$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

사이버 레질리언스 국제표준화 동향과 이슈 원문보기

情報保護學會誌 = KIISC review, v.26 no.4, 2016년, pp.11 - 15  

김정덕 (중앙대학교 경영경제대학 산업보안학과) ,  진철구 (중앙대학교 일반대학원 융합보안학과)

초록
AI-Helper 아이콘AI-Helper

사이버 위협이 고도화, 지능화함에 따라 사이버 보안사고를 사전에 예방하는 것에는 한계가 있으며, 이제는 보안사고발생을 기정 사실화 하고 이로부터 얼마나 신속하게 사고를 탐지하고, 복구할 수 있는 역량을 구축하는 것이 필요하다. 이러한 현실적 필요성으로 인해 2010년경부터 레질리언스(resilience) 개념을 정보보안에도 접목시키려는 노력이 있었으며, 2016년 4월 템파에서 개최된 SC 27 회의에서도 사이버 레질리언스에 대한 국제표준화 작업이 많은 관심 속에서 논의되었다. 본 논문에서는 사이버 레질리언스에 대한 개념을 정리하고, 사이버 레질리언스 주요 모델과 구현 과제를 기술한다. 마지막으로 사이버 레질리언스 국제표준화 작업에서의 주요 이슈와 활동을 소개한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문에서는 사이버 레질리언스에 대한 정의, 특성, 원칙 등에 관한 기존 연구들을 비교 분석하여 개념을 명확히 하고, 대표적 사이버 레질리언스 모델을 분석하여 레질리언스 구현을 위한 필요 요건 및 과제를 제시하고자 한다. 또한 사이버 레질리언스 국제표준화 노력에서의 이슈를 기술하고 향후 활동계획을 소개한다.
  • 본 논문에서는 사이버 레질리언스에 대한 정의, 특성, 원칙 등에 관한 기존 연구들을 비교 분석하여 개념을 명확히 하고, 대표적 사이버 레질리언스 모델을 분석하여 레질리언스 구현을 위한 필요 요건 및 과제를 제시하고자 한다. 또한 사이버 레질리언스 국제표준화 노력에서의 이슈를 기술하고 향후 활동계획을 소개한다.

가설 설정

  • 따라서 사이버 레질리언스 노력은 정보기술보다는 비즈니스를 출발점으로 한다는 점이 극명하게 차이를 나게 하는 것이다. 위의 목표와 관련하여 바람직한 시스템의 속성을 보면, 사이버 보안은 실패를 허용하지 않는 시스템을 설계한다면, 사이버 레질리언스는 실패할 수 있음을 가정하고 그럼에도 불구하고 소기의 목표를 달성할 수 있도록 통제된 상황 속에서 실패도 극복할 수 있도록 설계한다.
  • 디지털 비즈니스에서 사이버 레질리언스를 구현하기 위해서는 가트너에서는 다음과 같은 6가지 원칙을 제시하고 있다[5]. 첫째, 위험기반 의사결정을 채택하라는 것이다. 기존의 컴플라이언스 기반의 접근방법으로는 디지털 위험에 대응하기에 한계가 존재하기 때문에 위험을 최소화하기 위해서는 위험기반의 접근방법이 요구된다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
사이버 레질리언스란 무엇인가? 온라인 상의 공격은 매일 천만 건 이상 발생하고 있으며 연간 1천억 불이상의 손실을 초래하고 있다. 사이버 레질리언스 (cyber resilience)는 사이버 상의 부정적 사건 및 위협 에도 불구하고 조직의 목표 성과(outcome)를 전달할 수 있는 역량(ability)을 의미한다. 조직 내 보안 활동이 시스템, 소프트웨어 또는 IT 부서만의 책임이 아님을 인식하고, 인간으로 부터의 위험에 대응하여 인텔리전스를 활용한 예방 조치와 교정 작업을 실천할 수 있도록 지원하는 활동을 의미한다.
사이버 레질리언스라는 용어는 어디에서 많이 사용되고 있는가? 사이버 레질리언스란 용어는 2012년 다보스에서 개최된 세계경제포럼(World Economic Forum, WEF)에서 사이버 레질리언스란 처음 사용한 이후, 개인, 기업, 국가 사회 전반에서 그 중요성이 점차 인식되고 있을 뿐만 아니라, 관심과 활용이 많아지고 있다[1]. 아직 학계에서는 관련 연구가 초기 단계라고 할 수 있으나 정치 또는 비즈니스 리더 사이에서 레질리언스란 용어가 많이 사용되고 있다. 2015년 10월 인도에서 개최된 JTC 1 SC 27 회의에서 사이버 레질리언스에 대한 국제 표준화 준비 작업이 시작된 이후 표준 전문가의 많은 관심 속에서 진행되고 있다.
부정적 사이버 이벤트이란 무엇인가? 이는 정상으로의 복구도 포함한다. 부정적 사이버 이벤트는 자연재해 또는 인위적인 원인에 의해 네트워크로 연결된 IT 시스템, 관련 정보와 서비스의 기밀성, 무결성, 가용성에 부정적 영향을 미치는 모든 사건을 의미한다. 바로 이점에서 비즈니스 레질리언스와 구분을 할 수 있다.
질의응답 정보가 도움이 되었나요?

참고문헌 (19)

  1. World Economic Forum, "Partnering for Cyber Resilience", 2012 

  2. Fredrik Bjorck, et al, "Cyber Resilience-Fundamentals for a Definition", Advances in Intelligent Systems & Computing, 2015 

  3. Ernst & Young, "Achieving Resilience in the Cyber Ecosystem", 2014 

  4. Springer, "New Contributions in Information Systems and Technologies", pp.313-315, 2015 

  5. Gartner, "Use Six Principles of Resilience to Address Digital Business Risk and Security", 2015 

  6. Carnegie Mellon, "CERT(R) Resilience Management Model, Version 1.0", 2010 

  7. Dept. of Homeland Security, "Cyber Resilience Review(CRR):Method Description and Self-Assessment User Guide", 2016 

  8. ISO/IEC 27001:2013, "Information Security Management Systems - Requirements", 2013 

  9. ISO/IEC 27002:27013, "Code of Practice for Information Security Controls", 2013 

  10. ISO/IEC 27013:2015, "Guidance on the Integrated Implementation of ISO/IEC 27001 and ISO/ IEC 20000-1", 2015 

  11. ISO/IEC 27031:2011, "Guidelines for Information and Communication Technology Readiness for Business Continuity", 2011 

  12. ISO/IEC 27035:2011, "Information Security Incident Management", 2011 

  13. ISO/IEC 27036-1:2014, "Information Security for Supplier Relationships - Part 1: Overview and Concepts", 2014 

  14. ISO 22301:2012, "Societal Security - Business Continuity Management Systems - Requirements", 2012 

  15. ENISA, "Security and Resilience in eHealth, Security Challenges and Risks", 2015 

  16. ENISA, "Security and Resilience of Smart Home Environments, Good Practices and Recommendations", 2015 

  17. NIST, SP 800-53 Rev. 4, Security and Privacy Controls for Federal Information Systems and Organizations", 2013 

  18. NIST, "NIST SP 800-61 Rev. 2, Computer Security Incident Handling Guide", 2012 

  19. ASIS SPC.1-2009, "Organizational Resilience: Security, Preparedness, and Continuity Management Systems-Requirements with Guidance for Use", 2009 

저자의 다른 논문 :

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로