NIST 사이버보안 프레임워크란 무엇인가요?
미국 상무부 산하 '국립표준기술연구소(NIST)'는 경제 안보를 강화하고 삶의 질을 향상하는 방식으로 측정 과학, 표준 및 기술을 발전시켜 미국의 혁신과 산업 경쟁력을 증진하는 것을 사명으로 삼고 있습니다.
NIST 사이버보안 프레임워크(CSF)는 산업, 정부, 학계, 비영리 단체 등, 규모나 부문과 상관없이 모든 조직이 사이버보안 위험을 관리하고 줄이는 데 도움이 되도록 설계되었습니다. 이는 조직의 사이버보안 프로그램의 성숙도나 기술 수준과 관계없이 유용합니다. 하지만 CSF는 모든 상황에 맞는 단일 접근 방식을 사용하지 않습니다. 각 조직에는 공통적인 위험과 고유한 위험이 있으며, 위험 감수 수준과 허용 범위, 구체적인 임무와 그 임무를 달성하기 위한 목표도 다양합니다. 필요에 따라 조직에서 CSF를 구현하는 방법은 다양합니다.
NIST 사이버보안 프레임워크 버전 2.0이란 무엇인가요?
NIST 사이버보안 프레임워크(CSF) 2.0은 2024년 2월 26일에 발표되었습니다. 이전 버전을 기반으로 삼은 NIST CSF 2.0은 거버넌스와 공급망의 중요성을 강조하는 새로운 기능을 포함합니다. 대규모 조직 뿐만 아니라 소규모 조직도 CSF에 쉽게 접근할 수 있도록 특별한 주의를 기울였습니다.
NIST CSF 2.0은 모든 조직이 사이버보안 활동을 더 잘 이해하고, 평가하고, 우선순위를 정하며, 전달하는 데 사용할 수 있는 높은 수준의 사이버보안 성과를 명시합니다. CSF는 성과를 어떻게 달성해야 하는지 규정하지 않습니다. 대신, 그러한 성과를 달성하는 데 활용할 수 있는 실무 방법 및 통제 수단에 대한 추가 지침을 제공하는 온라인 자료로 이어집니다.
NIST 사이버보안 프레임워크 버전 2.0의 주요 기능은 무엇인가요?
NIST 사이버보안 프레임워크 2.0의 주요 기능은 관리, 식별, 보호, 감지, 대응 및 복구입니다. 이러한 6가지 기능은 조직의 수명 주기 전반에 걸쳐 사이버보안 위험을 관리하는 체계적인 접근 방식을 제공합니다.
각 기능을 더 자세히 살펴보겠습니다.
- 관리(GV):
조직의 사이버보안 위험 관리 전략, 기대 사항 및 정책이 수립, 전달 및 모니터링됩니다. 관리(GV) 기능은 조직이 사명과 이해관계자의 기대에 따라 나머지 5가지 기능의 성과를 달성하고 우선순위를 정하는 데 필요한 목표 성과를 제시합니다. 관리 활동은 사이버보안을 조직의 전사적 '기업 위험 관리(ERM)' 전략에 통합하는 데 중요합니다. 관리는 조직 상황에 대한 이해, 사이버보안 전략 수립 및 사이버보안 공급망 위험 관리, 역할·책임·권한, 정책, 사이버보안 전략에 대한 총괄 문제를 다룹니다. - 식별(ID):
조직이 현재 마주한 사이버보안 위험을 파악합니다. 조직의 자산(예: 데이터, 하드웨어, 소프트웨어, 시스템, 시설, 서비스, 인력), 공급업체 및 관련 사이버보안 위험을 이해하면 조직은 관리(GV) 단계에서 식별된 위험 관리 전략 및 사명 관련 요건에 따라 활동의 우선순위를 정할 수 있습니다. 이 기능에는 사이버보안 위험 관리 활동을 지원하는 조직의 정책, 계획, 프로세스, 절차 및 관행 측면에서 개선 기회를 식별하여 6가지 기능 모두의 활동을 안내하는 것도 포함됩니다. - 보호(PR):
조직의 사이버보안 위험을 관리하기 위한 보호 장치가 사용됩니다. 자산과 위험이 식별되고 우선순위가 정해지면 보호(PR)는 해당 자산을 보호하여 사이버보안에 부정적인 영향을 미치는 이벤트를 예방하거나 그 영향을 낮추고, 기회를 활용할 가능성과 기회의 영향을 확대하는 기능을 지원합니다. 이 기능에서 얻는 성과에는 신원 관리·인증·액세스 제어, 인식 및 교육, 데이터 보안, 플랫폼 보안(즉, 물리 및 가상 플랫폼의 하드웨어, 소프트웨어 및 서비스 보호), 기술 인프라의 복원력이 포함됩니다. - 감지(DE):
가능한 사이버보안 공격과 침해를 찾아 분석합니다. 감지(DE)를 통해 사이버보안 공격 및 사고가 발생하고 있음을 나타낼 수 있는 이상 징후, 침해 지표 및 기타 잠재적으로 부정적인 이벤트를 적시에 발견하고 분석할 수 있습니다. 이 기능은 성공적인 사고 대응 및 복구 활동을 지원합니다. - 대응(RS):
감지된 사이버보안 사고에 대한 조치가 취해집니다. 대응(RS)은 사이버보안 사고의 영향을 억제하는 기능을 지원합니다. 이 기능의 성과로는 사고 관리, 분석, 완화, 보고 및 커뮤니케이션이 있습니다. - 복구:
사이버보안 사고로 인해 영향을 받은 자산과 운영이 복구됩니다. 복구는 사이버보안 사고의 영향을 줄이고 복구 작업 중에 적절한 커뮤니케이션을 가능하게 하여 적시에 정상적인 운영을 재개할 수 있도록 지원합니다.
어떤 조직이 NIST CSF 2.0을 사용할 수 있나요?
NIST CSF 2.0 프레임워크는 에너지, 은행, 통신, 방위 등 국가 및 경제적 안보에 필수적인 산업에 초점을 맞춰 개발되었습니다. 그 이후로 이 지침은 모든 산업 부문의 크고 작은 기업과 조직은 물론, 연방, 주, 지방 정부에서 자발적으로 채택할 만큼 충분한 유연성을 갖춘 것으로 입증되었습니다.
NIST CSF 2.0을 준수하지 않을 경우 어떤 처벌을 받나요?
NIST CSF(사이버보안 프레임워크) 2.0을 준수하는 것은 자발적인 선택입니다. 그러나 조직이 NIST 프레임워크의 모범 사례를 따른다는 증거는 조직이 정보 보안을 지키고자 성실히 노력하고 있음을 보여줌으로써 GDPR과 같은 규정의 과징금 처분에 대한 방어 수단을 제공할 수 있습니다.
탈레스는 NIST CSF 2.0 규정 준수를 어떻게 지원하나요?
탈레스는 필수적인 사이버보안 요건에 대응하고 보안을 자동화하여 조직이 NIST CSF 2.0을 준수하도록 지원하며, 보안 및 규정 준수 팀의 부담을 줄여줍니다. 자세한 내용은 여기에서 확인하세요.
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.