º¸¾È´º½º â°£ 17ÁÖ³âÀ» ÃàÇÏÇÕ´Ï´Ù!!

Home > Security

[ÁÖ¸»ÆÇ] NIST°¡ Á¤¸®ÇÑ º¸¾È Á÷±º, »ó¼¼È÷ µé¿©´Ùº¸±â 1

ÀÔ·Â : 2017-08-12 12:48
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Á¤º¸ º¸¾È Àü¹®°¡¶õ ¹«½¼ ¶æÀΰ¡? NIST, 7°¡Áö·Î ³ª´²
°¢ Ç׸ñ¸¶´Ù 2~6°³ÀÇ Æ¯¼ö ºÐ¾ßµµ Á¤ÀÇÇØ


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] À̹ø ÁÖ º¸¾È ¾÷°è ÃÖ´ë ¼Ò½ÄÀº NIST°¡ ³­¸³ÇÏ°í ÀÖ´Â º¸¾È Á÷±º¿¡ ´ëÇÑ Á¤ÀǸ¦ ¸íÈ®ÇÏ°Ô ³»·È´Ù´Â °ÍÀÌ´Ù. ÀÌ´Â º¸¾È ¾÷°è¿¡ ¸¸¿¬ÇÑ »ç¶÷ ºÎÁ· Çö»óÀ» ÇØ°áÇϱâ À§ÇÑ ¹æ¹ý Áß Çϳª·Î, ´©°¡ ¹«½¼ ÀÏÀ» ÇÏ´Â °ÇÁö Á¤È®ÇÏ°Ô ÀÇ»ç¼ÒÅëÀ» ÇÔÀ¸·Î½á °í¿ë ¹× ÀÔ»ç °áÁ¤À» º¸´Ù ¸íÈ®ÇÏ°Ô ³»¸®µµ·Ï µ½°í ±Ù¼Ó ±â°£À» ´Ã¸®´Â °Í¿¡ ±× ¸ñÀûÀ» µÎ°í ÀÖ´Ù. ÀÌ¿¡ ´ëÇؼ­´Â º»Áö°¡ 9ÀÏÀÚ·Î º¸µµÇÑ ¹Ù ÀÖ´Ù.

[À̹ÌÁö = iclickart]


NIST´Â »çÀ̹ö º¸¾ÈÀÇ Á÷±ºÀ» Å©°Ô 7°¡Áö·Î ³ª´©°í ÀÖ´Ù. SP, OM, OV, PR, AN, CO, INÀ̶ó°í À̸§ÀÌ ºÙ¾îÀִµ¥, °¢°¢ Securely Provision(¾ÈÀüÇÑ °ø±Þ), Operate and Maintain(¿î¿µ°ú À¯Áö), Oversee and Govern(°¨µ¶ ¹× ÅëÁ¦), Protect and Defend(º¸È£ ¹× ¹æ¾î), Analyze(ºÐ¼®), Collect and Operate(¼öÁý ¹× ¿î¿µ), Investigate(¼ö»ç)ÀÇ Áظ»ÀÌ´Ù. °¢ Á÷±º¿¡ ´ëÇÑ ¼³¸íÀº ´ÙÀ½°ú °°´Ù.

SP : º¸¾ÈÀÌ ÅºÅºÇÑ Á¤º¸ ±â¼ú ½Ã½ºÅÛÀ» °³³äÈ­ÇÏ°í ¼³°èÇÏ°í ÀÔ¼öÇÏ°í ±¸ÃàÇÑ´Ù. À̶§ ½Ã½ºÅÛ°ú ³×Æ®¿öÅ©ÀÇ °³¹ßÀ» °í·ÁÇÏ°í Ã¥ÀÓÁ®¾ß ÇÑ´Ù.
OM : È¿À²ÀûÀÎ Á¤º¸ ±â¼ú ½Ã½ºÅÛÀÇ ¼º´É°ú º¸¾È¼ºÀ» À¯Áö½ÃÅ°±â À§ÇØ ÇÊ¿äÇÑ ´ë·Î Áö¿ø, °ü¸®, À¯Áöº¸¼ö¸¦ ÁøÇàÇÑ´Ù.
OV : Á¶Á÷ÀÌ È¿°úÀûÀ¸·Î »çÀ̹ö º¸¾È°ú °ü·ÃµÈ ÀÛ¾÷À» ¼öÇàÇÒ ¼ö ÀÖµµ·Ï À̲ø°í, °ü¸®ÇÏ°í, ¹æÇâÀ» Á¦½ÃÇÏ°í, °³¹ßÇÏ°í, ÀÚ¹®ÇÑ´Ù.
PR : ³»ºÎÀÇ Á¤º¸ ±â¼ú ½Ã½ºÅÛ°ú ³×Æ®¿öÅ©¿¡ ´ëÇÑ À§Çù ¿ä¼ÒµéÀ» ÆľÇÇÏ°í, ºÐ¼®ÇÏ°í, ¾àÈ­½ÃŲ´Ù.
AN : ÀÔ¼öµÇ´Â »çÀ̹ö º¸¾È °ü·Ã Á¤º¸¸¦ ¼öÁØ ³ôÀº Àü¹®¼ºÀ¸·Î °ËÅäÇÏ°í Æò°¡ÇØ Ã¸º¸·Î¼­ÀÇ °¡Ä¡¸¦ °áÁ¤ÇÑ´Ù.
CO : ƯȭµÈ ¹æ¾î ¹× ¼ÓÀÓ¼ö ÀÛÀüÀ» ¼öÇàÇÏ°í øº¸·Î¼­ È°¿ëµÉ °¡´É¼ºÀÌ ÀÖ´Â »çÀ̹ö º¸¾È Á¤º¸¸¦ ¼öÁýÇÑ´Ù.
IN : Á¤º¸ ±â¼ú ½Ã½ºÅÛ, ³×Æ®¿öÅ©, µðÁöÅÐ Áõ°Å¿Í °ü·ÃÀÌ ÀÖ´Â »çÀ̹ö º¸¾È »ç°Ç ¹× ¹üÁ˸¦ ¼ö»çÇÑ´Ù.

SP : ¾ÈÀüÇÑ °ø±Þ
¿©±â±îÁö´Â ¡®º¸ÆíÀûÀΡ¯ Á¤ÀÇ´Ù. ÇÏÁö¸¸ NIST´Â °¢ Ç׸ñ¿¡ ÇØ´çÇÏ´Â Àü¹® ¿µ¿ªÀ» µû·Î ±¸ºÐÇØ ³õ±âµµ Çß´Ù. SPÀÇ °æ¿ì´Â À§±â °ü¸®(Risk Management), ¼ÒÇÁÆ®¿þ¾î °³¹ß(Software Development), ½Ã½ºÅÛ ¾ÆÅ°ÅØó(Systems Architecture), ±â¼ú R&D(Technology R&D), ½Ã½ºÅÛ ¿ä±¸»çÇ× ±âȹ(Systems Requirements Planning), ½ÇÇè ¹× Æò°¡(Test and Evaluation), ½Ã½ºÅÛ °³¹ß(Systems Development)·Î ³ª´¶´Ù. ÀÌ Àü¹® ¿µ¿ªµé¿¡ ´ëÇÑ ¼¼ºÎ ¼³¸íÀº ´ÙÀ½°ú °°´Ù.

À§±â °ü¸® : ÇöÁ¸Çϰųª »õ·Î¿î Á¤º¸ ±â¼ú ½Ã½ºÅÛÀÌ Á¶Á÷ ³»¿¡¼­ ¿ä±¸µÇ´Â »çÀ̹ö º¸¾È ¼öÁØÀ» ÃæÁ·½ÃÅ°°í À§±â Á¶°Ç¿¡ ´ëÀÀÇÒ ¼ö ÀÖµµ·Ï °¨µ¶, Æò°¡, ¹®¼­È­ ÀÛ¾÷ Áö¿ø, ºñÁØ, Áø´Ü, ½ÂÀÎ ÀÛ¾÷À» ÁøÇàÇÑ´Ù.
¼ÒÇÁÆ®¿þ¾î °³¹ß : »õ·Î¿î ÄÄÇ»ÅÍ ¾ÖÇø®ÄÉÀ̼Ç, ¼ÒÇÁÆ®¿þ¾î, Ư¼ö À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥À» °³¹ß, ÀÛ¼º, ÄÚµù Çϰųª ±âÁ¸ÀÇ ÄÄÇ»ÅÍ ¾ÖÇø®ÄÉÀ̼Ç, ¼ÒÇÁÆ®¿þ¾î, Ư¼ö À¯Æ¿¸®Æ¼ ÇÁ·Î±×·¥À» ¼öÁ¤ÇÑ´Ù. À̶§ ¼ÒÇÁÆ®¿þ¾î º¸Àå¿¡ °üÇÑ ¸ð¹ü ½Ç¹«¸¦ µû¸¥´Ù.
½Ã½ºÅÛ ¾ÆÅ°ÅØó : ½Ã½ºÅÛÀÇ °³³äÀ» °³¹ßÇÏ°í, ½Ã½ºÅÛ °³¹ßÀÇ »ý¾Ö ÁÖ±â Áß ´É·Â(capabilities) ±¸ÇöÀ» ´ã´çÇÑ´Ù. ¶ÇÇÑ ±â¼ú°ú ȯ°æÀûÀÎ Á¶°Çµé(¿¹ : ¹ý°ú ±ÔÁ¤)À» ½Ã½ºÅÛ°ú º¸¾È ¼³°è ¹× ÇÁ·Î¼¼½º¿¡ Àû¿ë½ÃŲ´Ù.
±â¼ú R&D : ±â¼ú Æò°¡ ¹× ÅëÇÕ ºÎºÐ°ú °ü·ÃµÈ ÀÏÀ» ÁøÇà½ÃÅ°°í, ÇÁ·ÎÅäŸÀÔ ±â´ÉÀ» Áö¿øÇÏ°í ±× »ç¿ë¼ºÀ» Æò°¡ÇÑ´Ù.
½Ã½ºÅÛ ¿ä±¸»çÇ× ±âȹ : °í°´µé°ú »ó´ãÇÏ¿© ±â´ÉÀûÀÎ ¿ä±¸»çÇ×µéÀ» ¼öÁý ¹× Æò°¡ÇÏ°í, ±× ¿ä±¸»çÇ×µéÀ» ±â¼úÀûÀÎ ¼Ö·ç¼Ç¿¡ Àû¿ëÇØ ±¸Çö½ÃŲ´Ù. Á¤º¸ ½Ã½ºÅÛÀÇ È°¿ë °¡´É¼º¿¡ ´ëÇÑ ¾È³»¸¦ °í°´µé¿¡°Ô Á¦°øÇØ »ç¾÷ÀûÀÎ Çʿ並 ÃæÁ·Çϵµ·Ï ÇÑ´Ù.
½ÇÇè ¹× Æò°¡ : ½Ã½ºÅ۵鿡 ´ëÇÑ ½ÇÇè °úÁ¤À» °³¹ßÇÏ°í ½Ç½ÃÇØ »ç¾ç ¹× ¿ä±¸Á¶°ÇÀ» ÁؼöÇÏ°í ÀÖ´ÂÁö¸¦ °Ë»çÇÑ´Ù. À̶§ ½Ã½ºÅÛÀ̳ª, IT¸¦ Æ÷ÇÔÇÏ°í ÀÖ´Â ½Ã½ºÅÛ ¿ä¼Ò°¡ °¡Áö°í ÀÖ´Â ±â¼úÀû, ±â´ÉÀû, ¼º´ÉÀûÀΠƯ¼ºÀ» ºñ¿ë È¿À²ÀÌ ³ô°Ô ±âȹ, Æò°¡, È®ÀÎ, ½ÂÀÎÇÒ ¼ö ÀÖ´Â ¹æ¹ý°ú ¿øÄ¢À» Àû¿ëÇÑ´Ù.
½Ã½ºÅÛ °³¹ß : ½Ã½ºÅÛ °³¹ßÀÇ »ý¾Ö ÁÖ±â Áß °³¹ß ´Ü°è¿¡ ÁýÁßÇÑ´Ù.

OM : ¿î¿µ°ú À¯Áö
OMÀÇ °æ¿ì, Ư¼ö ºÐ¾ß°¡ 6°¡Áö´Ù. µ¥ÀÌÅÍ °ü¸®(Data Administration), Áö½Ä °ü¸®(Knowledge Management), °í°´ ¼­ºñ½º ¹× ±â¼ú Áö¿ø(Customer Service and Technical Support), ³×Æ®¿öÅ© ¼­ºñ½º(Network Services), ½Ã½ºÅÛ °ü¸®(Systems Administration), ½Ã½ºÅÛ ºÐ¼®(System Analysis)ÀÌ´Ù.

µ¥ÀÌÅÍ °ü¸® : µ¥ÀÌÅÍÀÇ ÀúÀå, ¿äû(query), º¸È£, È°¿ë µîÀ» °¡´ÉÇϵµ·Ï ÇØÁÖ´Â µ¥ÀÌÅͺ£À̽º³ª µ¥ÀÌÅÍ °ü¸® ½Ã½ºÅÛÀ» °³¹ßÇÏ°í °ü¸®ÇÑ´Ù.
Áö½Ä °ü¸® : Á¶Á÷ÀÌ ÁöÀû ÀÚº»°ú Á¤º¸ ÄÜÅÙÃ÷¸¦ ÆľÇÇÏ°í, ¹®¼­¿ÍÇÏ°í, Á¢±ÙÇÒ ¼ö ÀÖµµ·Ï ÇØÁÖ´Â ÇÁ·Î¼¼½º¿Í ÅøµéÀ» °ü¸®ÇÑ´Ù.
°í°´ ¼­ºñ½º ¹× ±â¼ú Áö¿ø : ¹®Á¦¸¦ ÇØ°áÇÑ´Ù. Áï, °í°´ÀÇ ¿äûÀ̳ª ¿ä±¸¿¡ µû¶ó ¼³Ä¡, ȯ°æ¼³Á¤, Æ®·¯ºí½´ÆÃ, À¯Áöº¸¼ö¸¦ Á¦°øÇÑ´Ù. º¸ÅëÀº ÃÖÃÊÀÇ »ç°Ç Á¤º¸¸¦ »ç°Ç´ëÀÀ Àü´ãÆÀ¿¡ Àü´ÞÇÑ´Ù.
³×Æ®¿öÅ© ¼­ºñ½º : ³×Æ®¿öÅ©¿Í ÇØ´ç ³×Æ®¿öÅ©¿¡ ÀÖ´Â ¹æÈ­º®À» ¼³Ä¡ÇÏ°í, ¼³Á¤ÇÏ°í, ½ÇÇèÇÏ°í, ¿î¿µÇÏ°í À¯Áöº¸¼ö, °ü¸®ÇÑ´Ù. À̶§ ¹æÈ­º®À̶õ Çãºê, ºê¸®Áö, ½ºÀ§Ä¡, ¸ÖƼÇ÷º¼­, ¶ó¿ìÅÍ, ÄÉÀ̺í, ÇÁ·Ï½Ã ¼­¹ö, º¸È£ÀåÄ¡°¡ ÀÖ´Â ¹èÆ÷ ½Ã½ºÅÛ µîÀ¸·Î ±¸¼ºµÈ Çϵå¿þ¾î¿Í ¼ÒÇÁÆ®¿þ¾î¸¦ ÀüºÎ ¸»ÇÑ´Ù. ÀÌ Çϵå¿þ¾î¿Í ¼ÒÇÁÆ®¿þ¾î°¡ ÀÖ¾î °¢Á¾ Á¤º¸¸¦ Àü¼ÛÇÏ°í °øÀ¯ÇÒ ¼ö ÀÖ°Ô µÇ¸ç, ÀÌ Á¤º¸ Àü¼ÛÀ¸·ÎºÎÅÍ Á¤º¸¿Í Á¤º¸ ½Ã½ºÅÛÀ» ¾ÈÀüÇÏ°Ô º¸È£ÇÒ ¼ö ÀÖ´Ù.
½Ã½ºÅÛ °ü¸® : ¼­¹ö¸¦ ±¸¼ºÇÏ´Â Çϵå¿þ¾î ¹× ¼ÒÇÁÆ®¿þ¾î¸¦ ¼³Ä¡ÇÏ°í, ¼³Á¤ÇÏ°í, Æ®·¯ºí½´ÆÃÇÏ°í, À¯Áöº¸¼öÇÑ´Ù. ±×·³À¸·Î½á µ¥ÀÌÅÍÀÇ ºñ¹Ð¼º, ¹«°á¼º, È°¿ë¼ºÀ» º¸ÀåÇÑ´Ù. ¶ÇÇÑ °èÁ¤, ¹æÈ­º®, ÆÐÄ¡µµ °ü¸®ÇÑ´Ù. Á¢±Ù ÅëÁ¦, ºñ¹Ð¹øÈ£, °èÁ¤ »ý¼º ¹× °ü¸®¿¡ ´ëÇÑ Ã¥ÀÓÀ» °¡Áö°í ÀÖ´Ù.
½Ã½ºÅÛ ºÐ¼® : Á¶Á÷ÀÇ ÇöÀç ÄÄÇ»ÅÍ ½Ã½ºÅÛ°ú ÀýÂ÷¸¦ °øºÎÇÏ°í, Á¤º¸ ½Ã½ºÅÛ ¼Ö·ç¼ÇµéÀ» ¼³°èÇØ Á¶Á÷ÀÌ º¸´Ù ¾ÈÀüÇÏ°í È¿À²ÀûÀ¸·Î ¿î¿µµÉ ¼ö ÀÖµµ·Ï µ½´Â´Ù. »ç¾÷Àû ±â´É°ú IT ±â´É¿¡ ´ëÇÑ ÀÌÇظ¦ ¹ÙÅÁÀ¸·Î, ÀÌ µÎ ºÐ¾ß¸¦ Çϳª·Î ÇÕÄ£´Ù.

OV : °¨µ¶ ¹× ÅëÁ¦
OMÀÇ °æ¿ìµµ Ư¼ö ºÐ¾ß°¡ 6°¡Áö´Ù. ¹ýÀû Á¶¾ð ¹× º¯È£(Legal Advice and Advocacy), ÈÆ·Ã, ±³À°, Àǽİí¾ç(Training, Education, Awareness), »çÀ̹ö º¸¾È °ü¸®(Cybersecurity Management), Àü·«Àû ±âȹ ¹× Á¤Ã¥(Strategic Planning and Policy), ÃÖ°í »çÀ̹ö ¸®´õ½Ê(Executive Cyber Leadership), ÇÁ·Î±×·¥/ÇÁ·ÎÁ§Æ® °ü¸® ¹× ¸ÅÀÔ(Program/project Management and Acquisition)À̸ç, ÇϳªÇϳª ¾Ë¾Æº¸ÀÚ.

¹ýÀû Á¶¾ð ¹× º¯È£ : ÀûÀýÇÑ ºÐ¾ß ³»¿¡¼­ ¿©·¯ °¡Áö ÁÖÁ¦¿¡ ´ëÇØ °æ¿µÁø°ú Á÷¿øµé¿¡°Ô ¹ýÀûÀ¸·Î °ÇÀüÇÑ Á¶¾ð°ú Á¦¾ðÀ» Á¦°øÇÑ´Ù. ¹ýÀû ȤÀº Á¤Ã¥Àû º¯È­¿¡ ´ëÇØ Á¶¾ðÇÏ°í, ¼Ò¼Û ÀýÂ÷¸¦ ¹â°Å³ª ¼­·ù ÀÛ¾÷ µî, ¹®¼­ ȤÀº ±¸µÎ·Î ÀÌ·ïÁø ÀÛ¾÷¹°À» ÅëÇØ °í°´µéÀÇ ÀÔÀå¿¡¼­ Á¤´çÇÔÀ» ÀÔÁõÇÑ´Ù.
ÈÆ·Ã, ±³À°, Àǽİí¾ç : ÀûÀýÇÑ ºÐ¾ß ³»¿¡¼­ ÀÓÁ÷¿øµéÀ» ÈƷýÃŲ´Ù. ÈÆ·Ã ÄÚ½º, ¹æ¹ý, ±â¼úÀ» °³¹ß, ±âȹ, ½ÇÇà, Á¦°ø, Æò°¡ÇÑ´Ù.
»çÀ̹ö º¸¾È °ü¸® : Á¤º¸ ½Ã½ºÅÛÀ̳ª ³×Æ®¿öÅ©ÀÇ »çÀ̹ö º¸¾È ÇÁ·Î±×·¥À» °¨µ¶ÇÑ´Ù. ÀÌ´Â ´Ù½Ã ¸»ÇØ Á¶Á÷ Àüü, ƯÁ¤ ÇÁ·Î±×·¥, ±âŸ ¿µ¿ª ³» Á¤º¸ º¸¾ÈÀÌ ¹ÌÄ¡´Â ¿µÇâ·ÂÀ» °ü¸®ÇÑ´Ù´Â °ÍÀ¸·Î, ¿µÇâ·ÂÀ̶õ Àü·«Àû ÀÚ¿ø, ÀÎÀû ÀÚ¿ø, ±â¹Ý±¸Á¶, °¢Á¾ ÇʼöÇ׸ñ, Á¤Ã¥ µµÀÔ, ±ä±Þ »çŸ¦ À§ÇÑ ±âȹ, º¸¾È ÀÎ½Ä Á¦°í µîÀ» ÀüºÎ Æ÷ÇÔÇÏ´Â ¸»ÀÌ´Ù.
Àü·«Àû ±âȹ ¹× Á¤Ã¥ : Á¶Á÷ÀÇ »çÀ̹ö °ø°£ ¼ö¸³(initiative)À̳ª º¯È­, Çâ»óÀ» µÞ¹ÞħÇØÁÙ ¼ö ÀÖ´Â Á¤Ã¥Àû º¯È­¸¦ Á¶¾ðÇϰųª »õ·Î¿î Á¤Ã¥À» ±âȹÇÏ°í °³¹ßÇÑ´Ù.
ÃÖ°í »çÀ̹ö ¸®´õ½Ê : Á¶Á÷ÀÇ »çÀ̹ö °ü·Ã »ç¾÷ ¹× ¿î¿µÀ» ´ã´çÇÏ´Â ½Ç¹«ÀÚµéÀ» °¨µ¶, °ü¸®, ÁöµµÇÑ´Ù.
ÇÁ·Î±×·¥/ÇÁ·ÎÁ§Æ® °ü¸® ¹× ¸ÅÀÔ : µ¥ÀÌÅÍ, Á¤º¸, ÇÁ·Î¼¼½º, Á¶Á÷ Â÷¿ø¿¡¼­ÀÇ »óÈ£ÀÛ¿ë, ±â¼ú, ºÐ¼® Àü¹®¼º¿¡ ´ëÇÑ Áö½Ä°ú ½Ã½ºÅÛ, ³×Æ®¿öÅ©, Á¤º¸ ±³È¯ ±â¼ú¿¡ ´ëÇÑ Áö½ÄÀ» Àû¿ëÇØ ¸ÅÀÔ(acquisition) ÀýÂ÷¸¦ °ü¸®ÇÑ´Ù. Çϵå¿þ¾î, ¼ÒÇÁÆ®¿þ¾î, Á¤º¸ ½Ã½ºÅÛÀÇ ¸ÅÀÔ ÇÁ·Î±×·¥À» ÅëÁ¦ÇÏ°í, ÀÌ¿Í °ü·ÃµÈ °ü¸® Á¤Ã¥ ÇÁ·Î±×·¥µµ °¨µ¶ÇÑ´Ù. Á¤º¸ ±â¼úÀ» »ç¿ëÇÏ´Â ¸ÅÀÔ ÀýÂ÷¿¡µµ Á÷Á¢ÀûÀÎ Áö¿øÀ» ÇÏ°í, Á¤º¸ ±â¼ú°ú °ü·ÃµÈ ¹ý°ú Á¤Ã¥À» Àû¿ë½ÃŲ´Ù. Àüü ¸ÅÀÔ ÀýÂ÷¿¡ ÀÖ¾î Á¤º¸ ±â¼ú°ú °ü·ÃµÈ ¾È³»¸¦ Á¦°øÇÑ´Ù.

PR : º¸È£ ¹× ¹æ¾î
PRÀÇ °æ¿ì Ư¼ö ºÐ¾ß°¡ 4°¡Áö´Ù. »çÀ̹ö º¸¾È ¹æ¾î ºÐ¼®(Cybersecurity Defense Analysis), »çÀ̹ö º¸¾È ¹æ¾î ÀÎÇÁ¶ó Áö¿ø(Cybersecurity Defense Infrastructure Support), »ç°Ç ´ëÀÀ(Incident Response), Ãë¾àÁ¡ Æò°¡ ¹× °ü¸®(Vulnerability Assessment and Management)°¡ ¹Ù·Î ±×°ÍÀÌ´Ù.

»çÀ̹ö º¸¾È ¹æ¾î ºÐ¼® : ¹æ¾î ¼ö´Ü°ú ´Ù¾çÇÑ °÷¿¡¼­ºÎÅÍ ¸ðÀº Á¤º¸¸¦ »ç¿ëÇØ ³×Æ®¿öÅ© ³»¿¡¼­ ÀÌ¹Ì ¹ß»ýÇϰųª ¹ß»ýÇÒ °Í °°Àº »ç°ÇÀ» ÆľÇ, ºÐ¼®, º¸°íÇÑ´Ù. ÀÌ·¸°Ô ÇÏ´Â ¸ñÀûÀº Á¤º¸¿Í Á¤º¸ ½Ã½ºÅÛÀ» À§ÇùÀ¸·ÎºÎÅÍ º¸È£Çϱâ À§ÇÔÀÌ´Ù.
»çÀ̹ö º¸¾È ¹æ¾î ÀÎÇÁ¶ó Áö¿ø : ÄÄÇ»ÅÍ ³×Æ®¿öÅ© ¹æ¾î¸¦ ´ã´çÇÏ´Â ³×Æ®¿öÅ© ¹× ÀÚ¿øÀ» È¿°úÀûÀ¸·Î °ü¸®ÇÏ´Â µ¥¿¡ ÇÊ¿äÇÑ ÀÎÇÁ¶ó Çϵå¿þ¾î¿Í ¼ÒÇÁÆ®¿þ¾î¸¦ ½ÇÇè, ±¸Ãà, µµÀÔ, À¯Áö, Æò°¡, °ü¸®ÇÑ´Ù. ¶ÇÇÑ ½ÂÀεÇÁö ¾ÊÀº È°µ¿À» ÁÙ¿©³ª°¡±â À§ÇÑ ³×Æ®¿öÅ© ¸ð´ÏÅ͸µµµ ´ã´çÇÑ´Ù.
»ç°Ç ´ëÀÀ : ÀÓ¹ÚÇϰųª ÀáÀçÀûÀÎ À§ÇùÀ» ÁÙÀ̰ųª ¹«·ÂÈ­½ÃÅ°±â À§ÇØ ÀûÀýÇÑ ¼±¿¡¼­ À§±â ¹× ±ä±Þ »óȲ¿¡ ´ëÀÀÇÑ´Ù. À̶§ ÇÊ¿äÇÑ ´ë·Î °¨¼Ò, ´ëºñ, ´ëÀÀ, º¹±¸ÀÇ Á¢±Ù¹ýÀ» È°¿ëÇÏ°í, Àç»ê°ú »ý¸íÀÇ º¸È£, Á¤º¸ º¸È£¸¦ ÃÖ¿ì¼±À¸·Î ÇÑ´Ù. ´ëÀÀ°ú °ü·ÃµÈ ¸ðµç È°µ¿µéÀ» Á¶»çÇÏ°í ºÐ¼®ÇÑ´Ù.
Ãë¾àÁ¡ Æò°¡ ¹× °ü¸® : À§Çù°ú Ãë¾àÁ¡µéÀ» Æò°¡ÇÑ´Ù. ȯ°æ¼³Á¤ÀÌ ¾î´À ¼±±îÁö º¯°æµÇ°Å³ª Á¶ÀýµÉ ¼ö ÀÖ´ÂÁö °áÁ¤ÇÑ´Ù. À§ÇèÀÇ Á¤µµ¸¦ Æò°¡ÇÏ°í ±×¿¡ ¸Â°Ô ´ëÀÀ ¹æ¹ýÀ» Á¦¾ÈÇϰųª °³¹ßÇÑ´Ù.

AN : ºÐ¼®
ANÀÇ °æ¿ì Ư¼ö ºÐ¾ß°¡ 5°¡Áö´Ù. À§Çù ºÐ¼®(Threat Analysis), ÀͽºÇ÷ÎÀÕ ºÐ¼®(Exploitation Analysis), Àü Ãâó ºÐ¼®(All-Source Analysis), ¸ñÇ¥(Target), ¾ð¾î ºÐ¼®(Language Analysis)ÀÌ ¹Ù·Î ±×°ÍÀÌ´Ù.

À§Çù ºÐ¼® : »çÀ̹ö ¹üÁËÀÚµéÀ̳ª ¿Ü±¹ÀÇ Ã¸º¸ ´ÜüµéÀÇ ´É·Â°ú È°µ¿ ³»¿ªÀ» ÆľÇÇÏ°í Æò°¡ÇÑ´Ù. ã¾Æ³½ °á°ú¹°À» °¡Áö°í Á¢Àû ÀýÂ÷¸¦ ¹ßµ¿½ÃÅ°°Å³ª Áö¿øÇÏ°í, ´ëø ¼ö»ç ¹× È°µ¿À» ½ÃÀÛÇϰųª Áö¿øÇÑ´Ù.
ÀͽºÇ÷ÎÀÕ ºÐ¼® : ¼öÁýµÈ Á¤º¸¸¦ ºÐ¼®ÇØ Ãë¾àÁ¡°ú ÀͽºÇ÷ÎÀÕ °¡´ÉÇÑ ÁöÁ¡À» ÆľÇÇÑ´Ù.
Àü Ãâó ºÐ¼® : ±â¾÷, ±â°ü, ´Üü µî º¸¾È °øµ¿Ã¼ ³» ´Ù¾çÇÑ Ãâó·ÎºÎÅÍ ¿Â À§Çù Á¤º¸¸¦ ºÐ¼®ÇÑ´Ù. øº¸ Á¤º¸¸¦ ¸Æ¶ô(context)¿¡ ºñÃç »õ·Ó°Ô °¡°øÇÏ°í, ±×·ÎºÎÅÍ ÀÇ¹Ì¿Í ÅëÂûÀ» À̲ø¾î³½´Ù.
¸ñÇ¥ : ÇÑ °³ ȤÀº ±× ÀÌ»óÀÇ Áö¿ª, ³ª¶ó, ºñÁ¤ºÎ ´Üü, ±â¼ú µî¿¡ ´ëÇÑ ÇöÀç Áö½ÄÀ» È°¿ëÇÑ´Ù.
¾ð¾î : ¾ð¾î, ¹®È­, ±â¼úÀûÀÎ Àü¹®¼ºÀ» È°¿ëÇØ Á¤º¸ ¼öÁý, ºÐ¼® µîÀÇ »çÀ̹ö º¸¾È ÇàÀ§¸¦ Áö¿øÇÑ´Ù.

CO : ¼öÁý ¹× ¿î¿µ
COÀÇ °æ¿ì Ư¼ö ºÐ¾ß°¡ 3°¡Áö´Ù. ¼öÁý ¿î¿µ(Collection Operations), »çÀ̹ö ¿î¿µ ±âȹ(Cyber Operational Planning), »çÀ̹ö ¿î¿µ(Cyber Operations)°¡ ¹Ù·Î ±×°ÍÀÌ´Ù.

¼öÁý ¿î¿µ : Àû´çÇÑ Àü·«À» »ç¿ëÇØ ¼öÁýÈ°µ¿À» ÁøÇàÇÑ´Ù. À̶§ ¼öÁý È°µ¿ °ü¸® ÀýÂ÷¸¦ ÅëÇØ °áÁ¤µÈ ¿ì¼±¼øÀ§¿¡ µû¶ó Á¤º¸¸¦ ¼öÁýÇÑ´Ù.
»çÀ̹ö ¿î¿µ ±âȹ : Á¤º¸ ¼öÁýÀ» À§ÇÑ ±¸Ã¼ÀûÀÌ°í »ó¼¼ÇÑ ¸ñÇ¥¸¦ Á¤ÇÏ°í(targeting), »çÀ̹ö º¸¾È ÇÁ·Î±×·¥À» ±âȹÇÑ´Ù. Á¤º¸¸¦ ¸ðÀ¸°í »ó¼¼ÇÑ ¿î¿µ ±âȹ ¹× ¼ø¼­¸¦ °³¹ßÇØ ÇÊ¿äÇÑ ¿©·¯ Á¶°ÇµéÀ» ÃæÁ·ÇÑ´Ù. Àü·«ÀûÀÌ°í ¿î¿µÀûÀÎ ¼öÁØ¿¡¼­, ÅëÇÕÀûÀÎ Á¤º¸ ¹× »çÀ̹ö °ø°£ ¿î¿µÀ» À§ÇÑ ÃÑ°ý ÀÛÀü ¼öÇàÀ» ÁøÇàÇÑ´Ù.
»çÀ̹ö ¿î¿µ : ¹üÁË ¹× ¿Ü±¹ øº¸ ´ÜüÀÇ È°µ¿¿¡ ´ëÇÑ Áõ°Å¸¦ ¼öÁýÇÏ¿©, ½Ç½Ã°£À¸·Î ¹ú¾îÁö°Å³ª ÀáÀçÀûÀ¸·Î ¹ú¾îÁú À§ÇùµéÀ» ¹«·ÂÈ­½ÃÅ°°í ½ºÆÄÀÌ È°µ¿À̳ª ³»ºÎÀÚ À§ÇùÀ» ¹æ¾îÇÑ´Ù. ¿Ü±¹ ¼¼·ÂÀÇ »çº¸Å¸Áê È°µ¿À̳ª ±¹Á¦ Å×·¯¸®½ºÆ® Á¶Á÷ÀÇ È°µ¿µµ ¹æ¾îÇϰųª ±âŸ øº¸ È°µ¿µéÀ» Áö¿øÇÑ´Ù.

IN : ¼ö»ç
INÀÇ °æ¿ì Ư¼ö ºÐ¾ß°¡ 2°¡Áö´Ù. »çÀ̹ö ¼ö»ç(Cyber Investigation)¿Í µðÁöÅÐ Æ÷·»½Ä(Digital Forensics)ÀÌ ¹Ù·Î ±×°ÍÀÌ´Ù. »ó¼¼ÇÑ ¼³¸íÀº ¾Æ·¡¿Í °°´Ù.

»çÀ̹ö ¼ö»ç : ¸ðµç ¼ö»ç µµ±¸µé°ú ÇÁ·Î¼¼½º¸¦ È°¿ëÇϱâ À§ÇÑ ÀýÂ÷, Àü·«, ±â¼úÀ» Àû¿ëÇÑ´Ù. ¸é´ã ¹× ½É¹®, °¨½Ã, °¨½Ã ¹æÇØ, °¨½Ã ŽÁö µîÀÇ ±â´ÉÀ» È°¿ëÇصµ ÁÁÁö¸¸, ¿©±â¿¡¸¸ ±¹ÇѵÇÁö´Â ¾Ê´Â´Ù. øº¸ ¼öÁý°ú ¹ýÀû ±â¼Ò·ÎºÎÅÍ ¾òÀ» ¼ö ÀÖ´Â À̵æÀÇ ±ÕÇüÀ» Á¶ÀýÇÑ´Ù.
µðÁöÅÐ Æ÷·»½Ä : ÄÄÇ»ÅÍ¿Í °ü·ÃµÈ Áõ°Å¸¦ ¼öÁý, ó¸®, º¸°ü, ºÐ¼®, Á¦°øÇØ ³×Æ®¿öÅ© Ãë¾àÁ¡ °¨¼Ò ¹× ¹«·ÂÈ­¸¦ Áö¿øÇÏ°í, ¹üÁË, »ç±â¿¡ ´ëÇÑ »ç¹ýÀû ¼ö»ç ¹× ¹æø È°µ¿À» Áö¿øÇÑ´Ù.

À̾...
NIST°¡ ¡®»çÀ̹ö º¸¾È Àü¹®Á÷¡¯¿¡ ´ëÇØ 7°¡Áö·Î Ç׸ñÀ» ³ª´©°í, ±×¿¡ ´ëÇÑ Æ¯º° ¿µ¿ªµéÀ» ´Ù½Ã ³ª´« °Í±îÁö º¸¾Ò´Ù. NIST´Â ¿©±â¿¡¼­ ¸ØÃßÁö ¾Ê°í, °¢ ¿µ¿ªÀÇ Á÷¾÷Àû ¿ªÇÒµµ ¼¼ºÐÈ­½ÃÅ°°í ÀÖ´Ù. ¿¹¸¦ µé¾î SP Ç׸ñ ³» ¡®À§±â °ü¸®¡¯¶ó´Â Ư¼ö ºÐ¾ßÀÇ Á÷¾÷Àû ¿ªÇÒÀº 1) °ø½ÄÀûÀÎ ´ëÇ¥ÀÚ Á¦°¡ ¹× ÁöÁ¤(Authorizing Official/Designating Representative)°ú 2) º¸¾È ÅëÁ¦ Æò°¡ÀÚ(Security Control Assessor)´Ù.

1)¹øÀÇ ¡®°ø½ÄÀûÀÎ ´ëÇ¥ÀÚ Á¦°¡ ¹× ÁöÁ¤¡¯ÀÇ ¿ªÇÒÀ̶õ ¡°ÀûÀýÇÑ À§±â »çÅ¿¡¼­¿Í Á¶Á÷ÀûÀÎ ¿î¿µ(»ç¾÷ ÁøÇà, ±â´É ¹ßÈÖ, À̹ÌÁö Çü¼º, ¸í¼º °ü¸® µî), ÀÚ¿ø °ü¸®, °³ÀÎ ¹× Á¶Á÷, ±¹°¡ÀÇ Á¤º¸ ½Ã½ºÅÛÀ» ¿î¿µÇÒ ±ÇÇÑÀÌ °ø½ÄÀûÀ¸·Î ÁÖ¾îÁø °ü¸®ÀÚ ¹× ÀÓ¿ø±Þ Ã¥ÀÓÀÚ¡± ³ë¸©À» ÇÑ´Ù´Â °ÍÀ¸·Î ¼³¸íµÇ¾î ÀÖ´Ù. 2)¹øÀÇ ¡®º¸¾È ÅëÁ¦ Æò°¡ÀÚ¡¯¶õ ¡°Á¤º¸ ±â¼ú ½Ã½ºÅÛÀ¸·ÎºÎÅÍ ÆÄ»ýµÇ°Å³ª »ç¿ëµÈ °ü¸®/¿î¿µ/±â¼úÀû º¸¾È ÅëÁ¦ ¹æ¹ý ¹× ÅëÁ¦ ÀåÄ¡ÀÇ µ¶¸³ÀûÀÌ°í ÅëÇÕÀûÀÎ Æò°¡¸¦ ÁøÇàÇØ ÀüüÀûÀÎ È¿°ú¸¦ ÃøÁ¤ÇÑ´Ù¡±°í µÇ¾î ÀÖ´Ù.

ÀÌ·¸°Ô NIST°¡ »õ·Ó°Ô Á¤ÀÇÇϰųª È®½ÇÈ÷ ¼ö¸³ÇÑ ¡®Á÷¾÷Àû ¿ªÇÒ¡¯Àº ÃÑ 52°³´Ù. ÀÌ´Â ´ÙÀ½ ÁÖ ÁÖ¸»ÆÇ¿¡¼­ À̾µµ·Ï ÇÒ °èȹÀÌ´Ù.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

¶óÀ̾ð 2017.08.19 12:30

¸»Àå³­ÇÏ°í ÀÚºüÁ³³×.


  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018 ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö
¼³¹®Á¶»ç
<º¸¾È´º½º>ÀÇ º¸¾ÈÀü¹® ±âÀÚµéÀÌ ¼±Á¤ÇÑ 2024³â ÁÖ¿ä º¸¾È Å°¿öµå °¡¿îµ¥ °¡Àå Æı޷ÂÀÌ Å¬ °ÍÀ¸·Î º¸´Â À̽´´Â?
Á¡Á¡ ´õ Áö´ÉÈ­µÇ´Â AI º¸¾È À§Çù
¼±°ÅÀÇ ÇØ ¸ÂÀº ÇÙƼºñÁò °ø°Ý
´õ¿í °­·ÂÇØÁø ·£¼¶¿þ¾î »ýÅ°è
Á¡Á¡ ´õ ´Ù¾çÇØÁö´Â ½ÅÁ¾ ÇÇ½Ì °ø°Ý
»çȸ±â¹Ý½Ã¼³ °ø°Ý°ú OT º¸¾È À§Çù
´õ¿í ½ÉÇØÁö´Â º¸¾ÈÀη ºÎÁ· ¹®Á¦
Á¦·ÎÆ®·¯½ºÆ®¿Í °ø±Þ¸Á º¸¾È
°¡¼ÓÈ­µÇ´Â Ŭ¶ó¿ìµå·ÎÀÇ Àüȯ°ú ÀÌ¿¡ µû¸¥ º¸¾ÈÀ§Çù
¸ð¹ÙÀÏ È°¿ëÇÑ º¸ÀÎÀÎÁõ È°¼ºÈ­¿Í ÀÎÁõº¸¾È À̽´
AI CCTVÀÇ ¿ªÇÒ È®´ë