사이버공격이 지능화되고 고도화되면서 이를 체계적으로 대응하기 위한 보안관제센터(SOC : Security Operations Center)의 중요성이 높아지고 있고, SOC의 규모와 그 수도 늘어나고 있다. 각 기관 및 조직에서 다양한 사이버보안 표준을 활용하여 업무 절차를 만들어 사용하고 있으나 SOC는 자체 인력보다는 보안관제전문기업과 협업하는 경우가 많아 SOC환경에 맞게 개선이 필요하다. NIST 사이버보안 프레임워크(CSF : Cybersecurity Framework)와 정보보호관리체계 그리고 보안관제전문기업의 업무절차를 비교 분석한 결과 NIST CSF가 보안관제에 적용하기 용이한 프레임워크이나 국내 SOC에 적용하기 위해서는 SOC의 운영 및 관리 부분이 추가적으로 보완될 필요가 있다. 따라서 본 연구에서는 NIST CSF를 참조 모형으로 하여 SOC환경에 필요한 관리적 항목을 도출하였으며 각 항목에 대한 필요성, 중요성, 용이성을 델파이 조사방식으로 검증하고 개선된 사이버보안 프레임워크를 제안하였다.
사이버공격이 지능화되고 고도화되면서 이를 체계적으로 대응하기 위한 보안관제센터(SOC : Security Operations Center)의 중요성이 높아지고 있고, SOC의 규모와 그 수도 늘어나고 있다. 각 기관 및 조직에서 다양한 사이버보안 표준을 활용하여 업무 절차를 만들어 사용하고 있으나 SOC는 자체 인력보다는 보안관제전문기업과 협업하는 경우가 많아 SOC환경에 맞게 개선이 필요하다. NIST 사이버보안 프레임워크(CSF : Cybersecurity Framework)와 정보보호관리체계 그리고 보안관제전문기업의 업무절차를 비교 분석한 결과 NIST CSF가 보안관제에 적용하기 용이한 프레임워크이나 국내 SOC에 적용하기 위해서는 SOC의 운영 및 관리 부분이 추가적으로 보완될 필요가 있다. 따라서 본 연구에서는 NIST CSF를 참조 모형으로 하여 SOC환경에 필요한 관리적 항목을 도출하였으며 각 항목에 대한 필요성, 중요성, 용이성을 델파이 조사방식으로 검증하고 개선된 사이버보안 프레임워크를 제안하였다.
As cyber-attacks become more intelligent and sophisticated, the importance of Security Operations Center(SOC) has increased and the number of SOC has been increasing. In order to cope with cyber threats, institutions and organizations use a variety of cyber security standards to create business proc...
As cyber-attacks become more intelligent and sophisticated, the importance of Security Operations Center(SOC) has increased and the number of SOC has been increasing. In order to cope with cyber threats, institutions and organizations use a variety of cyber security standards to create business procedures. However, SOC often need to be improved in accordance with the SOC environment because they collaborate with managed security service specialists rather than their own personnel. The NIST cyber security framework, information security management system, and managed security service companies were compared and analyzed. As a result, it was found that the NIST CSF is a framework that is easy to apply to managed security service, The content was judged to be insufficient. Therefore, in this study, NIST CSF was used as a reference model to derive the management items required for SOC environment, and the necessity, importance and ease of each item were confirmed through an Delphi technique and an improved cyber security framework was proposed.
As cyber-attacks become more intelligent and sophisticated, the importance of Security Operations Center(SOC) has increased and the number of SOC has been increasing. In order to cope with cyber threats, institutions and organizations use a variety of cyber security standards to create business procedures. However, SOC often need to be improved in accordance with the SOC environment because they collaborate with managed security service specialists rather than their own personnel. The NIST cyber security framework, information security management system, and managed security service companies were compared and analyzed. As a result, it was found that the NIST CSF is a framework that is easy to apply to managed security service, The content was judged to be insufficient. Therefore, in this study, NIST CSF was used as a reference model to derive the management items required for SOC environment, and the necessity, importance and ease of each item were confirmed through an Delphi technique and an improved cyber security framework was proposed.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 연구에서는 SOC를 위한 확장된 사이버보안 프레임워크를 제안하였다. NIST CSF를 기반으로 기존의 5개 기능에서 관리 기능을 추가하여 6개의 기능으로 재구성 하였다.
이에 본 연구에서는 기존의 사이버보안 프레임워크로 활용되는 기준들을 비교·분석하고 SOC의 환경에 맞는 필요항목과 개선사항을 도출하여 보안관제조직의 특성에 맞는 사이버보안 프레임워크를 제시하고자 한다.
제안 방법
1차 조사에서 관리 기능에 대해서는 필요성이 입증되었으나 관리 항목에 대해서는 일부 이견이 존재하므로 관리 항목들에 대해 정량적으로 파악하기 위해 2차 조사로써 관리 항목의 적용 여부에 대한 설문 조사를 수행하였다.
본 연구에서는 SOC를 위한 확장된 사이버보안 프레임워크를 제안하였다. NIST CSF를 기반으로 기존의 5개 기능에서 관리 기능을 추가하여 6개의 기능으로 재구성 하였다. 정보보호관리체계와 달리 SOC 운영 시 발생할 수 있는 일련의 시간 흐름(식별>보호>탐지>대응>복구) 및 이 흐름을 아우를 수 있는 관리기능을 통해 일회성이 아닌 지속적인 SOC 운영 및 관리가 가능하도록 프레임워크를 구성하였다.
NIST CSF에서 이미 구현되어 있는 5개의 기능(Identify-Protect-Detect-Respond-Recover)을 기반으로 Management 기능을 추가하여 그림 5와 같이 NIST CSF를 확장한 SOC를 위한 사이버보안 프레임워크를 구현하였다.
NIST CSF와 정보보호관리체계, 그리고 국내 보안관제전문기업의 보안관제 프로세스 등을 비교 분석 한 결과, NIST CSF의 절차적 실행 항목과 정보보호관리체계의 관리 항목, 보안관제전문기업의 보안관제 프로세스에 포함되어 있는 관리적 기능을 종합하여 SOC의 환경에 맞는 사이버보안 프레임워크를 제안한다.
SOC의 환경에 맞는 필요한 부분을 도출하기 위해 NIST CSF와 국제 정보보호관리체계를 비교 분석하고, 현재 보안관제전문기업의 관제 프로세스를 살펴보고 특징을 파악한다.
NIST CSF와 다양한 기관에서 프레임워크로 사용하고 있는 국제 정보보호관리체계인 ISO/IEC 27001항목을 비교해 본 결과, NIST CSF는 정보보호의 흐름을 각각의 기능을 통해 사건의 발생 시간 순(Identify-Protect-Detect-Respond-Recover)으로 표현하는 반면, ISO/IEC 27001은 정보보호를 위한 항목들을 관리항목/통제항목으로 나누어 각각의 항목을 펼쳐서 나열하는 방식으로 표현하고 있다. 각 항목을 그림 2와 같이 매핑 하는 방식으로 비교를 수행하였다.
개선하고자 하는 프레임워크의 관리적 항목에 대한 내용 타당성 검증을 위해 3장에서 도출한 결과를 토대로 NIST CSF를 SOC의 프레임워크로 활용함에 있어 관리적인 부분의 부족함이 없는지, 관리 항목을 별도로 도출할 필요가 있는지 의견을 수렴하고 도출 항목의 적정성을 검증하기 위한 목적으로 전문가 집단을 구성하여 델파이 기법을 사용하였다.
관리 기능으로 추가하고자 하는 각 항목은 정보보호관리체계의 관리 항목을 참조하고 SOC의 특성을 고려하여 표 3과 같이 추가적으로 보완할 관리 항목을 도출하였다.
관리 기능은 SOC의 특정 단계가 아닌 전 과정에서 관여되어야 하며, 지속적으로 개선, 적용되어야 하는 순환구조로 적용하였다.
관리 기능의 필요성 및 도출한 관리 항목의 타당성을 파악하기 위해 1차 조사에서는 관리 기능 및 관리항목을 상세한 설명과 함께 제시하고, 해당 기능 및 항목이 SOC에 적용할 필요가 있는지에 대해 자유롭게 기술하는 개방적 설문을 수행하였다.
M9는 기존의 대응절차에 포함된 내용이므로 별도의 관리 항목으로 분리할 필요가 없는 것으로 나타났다. 본 연구에서는 M7과 M9는 CVR 값을 근거로 우선 제외키로 하였다.
설문 조사는 1차 조사의 결과를 반영하여 관리 항목에서 M4(인력관리 및 근무체계)를 제거하고, 각 항목별로 중요하다고 생각하는지(중요성)와 적용하기 쉽다고 생각하는지(용이성)의 두 가지 관점에서 각각 5점 척도를 사용하였다. 5점 척도에서 4점 이상일 경우 해당 질문에 대한 긍정적인 반응으로 판단하였고, 결과는 표 5와 같다.
그러나 각각의 관리항목과의 매핑은 제대로 되고 있지 않음을 확인할 수 있다. 이에 다시 한 번 관리항목에 대해서만 별도비교를 수행하였다.
정보보호관리체계와 달리 SOC 운영 시 발생할 수 있는 일련의 시간 흐름(식별>보호>탐지>대응>복구) 및 이 흐름을 아우를 수 있는 관리기능을 통해 일회성이 아닌 지속적인 SOC 운영 및 관리가 가능하도록 프레임워크를 구성하였다.
제안하는 프레임워크는 앞서 비교 분석한 내용을 토대로 기존 NIST CSF의 5가지 기능에 관리 기능을 추가하여 확장된 6개 기능으로 개선하고자 한다.
대상 데이터
델파이 기법에서 의미 있는 결과를 산출하기 위해가장 중요한 것은 전문성을 가진 패널을 선정하는 것이다[19][20]. 따라서 본 연구에서 전문가 패널 선정의 조건은 보안관제 업무의 특수성에 비추어 정보보호관련 업무 경력이 5년 이상인 자로 보안관제 업무를 실제 수행하고 있는 실무관련 전문가와 정보보호관리체계 관련 컨설팅 인력으로 구성하였다.
본 연구에서는 관리 항목에 대한 필요성과 적정성에 대해 검증하기 위해 총 17명의 전문가를 구성하였으며, 전문가 집단 구성 내용은 표 4과 같다.
이론/모형
그리고 결과에 대한 검증도구로는 Lawshe(1975)가 제시한 내적 타당도 비율(Content Validity Ratio;CVR)을 활용하였다.
성능/효과
특히 C6 Planning, C7 Support, C10 Improvement부분은 각각 NIST CSF의 Risk Management,Communication, Improvement 부분으로 매핑이 되었으나, 나머지 항목은 일부 항목만 매핑이 되거나 매핑이 되지 않는 것을 볼 수 있다. 또한, SOC 운영에 대한 SLA(Service Level Agreement), SOC에 대한 평가 지표가 NIST CSF에서는 존재하지 않음을 확인할 수 있다.
설문 결과, 관리 기능의 추가를 통한 보완의 필요성에 대해서는 모두(100%) 긍정적인 의견을 보였고 CVR 값이 1로써 응답인원이 17명일 때의 최소 CVR인 0.485)보다 높으므로 결과가 타당하다고 볼 수 있다. 관리 항목에 대해서는 모두 필요하다는 의견이 2명(11.
후속연구
사이버 공격은 대상과 시기를 제어 할 수는 없지만 공격과 사고에 대한 대응방법을 관리 할 수는 있다. 그러기 위해 SOC의 사이버보안 프레임워크를 준비하는데 있어 본 연구가 참조 모형이 될 수 있을 것으로 기대된다.
본 연구의 향후 과제로는 NIST CSF의 상위 기능과 기능에 속해야 할 실제 하위 카테고리(108개)에 대해 SOC의 업무와 연결지어 필요한 항목을 도출할 필요가 있으며, 국내 SOC의 특성 중 아웃소싱을 통한운영이 많으므로 조사 대상의 범위도 넓혀 발주자를 포함하여 연구할 필요가 있다.
질의응답
핵심어
질문
논문에서 추출한 답변
ISO/IEC 27001은 어떻게 활용되는가?
ISO/IEC 27001은 정보보안 관리시스템을 수립, 구현, 유지 및 지속적으로 개선하기 위한 정보보호관리체계와 관련한 국제 표준이며 2013년 개정안이 발표되어 사용 중이다. 이를 활용하여 기업 정보의 기밀성, 무결성 및 가용성을 보존하고 리스크를 적절히 관리한다. 구성은 관리과정 7개 분야 22개, 통제항목은 14개 분야 114개로 구성 되어 있다[15].
SOC는 어떤 활동을 수행하는가?
SOC의 목적은 조직의 정보자산을 보호하여 비즈니스를 활성화 시키는데 있다. SOC는 사이버보안의 최전방에서 조직의 자산 및 정보를 보호하기 위해 사이버위협 예방, 사이버위협 모니터링, 발생 위협에 대한대응과 복구, 피해확산 방지 활동을 수행한다. 이런SOC의 운영 및 관리는 조직의 내부 직원으로 운영되기도 하지만 외부 보안관제전문기업2)(MSSP: ManagedSecurity Service Provider)의 인원을 파견 받아 보안전문인력과 함께 운영 하는 경우가 많다.
SOC의 목적은 무엇인가?
SOC의 목적은 조직의 정보자산을 보호하여 비즈니스를 활성화 시키는데 있다. SOC는 사이버보안의 최전방에서 조직의 자산 및 정보를 보호하기 위해 사이버위협 예방, 사이버위협 모니터링, 발생 위협에 대한대응과 복구, 피해확산 방지 활동을 수행한다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.