첨부된 영어 번역물은 미국 연방정부 보안기관인 CISA가 국가 공공기관들이 사이버보안 위험평가를 시작할 수 있도록 작성한 공개 가이드라인입니다.
번역물의 전체 내용은 아래 컨텐트 또는 첨부 파일에서 확인할 수 있습니다. 단, 아래 컨텐트에는 미 정부기관의 다양한 링크가 포함되어 있지 않습니다. 원문의 모든 링크를 확인하려면 첨부된 번역물을 이용하시기 바랍니다.
사이버 보안 위험 평가 시작 가이드
사이버 위험 평가(Cyber Risk Assessment)란 무엇인가?
사이버 보안(사이버) 위험 평가는 공공 안전(Public safety) 조직이 운영(예: 임무, 기능, 중요 서비스, 이미지, 평판), 조직 자산 및 개인에 대한 사이버 위험을 이해하는 데 도움이 됩니다.[1] 이것은 운영 및 사이버 탄력성을 강화하기 위해 SAFECOM은 공공 안전 통신 시스템 운영자, 소유자 및 관리자가 사이버 위험 평가 단계를 이해하는 데 도움이 되는 가이드입니다. 이 가이드에는 조직이 평가의 각 단계와 관련된 인력 및 리소스를 식별하고 문서화하는 데 도움이 되는 사용자 정의 가능한 참조 표(2, 3, 4, 5, 6페이지)가 포함되어 있습니다. 예시 기관(Entities)과 조직(Organizations)이 제공되지만 각 기관에 맞게 사용 (customization)할 것을 권합니다.[2]
사이버 위험 평가를 수행함으로써 공공 안전 조직은 운영 및 임무 요구사항 충족, 전반적인 탄력성 및 사이버 태세 개선, 사이버 보험 보장 요구사항 충족 등 다양한 이점을 경험할 수 있습니다. 조직은 운영 요구사항에 따라 사이버 위험 평가를 정기적으로 수행하여 보안 상태를 평가하는 것이 좋습니다. 평가를 수행함으로써 조직은 사이버 보안 측정의 기준을 설정하고, 이러한 기준은 향후에 결과를 참조하거나 비교하여 전반적인 사이버 태세와 탄력성을 더욱 개선하고 진행 상황을 입증할 수 있습니다. 이러한 평가는 내부 자원이나 외부 지원을 통해 수행될 수 있습니다. 예를 들어, 조직은 인터넷 연결 네트워크에 대한 내부 로깅 및 감사를 기반으로 취약점 검토를 수행할 수 있습니다.
위험 평가 방법론 |
위협(Threat): 취약점을 악용하고 조직 운영, 자산, 개인, 기타 조직 또는 사회에 부정적인 영향을 미칠 가능성이 있거나 이를 나타내는 상황 또는 사건((circumstance or event) 입니다. 취약점(Vulnerabilities): 조직이나 자산을 주어진 위협에 의해 악용될 수 있게 만드는 특징적이거나 구체적인 약점(characteristic or specific weakness) 입니다. 발생 가능성(Likelihood): 위험 시나리오가 발생할 가능성을 나타냅니다. |
위험(RISK): 특정 위협이 특정 취약성을 악용할 가능성과 관련 결과에 따라 결정되는 사고(Incident), 이벤트(Event) 또는 발생(Occurrence)으로 인해 원치 않거나 불리한 결과가 발생할 가능성입니다. |
또한 조직은 다양한 관점을 제공하고 잠재적인 취약점을 강조하는 외부 가이드나 서비스를 사용할 수도 있습니다. CISA(사이버보안 및 인프라 보안국)는 CSET®(사이버 보안 평가 도구)과 같이 결과 공유에 대한 협약 없이 결과를 무료로 사용할 수 있는 사이버 도구 및 사이버 서비스를 제공합니다.[3] Cybersecurity Advisors와 같은 CISA의 기타 서비스, 연방, 주, 지방, 부족 및 지역 정부, 중요 인프라 소유자/운영자 및 민간 부문 기관이 네트워크 또는 시스템의 약점을 감지하고 해결하는 데 사용할 수 있습니다. 이들은 위험 평가를 전문으로 하는 사이버 분야 전문가 역할을 합니다. 또한 CISA 비상 통신 조정관은 CISA 내 소통을 촉진하여 조직이 복잡한 공공 안전 통신 문제를 해결하는 데 도움을 줍니다.
이 가이드는 사이버 위험 평가 구조의 예를 제공하지만 사용 가능한 모든 리소스와 방법의 포괄적인 목록은 아닙니다. 특정 사고(예: 랜섬웨어 공격, 서비스 거부 공격, 네트워크/데이터베이스 침해)를 완화하기 위해 다양한 접근 방식이 권장될 수 있으며, 기타 평가를 통해 취약성에 대한 인식이 높아질 수 있습니다. 각 평가 단계에는 프로세스를 지원하는 관련 참고 자료가 함께 제공됩니다. 이 목록은 완전한 것이 아니며 조직이나 해당 제품에 대한 보증을 의미하지 않습니다.
공공 안전 기관은 사이버 위험 평가 개발을 위한 각 단계와 모범 사례에 대한 자세한 내용을 보려면 부록 A 위험 평가 단계별 유용한 리소스 및 부록 B 교육 및 리소스에 있는 자료들을 확인하는 것이 좋습니다. 공공 안전에 초점을 맞춘 추가 탄력성 자료들을 보려면 cisa.gov/publication/communications-resiliency를 방문하세요.
사이버 보안 위험평가의 단계는 무엇입니까?
1단계: 네트워크 자산 취약점 식별 및 문서화[4]
하드웨어, 소프트웨어, 인터페이스, 공급업체 액세스 및 서비스를 포함한 네트워크 구성 요소와 인프라를 특성화 하거나 목록화 하면 가능한 위협을 파악하는 데 도움이 됩니다. 예를 들어 내부 및 외부 사이버 프로세스, 내부 및 외부 인터페이스(기본 비밀번호 확인)를 고려하고, 데이터 복구 프로세스를 미리 결정하고, 각 시스템에 대한 접근을 검토합니다. 이 프로세스는 시스템 내에서 침해가 발생할 수 있는 위치를 이해하는 데도 도움이 될 수 있습니다.
표 1: 네트워크 자산 취약점을 식별하고 문서화하기 위한 사용자 정의 가능한 샘플 표
하드웨어/소프트웨어, 공급업체, 내부/외부 인터페이스, 액세스, 최종 업데이트 날짜 |
예시: Hardware/Software: Email Platform Vendor: Network System Provider Internal/External: Both Interfaces: 인터넷을 통해 여러 장비(Machines)가 광범위하게 연결됩니다. Access: 모든 인원 Date of Last Update: 업데이트가 2021년 7월에 수행되었습니다; Version 12 Response time/Footprint: x시간 이내 |
Organization/Entity/Component: Contact Information: Date last reviewed/accessed (if applicable): Response time/Footprint: |
조직/기관/구성요소: 연락처 정보: 마지막으로 검토/접근한 날짜(해당하는 경우): 응답 시간/방식: |
2단계: 사이버 위협 정보(Intelligence)의 소스 식별 및 사용[5]
일반적인 위협에는 보안 정보(Secure information)에 대한 무단 액세스, 승인된 사용자의 데이터 오용(Misuse), 조직 보안통제의 약점(Weaknesses) 등이 포함되지만 이에 국한되지는 않습니다.
표 2: 사이버 위협 정보 소스를 식별하고 문서화하기 위한 사용자 정의 가능한 샘플 표
사이버 위협/취약성 정보 출처 |
National Example: National Cyber Awareness System(미국 Computer Emergency Readiness Team [US-CERT] 경고(alerts)로 알려져 있음) Website: us-cert.cisa.gov/ncas/alerts |
국가기관 예시: CISA 알려진 악용 취약점 카탈로그 웹사이트: cisa.gov/known-exploited-vulnerability-catalog |
국가기관 예시: InfraGard 웹사이트: infragard.org/ |
주(State) 기관 예시: 플로리다 정보 융합센터(Intelligence Fusion Center) 연락처 정보: FloridaFusionCenter@fdle.state.fl.us | (850) 410-7645 |
지방(Local) 기관 예시: 수도권(National Capital Region) 위협 정보 컨소시엄 연락처 정보: NTIC@dc.gov | (202) 727-6161 |
기타 예시: 다수 주(Multi-State) 정보(Information) 공유 및 분석 센터 연락처 정보: soc@msisac.org | (866) 787-4722 |
조직/기관/구성요소: 역할/책임: 연락처 정보: 이메일 | 전화 | 웹사이트 |
3단계: 내부 및 외부 위협 식별 및 문서화[6]
내부 소스도 사이버 태세에 큰 영향을 미칠 수 있으므로 위협은 조직 외부에만 있는 것이 아닙니다. 위협 소스는 조직 내부에서 발생할 수 있으므로 내부 프로세스와 기록을 식별하고 문서화하는 것이 중요합니다. (예: 네트워크 또는 하드웨어에 대한 관리 권한, 액세스 권한이 부여된 사용자의 활동 로그, 관리 서비스 공급자 또는 공급망 소프트웨어 공급업체의 도구에 대한 의존도) 실수로든 악의적인 의도로든 개인이 네트워크에 영향을 미칠 수 있습니다. 내부 및 외부 위협과 취약성을 모두 식별하고 문서화함으로써 조직은 시스템 침해를 예측하고 그에 따라 계획을 세울 수 있습니다. 예를 들어, 사이버 사고 대응 계획을 수립하고 지속적으로 유지하는 것이 좋습니다. 또한 사이버 인식을 극대화하고 지속적인 개선을 촉진하기 위한 훈련(training) 및 연습(exercise) 프로그램을 개발할 수도 있습니다.
사이버 침해의 몇 가지 일반적인 지표는 다음과 같습니다:
- 취약점 스캐너가 사용되었음을 보여주는 웹 서버 로그 항목
- 사이버 공격이 임박했다고 말하는 단체의 위협 (ramsomware)
- 비정상적인 사용자 활동(user activity)
- 예기치 않은 사용자 계정 잠금(user account lockouts)
- Malware/Virus 백신 소프트웨어의 경고
- 일반적인 네트워크 트래픽 흐름과의 비정상적인 편차
- 알려진 업데이트를 추적할 수 없는 구성 변경 사항
4단계: 잠재적인 임무(Potential Mission) 영향 식별[7]
정보 통신 기술은 중요한 인프라의 일상적인 운영과 기능에 필수적입니다. 이러한 기능이 악용되면 그 결과는 해당 기술이나 서비스의 모든 사용자에게 영향을 미칠 수 있으며 조직의 통제 범위를 벗어난 시스템에도 영향을 미칠 수 있습니다. 이 평가에서는 사이버 사고가 발생할 경우 모든 시스템 종속성과 공유 리소스에 대한 영향을 고려합니다. 이 단계는 공유 리소스 전반에 걸쳐 사이버 침해를 억제하는 데 매우 중요하며 대응 계획을 수립할 때 유용한 지침이 될 수 있습니다.
표 3: 종속성 및 공유 리소스를 식별하고 문서화하기 위한 사용자 정의 가능한 샘플 표
종속성 및 공유 리소스 |
Example: 공유 네트워크의 관할 파트너 또는 기관 Contact Information: example@example.gov | (XXX) XXX-XXXX Role/Responsibility: 스펙트럼 공유 Response time/Footprint: x시간 이내 |
예시: 카운티 또는 주 정보 기술국 연락처 정보: example@example.gov | (XXX) XXX-XXXX 역할/책임: 도시 네트워크(municipal networks)의 적극적인 모니터링 응답 시간/방식: x시간 이내 |
예시: 통신 제공업체 연락처 정보: example@example.net | (XXX) XXX-XXXX 역할/책임: 연중무휴 24시간 서비스 응답 시간/방식: x시간 이내 |
제3자, 비기관 인프라 및 서비스 소유자의 이름: 연락처 정보: 이메일 | 전화 | 웹사이트 역할/책임: 응답 시간/방식: |
5단계: 위협, 취약성, 가능성 및 영향을 활용하여 위험 판단[8]
위험은 사고 대응 계획을 수립할 때 지침이 되지만 조직 사이버 태세의 최종 상태는 아닙니다. 사이버 위험 평가는 한 번만 수행하기 위한 것이 아닙니다. 대신 평가는 조직의 사이버 조치를 지속적으로 결정하기 위한 것이며 새로운 기술과 방법이 사용 가능해지고 채택됨에 따라 지속적으로 개선되어야 합니다.
위험 수준을 정량화 할 때 다음을 포함하여 고려해야 할 몇 가지 사항이 있습니다.
- "high", "medium", "low" 측정에 적합한 가정은 무엇입니까?
- "위험" 및 "위협"과 같은 용어가 정확하고 일관되게 정의되어 있습니까?
- 고위험 시나리오에서는 어떤 자산/장치/시스템이 위험에 처해 있나요?
그림 1: 위험 매트릭스 예시 | - 해당 자산/장치/시스템에 가해지는 사이버 위협은 무엇입니까?
(1단계 및 3단계 참조) - 사이버 침해의 정도를 완화하기 위해 각 계층에는 어떤 통제 장치가 마련되어 있습니까?
- 사이버 사고에 대응하기 위해 IT 직원은 어느 수준의 준비 상태를 달성했습니까?
|
6단계: 위험 대응 식별 및 우선순위 지정[9]
공식적인 승인을 위한 위험 기반 의사 결정의 핵심 측면은 정보 시스템의 보안 및 개인정보 보호 태세(posture)와 해당 시스템에 사용할 수 있는 공통 통제를 이해하는 것입니다. 사이버 위험 평가에서 중요한 요소는 다양한 사이버 위협에 대응하기 위해 어떤 대응이 가능한지 아는 것입니다. 식별된 직원 및 그룹의 목록을 연락처 정보와 함께 유지하고 업데이트하는 것은 사이버 사고 후 대응 시간을 단축하는 데 매우 중요합니다.
표 4: 대응, 조사 및 복구 리소스를 식별하고 문서화하기 위한 맞춤형 표 예시
잠재적 대응, 조사 및 복구 리소스 |
Example: Texas Department of Information Services Contact Information: datacenterservices@dir.texas.gov | (855) 275-3471 |
예시: CISA Central 연락처 정보: Central@cisa.gov | cisa.gov/central |
예시: CISA 사이버 보안 고문(지역별) 연락처 정보: cisa.gov/cisa-regions |
예시: US-CERT 연락처 정보: us-cert.cisa.gov/report | (888) 282-0870 |
예시: 연방수사국(FBI) 현장 사무소 연락처 정보: fbi.gov/contact-us/field-offices |
예시: SWIC(주 전체 상호 운용성 조정자) 연락처 정보: example@example.gov | (555) 555-5555 |
조직/기관 이름 연락처 정보: 이메일 | 전화 | 웹사이트 |
부록 A: 위험 평가 단계별 유용한 리소스
위험 평가 1단계: 네트워크 자산 취약점 식별 및 문서화
- CISA(사이버보안 및 인프라 보안국) 상호 운용 가능한 통신 기술 지원 프로그램(ICTAP) – ICTAP는 56개 주(States)와 자치령(Territorials) 모두에 서비스를 제공하며 직접적인 서비스를 제공합니다. 공공 안전 상호 운용 가능한 통신 기능을 향상시키기 위한 교육, 도구 및 현장 지원의 개발 및 제공을 통해 주, 지방(Local), 부족(Tribal) 비상 대응인원 및 정부 공무원을 지원합니다.
- CISA 공공 안전 사이버 탄력성 평가 도구 자료표 – 이 자료표는 CISA 및 기타 공공 안전 파트너가 제공하는 22가지 사이버 보안 평가에 대한 개요를 제공합니다. 팩트 시트는 파트너가 범위, 요구 사항, 비용 구조 및 평가 결과를 평가하는 데 도움이 될 뿐만 아니라 조직의 고유한 요구 사항에 가장 적합한 평가를 선택하는 데도 도움이 됩니다.
- CISA 사이버 보안 평가 도구(CSET®) – 이 데스크탑 애플리케이션은 자산 소유자와 운영자에게 운영 기술 및 정보 기술을 평가하는 체계적인 프로세스를 안내합니다. 평가가 완료된 후 조직은 평가 결과를 요약 및 세부 방식으로 제시하는 보고서를 받게 됩니다. 조직은 콘텐츠를 수정하고 필터링하여 다양한 세부 수준으로 결과를 분석할 수 있습니다.
- NIST(국가표준기술연구소) 사이버 보안 프레임워크 – 이 프레임워크는 중요한 인프라 소유자 및 운영자에게 사이버 보안 위험을 관리하기 위한 표준, 지침 및 모범 사례를 제공합니다. 이 문서는 중요한 인프라 소유자에게만 국한되지 않으며 사이버 보안 및 탄력성을 향상시키려는 모든 조직에서 사용할 수 있습니다. NIST 사이버 보안 프레임워크는NIST 800-53 Rev. 5, 국제 표준화 기구/국제 전기 기술 위원회(ISO/IEC) 27001:2013, 정보 및 관련 기술에 대한 통제 목표 프레임워크 5, 인터넷 보안 센터(CIS) 중요 보안 통제(CSC), 국제 자동화 협회(ISA) 62443-2-1:2009 및 ISA 62443-3-3:2013 등 6개의 참고할 사이버 보안 기능을 포함합니다.
- 위험 평가 수행을 위한 NIST 가이드 – 이 간행물은 연방 정보 시스템 및 조직의 위험 평가 수행에 대한 지침을 제공합니다. 정기적이고 지속적인 위험 평가는 조직 리더에게 보안 조치 상태를 제공하기 위한 것입니다.
위험 평가 2단계: 사이버 위협 정보(Intelligence) 소스 식별 및 사용
- CISA 국가 사이버 인식 시스템(US-CERT Alerts) – 이 무료 구독 기반 서비스는 사이버 사고, 보안 문제, 취약성 및 악용에 대한 실시간 보고서를 제공합니다. 또한 이 서비스는 사이버 보안 커뮤니티의 관심 주제와 문제에 대한 정기적인 공지 사항을 게시합니다.
- 주, 지방, 부족(Tribal) 및 지역(Territorial) 정부를 위한 CISA 리소스 – 편집되고 정기적으로 업데이트되는 이 웹사이트는 주 및 지방 기관에 대한 사이버 위협 및 사고를 식별, 보호, 감지 및 대응하는 데 도움이 되는 리소스를 제공합니다. 이 웹사이트는 또한 주별로 지리적으로 특정한 리소스 목록을 호스팅합니다.
- 연방 수사국 인터넷 범죄 신고 센터 업계 경고 – 이 무료 구독 기반 서비스는 발생했거나 의심되는 침해에 대한 정기적인 사이버 위협 보고서를 게시합니다. 각 보고서에는 위협에 대한 설명, 좋은 지표 및 권장 완화 기술이 제공됩니다.
- Multi-State 정보 공유 및 분석 센터®(MS-ISAC®) – MS-ISAC®은 IT 시스템 및 데이터 보안을 위한 모범 사례를 생성하는 비영리 조직입니다. 링크된 웹페이지에는 데이터 보안을 위한 권장 조치가 표시됩니다. MS-ISAC®은 또한 회원들에게 사이버 취약성 및 위협에 대한 정기적인 업데이트를 제공합니다.
- SAFECOM 간행물 – SAFECOM은 연방, 주, 지방, 부족, 자치령 정부는 물론 국제 국경에 걸쳐 비상 대응 기관과의 협력을 통해 지정된 비상 대응 제공자의 관할권 사이(inter-jurisdictional) 그리고 학술적 사이(inter-disciplinary)의 비상 통신 상호 운용성을 개선하는 임무를 맡고 있습니다. 사이버 보안 태세를 개선하기 위해 위협 공지가 SAFECOM 웹사이트에 게시됩니다.
위험 평가 3단계: 내부 및 외부 위협 식별 및 문서화
- CISA 공공 안전 커뮤니케이션 및 사이버 탄력성 툴킷 – CISA가 공공 안전 사용자를 위해 개발한 이 대화형 툴킷은 네트워크 전반에 걸쳐 프로세스 및 기능별로 리소스를 제공하여 사이버 탄력성을 향상시킵니다. 사용자는 주제들을 탐색하고 간단한 설명과 함께 연결된 리소스를 찾을 수 있습니다.
위험 평가 4단계: 잠재적인 임무 영향 식별
- CISA Stop. Think. Connect. 툴킷 – 사이버 범죄자가 표적을 차별하지 않는다는 전제를 바탕으로 이 툴킷은 다양한 대상에게 사이버 보안에 대한 이해와 정보보안 모범 사례를 높일 수 있는 귀중한 자료를 제공합니다.
위험 평가 5단계: 위협, 취약성, 가능성 및 영향을 활용하여 위험 결정
- CISA 비상 서비스 부문 – CISA 국가 위험 관리 센터의 일부인 이 웹사이트는 비상 서비스 부문에 대한 산업 특화된(industry-specific) 리소스, 계획 및 교육을 제공합니다. 웹페이지에는 부문별 계획, 위기 상황 대응 및 복구 액세스, 기타 의사 결정 리소스와 같은 자료들이 포함되어 있습니다.
- CISA FY2021 기술 지원/주 전체 통신 상호 운용성 계획 가이드 – 이 가이드는 CISA의 ICTAP를 통해 제공되는 사이버 평가 및 사이버 인식 서비스를 제공합니다.
- NIST 위험 관리 프레임워크 – 이 리소스에서는 보안 및 개인정보 위험 관리를 위한 학술적이고 구조적이며 유연한 프로세스를 제공하는 위험 관리 프레임워크를 간략하게 설명합니다. 이 간행물은 지속적인 모니터링 프로세스를 통해 위험 관리, 지속적인 정보 시스템 및 공통 통제 승인을 촉진합니다.
위험 평가 6단계: 위험 대응 식별 및 우선순위 지정
- CISA SWIC(주 전역 상호 운용성 조정자) 연락처 목록 – 이 목록에는 SWIC 및 해당 연락처 정보가 나와 있습니다. 이 목록은 56개 주와 자치령이 모두 포함된 10개 지역으로 구성되어 있습니다.
- CISA 비상 서비스 부문 사이버 보안 프레임워크 구현 지침 – NIST 사이버 보안 프레임워크와 함께 사용하도록 설계된 이 가이드는 조직이 사이버 공격을 예방, 감지 및 대응하는 능력을 향상시키는 데 도움이 될 수 있습니다. NIST Cybersecurity Framework 권장 사항을 기반으로 이 가이드에서는 모범 사례 구현을 강조합니다.
- 비기관 인프라 및 서비스에 대한 공공 안전 통신 종속성 – SAFECOM 및 NCSWIC에서 개발한 이 백서는 공공 안전 통신 계획 또는 구현에 관련된 시스템 관리자, 공공 행정 의사 결정자 및 기타 이해관계자에게 높은 수준의 통찰력을 제공합니다.
부록 B: 훈련 및 교육 자료
- CISA 사이버 보안 훈련 및 연습 – CISA가 개발한 이 웹 사이트는 다양한 훈련 연습과 사이버 보안 태세를 개선하려는 사람들의 교육에 초점을 맞춘 향후 이벤트를 제공합니다. 웹세미나 및 외부 교육 소스는 물론 교육 과정에 대해 자세히 알아보려는 사람들의 연락처 정보도 확인할 수 있습니다.
- 연방 가상 교육 환경(FedVTE) – 이 포털은 연방, 주, 지방, 부족 및 자치령 정부 직원, 연방 계약자 및 미군 퇴역 군인에게 무료 온라인 사이버 보안 교육을 제공합니다. 이러한 범주에 속하지 않는 사용자는 공개 콘텐츠를 사용할 수 있지만, 신규 사용자는 온라인 교육 과정에 대한 전체 액세스 권한을 등록하는 것이 좋습니다.
- 사이버 보안 교육을 위한 국가 이니셔티브(National Initiative for Cybersecurity Education) - 계속 증가하는 사이버 공격 위협으로 인해 공공 안전 담당자가 시스템과 네트워크를 보호하는 데 도움이 되는 교육 및 리소스를 쉽게 이용할 수 있게 되었습니다. 정기적으로 업데이트되는 이 리소스는 공공 안전 담당자가 통신 및 네트워크 시스템의 보안과 탄력성을 높이기 위해 활용할 수 있는 무료 및 저렴한 학습 콘텐츠 목록을 제공합니다.
- Multi-State 정보 공유 및 분석 센터®(MS-ISAC®) – MS-ISAC®은 조정, 협업, 협력 및 의사소통 증가를 통해 미국 주, 지방, 부족 및 자치령 정부 조직의 전반적인 사이버 보안 상태를 개선하는 것을 목표로 합니다. MS-ISAC®의 일환으로 회원은 사이버 보안 기본 연습 템플릿, 중요하고 시기적절한 사이버 보안 문제를 검토하는 정기 웹 세미나, MS-ISAC® 툴킷을 포함한 다양한 훈련 및 교육 리소스에 액세스할 수 있습니다.
[1] CISA, “QSMO Services – Risk Assessment,” last accessed October 28, 2021. https://www.cisa.gov/qsmo-services-risk-assessment
[2] SAFECOM은 사이버 위험 평가의 핵심 단계에 대한 전체적인 관점을 제공하는 국가표준기술연구소(NIST) 사이버 보안 프레임워크(CSF)와 공공 안전 통신 및 사이버 복원력 도구들(Toolkit)과 함께 이 가이드를 사용할 것을 권장합니다. 이는 현재 탄력성 기능을 평가하고, 탄력성을 향상시키는 방법을 식별하고, 잠재적인 탄력성 위협의 영향을 완화하기 위한 계획을 개발하기 위한 리소스를 제공합니다. 이 문서는 NIST CSF에서 식별된 위험 평가 프로세스의 식별 기능을 따릅니다.
[3] 예를 들어, CISA의 공공 안전을 위한 사이버 탄력성 자료 자료표에는 사이버 보안 평가 도구(CSET®)와 연방 정부, 업계, 무역 협회에서 제공하는 기타 리소스가 강조되어 있습니다. 팩트 시트는 공공 안전 조직이 네트워크 사이버 보안 및 탄력성 기능을 결정하고 사이버 사고로부터 방어하는 능력을 향상시키는 방법을 식별하는 데 도움을 줍니다.
[4] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 26쪽
[5] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 26쪽
[6] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
[7] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
[8] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
[9] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
이 번역물은 한국정보보호인식 주식회사(Security Awareness Korea, Inc.)가 아래 영어 원문을 한국어로 번역한 것입니다. 이 한글 번역에는 오역이 있을 수 있으며 누구나 이 번역물을 자유롭게 사용할 수 있음을 알립니다. https://www.cisa.gov/news-events/news/safecom-develops-cyber-risk-assessment-guide-public-safety https://www.cisa.gov/sites/default/files/2023-02/22_1201_safecom_guide_to_cybersecurity_risk_assessment_508-r1.pdf - 일련번호: SAK-TP-2024-01
- 번역 및 배포: 한국정보보호인식 주식회사
- 웹사이트: 회사 공식 블로그 (https://securitya.kr/Blog)
- 번역 및 배포 일자: 2024년 1월 19일
참고로, 미국 저작권법(U.S. Copyright Act)은 연방 정부의 저작물에 대해 미국의 저작권 보호를 받을 수 없다고 명시(아래)하고 있습니다. 즉 누구나 허가를 받거나 저작권료를 지불하지 않고도 (저작권의 의미에서) 자유롭게 사용할 수 있습니다. 105. Subject matter of copyright: United States Government works Copyright protection under this title is not available for any work of the United States Government, but the United States Government is not precluded from receiving and holding copyrights transferred to it by assignment, bequest, or otherwise. |
첨부된 영어 번역물은 미국 연방정부 보안기관인 CISA가 국가 공공기관들이 사이버보안 위험평가를 시작할 수 있도록 작성한 공개 가이드라인입니다.
번역물의 전체 내용은 아래 컨텐트 또는 첨부 파일에서 확인할 수 있습니다. 단, 아래 컨텐트에는 미 정부기관의 다양한 링크가 포함되어 있지 않습니다. 원문의 모든 링크를 확인하려면 첨부된 번역물을 이용하시기 바랍니다.
사이버 보안 위험 평가 시작 가이드
사이버 위험 평가(Cyber Risk Assessment)란 무엇인가?
사이버 보안(사이버) 위험 평가는 공공 안전(Public safety) 조직이 운영(예: 임무, 기능, 중요 서비스, 이미지, 평판), 조직 자산 및 개인에 대한 사이버 위험을 이해하는 데 도움이 됩니다.[1] 이것은 운영 및 사이버 탄력성을 강화하기 위해 SAFECOM은 공공 안전 통신 시스템 운영자, 소유자 및 관리자가 사이버 위험 평가 단계를 이해하는 데 도움이 되는 가이드입니다. 이 가이드에는 조직이 평가의 각 단계와 관련된 인력 및 리소스를 식별하고 문서화하는 데 도움이 되는 사용자 정의 가능한 참조 표(2, 3, 4, 5, 6페이지)가 포함되어 있습니다. 예시 기관(Entities)과 조직(Organizations)이 제공되지만 각 기관에 맞게 사용 (customization)할 것을 권합니다.[2]
사이버 위험 평가를 수행함으로써 공공 안전 조직은 운영 및 임무 요구사항 충족, 전반적인 탄력성 및 사이버 태세 개선, 사이버 보험 보장 요구사항 충족 등 다양한 이점을 경험할 수 있습니다. 조직은 운영 요구사항에 따라 사이버 위험 평가를 정기적으로 수행하여 보안 상태를 평가하는 것이 좋습니다. 평가를 수행함으로써 조직은 사이버 보안 측정의 기준을 설정하고, 이러한 기준은 향후에 결과를 참조하거나 비교하여 전반적인 사이버 태세와 탄력성을 더욱 개선하고 진행 상황을 입증할 수 있습니다. 이러한 평가는 내부 자원이나 외부 지원을 통해 수행될 수 있습니다. 예를 들어, 조직은 인터넷 연결 네트워크에 대한 내부 로깅 및 감사를 기반으로 취약점 검토를 수행할 수 있습니다.
위험 평가 방법론
위협(Threat): 취약점을 악용하고 조직 운영, 자산, 개인, 기타 조직 또는 사회에 부정적인 영향을 미칠 가능성이 있거나 이를 나타내는 상황 또는 사건((circumstance or event) 입니다.
취약점(Vulnerabilities): 조직이나 자산을 주어진 위협에 의해 악용될 수 있게 만드는 특징적이거나 구체적인 약점(characteristic or specific weakness) 입니다.
발생 가능성(Likelihood): 위험 시나리오가 발생할 가능성을 나타냅니다.
위험(RISK): 특정 위협이 특정 취약성을 악용할 가능성과 관련 결과에 따라 결정되는 사고(Incident), 이벤트(Event) 또는 발생(Occurrence)으로 인해 원치 않거나 불리한 결과가 발생할 가능성입니다.
또한 조직은 다양한 관점을 제공하고 잠재적인 취약점을 강조하는 외부 가이드나 서비스를 사용할 수도 있습니다. CISA(사이버보안 및 인프라 보안국)는 CSET®(사이버 보안 평가 도구)과 같이 결과 공유에 대한 협약 없이 결과를 무료로 사용할 수 있는 사이버 도구 및 사이버 서비스를 제공합니다.[3] Cybersecurity Advisors와 같은 CISA의 기타 서비스, 연방, 주, 지방, 부족 및 지역 정부, 중요 인프라 소유자/운영자 및 민간 부문 기관이 네트워크 또는 시스템의 약점을 감지하고 해결하는 데 사용할 수 있습니다. 이들은 위험 평가를 전문으로 하는 사이버 분야 전문가 역할을 합니다. 또한 CISA 비상 통신 조정관은 CISA 내 소통을 촉진하여 조직이 복잡한 공공 안전 통신 문제를 해결하는 데 도움을 줍니다.
이 가이드는 사이버 위험 평가 구조의 예를 제공하지만 사용 가능한 모든 리소스와 방법의 포괄적인 목록은 아닙니다. 특정 사고(예: 랜섬웨어 공격, 서비스 거부 공격, 네트워크/데이터베이스 침해)를 완화하기 위해 다양한 접근 방식이 권장될 수 있으며, 기타 평가를 통해 취약성에 대한 인식이 높아질 수 있습니다. 각 평가 단계에는 프로세스를 지원하는 관련 참고 자료가 함께 제공됩니다. 이 목록은 완전한 것이 아니며 조직이나 해당 제품에 대한 보증을 의미하지 않습니다.
공공 안전 기관은 사이버 위험 평가 개발을 위한 각 단계와 모범 사례에 대한 자세한 내용을 보려면 부록 A 위험 평가 단계별 유용한 리소스 및 부록 B 교육 및 리소스에 있는 자료들을 확인하는 것이 좋습니다. 공공 안전에 초점을 맞춘 추가 탄력성 자료들을 보려면 cisa.gov/publication/communications-resiliency를 방문하세요.
사이버 보안 위험평가의 단계는 무엇입니까?
1단계: 네트워크 자산 취약점 식별 및 문서화[4]
하드웨어, 소프트웨어, 인터페이스, 공급업체 액세스 및 서비스를 포함한 네트워크 구성 요소와 인프라를 특성화 하거나 목록화 하면 가능한 위협을 파악하는 데 도움이 됩니다. 예를 들어 내부 및 외부 사이버 프로세스, 내부 및 외부 인터페이스(기본 비밀번호 확인)를 고려하고, 데이터 복구 프로세스를 미리 결정하고, 각 시스템에 대한 접근을 검토합니다. 이 프로세스는 시스템 내에서 침해가 발생할 수 있는 위치를 이해하는 데도 도움이 될 수 있습니다.
표 1: 네트워크 자산 취약점을 식별하고 문서화하기 위한 사용자 정의 가능한 샘플 표
하드웨어/소프트웨어, 공급업체, 내부/외부 인터페이스, 액세스, 최종 업데이트 날짜
예시:
Hardware/Software: Email Platform
Vendor: Network System Provider
Internal/External: Both
Interfaces: 인터넷을 통해 여러 장비(Machines)가 광범위하게 연결됩니다.
Access: 모든 인원
Date of Last Update: 업데이트가 2021년 7월에 수행되었습니다; Version 12
Response time/Footprint: x시간 이내
Organization/Entity/Component:
Contact Information:
Date last reviewed/accessed (if applicable):
Response time/Footprint:
조직/기관/구성요소:
연락처 정보:
마지막으로 검토/접근한 날짜(해당하는 경우):
응답 시간/방식:
2단계: 사이버 위협 정보(Intelligence)의 소스 식별 및 사용[5]
일반적인 위협에는 보안 정보(Secure information)에 대한 무단 액세스, 승인된 사용자의 데이터 오용(Misuse), 조직 보안통제의 약점(Weaknesses) 등이 포함되지만 이에 국한되지는 않습니다.
표 2: 사이버 위협 정보 소스를 식별하고 문서화하기 위한 사용자 정의 가능한 샘플 표
사이버 위협/취약성 정보 출처
National Example: National Cyber Awareness System(미국 Computer Emergency Readiness Team [US-CERT] 경고(alerts)로 알려져 있음)
Website: us-cert.cisa.gov/ncas/alerts
국가기관 예시: CISA 알려진 악용 취약점 카탈로그
웹사이트: cisa.gov/known-exploited-vulnerability-catalog
국가기관 예시: InfraGard
웹사이트: infragard.org/
주(State) 기관 예시: 플로리다 정보 융합센터(Intelligence Fusion Center)
연락처 정보: FloridaFusionCenter@fdle.state.fl.us | (850) 410-7645
지방(Local) 기관 예시: 수도권(National Capital Region) 위협 정보 컨소시엄
연락처 정보: NTIC@dc.gov | (202) 727-6161
기타 예시: 다수 주(Multi-State) 정보(Information) 공유 및 분석 센터
연락처 정보: soc@msisac.org | (866) 787-4722
조직/기관/구성요소:
역할/책임:
연락처 정보: 이메일 | 전화 | 웹사이트
3단계: 내부 및 외부 위협 식별 및 문서화[6]
내부 소스도 사이버 태세에 큰 영향을 미칠 수 있으므로 위협은 조직 외부에만 있는 것이 아닙니다. 위협 소스는 조직 내부에서 발생할 수 있으므로 내부 프로세스와 기록을 식별하고 문서화하는 것이 중요합니다. (예: 네트워크 또는 하드웨어에 대한 관리 권한, 액세스 권한이 부여된 사용자의 활동 로그, 관리 서비스 공급자 또는 공급망 소프트웨어 공급업체의 도구에 대한 의존도) 실수로든 악의적인 의도로든 개인이 네트워크에 영향을 미칠 수 있습니다. 내부 및 외부 위협과 취약성을 모두 식별하고 문서화함으로써 조직은 시스템 침해를 예측하고 그에 따라 계획을 세울 수 있습니다. 예를 들어, 사이버 사고 대응 계획을 수립하고 지속적으로 유지하는 것이 좋습니다. 또한 사이버 인식을 극대화하고 지속적인 개선을 촉진하기 위한 훈련(training) 및 연습(exercise) 프로그램을 개발할 수도 있습니다.
사이버 침해의 몇 가지 일반적인 지표는 다음과 같습니다:
4단계: 잠재적인 임무(Potential Mission) 영향 식별[7]
정보 통신 기술은 중요한 인프라의 일상적인 운영과 기능에 필수적입니다. 이러한 기능이 악용되면 그 결과는 해당 기술이나 서비스의 모든 사용자에게 영향을 미칠 수 있으며 조직의 통제 범위를 벗어난 시스템에도 영향을 미칠 수 있습니다. 이 평가에서는 사이버 사고가 발생할 경우 모든 시스템 종속성과 공유 리소스에 대한 영향을 고려합니다. 이 단계는 공유 리소스 전반에 걸쳐 사이버 침해를 억제하는 데 매우 중요하며 대응 계획을 수립할 때 유용한 지침이 될 수 있습니다.
표 3: 종속성 및 공유 리소스를 식별하고 문서화하기 위한 사용자 정의 가능한 샘플 표
종속성 및 공유 리소스
Example: 공유 네트워크의 관할 파트너 또는 기관
Contact Information: example@example.gov | (XXX) XXX-XXXX
Role/Responsibility: 스펙트럼 공유
Response time/Footprint: x시간 이내
예시: 카운티 또는 주 정보 기술국
연락처 정보: example@example.gov | (XXX) XXX-XXXX
역할/책임: 도시 네트워크(municipal networks)의 적극적인 모니터링
응답 시간/방식: x시간 이내
예시: 통신 제공업체
연락처 정보: example@example.net | (XXX) XXX-XXXX
역할/책임: 연중무휴 24시간 서비스
응답 시간/방식: x시간 이내
제3자, 비기관 인프라 및 서비스 소유자의 이름:
연락처 정보: 이메일 | 전화 | 웹사이트
역할/책임:
응답 시간/방식:
5단계: 위협, 취약성, 가능성 및 영향을 활용하여 위험 판단[8]
위험은 사고 대응 계획을 수립할 때 지침이 되지만 조직 사이버 태세의 최종 상태는 아닙니다. 사이버 위험 평가는 한 번만 수행하기 위한 것이 아닙니다. 대신 평가는 조직의 사이버 조치를 지속적으로 결정하기 위한 것이며 새로운 기술과 방법이 사용 가능해지고 채택됨에 따라 지속적으로 개선되어야 합니다.
위험 수준을 정량화 할 때 다음을 포함하여 고려해야 할 몇 가지 사항이 있습니다.
그림 1: 위험 매트릭스 예시
(1단계 및 3단계 참조)
6단계: 위험 대응 식별 및 우선순위 지정[9]
공식적인 승인을 위한 위험 기반 의사 결정의 핵심 측면은 정보 시스템의 보안 및 개인정보 보호 태세(posture)와 해당 시스템에 사용할 수 있는 공통 통제를 이해하는 것입니다. 사이버 위험 평가에서 중요한 요소는 다양한 사이버 위협에 대응하기 위해 어떤 대응이 가능한지 아는 것입니다. 식별된 직원 및 그룹의 목록을 연락처 정보와 함께 유지하고 업데이트하는 것은 사이버 사고 후 대응 시간을 단축하는 데 매우 중요합니다.
표 4: 대응, 조사 및 복구 리소스를 식별하고 문서화하기 위한 맞춤형 표 예시
잠재적 대응, 조사 및 복구 리소스
Example: Texas Department of Information Services
Contact Information: datacenterservices@dir.texas.gov | (855) 275-3471
예시: CISA Central
연락처 정보: Central@cisa.gov | cisa.gov/central
예시: CISA 사이버 보안 고문(지역별)
연락처 정보: cisa.gov/cisa-regions
예시: US-CERT
연락처 정보: us-cert.cisa.gov/report | (888) 282-0870
예시: 연방수사국(FBI) 현장 사무소
연락처 정보: fbi.gov/contact-us/field-offices
예시: SWIC(주 전체 상호 운용성 조정자)
연락처 정보: example@example.gov | (555) 555-5555
조직/기관 이름
연락처 정보: 이메일 | 전화 | 웹사이트
부록 A: 위험 평가 단계별 유용한 리소스
위험 평가 1단계: 네트워크 자산 취약점 식별 및 문서화
위험 평가 2단계: 사이버 위협 정보(Intelligence) 소스 식별 및 사용
위험 평가 3단계: 내부 및 외부 위협 식별 및 문서화
위험 평가 4단계: 잠재적인 임무 영향 식별
위험 평가 5단계: 위협, 취약성, 가능성 및 영향을 활용하여 위험 결정
위험 평가 6단계: 위험 대응 식별 및 우선순위 지정
부록 B: 훈련 및 교육 자료
[1] CISA, “QSMO Services – Risk Assessment,” last accessed October 28, 2021. https://www.cisa.gov/qsmo-services-risk-assessment
[2] SAFECOM은 사이버 위험 평가의 핵심 단계에 대한 전체적인 관점을 제공하는 국가표준기술연구소(NIST) 사이버 보안 프레임워크(CSF)와 공공 안전 통신 및 사이버 복원력 도구들(Toolkit)과 함께 이 가이드를 사용할 것을 권장합니다. 이는 현재 탄력성 기능을 평가하고, 탄력성을 향상시키는 방법을 식별하고, 잠재적인 탄력성 위협의 영향을 완화하기 위한 계획을 개발하기 위한 리소스를 제공합니다. 이 문서는 NIST CSF에서 식별된 위험 평가 프로세스의 식별 기능을 따릅니다.
[3] 예를 들어, CISA의 공공 안전을 위한 사이버 탄력성 자료 자료표에는 사이버 보안 평가 도구(CSET®)와 연방 정부, 업계, 무역 협회에서 제공하는 기타 리소스가 강조되어 있습니다. 팩트 시트는 공공 안전 조직이 네트워크 사이버 보안 및 탄력성 기능을 결정하고 사이버 사고로부터 방어하는 능력을 향상시키는 방법을 식별하는 데 도움을 줍니다.
[4] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 26쪽
[5] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 26쪽
[6] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
[7] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
[8] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
[9] NIST. “중요 인프라 사이버 보안 개선을 위한 프레임워크, 버전 1.1,” 2018. https://doi.org/10.6028/nist.cswp.04162018. 27쪽
이 번역물은 한국정보보호인식 주식회사(Security Awareness Korea, Inc.)가 아래 영어 원문을 한국어로 번역한 것입니다. 이 한글 번역에는 오역이 있을 수 있으며 누구나 이 번역물을 자유롭게 사용할 수 있음을 알립니다.
https://www.cisa.gov/news-events/news/safecom-develops-cyber-risk-assessment-guide-public-safety
https://www.cisa.gov/sites/default/files/2023-02/22_1201_safecom_guide_to_cybersecurity_risk_assessment_508-r1.pdf
참고로, 미국 저작권법(U.S. Copyright Act)은 연방 정부의 저작물에 대해 미국의 저작권 보호를 받을 수 없다고 명시(아래)하고 있습니다. 즉 누구나 허가를 받거나 저작권료를 지불하지 않고도 (저작권의 의미에서) 자유롭게 사용할 수 있습니다.
105. Subject matter of copyright: United States Government works
Copyright protection under this title is not available for any work of the United States Government, but the United States Government is not precluded from receiving and holding copyrights transferred to it by assignment, bequest, or otherwise.