Offcanvas

���������

방위사업체가 알아야 할 '사이버보안 성숙도 모델 인증'이란?

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

컴플라이언스 방위산업 Cybersecurity Maturity Model Certification CMMC 사이버보안 공급망 SCM 국방성 CISO CSO 사이버보안 성숙도 모델 인증

2020.04.10

사이버보안 성숙도 모델 인증(Cybersecurity Maturity Model Certification, CMMC)은 공급망 내 30만 곳 이상의 회사를 거느린 DIB(Defense Innovation Board, 미국 국방 혁신 위원회) 전반에 걸쳐 사이버보안을 구현하는 통일 표준이다. CMMC는 미국 국방성이 방위사업체의 정보시스템에 있는 국방 기밀 정보의 심각한 훼손에 대처하는 수단이다.    미국 국방성은 2020년 1월 31일 CMMC 1.0 버전을 발표했다. 초안은 주로 대학부설연구센터(University Affiliated Research Centers, UARCs), 연방출연연구개발센터(Federally Funded Research and Development Centers, FFRDCs), 업계의 참여로 만들어졌다.  과거, 방위 산업체는 자신의 IT시스템과 시스템에 저장되어 있거나 송수신되는 국방성 기밀 정보의 보안을 구현하고 모니터하고 인증할 책임이 있었다. 방위사업체는 여전히 필수적 사이버보안 요건을 구현할 책임이 있지만, CMMC는 일종의 패러다임 변화이다. 이는 적국으로부터의 새롭고 진화하는 사이버 위협에 적응할 수 있는 특정한 의무적 관행, 절차 및 능력에 방위산업체가 부합하는지를 제3자가 평가하도록 의무화한다.   국방성 방위사업체는 어떤 조처를 해야 하나?  국방성 방위 산업체는 CMMC의 기술적 요건을 즉시 숙지하고, 인증뿐 아니라, 장기적인 사이버보안 기민성을 준비해야 한다. CMMC 평가가 시행되는 방식과 평가에 이의를 제기하는 방법에 관한 상세 정보가 조만간 예정되어 있다. 국방성 계약 업체가 자신의 관행, 절차, 공백을 이미 평가하기 시작했다면, 위 상세 정보가 최종적으로 마무리될 때 인증 프로세스를 검토하고, 향후 프로젝트를 위해 강제적인 CMMC 계약 규정을 준수하는데 유리한 입장에 있을 것이다.  국방성 조달 및 지속 차관실은 CMMC FAQ를 유지하고...

2020.04.10

MS가 '100억 달러' 미 국방성 클라우드 사업을 따낸 진짜 이유

미 국방성이 미군의 클라우드 사용을 혁신할 공동 엔터프라이즈 방어 인프라(JEDI) 프로젝트를 위해 발주한 10년짜리 100억 달러 규모의 계약이 마이크로소프트에 돌아가면서 IT 업계와 정계 전반에 놀라움을 안겼다. 당초 입찰에 참여했던 아마존, IBM, 오라클, 구글 중 아마존의 수주 가능성이 가장 크게 점쳐졌기 때문이다. 아마존은 이미 미국 중앙정보국(CIA)의 클라우드 시스템을 구축한 세계 최대 클라우드 제공업체다. 마이크로소프트가 계약을 따내자, 많은 사람이 트럼프 대통령이 아마존 창립자 겸 CEO이자 워싱턴 포스트의 소유주이기도 한 제프 베조스에게 늘 비판적인 점을 들어 아마존이 수주 못 하게 개입했을 것이란 추측을 했다. 트럼프가 이 계약에서 아마존을 배제하고 싶어 했다는 주장이 실린 전 국방장관 짐 매티스의 연설문 작성자가 출간한 책도 이런 분석을 뒷받침했다. 아마존도 강력하게 반발하고 있다. 기술적이나 군사적 이유가 아닌 정치적 이유로 내려진 결정이므로 수긍할 수 없다는 공식 입장을 내놓았다. 아마존 대변인 드류 허드너는 “미국 정부와 선출 지도자가 조달 업무를 객관적으로 정치적 영향에 휘둘리지 않고 집행하는 것은 국가를 위해 매우 중요하다. JEDI 심사 절차의 많은 부분에 확실한 결점과 오류, 명백한 편견이 포함돼 있었다. 이러한 문제를 조사해서 바로잡는 것이 중요하다”라고 말했다. 트럼프 대통령이 아마존 대신 마이크로소프트를 선택하도록 적극적으로 개입했는지는 확실치 않다. 대신 분명한 것은 마이크로소프트가 과거처럼 윈도우(Windows)의 힘을 이용해 다른 시장으로 밀고 들어가는 방식을 통해 스스로 선택받을 가능성을 높였다는 점이다. 수십 년 전, 마이크로소프트는 그런 방식으로 워드 프로세싱과 스프레드시트, 프레젠테이션 소프트웨어 등의 시장에서 경쟁자를 싹 밀어내는 데 성공했다. 최근에는 이런 술책이 통하지 않았다. 마이크로소프트의 핵심도 더는 윈도우가 아니라 클라우드다. 반면, 이번 마이크로소프트 JEDI 수주에는 윈도우가 도움...

클라우드 아마존 마이크로소프트 국방성

2019.12.06

미 국방성이 미군의 클라우드 사용을 혁신할 공동 엔터프라이즈 방어 인프라(JEDI) 프로젝트를 위해 발주한 10년짜리 100억 달러 규모의 계약이 마이크로소프트에 돌아가면서 IT 업계와 정계 전반에 놀라움을 안겼다. 당초 입찰에 참여했던 아마존, IBM, 오라클, 구글 중 아마존의 수주 가능성이 가장 크게 점쳐졌기 때문이다. 아마존은 이미 미국 중앙정보국(CIA)의 클라우드 시스템을 구축한 세계 최대 클라우드 제공업체다. 마이크로소프트가 계약을 따내자, 많은 사람이 트럼프 대통령이 아마존 창립자 겸 CEO이자 워싱턴 포스트의 소유주이기도 한 제프 베조스에게 늘 비판적인 점을 들어 아마존이 수주 못 하게 개입했을 것이란 추측을 했다. 트럼프가 이 계약에서 아마존을 배제하고 싶어 했다는 주장이 실린 전 국방장관 짐 매티스의 연설문 작성자가 출간한 책도 이런 분석을 뒷받침했다. 아마존도 강력하게 반발하고 있다. 기술적이나 군사적 이유가 아닌 정치적 이유로 내려진 결정이므로 수긍할 수 없다는 공식 입장을 내놓았다. 아마존 대변인 드류 허드너는 “미국 정부와 선출 지도자가 조달 업무를 객관적으로 정치적 영향에 휘둘리지 않고 집행하는 것은 국가를 위해 매우 중요하다. JEDI 심사 절차의 많은 부분에 확실한 결점과 오류, 명백한 편견이 포함돼 있었다. 이러한 문제를 조사해서 바로잡는 것이 중요하다”라고 말했다. 트럼프 대통령이 아마존 대신 마이크로소프트를 선택하도록 적극적으로 개입했는지는 확실치 않다. 대신 분명한 것은 마이크로소프트가 과거처럼 윈도우(Windows)의 힘을 이용해 다른 시장으로 밀고 들어가는 방식을 통해 스스로 선택받을 가능성을 높였다는 점이다. 수십 년 전, 마이크로소프트는 그런 방식으로 워드 프로세싱과 스프레드시트, 프레젠테이션 소프트웨어 등의 시장에서 경쟁자를 싹 밀어내는 데 성공했다. 최근에는 이런 술책이 통하지 않았다. 마이크로소프트의 핵심도 더는 윈도우가 아니라 클라우드다. 반면, 이번 마이크로소프트 JEDI 수주에는 윈도우가 도움...

2019.12.06

미군, 로봇 이용해 실전 같은 사격 훈련한다

실제 전장에서는 볼 수 없겠지만, 미 해군의 사격 훈련장에서는 사용되고 있다. 바로 사격 훈련용 로봇이다. 미국 해군은 최근 병사의 전투력을 높이기 위해 바퀴 4개가 달린 로봇을 사용하는 방안을 테스트했다. 이 로봇은 기존 사격 훈련에 사용하던 종이 타겟지를 대신한다. 벽과 건물 뒤에서 등장하기 때문에 더 현실적인 훈련 환경을 제공한다. 자동화된 인간형 로봇 목표물이 로봇이 사격장에서 이동하고 있다. (이미지 출처 : John Baker/미 국방성) 외양은 다소 별스럽다. 마치 기계장치를 몸에 이식한 듯한 마네킹의 상반신이다. 하지만 외모와 달리 다양한 기술이 적용됐다. 이 로봇은 GPS 안내 시스템을 사용한다. 레이저를 이용해 최대 25m 밖에 있는 장애물까지 인식해 피한다. 노트북으로 원격에서 조종할 수 있고, 사격자의 총알이 언제, 어디서 명중했는지 데이터를 제공한다. 토마스 세리카 병장이 로봇을 향해 사격 하고 있다. (이미지 출처 : John Baker/미 국방성) 미 국방성은 이 로봇을 이용한 훈련 영상을 공개했다. 사격을 받으면 로봇 상반신 부분이 비스듬하게 기울어진다. 제1 해병사단이 캘리포니아 펜들턴 기지에서 테스트했는데, 첫 반응은 호의적이었다. 가장 흥미로운 것은 내구성이다. 제조사는 수천 발을 맞아도 골격을 유지하며 작동한다고 밝혔다. 이 로봇을 이용한 훈련 동영상은 이 링크에서 볼 수 있다. ciokr@idg.co.kr

국방성 로봇 미군

2016.03.03

실제 전장에서는 볼 수 없겠지만, 미 해군의 사격 훈련장에서는 사용되고 있다. 바로 사격 훈련용 로봇이다. 미국 해군은 최근 병사의 전투력을 높이기 위해 바퀴 4개가 달린 로봇을 사용하는 방안을 테스트했다. 이 로봇은 기존 사격 훈련에 사용하던 종이 타겟지를 대신한다. 벽과 건물 뒤에서 등장하기 때문에 더 현실적인 훈련 환경을 제공한다. 자동화된 인간형 로봇 목표물이 로봇이 사격장에서 이동하고 있다. (이미지 출처 : John Baker/미 국방성) 외양은 다소 별스럽다. 마치 기계장치를 몸에 이식한 듯한 마네킹의 상반신이다. 하지만 외모와 달리 다양한 기술이 적용됐다. 이 로봇은 GPS 안내 시스템을 사용한다. 레이저를 이용해 최대 25m 밖에 있는 장애물까지 인식해 피한다. 노트북으로 원격에서 조종할 수 있고, 사격자의 총알이 언제, 어디서 명중했는지 데이터를 제공한다. 토마스 세리카 병장이 로봇을 향해 사격 하고 있다. (이미지 출처 : John Baker/미 국방성) 미 국방성은 이 로봇을 이용한 훈련 영상을 공개했다. 사격을 받으면 로봇 상반신 부분이 비스듬하게 기울어진다. 제1 해병사단이 캘리포니아 펜들턴 기지에서 테스트했는데, 첫 반응은 호의적이었다. 가장 흥미로운 것은 내구성이다. 제조사는 수천 발을 맞아도 골격을 유지하며 작동한다고 밝혔다. 이 로봇을 이용한 훈련 동영상은 이 링크에서 볼 수 있다. ciokr@idg.co.kr

2016.03.03

미 국방성, 윈도우 10 전면 도입··· 400만대 규모 연내 전환 예정

미국 국방성이 사용하는 컴퓨터 400만 대를 윈도우 10으로 표준화한다. 윈도우 10 확산에 사활을 걸고 있는 마이크로소프트에도 큰 도움이 될 전망이다. 이번 발표는 기업시장에서 단일 조직이 윈도우 10을 도입하는 것으로는 사상 최대 규모다. 국방부는 연내에 조직 내 모든 컴퓨터의 운영체제를 윈도우 10으로 교체할 계획이다. 이러한 일정 계획은 국방부의 규모를 감안하면 이례적으로 빠른 것이다. 특히 윈도우 10은 출시된 지 1년도 되지 않았다. 이번 결정은 IT 인프라를 단순화하기 위한 것이다. 최근 들어 디지털 공격을 방어하기 위한 수단 중 하나로 '인프라 단순화'가 점점 중요해지고 있다. 이번 국방부의 결정은 미국 정부가 윈도우 10을 얼마나 신뢰하고 있는지를 잘 보여준다. 윈도우 10 도입을 검토하는 다른 기업에도 상징적인 신호가 될 것으로 보인다. 그러나 이번 전환을 위해 국방부가 얼마를 마이크로소프트에 지급하는 지는 알려지지 않았다. 국방부의 IT/사이버 보안 예산은 연 440억 달러 정도다. 또 하나 주목해야 할 것은 마이크로소프트가 서피스 제품군에 대한 미 국방성의 보안/호환성 인증을 받았다는 점이다. 태블릿을 공공기관에 납품하기 더 쉬워졌다는 의미다. 당장 이번 국방부의 대대적인 윈도우 10 업그레이드 과정에서 서피스 제품 판매가 늘어날 가능성이 있다. 마이크로소프트는 2018년 여름까지 전 세계적으로 윈도우 10 기기를 10억 대 확보하는 것을 목표로 제시했다. 이번에 국방부가 400만 대 규모로 윈도우 10을 도입하면서 한 번에 상당한 성과를 내게 됐다. 시장조사업체 가트너는 전체 기업의 절반 정도가 올해 윈도우 10 전환을 시작할 것으로 전망한다. 마이크로소프트의 '윈도우 10기기 10억대 확보' 목표가 점점 현실화되고 있다. ciokr@idg.co.kr

마이크로소프트 국방성 윈도우 10

2016.02.18

미국 국방성이 사용하는 컴퓨터 400만 대를 윈도우 10으로 표준화한다. 윈도우 10 확산에 사활을 걸고 있는 마이크로소프트에도 큰 도움이 될 전망이다. 이번 발표는 기업시장에서 단일 조직이 윈도우 10을 도입하는 것으로는 사상 최대 규모다. 국방부는 연내에 조직 내 모든 컴퓨터의 운영체제를 윈도우 10으로 교체할 계획이다. 이러한 일정 계획은 국방부의 규모를 감안하면 이례적으로 빠른 것이다. 특히 윈도우 10은 출시된 지 1년도 되지 않았다. 이번 결정은 IT 인프라를 단순화하기 위한 것이다. 최근 들어 디지털 공격을 방어하기 위한 수단 중 하나로 '인프라 단순화'가 점점 중요해지고 있다. 이번 국방부의 결정은 미국 정부가 윈도우 10을 얼마나 신뢰하고 있는지를 잘 보여준다. 윈도우 10 도입을 검토하는 다른 기업에도 상징적인 신호가 될 것으로 보인다. 그러나 이번 전환을 위해 국방부가 얼마를 마이크로소프트에 지급하는 지는 알려지지 않았다. 국방부의 IT/사이버 보안 예산은 연 440억 달러 정도다. 또 하나 주목해야 할 것은 마이크로소프트가 서피스 제품군에 대한 미 국방성의 보안/호환성 인증을 받았다는 점이다. 태블릿을 공공기관에 납품하기 더 쉬워졌다는 의미다. 당장 이번 국방부의 대대적인 윈도우 10 업그레이드 과정에서 서피스 제품 판매가 늘어날 가능성이 있다. 마이크로소프트는 2018년 여름까지 전 세계적으로 윈도우 10 기기를 10억 대 확보하는 것을 목표로 제시했다. 이번에 국방부가 400만 대 규모로 윈도우 10을 도입하면서 한 번에 상당한 성과를 내게 됐다. 시장조사업체 가트너는 전체 기업의 절반 정도가 올해 윈도우 10 전환을 시작할 것으로 전망한다. 마이크로소프트의 '윈도우 10기기 10억대 확보' 목표가 점점 현실화되고 있다. ciokr@idg.co.kr

2016.02.18

퇴역 군인이 말하는 기업보안의 시크릿

이번 주 열린 인터롭(Interop)에서 전임 군사 보안 전문가가 청중들에게 “기업들도 군대처럼 보안을 신경 써야 하고 전쟁에서 군사 기밀이 얼마나 유용했는지를 입증한 전략에서 이익을 얻을 수 있다”라고 강조했다.   “이것은 체스 시합과 같다.” 미군의 글로벌 네트워크 운영 및 보안센터를 담당했던 퇴역 대령 출신 바리 헨슬리의 말이다. 헨슬리는 현재 델에서 보안을 담당하는 부서(SecureWorks’ Counter Threat Unit)의 부사장이다. 헨슬리는 청중들에게 “여러분들은 네트워크를 차단할 수 있습니까? 아마 못할 것입니다. 그렇다면, 네트워크를 방어할 수는 있습니까? 네, 그건 할 수 있습니다”라고 말했다.   헨슬리는 OODA(Observe, Orient, Decide and Act)라고 하는 전쟁 콘셉트를 사용할 것을 추천했다. OODA는 공격을 신속하게 탐지하기 위한 비즈니스 프레임워크를 제공한다. “적이 공격하기 전에 당신이 OODA를 할 수 있다면, 나는 당신이 네트워크를 방어할 수 있다고 믿는다”라고 헨슬리는 말했다.   적군이 계획하는 네트워크 공격은 군대에서 명령을 내리는 사람은 군대가 개입하기 전에 사령관이 전쟁에서 운영 준비라고 부르는 일들을 준비해야 한다. 사령관은 네트워크로 여러 나라로 전송할 준비를 해야 하며, 공격 대상 국가에서 사이버 훈련으로 침투할 네트워크를 구축하고 있다.   이러한 훈련의 목적은 기회의 순간을 고려할 때, 어떤 형태의 공격을 추진하는 공간을 갖는 것이다. “기업은 가능한 많은 네트워크에 발판을 마련해야 한다. 그래야 선택한 때와 장소에 맞게 적절하게 사용할 수 있다”라고 헨슬리는 말했다.   “아날로그 방식은 국제적인 사이...

정보보호 CISO 국방성 DDoS 해커

2011.05.12

이번 주 열린 인터롭(Interop)에서 전임 군사 보안 전문가가 청중들에게 “기업들도 군대처럼 보안을 신경 써야 하고 전쟁에서 군사 기밀이 얼마나 유용했는지를 입증한 전략에서 이익을 얻을 수 있다”라고 강조했다.   “이것은 체스 시합과 같다.” 미군의 글로벌 네트워크 운영 및 보안센터를 담당했던 퇴역 대령 출신 바리 헨슬리의 말이다. 헨슬리는 현재 델에서 보안을 담당하는 부서(SecureWorks’ Counter Threat Unit)의 부사장이다. 헨슬리는 청중들에게 “여러분들은 네트워크를 차단할 수 있습니까? 아마 못할 것입니다. 그렇다면, 네트워크를 방어할 수는 있습니까? 네, 그건 할 수 있습니다”라고 말했다.   헨슬리는 OODA(Observe, Orient, Decide and Act)라고 하는 전쟁 콘셉트를 사용할 것을 추천했다. OODA는 공격을 신속하게 탐지하기 위한 비즈니스 프레임워크를 제공한다. “적이 공격하기 전에 당신이 OODA를 할 수 있다면, 나는 당신이 네트워크를 방어할 수 있다고 믿는다”라고 헨슬리는 말했다.   적군이 계획하는 네트워크 공격은 군대에서 명령을 내리는 사람은 군대가 개입하기 전에 사령관이 전쟁에서 운영 준비라고 부르는 일들을 준비해야 한다. 사령관은 네트워크로 여러 나라로 전송할 준비를 해야 하며, 공격 대상 국가에서 사이버 훈련으로 침투할 네트워크를 구축하고 있다.   이러한 훈련의 목적은 기회의 순간을 고려할 때, 어떤 형태의 공격을 추진하는 공간을 갖는 것이다. “기업은 가능한 많은 네트워크에 발판을 마련해야 한다. 그래야 선택한 때와 장소에 맞게 적절하게 사용할 수 있다”라고 헨슬리는 말했다.   “아날로그 방식은 국제적인 사이...

2011.05.12

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.13