NIST 사이버 보안 프레임워크 퀵 가이드, NIST SP 1271

 

NIST SP 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide

 


1. NIST 사이버 보안 프레임워크란?

 

The NIST Cybersecurity Framework can help an organization begin or improve their cybersecurity program. Built off of practices that are known to be effective, it can help organizations improve their cybersecurity posture. It fosters communication among both internal and external stakeholders about cybersecurity, and for larger organizations, helps to better integrate and align cybersecurity risk management with broader enterprise risk management processes as described in the NISTIR 8286 series.

NIST 사이버 보안 프레임워크는 조직이 사이버 보안 프로그램을 시작하거나 개선하는데 도움을 준다. 사이버 보안 프레임워크는 효과적인 것으로 알려진 사례를 바탕으로 제작하였기 때문에 조직의 사이버 보안 상황을 개선하는데 도움을 줄 수 있다. 사이버 보안 프레임워크는 내•외부 이행관계자들 사이에서 사이버 보안에 대한 소통을 촉진한다. 더 큰 규모의 조직에서는 사이버 보안 위험 관리와 엔터프라이즈 위험 관리 프로세스(NISTIR 8286)를 통합하고 조율하는데 도움을 준다.

The Framework is organized by five key Functions – Identify, Protect, Detect, Respond, Recover. These five widely understood terms, when considered together, provide a comprehensive view of the lifecycle for managing cybersecurity risk over time. The activities listed under each Function may offer a good starting point for your organization:

사이버 보안 프레임워크는 다섯 가지 핵심 기능(식별, 보호, 탐지, 대응, 복구)들로 구성된다. 널리 통용되는 다섯 가지 개념은 사이버 보안 위험 관리에 대한 라이프사이클을 종합적으로 보여준다. 조직에서는 각 기능들에 나열된 활동들부터 시작하면 좋을 것이다.

 


2. 식별 – IDENTIFY

 

Develop an organizational understanding to manage cybersecurity risk to: systems, assets, data, and capabilities.

시스템, 자산, 데이터 및 기술에 대한 사이버 보안 위험을 관리하기 위해 조직의 이해를 증진한다.

 

2.1. 중요한 프로세스 및 자산 식별

 

What are your enterprise’s activities that absolutely must continue in order to be viable? For example, this could be maintaining a website to retrieve payments, protecting customer/patient information securely, or ensuring that the information your enterprise collects remains accessible and accurate.

조직의 생존을 위해 반드시 지속되어야 하는 활동들은 무엇인가? 예를 들어, 웹사이트 유지보수, 고객/환자 정보 보호, 수집 정보의 무결성 및 가용성 보장 등이 될 수 있다.

 

2.2. 정보 흐름 문서화

 

It’s important to not only understand what type of information your enterprise collects and uses, but also to understand where the data is located and and how it is used, especially where contracts and external partners are engaged.

조직에서 수집하고 사용하는 정보의 유형을 파악해야 한다. 또한, 데이터가 어디에 어떻게 사용되는지 , 특히 정보를 위탁/제공하는 곳을 파악하는 것이 중요하다.

 

2.3. 하드웨어 및 소프트웨어 인벤토리 관리

 

It’s important to have an understanding of the computers and software in your enterprise because these are frequently the entry points of malicious actors. This inventory could be as simple as a spreadsheet.

조직의 컴퓨터 및 소프트웨어를 파악하는 것이 중요하다. 컴퓨터 및 소프트웨어가 악의적인 공격의 입구가 되는 경우가 잦기 때문이다. 인벤토리는 스프레드시트로 관리할 수도 있다.

 

2.4. 사이버 보안 정책(역할과 책임 포함) 수립

 

These policies and procedures should clearly describe your expectations for how cybersecurity activities will protect your information and systems, and how they support critical enterprise processes. Cybersecurity policies should be integrated with other enterprise risk considerations (e.g., financial, reputational).

정책과 절차는 보안 활동이 정보/시스템을 어떻게 보호할 것인지, 조직의 중요한 프로세스를 어떻게 지원할 것인지를 명확하게 기술해야 한다. 보안 정책을 조직의 다른 위험 고려사항(재정, 평판 등)과 통합해야 한다.

 

2.5. 자산에 대한 위협, 취약점, 위험 식별

 

Ensure risk management processes are established and managed to ensure internal and external threats are identified, assessed, and documented in risk registers. Ensure risk responses are identified and prioritized, executed, and results monitored.

위험 관리 프로세스를 수립하고 관리해야 한다.  내/외부 위협을 식별, 평가, 문서화해야 한다. 위험 대응을 식별, 우선순위 설정, 실행하고, 결과를 모니터링해야 한다.

 


3. 보호 – PROTECT

 

Develop and implement the appropriate safeguards to ensure delivery of services.

서비스 제공을 보증하기 위해 적절한 보안 대책을 개발하고 구현한다.

 

3.1. 자산 및 정보에 대한 액세스 관리

 

Create unique accounts for each employee and ensure that users only have access to information, computers, and applications that are needed for their jobs. Authenticate users (e.g., passwords, multi-factor techniques) before they are granted access to information, computers, and applications. Tightly manage and track physical access to devices.

직원별로 유니크한 계정을 생성해야 하고, 사용자는 업무에 필요한 정보·컴퓨터·애플리케이션에만 액세스하게 해야 한다. 비밀번호, 다중 인증 기술 등으로 사용자를 인증해야 한다. 그 후, 정보·컴퓨터·애플리케이션에 대한 액세스를 허가해야 한다. 디바이스에 대한 물리적 액세스를 강력하게 관리하고 추적해야 한다.

 

3.2. 민감 데이터 보호

 

If your enterprise stores or transmits sensitive data, make sure that this data is protected by encryption both while it’s stored on computers as well as when it’s transmitted to other parties. Consider utilizing integrity checking to ensure only approved changes to the data have been made. Securely delete and/or destroy data when it’s no longer needed or required for compliance purposes.

민감한 데이터를 저장 또는 전송하는 조직에서는 데이터를 컴퓨터에 저장하거나, 데이터를 다른 조직으로 전송할 때 암호화를 통해 데이터를 보호해야 한다. 데이터에 대한 승인된 변경만 수행되는지 보증하기 위해 무결성 점검을 활용하는 것을 고려해야 한다. 데이터가 더 이상 필요하지 않거나, 법령에서 요구하면, 데이터를 안전하게 삭제하거나 파기해야 한다.

 

3.3. 정기적인 백업 수행

 

Many operating systems have built-in backup capabilities; software and cloud solutions are also available that can automate the backup process. A good practice is to keep one frequently backed up set of data offline to protect it against ransomware.

다수 운영체제에는 백업 기능을 포함하고 있다. 백업 기능은 소프트웨어 또는 클라우드 솔루션일 수 있으며, 백업 프로세스를 자동화할 수 있다. 랜섬웨어에 대응하기 위해 정기 백업 한 본을 오프라인에 보관하는 것이 좋다.

 

3.4. 디바이스 보호

 

Consider installing hostbased firewalls and other protections such as endpoint security products. Apply uniform configurations to devices and control changes to device configurations. Disable device services or features that are not necessary to support mission functions. Ensure that there is a policy and that devices are disposed of securely.

호스트 기반 방화벽 및 엔드포인트 보안 제품 등을 설치하는 것을 검토해야 한다. 디바이스에 균일한 설정을 적용하고, 디바이스 설정 변경을 통제해야 한다. 임무를 지원하는데 필요하지 않은 디바이스의 서비스 및 기능을 비활성화해야 한다. 디바이스 폐기 정책을 수립하고, 디바이스를 안전하게 폐기해야 한다.

 

3.5. 디바이스 취약점 관리

 

Regularly update both the operating system and applications that are installed on your computers and other devices to protect them from attack. If possible, enable automatic updates. Consider using software tools to scan devices for additional vulnerabilities; remediate vulnerabilities with high likelihood and/or impact.

컴퓨터 및 기타 디바이스에 설치된 운영체제와 애플리케이션을 정기적으로 업데이트하여 공격에서 보호해야 한다. 가능하면, 자동 업데이트를 활성화해야 한다. 더 많은 취약점을 찾아내기 위해 디바이스를 스캔하는 소프트웨어 도구의 사용을 검토해야 한다. 취약점은 발생 확률 및 영향에 따라 조치해야 한다.

 

3.6. 사용자 교육

 

Regularly train and retrain all users to be sure that they are aware of enterprise cybersecurity policies and procedures and their specific roles and responsibilities as a condition of employment.

모든 사용자들이 조직의 사이버 보안 정책, 역할 및 책임에 대한 인식 재고를 위해 정기적으로 훈련해야 한다.

 


4. 탐지 – DETECT

 

Develop and implement the appropriate activities to identify the occurrence of a cybersecurity event.

사이버 보안 이벤트 발생을 식별하기 위한 활동을 개발하고 구현한다.

 

4.1. 탐지 프로세스 테스트 및 업데이트

 

Develop and test processes and procedures for detecting unauthorized entities and actions on the networks and in the physical environment, including personnel activity. Staff should be aware of their roles and responsibilities for detection and related reporting both within your organization and to external governance and legal authorities.

네트워크와 개인 행동 등의 물리적 환경에서 비인가된 엔티티 및 행위를 탐지하기 위한 프로세스 및 절차를 개발하고 테스트해야 한다. 임직원은 탐지와 관련된 자신의 역할과 책임을 인식하고 있어야 한다. 또한, 조직, 외부 기관 및 사법 기관에 보고해야 한다.

 

4.2. 예상되는 데이터 흐름 인지

 

If you know what and how data is expected to be used for your enterprise, you are much more likely to notice when the unexpected happens – and unexpected is never a good thing when it comes to cybersecurity. Unexpected data flows might include customer information being exported from an internal database and exiting the network. If you have contracted work to a cloud or managed service provider, discuss with them how they track data flows and report, including unexpected events.

조직에서 어떤 데이터를 어떻게 사용하는지 인지하고 있다면, 예상 밖의 상황에 대해 통지할 가능성이 높다. 사이버 보안에서 예상 밖의 상황은 좋은 것은 아니다. 예상 밖의 데이터 흐름에는 내부 데이터베이스에서 추출된 고객 정보가 포함될 수 있다. 클라우드에 업무를 계약하거나 서비스 제공자를 관리하고 있다면, 데이터 흐름을 어떻게 추적하고 보고할 것인지 협의해야 한다.

 

4.3. 로그 관리 및 모니터링

 

Logs are crucial in order to identify anomalies in your enterprise’s computers and applications. These logs record events such as changes to systems or accounts as well as the initiation of communication channels. Consider using software tools that can aggregate these logs and look for patterns or anomalies from expected network behavior.

로그는 조직의 컴퓨터와 애플리케이션에서 이상을 탐지하기 위해 중요하다. 로그에는 시스템 또는 계정 변경, 통신 채널 초기화와 같은 이벤트가 기록된다. 로그를 통합하고 네트워크 행위에서 패턴 또는 이상을 검사하는 소프트웨어를 사용하는 것을 검토해야 한다.

 

4.4. 사이버 보안 사고의 영향 이해

 

If a cybersecurity event is detected, your enterprise should work quickly and thoroughly to understand the breadth and depth of the impact. Seek help. Communicating information on the event with appropriate stakeholders will help keep you in good stead in terms of partners, oversight bodies, and others (potentially including investors) and improve policies and processes.

사이버 보안 사고가 탐지되면, 조직은 영향의 범위(폭/깊이)를 확인하기 위해 신속하고 철저하게 움직여야 한다. 도움을 요청하라. 적절한 이해관계자들1파트너, 감독 기관 및 잠재적 투자자 등에게 사건에 대한 정보를 알리면, 조직과 좋은 관계를 유지하고, 정책과 프로세스를 개선하는데 도움이 될 것이다.

 


5. 대응 – RESPOND

 

Develop and implement the appropriate activities to take action regarding a detected cybersecurity event.

탐지된 사이버 보안 이벤트를 조치하기 위한 활동을 개발하고 구현한다.

 

5.1. 대응 계획 테스트

 

It’s even more important to test response plans to make sure each person knows their responsibilities in executing the plan. The better prepared your organization is, the more effective the response is likely to be. This includes knowing any legal reporting requirements or required information sharing.

계획을 실행할 때 모든 사람이 자신의 책임을 인지하고 있다는 것을 확실히 하기 위해, 대응 계획을 테스트하는 것은 더 중요하다. 더 잘 준비된 조직일수록 대응이 더 효과적일 것이다. 여기에는 모든 법령에서 요구하는 보고 또는 필요한 정보 공유를 인지하는 것을 포함한다.

 

5.2. 대응 계획 업데이트

 

Testing the plan (and execution during an incident) inevitably will reveal needed improvements. Be sure to update response plans with lessons learned.

계획을 테스트하거나 사고 시 계획을 실행하면, 개선이 필요한 사항이 드러나기 마련이다. 교훈을 통해 대응 계획을 업데이트해야 한다.

 

5.3. 내•외부 이해관계자와 협력

 

It’s important to make sure that your enterprise’s response plans and updates include all key stakeholders and external service providers. They can contribute to improvements in planning and execution.

조직의 대응 계획을 수립하고 업데이트할 때, 핵심 이해관계자들과 외부 서비스 제공자를 모두 포함하였는지 확인해야 한다. 이들은 계획 및 실행에서 개선 사항을 도출하는데 기여할 수 있다.

 


6. 복구 – RECOVER

 

Develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event.

복구 계획을 관리하고 사이버 보안 이벤트로 손상된 기능 및 서비스 복구하기 위한 활동을 개발하고 구현한다.

 

6.1. 내•외부 이해관계자와 소통

 

Part of recovery depends upon effective communication. Your recovery plans need to carefully account for what, how, and when information will be shared with various stakeholders so that all interested parties receive the information they need but no inappropriate information is shared.

복구는 효과적인 커뮤니케이션이 상당 부분을 차지한다. 복구 계획에는 다양한 이해관계자들과 어떤 정보를 어떻게 언제 공유할 것인지 세부적으로 설명할 필요가 있다. 이해관계자들이 필요한 정보를 받아보고, 부적절한 정보를 공유하지 않게 하기 위함이다.

 

6.2. 복구 계획 업데이트

 

As with response plans, testing execution will improve employee and partner awareness and highlight areas for improvement. Be sure to update Recovery plans with lessons learned.

복구 계획과 마찬가지로, 테스트를 실시하면 임직원 및 파트너의 인식을 개선하고, 개선이 필요한 영역이 강조될 것이다. 교훈을 통해 복구 계획을 업데이트해야 한다.

 

6.3. 홍보 및 평판 관리

 

One of the key aspects of recovery is managing the enterprise’s reputation. When developing a recovery plan, consider how you will manage public relations so that your information sharing is accurate, complete, and timely – and not reactionary.

복구의 핵심적인 측면 중 하나는 기업의 평판을 관리하는 것이다. 복구 계획을 수립할 때, 어떻게 어떻게 홍보할 것인지 검토해야 한다. 공유하는 정보는 정확하고, 완전하고, 시기 적절해야 하며, 보수적이지 않아야 한다.