2013.10.23

美 표준기술연구소, 기업 사이버보안 권고 발표

Grant Gross | IDG News Service
NIST에 따르면, 사이버보안 준비 수준을 개선하고자 하는 기업들은 리스크를 측정하고 자사 보안 격차를 해결하기 위한 방법을 최우선으로 두는 등 여러 가지 단계를 취할 수 있다.

NIST의 예비 사이버 보안 프레임워크는 사이버 공격을 방어하는데 정교함의 수준을 높이고 현재의 사이버 관행과 목표를 평가할 것을 기업에 요구하고 있다.

프레임워크 준수는 미국 기업에게 강요가 아닌 자발적인 것이며 문서의 아이디어 대부분은 기존의 사례에서 얻을 수 있다. 그러나 NIST 국장 패트릭 갤러거는 대부분의 기업은 권고의 일부를 채택해 사이버보안 노력을 향상시킬 수 있어야 한다고 말했다.

"사이버 위협이 중요한 인프라 사업에서 늘어나고 실제로 모든 기업 커뮤니티가 공식적으로 자사의 데이터 자산을 보호하기 위해 강력하고 검증된 방법을 필요로 한다는 데는 전혀 의심의 여지가 없다"라고 갤러거는 언론 브리핑에서 밝혔다. "우리는 사이버보안이 좋은 사업이라고 생각한다"라고 그는 덧붙였다.

프레임워크는 서로의 책임을 유지하기 위해 공조하는 기업들을 돕고, 사이버보안 노력의 성숙 정도를 측정하는 것을 도우며 보안 목표를 수립을 도울 수 있다고 그는 설명했다. 프레임워크는 기업들의 보안을 향상시켜줄 것이라고 갤러거는 주장했다.

"프레임워크가 하지 않는 것은 위협 교정을 제공하는 것이다"라고 갤러거는 말했다. "마법의 탄환같은 것은 여기에 없다. 이는 사이버 위험을 제거하는 약이 아니다. 프레임워크는 효과적인 리스크 관리에 관한 것이다"라고 그는 강조했다.

권고의 대부분은 다양한 기업이 채택할 만큼 유연성 면에서 독특하게 보이지 않을 수 있지만 문서는 NIST, 국제 사회 자동화(International Society of Automation), 국제 표준화기구(ISO) 등에서 많은 많은 표준들을 인용했다고 갤러거는 밝혔다. 이러한 표준들은 정보 보안 관리의 거의 모든 면을 커버한다”라고 그는 말했다.

"진짜 목적은 뭔가 새로운 것을 추가하는 게 아니다. 이것은 유용하고 확장가능하며 수용할 수 있는 무언가를 제공하기 위해 설계되었다"라고 그는 전했다.

미국 버락 오바마 대통령은 2월에 발표된 시행령에서 프레임워크의 자발적인 사이버보안 표준을 만들 것을 NIST에 지시했다. 화요일 발표된 NIST의 가이드라인은 지난 8월 발표된 문서를 업데이트한 것으로 이 기관은 내년 2월 프레임워크의 공식 버전을 내놓을 예정이다.

이 프레임워크에는 사이버보안 프로그램을 구현하거나 기존 것을 개선하기 위해 기업이 수행해야 하는 단계에 대한 권장 사항이 포함돼 있다. 이 문서는 사이버보안 준비 정도를 4단계로 분류하고 가장 낮은 단계를 기업이 공식화하지 않은 리스크 관리를 가지고 있는 상태로 정의했다.

가장 낮은 단계에서 리스크는 임시 방편으로 관리하며 때때로 공격이 들어올 때 대응하는 식으로 관리하는 수준이라고 프레임워크는 밝혔다. "사이버보안 활동의 우선순위는 주로 조직적인 위험 목적, 위협 환경 또는 비즈니스/업무 요구 사항에 의해 직접 통보할 수 없다"라고 프레임워크는 명시했다.

사이버보안 스펙트럼의 다른 쪽 끝에는 사이버보안 관행을 가진 기업들이 이전 사이버보안 활동에서 얻은 예측 지표와 교훈에 자사의 노력을 기반으로 한다고 프레임워크는 전했다. "지속적인 개선의 과정을 통해 조직은 적극적으로 변화하는 사이버보안 전망에 적응해야 한다"라고 프레임워크는 밝혔다.

NIST 프레임워크 개발에는 3,000명 이상의 사람들이 참여했다고 갤러거는 전했다. NIST는 오는 11월 14일과 15일 노스 캐롤라이나 주립대학에서 워크숍을 개최하며 갤러거는 내년 2월 발표될 프레임워크의 공식 버전이 앞으로 계속 발전할 것으로 기대했다. ciokr@idg.co.kr



2013.10.23

美 표준기술연구소, 기업 사이버보안 권고 발표

Grant Gross | IDG News Service
NIST에 따르면, 사이버보안 준비 수준을 개선하고자 하는 기업들은 리스크를 측정하고 자사 보안 격차를 해결하기 위한 방법을 최우선으로 두는 등 여러 가지 단계를 취할 수 있다.

NIST의 예비 사이버 보안 프레임워크는 사이버 공격을 방어하는데 정교함의 수준을 높이고 현재의 사이버 관행과 목표를 평가할 것을 기업에 요구하고 있다.

프레임워크 준수는 미국 기업에게 강요가 아닌 자발적인 것이며 문서의 아이디어 대부분은 기존의 사례에서 얻을 수 있다. 그러나 NIST 국장 패트릭 갤러거는 대부분의 기업은 권고의 일부를 채택해 사이버보안 노력을 향상시킬 수 있어야 한다고 말했다.

"사이버 위협이 중요한 인프라 사업에서 늘어나고 실제로 모든 기업 커뮤니티가 공식적으로 자사의 데이터 자산을 보호하기 위해 강력하고 검증된 방법을 필요로 한다는 데는 전혀 의심의 여지가 없다"라고 갤러거는 언론 브리핑에서 밝혔다. "우리는 사이버보안이 좋은 사업이라고 생각한다"라고 그는 덧붙였다.

프레임워크는 서로의 책임을 유지하기 위해 공조하는 기업들을 돕고, 사이버보안 노력의 성숙 정도를 측정하는 것을 도우며 보안 목표를 수립을 도울 수 있다고 그는 설명했다. 프레임워크는 기업들의 보안을 향상시켜줄 것이라고 갤러거는 주장했다.

"프레임워크가 하지 않는 것은 위협 교정을 제공하는 것이다"라고 갤러거는 말했다. "마법의 탄환같은 것은 여기에 없다. 이는 사이버 위험을 제거하는 약이 아니다. 프레임워크는 효과적인 리스크 관리에 관한 것이다"라고 그는 강조했다.

권고의 대부분은 다양한 기업이 채택할 만큼 유연성 면에서 독특하게 보이지 않을 수 있지만 문서는 NIST, 국제 사회 자동화(International Society of Automation), 국제 표준화기구(ISO) 등에서 많은 많은 표준들을 인용했다고 갤러거는 밝혔다. 이러한 표준들은 정보 보안 관리의 거의 모든 면을 커버한다”라고 그는 말했다.

"진짜 목적은 뭔가 새로운 것을 추가하는 게 아니다. 이것은 유용하고 확장가능하며 수용할 수 있는 무언가를 제공하기 위해 설계되었다"라고 그는 전했다.

미국 버락 오바마 대통령은 2월에 발표된 시행령에서 프레임워크의 자발적인 사이버보안 표준을 만들 것을 NIST에 지시했다. 화요일 발표된 NIST의 가이드라인은 지난 8월 발표된 문서를 업데이트한 것으로 이 기관은 내년 2월 프레임워크의 공식 버전을 내놓을 예정이다.

이 프레임워크에는 사이버보안 프로그램을 구현하거나 기존 것을 개선하기 위해 기업이 수행해야 하는 단계에 대한 권장 사항이 포함돼 있다. 이 문서는 사이버보안 준비 정도를 4단계로 분류하고 가장 낮은 단계를 기업이 공식화하지 않은 리스크 관리를 가지고 있는 상태로 정의했다.

가장 낮은 단계에서 리스크는 임시 방편으로 관리하며 때때로 공격이 들어올 때 대응하는 식으로 관리하는 수준이라고 프레임워크는 밝혔다. "사이버보안 활동의 우선순위는 주로 조직적인 위험 목적, 위협 환경 또는 비즈니스/업무 요구 사항에 의해 직접 통보할 수 없다"라고 프레임워크는 명시했다.

사이버보안 스펙트럼의 다른 쪽 끝에는 사이버보안 관행을 가진 기업들이 이전 사이버보안 활동에서 얻은 예측 지표와 교훈에 자사의 노력을 기반으로 한다고 프레임워크는 전했다. "지속적인 개선의 과정을 통해 조직은 적극적으로 변화하는 사이버보안 전망에 적응해야 한다"라고 프레임워크는 밝혔다.

NIST 프레임워크 개발에는 3,000명 이상의 사람들이 참여했다고 갤러거는 전했다. NIST는 오는 11월 14일과 15일 노스 캐롤라이나 주립대학에서 워크숍을 개최하며 갤러거는 내년 2월 발표될 프레임워크의 공식 버전이 앞으로 계속 발전할 것으로 기대했다. ciokr@idg.co.kr

X