세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[주말판] NIST가 정리한 보안 직군, 상세히 들여다보기 1
  |  입력 : 2017-08-12 12:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보 보안 전문가란 무슨 뜻인가? NIST, 7가지로 나눠
각 항목마다 2~6개의 특수 분야도 정의해


[보안뉴스 문가용 기자] 이번 주 보안 업계 최대 소식은 NIST가 난립하고 있는 보안 직군에 대한 정의를 명확하게 내렸다는 것이다. 이는 보안 업계에 만연한 사람 부족 현상을 해결하기 위한 방법 중 하나로, 누가 무슨 일을 하는 건지 정확하게 의사소통을 함으로써 고용 및 입사 결정을 보다 명확하게 내리도록 돕고 근속 기간을 늘리는 것에 그 목적을 두고 있다. 이에 대해서는 본지가 9일자로 보도한 바 있다.

[이미지 = iclickart]


NIST는 사이버 보안의 직군을 크게 7가지로 나누고 있다. SP, OM, OV, PR, AN, CO, IN이라고 이름이 붙어있는데, 각각 Securely Provision(안전한 공급), Operate and Maintain(운영과 유지), Oversee and Govern(감독 및 통제), Protect and Defend(보호 및 방어), Analyze(분석), Collect and Operate(수집 및 운영), Investigate(수사)의 준말이다. 각 직군에 대한 설명은 다음과 같다.

SP : 보안이 탄탄한 정보 기술 시스템을 개념화하고 설계하고 입수하고 구축한다. 이때 시스템과 네트워크의 개발을 고려하고 책임져야 한다.
OM : 효율적인 정보 기술 시스템의 성능과 보안성을 유지시키기 위해 필요한 대로 지원, 관리, 유지보수를 진행한다.
OV : 조직이 효과적으로 사이버 보안과 관련된 작업을 수행할 수 있도록 이끌고, 관리하고, 방향을 제시하고, 개발하고, 자문한다.
PR : 내부의 정보 기술 시스템과 네트워크에 대한 위협 요소들을 파악하고, 분석하고, 약화시킨다.
AN : 입수되는 사이버 보안 관련 정보를 수준 높은 전문성으로 검토하고 평가해 첩보로서의 가치를 결정한다.
CO : 특화된 방어 및 속임수 작전을 수행하고 첩보로서 활용될 가능성이 있는 사이버 보안 정보를 수집한다.
IN : 정보 기술 시스템, 네트워크, 디지털 증거와 관련이 있는 사이버 보안 사건 및 범죄를 수사한다.

SP : 안전한 공급
여기까지는 ‘보편적인’ 정의다. 하지만 NIST는 각 항목에 해당하는 전문 영역을 따로 구분해 놓기도 했다. SP의 경우는 위기 관리(Risk Management), 소프트웨어 개발(Software Development), 시스템 아키텍처(Systems Architecture), 기술 R&D(Technology R&D), 시스템 요구사항 기획(Systems Requirements Planning), 실험 및 평가(Test and Evaluation), 시스템 개발(Systems Development)로 나뉜다. 이 전문 영역들에 대한 세부 설명은 다음과 같다.

위기 관리 : 현존하거나 새로운 정보 기술 시스템이 조직 내에서 요구되는 사이버 보안 수준을 충족시키고 위기 조건에 대응할 수 있도록 감독, 평가, 문서화 작업 지원, 비준, 진단, 승인 작업을 진행한다.
소프트웨어 개발 : 새로운 컴퓨터 애플리케이션, 소프트웨어, 특수 유틸리티 프로그램을 개발, 작성, 코딩 하거나 기존의 컴퓨터 애플리케이션, 소프트웨어, 특수 유틸리티 프로그램을 수정한다. 이때 소프트웨어 보장에 관한 모범 실무를 따른다.
시스템 아키텍처 : 시스템의 개념을 개발하고, 시스템 개발의 생애 주기 중 능력(capabilities) 구현을 담당한다. 또한 기술과 환경적인 조건들(예 : 법과 규정)을 시스템과 보안 설계 및 프로세스에 적용시킨다.
기술 R&D : 기술 평가 및 통합 부분과 관련된 일을 진행시키고, 프로토타입 기능을 지원하고 그 사용성을 평가한다.
시스템 요구사항 기획 : 고객들과 상담하여 기능적인 요구사항들을 수집 및 평가하고, 그 요구사항들을 기술적인 솔루션에 적용해 구현시킨다. 정보 시스템의 활용 가능성에 대한 안내를 고객들에게 제공해 사업적인 필요를 충족하도록 한다.
실험 및 평가 : 시스템들에 대한 실험 과정을 개발하고 실시해 사양 및 요구조건을 준수하고 있는지를 검사한다. 이때 시스템이나, IT를 포함하고 있는 시스템 요소가 가지고 있는 기술적, 기능적, 성능적인 특성을 비용 효율이 높게 기획, 평가, 확인, 승인할 수 있는 방법과 원칙을 적용한다.
시스템 개발 : 시스템 개발의 생애 주기 중 개발 단계에 집중한다.

OM : 운영과 유지
OM의 경우, 특수 분야가 6가지다. 데이터 관리(Data Administration), 지식 관리(Knowledge Management), 고객 서비스 및 기술 지원(Customer Service and Technical Support), 네트워크 서비스(Network Services), 시스템 관리(Systems Administration), 시스템 분석(System Analysis)이다.

데이터 관리 : 데이터의 저장, 요청(query), 보호, 활용 등을 가능하도록 해주는 데이터베이스나 데이터 관리 시스템을 개발하고 관리한다.
지식 관리 : 조직이 지적 자본과 정보 콘텐츠를 파악하고, 문서와하고, 접근할 수 있도록 해주는 프로세스와 툴들을 관리한다.
고객 서비스 및 기술 지원 : 문제를 해결한다. 즉, 고객의 요청이나 요구에 따라 설치, 환경설정, 트러블슈팅, 유지보수를 제공한다. 보통은 최초의 사건 정보를 사건대응 전담팀에 전달한다.
네트워크 서비스 : 네트워크와 해당 네트워크에 있는 방화벽을 설치하고, 설정하고, 실험하고, 운영하고 유지보수, 관리한다. 이때 방화벽이란 허브, 브리지, 스위치, 멀티플렉서, 라우터, 케이블, 프록시 서버, 보호장치가 있는 배포 시스템 등으로 구성된 하드웨어와 소프트웨어를 전부 말한다. 이 하드웨어와 소프트웨어가 있어 각종 정보를 전송하고 공유할 수 있게 되며, 이 정보 전송으로부터 정보와 정보 시스템을 안전하게 보호할 수 있다.
시스템 관리 : 서버를 구성하는 하드웨어 및 소프트웨어를 설치하고, 설정하고, 트러블슈팅하고, 유지보수한다. 그럼으로써 데이터의 비밀성, 무결성, 활용성을 보장한다. 또한 계정, 방화벽, 패치도 관리한다. 접근 통제, 비밀번호, 계정 생성 및 관리에 대한 책임을 가지고 있다.
시스템 분석 : 조직의 현재 컴퓨터 시스템과 절차를 공부하고, 정보 시스템 솔루션들을 설계해 조직이 보다 안전하고 효율적으로 운영될 수 있도록 돕는다. 사업적 기능과 IT 기능에 대한 이해를 바탕으로, 이 두 분야를 하나로 합친다.

OV : 감독 및 통제
OM의 경우도 특수 분야가 6가지다. 법적 조언 및 변호(Legal Advice and Advocacy), 훈련, 교육, 의식고양(Training, Education, Awareness), 사이버 보안 관리(Cybersecurity Management), 전략적 기획 및 정책(Strategic Planning and Policy), 최고 사이버 리더십(Executive Cyber Leadership), 프로그램/프로젝트 관리 및 매입(Program/project Management and Acquisition)이며, 하나하나 알아보자.

법적 조언 및 변호 : 적절한 분야 내에서 여러 가지 주제에 대해 경영진과 직원들에게 법적으로 건전한 조언과 제언을 제공한다. 법적 혹은 정책적 변화에 대해 조언하고, 소송 절차를 밟거나 서류 작업 등, 문서 혹은 구두로 이뤄진 작업물을 통해 고객들의 입장에서 정당함을 입증한다.
훈련, 교육, 의식고양 : 적절한 분야 내에서 임직원들을 훈련시킨다. 훈련 코스, 방법, 기술을 개발, 기획, 실행, 제공, 평가한다.
사이버 보안 관리 : 정보 시스템이나 네트워크의 사이버 보안 프로그램을 감독한다. 이는 다시 말해 조직 전체, 특정 프로그램, 기타 영역 내 정보 보안이 미치는 영향력을 관리한다는 것으로, 영향력이란 전략적 자원, 인적 자원, 기반구조, 각종 필수항목, 정책 도입, 긴급 사태를 위한 기획, 보안 인식 제고 등을 전부 포함하는 말이다.
전략적 기획 및 정책 : 조직의 사이버 공간 수립(initiative)이나 변화, 향상을 뒷받침해줄 수 있는 정책적 변화를 조언하거나 새로운 정책을 기획하고 개발한다.
최고 사이버 리더십 : 조직의 사이버 관련 사업 및 운영을 담당하는 실무자들을 감독, 관리, 지도한다.
프로그램/프로젝트 관리 및 매입 : 데이터, 정보, 프로세스, 조직 차원에서의 상호작용, 기술, 분석 전문성에 대한 지식과 시스템, 네트워크, 정보 교환 기술에 대한 지식을 적용해 매입(acquisition) 절차를 관리한다. 하드웨어, 소프트웨어, 정보 시스템의 매입 프로그램을 통제하고, 이와 관련된 관리 정책 프로그램도 감독한다. 정보 기술을 사용하는 매입 절차에도 직접적인 지원을 하고, 정보 기술과 관련된 법과 정책을 적용시킨다. 전체 매입 절차에 있어 정보 기술과 관련된 안내를 제공한다.

PR : 보호 및 방어
PR의 경우 특수 분야가 4가지다. 사이버 보안 방어 분석(Cybersecurity Defense Analysis), 사이버 보안 방어 인프라 지원(Cybersecurity Defense Infrastructure Support), 사건 대응(Incident Response), 취약점 평가 및 관리(Vulnerability Assessment and Management)가 바로 그것이다.

사이버 보안 방어 분석 : 방어 수단과 다양한 곳에서부터 모은 정보를 사용해 네트워크 내에서 이미 발생하거나 발생할 것 같은 사건을 파악, 분석, 보고한다. 이렇게 하는 목적은 정보와 정보 시스템을 위협으로부터 보호하기 위함이다.
사이버 보안 방어 인프라 지원 : 컴퓨터 네트워크 방어를 담당하는 네트워크 및 자원을 효과적으로 관리하는 데에 필요한 인프라 하드웨어와 소프트웨어를 실험, 구축, 도입, 유지, 평가, 관리한다. 또한 승인되지 않은 활동을 줄여나가기 위한 네트워크 모니터링도 담당한다.
사건 대응 : 임박하거나 잠재적인 위협을 줄이거나 무력화시키기 위해 적절한 선에서 위기 및 긴급 상황에 대응한다. 이때 필요한 대로 감소, 대비, 대응, 복구의 접근법을 활용하고, 재산과 생명의 보호, 정보 보호를 최우선으로 한다. 대응과 관련된 모든 활동들을 조사하고 분석한다.
취약점 평가 및 관리 : 위협과 취약점들을 평가한다. 환경설정이 어느 선까지 변경되거나 조절될 수 있는지 결정한다. 위험의 정도를 평가하고 그에 맞게 대응 방법을 제안하거나 개발한다.

AN : 분석
AN의 경우 특수 분야가 5가지다. 위협 분석(Threat Analysis), 익스플로잇 분석(Exploitation Analysis), 전 출처 분석(All-Source Analysis), 목표(Target), 언어 분석(Language Analysis)이 바로 그것이다.

위협 분석 : 사이버 범죄자들이나 외국의 첩보 단체들의 능력과 활동 내역을 파악하고 평가한다. 찾아낸 결과물을 가지고 접적 절차를 발동시키거나 지원하고, 대첩 수사 및 활동을 시작하거나 지원한다.
익스플로잇 분석 : 수집된 정보를 분석해 취약점과 익스플로잇 가능한 지점을 파악한다.
전 출처 분석 : 기업, 기관, 단체 등 보안 공동체 내 다양한 출처로부터 온 위협 정보를 분석한다. 첩보 정보를 맥락(context)에 비춰 새롭게 가공하고, 그로부터 의미와 통찰을 이끌어낸다.
목표 : 한 개 혹은 그 이상의 지역, 나라, 비정부 단체, 기술 등에 대한 현재 지식을 활용한다.
언어 : 언어, 문화, 기술적인 전문성을 활용해 정보 수집, 분석 등의 사이버 보안 행위를 지원한다.

CO : 수집 및 운영
CO의 경우 특수 분야가 3가지다. 수집 운영(Collection Operations), 사이버 운영 기획(Cyber Operational Planning), 사이버 운영(Cyber Operations)가 바로 그것이다.

수집 운영 : 적당한 전략을 사용해 수집활동을 진행한다. 이때 수집 활동 관리 절차를 통해 결정된 우선순위에 따라 정보를 수집한다.
사이버 운영 기획 : 정보 수집을 위한 구체적이고 상세한 목표를 정하고(targeting), 사이버 보안 프로그램을 기획한다. 정보를 모으고 상세한 운영 기획 및 순서를 개발해 필요한 여러 조건들을 충족한다. 전략적이고 운영적인 수준에서, 통합적인 정보 및 사이버 공간 운영을 위한 총괄 작전 수행을 진행한다.
사이버 운영 : 범죄 및 외국 첩보 단체의 활동에 대한 증거를 수집하여, 실시간으로 벌어지거나 잠재적으로 벌어질 위협들을 무력화시키고 스파이 활동이나 내부자 위협을 방어한다. 외국 세력의 사보타쥬 활동이나 국제 테러리스트 조직의 활동도 방어하거나 기타 첩보 활동들을 지원한다.

IN : 수사
IN의 경우 특수 분야가 2가지다. 사이버 수사(Cyber Investigation)와 디지털 포렌식(Digital Forensics)이 바로 그것이다. 상세한 설명은 아래와 같다.

사이버 수사 : 모든 수사 도구들과 프로세스를 활용하기 위한 절차, 전략, 기술을 적용한다. 면담 및 심문, 감시, 감시 방해, 감시 탐지 등의 기능을 활용해도 좋지만, 여기에만 국한되지는 않는다. 첩보 수집과 법적 기소로부터 얻을 수 있는 이득의 균형을 조절한다.
디지털 포렌식 : 컴퓨터와 관련된 증거를 수집, 처리, 보관, 분석, 제공해 네트워크 취약점 감소 및 무력화를 지원하고, 범죄, 사기에 대한 사법적 수사 및 방첩 활동을 지원한다.

이어서...
NIST가 ‘사이버 보안 전문직’에 대해 7가지로 항목을 나누고, 그에 대한 특별 영역들을 다시 나눈 것까지 보았다. NIST는 여기에서 멈추지 않고, 각 영역의 직업적 역할도 세분화시키고 있다. 예를 들어 SP 항목 내 ‘위기 관리’라는 특수 분야의 직업적 역할은 1) 공식적인 대표자 제가 및 지정(Authorizing Official/Designating Representative)과 2) 보안 통제 평가자(Security Control Assessor)다.

1)번의 ‘공식적인 대표자 제가 및 지정’의 역할이란 “적절한 위기 사태에서와 조직적인 운영(사업 진행, 기능 발휘, 이미지 형성, 명성 관리 등), 자원 관리, 개인 및 조직, 국가의 정보 시스템을 운영할 권한이 공식적으로 주어진 관리자 및 임원급 책임자” 노릇을 한다는 것으로 설명되어 있다. 2)번의 ‘보안 통제 평가자’란 “정보 기술 시스템으로부터 파생되거나 사용된 관리/운영/기술적 보안 통제 방법 및 통제 장치의 독립적이고 통합적인 평가를 진행해 전체적인 효과를 측정한다”고 되어 있다.

이렇게 NIST가 새롭게 정의하거나 확실히 수립한 ‘직업적 역할’은 총 52개다. 이는 다음 주 주말판에서 이어가도록 할 계획이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#주말판   #NIST   #정리   #총정리   #직군   #명확히   #세분화   


정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)