▣ 개요FBI, 사이버 공격 전문 포털 개설○ 미국 연방수사국인 FBI가 자국 내 기업들을 대상으로 한 사이버 위협 발생에 더욱 신속하게 대응하기 위해 전문 포털 사이트인 ‘아이가디언(iGuardian)’의 시범 운영을 개시- 민간 기업들, 사이버 공격 발생 사실을 온라인 포털을 통해 FBI에 보고- 아이가디언은 민간 기업들이 사이버 공격 및 위협 발생 사실을 인지한 즉시 온라인을 통해 보고할 수 있도록 하는 한편, 관련 정보 및 향후 대응책 등을 지원하기 위해 개발- 이번 시범 운영에는 약 5만 8,000개의 기업이 참여▣ 주요내용○ 보고된 정보는 19개 관련 공공기관들로 구성된 국가 사이버 조사 합동 태스크포스(Natioanl <strong>Cyber</strong> Investigative Joint Taskforce, NCI-JFT)팀이 접수- NCI-JFT는 접수된 정보를 기반으로 사이버 위협의 원인과 발생 경로를 추적하고, 해커들이 추후 공격가능한 취약점을 분석해 보완책 도출을 지원○ 아이가디언은 테러와 관련된 사이버 활동을 추적하기 위해 2009년부터 운영해왔던‘e가디언(eGuardian)’에서 파생- e가디언은 국방부(Department of Defense, DoD)와 연방정부, 주정부, 지자체 내 관련 기관들이공동으로 운영해 왔던 테러 관련 정보 저장소- 새롭게 구축된 포털을 통해 FIB는 더욱 상세한 공격 정보 및 패턴 파악이 가능해질 것으로 기대- 또한 FBI가 공격을 받은 기업명을 밝히지 않고도 사이버 공격 관련 분석 정보를 제공하는 것도 가능해질 전망○ 아울러 FBI는 아이가디언에 멀웨어 관련 정보 수집 및 분석 툴을 추가해 민간 부문에서활용할 수 있도록 할 예정- 아이가디언은 사이버 보안 사고 발생에 대한 보고 체계 표준화에도 기여- 맥필리 국장에 따르면 아이가디언의 보고 방식은 기존의 경찰 보고와 같이 사건 발생 경위와 시기를 중심으로 보고- 맥필리 국장은 기존에는 사이버 보안 침해 사고에 대한 정보는 기업이 임의적으로 FBI에 제공하거나FBI가 직접 조사를 통해 정보를 수집하는 방식이었기 때문에 통일된 정보 및 데이터 수집에 어려움이있었다고 설명- 그러나 아이가디언을 통해 FBI는 발생 경위 등이 동일한 형태로 구성된 사건 보고 및 정보를 획득할 수있다는 것- 맥필리 국장은 수많은 기업들은 각각 사이버 보안 관련 조직을 운영하고 있는 가운데, 아이가디언의 통합된 인터페이스를 통해 모든 산업 분야를 포괄하는 정보 공유 체계를 마련할 수 있을 것이라고 강조○ 아이가디언의 운영은 FBI와 민간 부문 간 협력과 의사 소통을 향상시키기 위한 통로로서도 큰 의미를 갖는 시도- 맥필리 국장은 FBI는 특히 사이버 보안과 관련해 민간 기업들과 좋은 파트너십을 형성하기 어려웠다는점을 시인- 이전에는 FBI 측에서 먼저 공격 사실을 발견하고 기업의 네트워크를 조사해 피해 사실을 기업 측에 알리는 수순으로 진행- 그러나 방법론이나 정보원 등 공개하기 민감한 사안들 때문에 피해자들에게 상세하게 정보를 제공할 수없었고, 민간 기업 차원에서는 FBI를 경계하는 경우가 많았다고 설명- 아이가디언은 FBI가 민간 부문과의 관계 개선 방안을 연구해 온 결과물로써, 민간과 정보 및 지식을 공유함으로써 사이버 위협으로부터 네트워크 보호 체계의 강화를 도모○ 한편, 민간 부문에서도 정보 공유를 통한 사이버 위협 대응 체계 강화의 중요성을 인지- 카네기멜론대학(Carnegie Mellon University) 소프트웨어 엔지니어부의 트로이 매턴(TroyMattern) 기술 부장은 최근 업계에서는 이러한 방식의 정보 공유 체계를 받아들이고 있는 양상이라고지적- 트로이 부장은 한쪽에서 특정 사건에 대한 발생 정황 정보를 제공하면 다른 한쪽이 문제 발생 원인 등을면밀히 분석하는 방식을 ‘분석적 공동 연구(analytic collaboration)’라고 일컫는데 민간 부문에서 이에 대한 관심이 높다고 설명Ⅰ. 월간 이슈- FBI의 범죄, 사이버, 대응 서비스국(Criminal, <strong>Cyber</strong>, Response Services Branch)의 릭 맥필리(Rick McFeely) 국장은 FBI는 이미 내부적으로 악성코드 분석력을 갖추고 있으며 이를 향후 2년 내에민간 부문에도 적용할 수 있도록 하기 위한 테스트 과정에 있음을 언급○ 공공 및 민간 부문에서 사이버 위협에 대한 보고 체계 표준화와 정보 공유의 중요성 대두[출처]1. FCW, “FBI launches cyber threat info-sharing platform”, 2013.7.302. Federal News Radio, “FBI launches iGuardian to standardize cyber threat data sharing”, 2013.7.313. Federal Times, “FBI launches cyberattack reporting portal for industry”, 2013.7.3010 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향Ⅰ. 월간 이슈 11
▣ 개요NIST, 대통령 행정명령에 따른 사이버보안 프레임워크 초안 공개○ 대통령 행정명령에 따라 사이버보안 프레임워크 구축 작업을 진행 중인 미국 표준기술연구소(National Institute of Standards and Technology, NIST)가 해당 프레임워크의 초안을 공개○ 각각의 기능에 따라 세부 항목이 제시되고, 이는 다시 하위 항목으로 구체화- 항목별로 필요한 정보 레퍼런스는 물론 표준, 실행안, 가이드라인 등도 함께 제시될 예정- 핵심 인프라 시스템 및 IT 재원 운영을 담당하는 조직 내에서도 각기 다른 지위 또는 부문을 3가지로 구분해 적용토록 지시- 즉, 프레임워크는 조직 내 고위 경영진, 비즈니스 프로세스 담당자, 운영 담당자 별로 다른 역할과 책임을 부여하는 것- 프레임워크의 구현은 각 부문 별로 3단계에 걸쳐 실행해 나가도록 제시Ⅰ. 월간 이슈- 지난 2월에 발표한 국가 핵심 인프라의 사이버보안 향상에 관한 행정명령에 사이버보안 네트워크 강화를 위한 프레임워크 작성이 핵심 내용으로 포함프레임워크 항목 구체화 작업 구조 및 구현 단계▣ 주요내용○ 행정명령에 의거해 미국 정부가 NIST에 사이버보안 프레임워크 개발을 요청함에 따라,NIST는 관련 이해 진영들과의 협조 아래 핵심 인프라 시설의 보호를 도모하기 위한 표준, 가이드라인, 최상의 실행안 등을 담은 프레임워크를 개발 중- 프레임워크 초안은 사이버보안 프레임워크의 전반적인 구조를 정의하고 프레임워크 적용 가이드라인을제시- 프레임워크의 구조는 ▲개괄(Executive Overview), ▲요약(Document Summary), ▲프레임워크활용 방법, ▲프레임워크의 위험 관리적 접근법, ▲프레임워크 전개 과정, ▲결론 등으로 구성- 그러나 프레임워크 초안은 NIST가 개발 중인 프레임워크의 구조와 틀을 공개함으로써 부족한 정보가무엇인지를 파악하기 위한 과정이기 때문에 표준이나 가이드라인 등의 상세 내용은 배제되어 있는 상황※ 출처 : NIST○ 이번 초안에서는 프레임워크를 통해 핵심 인프라 관련 조직 경영자들의 적극적인 참여와 관심을 이끌어내는데 초점을 맞춰야 한다고 강조- NIST에 따르면, 그 간 워크숍을 통해 사이버보안 프레임워크가 더욱 효과적으로 조직에 도입 및 활용되기 위해서는 핵심 인프라 관련 조직 경영자들의 적극적인 참여가 요구된다는 의견이 지속적으로 제기- NIST는 발표될 프레임워크의 도입부에서 인프라 관련 조직의 경영진들에게 사이버보안 프레임워크의목적, 필요성, 적용 등을 환기시키고, 관련 내용은 향후 프레임워크와는 별도로 구조화 작업을 걸쳐 독립적인 보고서 형태로 제공할 예정- 프레임워크는 사이버보안에 대한 조직의 접근법을 핵심적 기능(Functions)에 초점을 맞추도록 함으로써 고차원적이고 총체적인 관점에서 조직의 사이버보안 위협을 관리할 수 있는 툴을 제공- 초안에서 제시하고 있는 사이버보안의 핵심 기능으로 인지(Know), 예방(Prevent), 감지(Detect), 대응(Respond), 복구(Recover)를 제시▣ 향후 계획○ 프레임워크 구체화를 위해 관련 전문가들로부터 꾸준히 의견 수렴하여 2014년 초 최종완료○ NIST는 프레임워크 개발을 위해 정부, 산업, 학계 등 관련 이해 진영은 물론 일반 국민들로부터 피드백을 수용- 피드백 수용을 위해 먼저 NIST는 정보요청서(Request for Information, RFI)를 활용해 각 이해 진영의 수요 및 요구 사항, 관심 영역 등을 파악- RFI를 기반으로, NIST는 기존의 사이버보안 표준, 가이드라인, 프레임워크, 구체적 실행안 가운데 핵심 인프라 부문의 사이버보안 향상에 적용 가능한 항목이 무엇인지를 선별하고, 기존 프레임워크 대비개선점을 구체화하며, 실천을 위한 액션 플랜을 개발12 월간 「<strong>Cyber</strong> <strong>Security</strong> <strong>Issue</strong>」 8월 동향Ⅰ. 월간 이슈 13