÁ¦ÀÇ ÀÌÇàÁ¤µµ¸¦ ÇÕÄ£ ÀÌÇà ¿ª·®À» ¼ºÀû ¹× ¼öÁØÀ¸·Î ³ªÅ¸³»°í ÀÖ´Â °ÍÀÌ´Ù.
±×¸² 3Àº FISMA(¹Ì±¹ ¿¬¹æÁ¤º¸º¸¾È°ü¸®¹ý)¿¡ ÀÇÇÑ ¿¬¹æÁ¤ºÎ º¸¾È¼öÁØ°ú ¼Ò¿äºñ¿ëÀÇ º¯È(OMB)¸¦ ºÐ¼®ÇÑ ³í¹®À» ÂüÁ¶ÇÑ ³»¿ëÀÌ´Ù. 2014³â ÇàÁ¤ºÎ, ¹ý¹«ºÎ, ±³À°ºÎ µîÀº Aµî±ÞÀÌ¸ç ¿¡³ÊÁöºÎ´Â Cµî±ÞÀÌ´Ù. ¼öÁØÀÌ ³·Àº Á¶Á÷Àº ±× Á¶Á÷ÀÌ Á¤ÀÇÇÑ º¸¾ÈÅëÁ¦¸¦ Á¦´ë·Î ÁؼöÇÏ°í ÀÖÁö ¸øÇÑ »óȲÀ̸ç IT ȯ°æÀÇ º¹Àâµµ¿¡ µû¶ó ´õ¿í ¼öÁظ¦ Çâ»ó½ÃÄÑ¾ß ÇÒ ¼÷Á¦°¡ µÈ´Ù. ¿¹»êûÀº ¿¬¹æÁ¤ºÎ °ø¹«¿øµéÀÌ º¸¾ÈÀ» Çâ»ó½ÃÅ°µµ·Ï ¿¹»êÀ¸·Î ÅëÁ¦ÇÏ°í ÀÖ´Â °ÍÀÌ´Ù.
¡ã ±×¸² 3 FISMA¿¡ ÀÇÇÑ ¿¬¹æÁ¤ºÎ º¸¾È¼öÁØ°ú ¼Ò¿äºñ¿ëÀÇ º¯È(OMB)
º¸¾ÈÅëÁ¦ÀÇ ºÐ·ù
º¸¾ÈÅëÁ¦´Â ±¹³» ISMS Ç¥ÁØÀ» À̾߱âÇϴµ¥ ISO/IEC 27001ÀÌ´Ù, ÀÌ´Â ¸ðµç À¯Çü¿¡ Àû¿ëÇÏ°í, ¼³Á¤ ±¸Çö¡¤¿î¿µ¡¤¸ð´ÏÅ͸µ¡¤°ËÅ䡤À¯Áö °ü¸® ¹× ºñÁî´Ï½º À§Çè¿¡ ´ëÇÑ ¹®¼ÈµÈ Á¤º¸º¸È£°ü¸®Ã¼°è(ISMS)À» °³¼±Çϱâ À§ÇÑ ¿ä±¸»çÇ×À» ÁöÁ¤ÇÏ´Â °ÍÀÌ´Ù. ¶ÇÇÑ KISA µî ÀÎÁõ±â°ü¿¡¼ÀÇ CC(Common Criteria) ÀÎÁõ Æò°¡¸¦ À§ÇÑ ÀڷḦ Âü°íÇÒ ¼ö Àִµ¥, ISO/IEC 15408ÀÌ´Ù. Çѱ¹ÀÎÅͳÝÁøÈï¿ø(KISA) ÀÚ·á½ÇÀ» Âü°íÇϸé ISMS ±¸ÃàÀ» À§ÇÑ ÀÚ·á°¡ ÀÖÁö¸¸, NIST SP 53, ºÎ·Ï F¿¡¼ ±â¼úÀû º¸¾È Á¦¾îÀÇ ¸¹Àº Çϵå¿þ¾î, ¼ÒÇÁÆ®¿þ¾î ¹× Á¤º¸ ½Ã½ºÅÛ Æß¿þ¾î ±¸¼º¿ä¼Ò·Î ±¸ÇöÇÒ ¼ö ÀÖ´Ù.
¡âNIST º¸¾ÈÅëÁ¦
NIST´Â ¿¬¹æÁ¤º¸ ½Ã½ºÅÛ¿¡ ´ëÇÑ À§Çè°ü¸® ÇÁ·¹ÀÓ¿öÅ©(SP 800-53A)¸¦ Á¦½ÃÇß´Ù. ÀÌ´Â Á¤º¸º¸¾È ¶óÀÌÇÁ»çÀÌŬ ¾îÇÁ·ÎÄ¡·Î¼ À§Çè°ü¸®±â¹ÝÀÇ ºñ¿ëÈ¿°úÀûÀÎ Á¤º¸º¸¾È ¸ðÇüÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù. ÀÌ ÇÁ·¹ÀÓ¿öÅ©¿¡¼´Â ¨çÁ¤º¸½Ã½ºÅÛ ºÐ·ù, ¨èÁ¤º¸º¸¾È ÅëÁ¦(´ëÃ¥) ¼±ÅÃ, ¨éÁ¤º¸º¸¾È ÅëÁ¦ ½ÇÇà, ¨êÁ¤º¸º¸¾È ÅëÁ¦ Æò°¡, ¨ëÁ¤º¸½Ã½ºÅÛ º¸¾È ÀÎÁ¤, ¨ìÁ¤º¸º¸¾È ÅëÁ¦ÀÇ ¸ð´ÏÅ͸µÀÇ ´Ü°è¸¦ ¼øȯ ¹Ýº¹ÇÏ¿© °³¼±ÇÒ °ÍÀ» Á¦½ÃÇÑ´Ù. ¶ÇÇÑ NIST °í½Ã¿¡¼´Â Á¤º¸º¸¾È ÅëÁ¦ Ç׸ñÀ¸·Î 18°³ ºÐ¾ß 256°³ Ç׸ñÀ» ÀÚ¼¼ÇÏ°Ô Á¤ÀÇÇØ Á¦½ÃÇÏ°í ÀÖ´Ù.
¿©±â¿¡´Â Á¢±ÙÅëÁ¦, º¸¾ÈÀÇ½Ä ±³À°, °¨»ç°¡´É¼º, º¸¾ÈÆò°¡, ±¸¼º°ü¸®, À§±â´ëÀÀ, À¯Áöº¸¼ö, ¸Åüº¸È£, º¸¾È°èȹ, À§ÇèÆò°¡ µî »ý°¢ÇÒ ¼ö ÀÖ´Â ¸ðµç ÅëÁ¦»çÇ×ÀÌ ³ª¿µÇ¾î ÀÖ´Ù°í ÇÒ ¼ö ÀÖ´Ù.
¡âISMS ¹× ±¹Á¦Ç¥ÁØ ¸ðÇü(ISO27001)
±¹Á¦Ç¥Áرⱸ¿¡¼ 2005³â Á¤º¸º¸È£ °ü¸®¿¡ °üÇÑ Ç¥ÁØ¾È ¹× ÀÎÁõü°è¸¦ Á¦½ÃÇߴµ¥ Á¶Á÷ÀÇ Á¤º¸º¸¾È À§Çè(À§Çù¡¤Ãë¾à¼º¡¤¿µÇâµµ)À» ü°èÀûÀ¸·Î Æò°¡ÇÏ°í, Á¾ÇÕÀûÀÎ º¸¾ÈÅëÁ¦ ´ëÃ¥À» ¼ö¸³¡¤ÀÌÇàÇϸç, ÃÑüÀûÀÎ °ü¸® ÇÁ·Î¼¼½º¸¦ äÅÃÇÒ °ÍÀ» ¿ä±¸Çϴ ǥÁØÀÌ´Ù. ¿ì¸®³ª¶ó¿¡µµ ÀÏÁ¤ ±Ô¸ð ÀÌ»óÀÇ Á¤º¸Åë½Å¼ºñ½º »ç¾÷ÀÚ¿¡°Ô Àǹ«ÈµÇ¾î ÀÖ´Ù. ISO/IEC 27001 Á¤º¸º¸È£°ü¸®Ã¼°è(ISMS)´Â 11°³ ±×·ì, 133°³ ÅëÁ¦Ç׸ñÀ¸·Î µÇ¾î ÀÖ¾úÀ¸³ª, 2013³â °³Á¤À¸·Î 14°³ ±×·ì, 114°³ ÅëÁ¦Ç׸ñÀ¸·Î ±¸¼ºµÇ¾ú´Âµ¥, °³Á¤¾È¿¡¼´Â ISMS ¼öÇà¿¡ ´ëÇÑ ÃøÁ¤ ¹× Æò°¡¸¦ °Á¶ÇÏ°í, Çù·Â»ç ¾Æ¿ô¼Ò½Ì¿¡ °üÇÑ Ç׸ñÀ» ½Å¼³Çß´Ù.
¡ã ±×¸² 4 ÁÖ¿ä Á¤º¸Åë½Å±â¹Ý½Ã¼³ Ãë¾àÁ¡ ºÐ¼®¡¤Æò°¡ ±âÁØ
ÁÖ¿ä Á¤º¸Åë½Å±â¹Ý½Ã¼³¿¡ ´ëÇؼ´Â Á¤º¸Åë½Å±â¹Ýº¸È£¹ý¿¡ ÀÇ°ÅÇØ ¹Ì·¡Ã¢Á¶°úÇкΰ¡ °í½ÃÇÑ ¡®ÁÖ¿ä Á¤º¸Åë½Å±â¹Ý½Ã¼³ Ãë¾àÁ¡ ºÐ¼®¡¤Æò°¡ ±âÁØ¡¯ÀÌ ÀÖ´Ù. ¿©±â¼´Â °ü¸®Àû¡¤¹°¸®Àû¡¤±â¼úÀû ºÐ¾ß¸¦ ¸ðµÎ ¸Á¶óÇϵÇ, Á¤º¸ÀÚ»êÀÇ Áß¿äµµ°¡ ³ô¾Æ ÇʼöÀûÀ¸·Î äÅÃÇØ¾ß ÇÏ´Â ±âº»Ç׸ñ(232Ç׸ñ)°ú Áß¿äµµ°¡ ³·¾Æ ¼±ÅÃÀûÀ¸·Î äÅÃÇÒ ¼ö ÀÖ´Â ¼±ÅÃÇ׸ñ(140Ç׸ñ)À» Á¦½ÃÇÏ°í ÀÖ´Ù. ¶ÇÇÑ ÀÎÀû º¸¾È ºÐ¾ß Áß ¿ÜºÎ ¿ë¿ª¾÷ü ÀÎÀû º¸¾È°ü¸®¿¡ 14°³ÀÇ Ç׸ñÀ» µÎ¾î ÀÚ¼¼È÷ Æò°¡ÇÑ´Ù. ±× ¹Û¿¡ ISMS¸¦ ±â¹ÝÀ¸·Î ±¹Á¤¿ø Á¤º¸º¸¾È Á¡°Ë, ±â¹Ý½Ã¼³ º¸È£, Á¤º¸º¸È£Á¶Ä¡, ±ÝÀ¶ IT º¸¾È µîÀÌ ÀÖÁö¸¸ À̵éÀÇ º¸¾ÈÅëÁ¦ ºñ±³ºÐ¼®Àº ±×¸² 5¿¡¼ º¸ÀÌ°í ÀÖ´Ù.
¡ã ±×¸² 5 º¸¾ÈÅëÁ¦ Ç׸ñÀÇ »óÈ£ºñ±³
¡â°³ÀÎÁ¤º¸º¸È£ ÅëÁ¦
°³ÀÎÁ¤º¸º¸È£¹ýÀÌ °ø°ø ºÐ¾ß»Ó¸¸ ¾Æ´Ï¶ó, ¹Î°£ ºÐ¾ß¿¡µµ Àû¿ëµÇ´Â ±âº»¹ýÀÌ´Ù. °³ÀÎÁ¤º¸ÀÇ ¼öÁý¡¤À̿롤ÀúÀ塤Æó±â ÀýÂ÷¿¡ ´ëÇØ ±ÔÁ¦ÇÏ¸é¼ °³ÀÎÀÇ µ¿ÀǸ¦ ¾òÁö ¾ÊÀº °³ÀÎÁ¤º¸ÀÇ ÀúÀå»Ó¸¸ ¾Æ´Ï¶ó ÀÌÀü ¹× À¯ÃâÀ» ±ÝÁöÇÏ°í, ÀÌ¿¡ ´ëÇÑ º¸È£´ëÃ¥(°ü¸®Àû, ¹°¸®Àû, ±â¼úÀû ´ëÃ¥)À» ¸¶·ÃÇÒ °ÍÀ» ¿ä±¸ÇÏ°í ÀÖ´Ù. ±âº»ÀûÀÎ Á¤º¸º¸¾ÈÀÇ °üÁ¡¿¡¼ °³ÀÎÁ¤º¸µµ Á¤º¸ÀÇ ÀÏÁ¾À̹ǷΠÁ¤º¸º¸¾ÈÁ¤Ã¥¿¡ µû¸¥ Á¤º¸ÀÇ °¡Ä¡¿¡ ÁØÇÏ´Â ÅëÁ¦´ëÃ¥À» ¸¶·ÃÇÏ¸é µÈ´Ù. ƯÈ÷ ±â¼úÀû ÅëÁ¦´ëÃ¥Àº ÀÏ¹Ý Á¤º¸ÀÇ ÅëÁ¦´ëÃ¥°ú ´ëµ¿¼ÒÀÌÇÏ´Ù.
ÀÌ·¯ÇÑ º¸¾ÈÅëÁ¦ÀÇ ¸ðÇüÀº ±â°üÀÇ ¡®³»ºÎÅëÁ¦¡¯ÀÇ ¿ø¸® ¶Ç´Â Á¤º¸½Ã½ºÅÛ º¸¾È ¿î¿µÀÇ ¿ø¸®·Î È°¿ëµÉ ¼ö ÀÖÀ¸¸ç, µ¿½Ã¿¡ Á÷¹«ºÐ¸® ¿øÄ¢¿¡ ÀÇÇØ ÀÓ¸íµÈ Á¤º¸º¸¾È ´ã´ç°üÀÌ ±â°üÀÇ Á¤º¸º¸¾È ½ÇÅ ¹× Ãë¾à¼ºÀ» È®ÀÎÇϱâ À§ÇÑ ¡®ÀÚü Á¡°Ë¡¯ÀÇ Æò°¡ Ç׸ñÀ¸·Î È°¿ëµÉ ¼ö ÀÖ´Ù. ¶ÇÇÑ Ãë¾à¼º Á¡°ËÀÇ °´°ü¼ºÀ» È®º¸Çϱâ À§ÇÑ µ¶¸³µÈ Àü¹®±â°üÀÇ ¡®¿ÜºÎ°¨»ç¡¯¸¦ À§ÇÑ ÁØ°Å ¸ðÇüÀÌ µÉ ¼ö ÀÖ´Ù.
Á¤º¸º¸¾È ´ã´ç°üÀº ±â°üÀÇ Á¤º¸º¸¾È ¸ñÇ¥¸¦ ´Þ¼ºÇϱâ À§ÇÑ Á¤º¸º¸¾ÈÁ¤Ã¥ ¹× Á¦¹Ý ´ëÃ¥À» °èȹÇØ ÀÌÇàÄÉ ÇÏ°í ÀÌÇàÀÇ ½ÇÅ ¹× Ãë¾à¼ºÀ» ÁÖ±âÀûÀ¸·Î ¡®ÀÚü¡¯Á¡°ËÇØ¾ß ÇÑ´Ù. Á¡°Ë°á°ú´Â ±ÔÁ¤¿¡ µû¶ó ±â°üÀå ¹× °ü°è Áß¾ÓÇàÁ¤±â°ü µî¿¡ º¸°íÇϱ⵵ Çϴµ¥ ÀÌ¿¡ ´ëÇØ Áß¾ÓÇàÁ¤±â°ü ¶Ç´Â ±¹°¡Á¤º¸¿øÀº ÀÚü Á¡°ËÀÌ Å¸´çÇÑÁö È®ÀÎÇÒ ¼ö ÀÖÀ¸¸ç, ÀÌ´Â °¨µ¶±â°üÀÇ °¨»ç¿Í °°Àº ¡®¿ÜºÎ¡¯ ±â°üÀÇ Á¡°Ë¿¡ ÇØ´çÇÑ´Ù.
¡âº¸¾ÈÅëÁ¦ Æò°¡½ÇÅÂ
KISA ÀÚ·á¿¡ ÀÇÇϸé, ±×¸² 6Àº ÀÏ¹Ý º¸¾È°ú Á¤º¸º¸¾È¿¡ °ü·ÃµÈ »óÀ§ Á¤Ã¥°ú ÇÏÀ§ Áöħ°úÀÇ °ü°è¸¦ µµ½ÄÈÇÑ °ÍÀε¥, °¢±Þ ±â°üÀº »óÀ§ Á¤Ã¥¿¡ ´ëÇÑ ±â°ü ÀÚüÀûÀÎ ½ÃÇàÀ» À§ÇØ º¸¾È¾÷¹«±ÔÁ¤, Á¤º¸º¸¾È±ÔÁ¤, °³ÀÎÁ¤º¸º¸È£±ÔÁ¤ µî 3Á¾ÀÇ ±ÔÁ¤À» Á¦Á¤ÇÏ°í À̸¦ À¯ÁöÇØ¾ß ÇÑ´Ù´Â °ÍÀ» ³ªÅ¸³½´Ù.
¡ã ±×¸² 6 Á¤º¸º¸¾È °ü·Ã ¹ý±Ô
¸¸¾à KISA µî ¿ÜºÎÆò°¡ ±â°ü µîÀÇ °¨»çÀü¹®°¡°¡ ÇöÀå ¹æ¹®ÇØ ¸¹Àº º¸¾ÈÅëÁ¦ ÀÚ·áµéÀ» Æò°¡ÇÒ °ÍÀÌ´Ù, ´ÙÀ½ ±×¸²¿¡¼ ±â¼úÀû Ãë¾à¼º Á¡°Ë Ç׸ñÀ» º¸¿©ÁÖ°í ÀÖ´Ù. ´ëºÎºÐ ±â·Ï Æò°¡¿Ü ÇÊ¿ä½Ã ÇöÀå È®ÀÎÀ» °ÅÄ£´Ù. À¯»çÇÏ°Ô °ü¸®Àû ¹°¸®Àû º¸¾È½ÇŸ¦ ±â·ÏÀ¸·Î Á¦½ÃÇØ¾ß ÇÏ´Â °ÍÀÌ´Ù.
º¸¾ÈÅëÁ¦ÀÇ ÃøÁ¤ Æò°¡
¹Ì±¹ NIST º¸¾È¼º´É ÃøÁ¤ °¡À̵å¶óÀÎÀº FISMA ¹ý·É¿¡¼ ±ÔÁ¤ÇÑ ¿¬¹æÁ¤ºÎÀÇ º¸¾ÈÀ§Çè ¼öÁØÀ» À§ÇÑ Áöħ¼ÀÌ´Ù. ÀÌ °¡À̵å¶óÀÎÀº Á¤º¸½Ã½ºÅÛ¿¡ ´ëÇÑ º¸¾ÈÅëÁ¦¿Í Á¤º¸º¸¾È ÇÁ·Î±×·¥¿¡ ´ëÇÑ È¿°ú¼º(Effectiveness)À» ÀÎÇÏ´Â ¹æ¹ýÀ» º¸¿©ÁØ´Ù. ÀÌ·¯ÇÑ ÃøÁ¤¹æ¹ýÀº Á¶Á÷ÀÇ Á¤º¸½Ã½ºÅÛ°ú Á¤º¸º¸¾È ÅëÁ¦ ÇÁ·Î±×·¥¿¡ ´ëÇÑ ±¸Çö, È¿°ú¼º°ú °ü·Ã ¼º´É¿¡ °üÇÑ µ¥ÀÌÅ͸¦ ¼öÁý, ºÐ¼® ¹× º¸°í¸¦ ÅëÇØ ÀÇ»ç°áÁ¤, ¼º´É°³¼±, Ã¥ÀÓÃßÀû¼º(Accountability)ÀÇ Çâ»ó µîÀ» ¹ßÈÖÇÒ ¼ö ÀÖ´Ù. ´ÙÀ½ »çÇ×ÀÌ º¸¾È ¼º´É Æò°¡¸¦ °³¹ß ±¸ÇöÇÒ ¶§ °í·ÁµÇ¾î¾ß ÇÑ´Ù.
1) Æò°¡Áø´ÜÀº ÆÛ¼¾Æ®, Æò±ÕÄ¡ µîÀ¸·Î Á¤·®ÀûÀÌ µÇ¾î¾ß ÇÑ´Ù.
2) Æò°¡¿¡ ÇÊ¿äÇÑ µ¥ÀÌÅÍ´Â ¹Ì¸® ÁغñµÇ¾î¾ß ÇÑ´Ù.
3) ¹Ýº¹ÀûÀÎ Á¤º¸º¸¾È ±¸Çö ÇÁ·Î¼¼½º°¡ Æò°¡¿¡ °í·ÁµÇ¾î¾ß ÇÑ´Ù.
4) Æò°¡´Â ¼º´É°ú °ü·ÃµÈ ÀÚ¿øÀ» ÃßÀûÇϴµ¥ µµ¿òÀÌ µÇ¾î¾ß ÇÑ´Ù.
ÀÌ ¼º´ÉÆò°¡¸¦ ±¸ÇöÇÏ´Â ÇÁ·Î¼¼½º¸¦ ÅëÇØ ºó¾àÇÑ ¼º´ÉÀÇ ¿øÀÎÀ» °¡·Á³»°í, À̸¦ ¹Ù²Ù´Â Á¦¾ÈÀÌ °¡´ÉÇØ¾ß ÇÑ´Ù. ÀÌ °¡À̵å¶óÀÎÀº ´ÙÀ½ 3°¡Áö ÇüÅÂÀÇ ¼º´ÉÆò°¡Ã´µµ¸¦ ¼öÁýÇÏ°í °³¹ßÇÑ´Ù.
1) º¸¾ÈÁ¤Ã¥À» ¼öÇàÇϴ ôµµ¸¦ Æò°¡ÇÏ´Â ¼ö´ÜÀÇ °³¹ß
2) º¸¾È ¼ºñ½º Àü´Þ°úÁ¤ÀÇ °á°ú, È¿°ú¼º, È¿À²¼ºÀ» ÃøÁ¤
3) º¸¾È À̺¥Æ®³ª »ç°í°¡ ºñÁî´Ï½º¿Í ¾÷¹« ¼öÇà ¸ñÇ¥¿¡ ¹ÌÄ£ ¿µÇâ·Â Æò°¡
ÀÌ·¯ÇÑ ÃøÁ¤±âÁصéÀº ½ÇÁ¦ÀûÀ¸·Î ȹµæÀÌ °¡´ÉÇØ¾ß Çϸç, Á¤º¸º¸¾È ½Ã½ºÅÛ ÅëÁ¦ÀÇ ±¸Çö, Á¤º¸º¸¾È ÇÁ·Î±×·¥ÀÇ ¼º¼÷µµ¿¡ Á¾¼ÓÀûÀÎ ¼º´É °³¼±¿¡ µµ¿òÀÌ µÇ¾î¾ß ÇÑ´Ù. ´ÙÀ½ ±×¸² 7Àº º¸¾È ¼º¼÷µµÀÇ º¯È°úÁ¤À» º¸ÀÌ°í ÀÖ´Ù. ÀÌ 4´Ü°è ¸ðµ¨Àº °¢ ´Ü°èº°·Î º¸¾ÈÅëÁ¦¸¦ ÃøÁ¤ÇØ ³ªÅ¸³´Ù. ÀÌ ¼º¼÷µµ´Â Á¶Á÷ÀÇ ÀÓÁ÷¿øµéÀÌ ÁöÄÑ¾ß ÇÒ º¸¾ÈÅëÁ¦¸¦ ¾ó¸¶³ª ÁöÅ°°í ÀÖ´À³ÄÀÇ ¹®Á¦À̹ǷΠÁ¶Á÷ÀÇ °æ¿µ¿¡¼ °¡Àå Áß¿äÇÑ Ã´µµ°¡ µÇ¹Ç·Î °¡´ÉÇÑ ºÐ±âº°·Î ÃøÁ¤ÇÏ´Â °ÍÀÌ Áß¿äÇÑ °ü°ÇÀÌ µÈ´Ù.
¡ã ±×¸² 7 º¸¾È ¼º´É ÃøÁ¤°ú Á¶Á÷ÀÇ º¸¾È ¼º¼÷µµ
1´Ü°è(D, 60Á¡´ë)¿¡¼ ÃÖ°í ´Ü°èÀÎ 4´Ü°è(A, 90Á¡´ë) ±¸ºÐÀº ÁÖ¾îÁø º¸¾ÈÅëÁ¦¿¡ ´ëÇØ ±×¸² 8°ú °°Àº ±¸ºÐ¿¡ ÀÇÇØ ÀÌ·ç¾îÁø´Ù.
¡ã ±×¸² 8 º¸¾È ¼º´É ÃøÁ¤ ³»¿ë
ÀÌ·¯ÇÑ º¸¾È ¼º´É ÃøÁ¤ ¹æ¹ýÀÇ ¼º°ø ¸ðµ¨À» ±×¸² 9¿¡¼ º¸¿©ÁÖ°í ÀÖ´Ù.
1) °á°ú ÁöÇâÀûÀÎ ÃøÁ¤ ºÐ¼®
2) Á¤·®ÀûÀÎ ¼º´É ÃøÁ¤
3) ½Ç¹«±â¹Ý Á¤º¸º¸¾È Á¤Ã¥°ú ÀýÂ÷
4) °·ÂÇÑ °æ¿µ°ü¸® Áö¿ø
¡ã ±×¸² 9 º¸¾È ¼º´É ÃøÁ¤ ¼º°ø ¿äÀÎ
1) ÀÚ¿ø : ºÎÁ·ÇÑ ÀηÂ, ¿¹»ê µî
2) ±³À°ÈÆ·Ã : °³ÀÎÀÇ ¼³Ä¡, °ü¸®¿î¿µ, Á¤º¸½Ã½ºÅÛ »ç¿ë ÈÆ·Ã ºÎÁ·
3) Á¤º¸½Ã½ºÅÛ ¾÷µ¥ÀÌÆ® : ¾÷µ¥ÀÌÆ®ÇÒ ¶§ ÆÐÄ¡¸¦ ÇÏÁö ¾ÊÀ½
4) ±¸¼º°ü¸® ½Ç¹« ÇÁ·¢Æ¼½º : º¸¾È ¼¼ÆÃÀ̳ª ÆÐÄ¡¸¦ ÇÏÁö ¾ÊÀº ±¸¼º ¹× ¾÷µ¥ÀÌÆ®
5) ¼ÒÇÁÆ®¿þ¾î º¹À⼺ : ÆÐÄ¡³ª ¾÷µ¥ÀÌÆ®°¡ ȣȯ¼º ÀÖ°Ô Á¦°øµÇÁö ¾ÊÀ½
6) ÀνÄÁ¦°í ¹× Ã¥ÀÓ : ÀνÄÁ¦°í ¹× Ã¥ÀÓ¿¡ ´ëÇÑ °ü¸® ºÎÁ·
7)Á¤Ã¥ ¹× ÀýÂ÷ : Á¤º¸½Ã½ºÅÛ º¸¾È¿¡¼ ¿ä±¸ÇÏ´Â ±â´É À¯Áö, »ç¿ë°ú °¨»ç±â·Ï ºÎÁ·
8) ¾ÆÅ°ÅØó : Á¤º¸½Ã½ºÅÛÀ» Ãë¾àÇÏ°Ô ÇÏ´Â º¸¾È¾ÆÅ°ÅØó
9) ºñÈ¿À²Àû ÇÁ·Î¼¼½º : Á¶Á÷ÀÇ Á÷Á¢Àû ÇൿÀÌ ÇÊ¿äÇÑ ÇÁ·Î¼¼½º ¼³°è ¹× ±¸Çö ºÎÁ·
¡âÀýÂ÷
Á¶Á÷ÀÇ »çÀ̹öº¸¾È ¼º´É ¹× ¼öÁØÆò°¡°¡ ¾î·Á¿ï ¼ö ÀÖ´Ù. ÇÏÁö¸¸ °æ¿µ¿¡¼´Â ´ç¿¬ÇÏ°Ô ±× ÀÓ¹«¸¦ ¼öÇàÇØ¾ß ÇÏ´Â °ÍÀ¸·Î ¾Ë°í ÀÖÀ¸¸ç °æ¿µ¿¡¼´Â Á¤±âÀûÀÎ º¸°í¸¦ ¿øÇÏ°í ÀÖ´Ù. º¸¾È ¼öÁØÀº ´ç¿¬È÷ Á¤·®ÀûÀ¸·Î ÆľÇÇÏ°í ÀÓÁ÷¿øµéÀÇ ºÐ¹ßÀ» ¿ä±¸ÇÒ ¼ö ÀÖ¾î¾ß ÇÑ´Ù.
¡ã ±×¸² 10 º¸¾È ¼º´ÉÃøÁ¤°ú ¶óÀÌÇÁ»çÀÌŬ
Á¶Á÷¿¡¼ Á¤ÀÇÇÑ º¸¾ÈÅëÁ¦´Â »õ·Î¿î À§ÇùÀ̳ª ºÐ¼®¿¡ µû¶ó Ãß°¡µÇ°Å³ª »èÁ¦µÉ ¼ö ÀÖ´Ù. ¹°·Ð ÃÖ¼ÒÇÑÀÇ ¿ä±¸»çÇ×ÀÌ¸ç ¹ýÀûÀ¸·Î Á¤ÀÇµÈ º¸¾ÈÅëÁ¦´Â ¹«Á¶°Ç ÃßÁøÇØ¾ß ÇÑ´Ù. ±×·¸´Ù¸é ±× º¸¾ÈÅëÁ¦°¡ ¾î´À Á¤µµ°¡ ¸ñǥġÀÌ°í ±× ¹üÀ§´Â ¾îµð±îÁöÀ̸ç, Á¤·®ÈµÈ ¼öÄ¡´Â ¾î¶»°Ô ¸¸µé¾î¾ß ÇÏ´Â °ÍÀΰ¡? ÀÌ °úÁ¤À» Á¤ÀÇÇÏ´Â »çÇ×ÀÌ Á¤º¸º¸¾È ÃøÁ¤ÁöÇ¥ °³¹ß ÇÁ·Î¼¼½ºÀÌ´Ù.
[±Û _ ÀÓäȣ KAIST Ãʺù±³¼ö, KAIST Àü»êÇаú Á¤º¸º¸È£ Àü°ø(hlim@kaist.ac.kr)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>