[논문]ICT 공급망 보안기준 및 프레임워크 비교 분석

민성현; 손경호

doi:10.13089/jkiisc.2020.30.6.1189

ICT 공급망 보안기준 및 프레임워크 비교 분석
Comparative Analysis on ICT Supply Chain Security Standards and Framework 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.6, 2020년, pp.1189 - 1206

민성현 (강원대학교) , 손경호 (강원대학교)

초록
AI-Helper

최근 ICT 기업은 제품과 서비스들을 직접 설계, 개발, 생산, 운용, 유지 보수, 폐기 등을 직접 수행하지 않고 이를 외부에 위탁하거나, 외주업체가 담당하는 경우가 많아지고 있다. 위탁과 재위탁되는 과정에서 제품 및 서비스에 대한 취약점 관리 어려움 등으로 이로 인해 발생하는 공격 또한 증가하는 추세이다. 이에 대응하기 위해 해외에서는 ICT 공급망 보안 위험관리를 위한 기준과 제도를 만들어 운영 중이며, 다양한 사례 연구를 진행하고 있다. 또한, SBOM(Software Bill of Materials)등 기술적으로 공급망 보안 문제를 해결하려는 연구도 진행하고 있다. ISO 등 국제표준화기구에서도 ICT 공급망 보안을 위한 기준과 프레임워크도 만들어졌다. 본 논문에서는 미국, EU 등 주요 국가와 국제표준으로 개발된 ICT 공급망 보안기준과 제도를 비교 분석하여 국내 실정에 적합한 ICT 공급망 보안 관리 항목을 제시하고 ICT 공급망 보안제도 수립을 위한 사이버 보안 프레임워크의 필요성을 설명한다.

Abstract ▼ AI-Helper

Recently, ICT companies do not directly design, develop, produce, operate, maintain, and dispose of products and services, but are outsourced or outsourced companies are increasingly in charge. Attacks arising from this are also increasing due to difficulties in managing vulnerabilities for products and services in the process of consignment and re-consignment. In order to respond to this, standards and systems for security risk management of ICT supply chain are being established and operated overseas, and various case studies are being conducted. In addition, research is being conducted to solve supply chain security problems such as Software Bill of Materials (SBOM). International standardization organizations such as ISO have also established standards and frameworks for security of ICT supply chain. In this paper, we presents ICT supply chain security management items suitable for domestic situation by comparing and analyzing ICT supply chain security standards and systems developed as international standards with major countries such as the United States and EU, and explains the necessity of cyber security framework for establishing ICT supply chain security system.

주제어

표/그림 (17)

그림 Fig. 1. Points of Attack – Supply Chain Locations
그림 Fig. 2. Points of Attack – Supply Chain Linkages
그림 Fig. 3. Cyber Attack Life cycle
그림 Fig. 4. Assessment Procedure for CUI Securty Requirement
그림 Fig. 5. NIST CSF vs SP800-53 vs SP161,171
그림 Fig. 6. ISO/IEC 27036 Architecture
그림 Fig. 7. Security requirements for suppliers and acquirer along the supply chain life cycle process
그림 Fig. 8. Similarities and Differences between ICT Outsourcing/Private Cloud and Public Cloud
그림 Fig. 9. Ideal interaction of supply chain
그림 Fig. 10. Threat Mapping
그림 Fig. 11. Product Life Cycle–Categories and Activities
그림 Fig. 12. U.S. supply chain security related procurement system
그림 Fig. 13. EU supply chain security related procurement system
그림 Fig. 14. Roadmap for Selecting Applicable Cyber Supply Chain Standards
표 Table 1. Recommendations Mapped to Key Practices
표 Table 2. Recommendations to Key Government Framework
표 Table 3. Propose ICT supply chain security management items suitable for domestic

AI 본문요약
AI-Helper

문제 정의

본 연구에서는 미국, EU와 국제표준의 ICT 공급망 보안 요구사항, 인증 지침 기준을 설명하고 비교 분석하여 국내에 적합한 공급망 보안 요구사항을 도출하는 방향성을 제시하였다. 하지만, ICT 공급망 생명주기 내의 참여업체와 방식의 다양화, 보안사고 시 책임성 등을 고려하였을 때, 모든 공급망 보안의 요구사항을 충족할 수 없는 한계가 존재한다.
본 절에서는 앞에서 분석한 ICT 공급망 보안 요구사항, 인증 지침, 정책 등을 참고하여 국내에 적합한 ICT 공급망 보안을 위한 관리 항목을 제시하고자 한다. 또한, 분석한 미국의 SP800-161과 국제표준 ISO/IEC 27036-3에 소개되어 있는 항목과 매핑을 해보았다.

제안 방법

또한, MITRE에서는 위에 나타난 공격 목표, 지점, 단계 등 공급망 공격 속성을 활용하여 공급망 공격패턴 프레임워크를 정리하고 있으며, 분류된 공격 패턴을 이용해 공급망 공격의 전반적인 프로세스의 위험 감소를 위한 대책 방안 연구 지침을 제시한다.

성능/효과

Fig. 2.의 공급망 공격의 흐름 관점의 분류에서는 공급망 공격지점으로 공급업체와 위탁업체의 물류 네트워크 같은 물리적 흐름, 공급업체와 위탁업체의 외부 ICT/IDE 환경 같은 정보 및 데이터 흐름으로 정하고, 위치 및 흐름을 통해 추가적인 공급망 연계 공격이 가능하다는 것을 보여주고 있다.
세 번째는 공공분야의 공급망 보안 조달체계가 필요하다. 기존의 ICT제품, 서비스의 보안 조달체계(보안성 검토제도 등)에 공급망보안 요구사항을 요구해야 하며, 글로벌 정책 움직임에 맞춰, 기존 관련 보안 인증(CC, ISMS)활용 및, 자체 인증, 제3자 인증 등의 인증체계 마련이 필요하다.

후속연구

다섯 번째는 SW, 기기에 대한 안전성 시험, 검사 기술확보가 필요하다. SW에 대한 검증기술과 HW의 비정상적인 트로이잔 등을 탐지하기 위한 기술개발이 무엇보다 필요하다.
세 번째는 공공분야의 공급망 보안 조달체계가 필요하다. 기존의 ICT제품, 서비스의 보안 조달체계(보안성 검토제도 등)에 공급망보안 요구사항을 요구해야 하며, 글로벌 정책 움직임에 맞춰, 기존 관련 보안 인증(CC, ISMS)활용 및, 자체 인증, 제3자 인증 등의 인증체계 마련이 필요하다.
네 번째는 공급망 보안의 생태계 구축방안이 필요하다. 오픈소스를 비롯한 안전한 SW, IoT 장치에 대한 구성품 품목관리(신뢰목록 관리 등)를 위한 기술, 제도적 해결방안을 마련해야 하고, 취약점이 발견된 품목에 대한 패치와 신뢰목록 제외 등의 공급망 취약점 대응체계 마련이 필요하다.
두 번째는 산업별 공급망 보안 기준(가이드라인) 개발이 필요이다. 이를 위해 공급망 보안 국제표준인 ISO/IEC 27036, ISO/IEC 20243등을 준용한 기준(가이드라인) 개발과 더불어, 산업별(스마트 팩토 리, 스마트 헬스케어, 스마트 시티, 자율주행 자동차 등)로 적용하기 위한 단계별 기준 마련이 필요하다.
하지만, ICT 공급망 생명주기 내의 참여업체와 방식의 다양화, 보안사고 시 책임성 등을 고려하였을 때, 모든 공급망 보안의 요구사항을 충족할 수 없는 한계가 존재한다. 따라서, 글로벌 공급망 위험관리 체계를 면밀히 분석해, 국제적으로 통용되는 제도마련이 필요하다.
또한, 최근에 빈번히 발생하는 SW 업데이트 서버를 통한 정상 SW를 위·변조에 의해 발생하는 공급망 보안사고를 사전에 차단하기 위해서는, 신뢰할 수 있는 제품목록을 만들어 보안성이 인증된 제품, 기술과 서비스를 이용하는 환경 마련이 필요하다
네 번째는 공급망 보안의 생태계 구축방안이 필요하다. 오픈소스를 비롯한 안전한 SW, IoT 장치에 대한 구성품 품목관리(신뢰목록 관리 등)를 위한 기술, 제도적 해결방안을 마련해야 하고, 취약점이 발견된 품목에 대한 패치와 신뢰목록 제외 등의 공급망 취약점 대응체계 마련이 필요하다.
우선, 전 세계적으로 공급망 보안 관리을 위한 정책마련 및 이를 수행할 수 있는 조직 체계를 구성하여 급증하는 공급망 위협에 대응할 필요가 있다. 이는 ICT 공급망의 특성상 다양하고 복잡한 프로세스가 존재하며 통제범위를 벗어나는 조직 간의 보안체계 구축이 필요하므로 취약점 진단이나 모의 해킹과 같은 IT 보안 위주의 대책으로는 한계가 있다.
우선, 전 세계적으로 공급망 보안 관리을 위한 정책마련 및 이를 수행할 수 있는 조직 체계를 구성하여 급증하는 공급망 위협에 대응할 필요가 있다. 이는 ICT 공급망의 특성상 다양하고 복잡한 프로세스가 존재하며 통제범위를 벗어나는 조직 간의 보안체계 구축이 필요하므로 취약점 진단이나 모의 해킹과 같은 IT 보안 위주의 대책으로는 한계가 있다. 따라서 공급망 프로세스와 조직 관점에서의 위험요인들을 추가로 식별하고 이에 대응할 수 있는 보안대책이 필요하기 때문이다.
두 번째는 산업별 공급망 보안 기준(가이드라인) 개발이 필요이다. 이를 위해 공급망 보안 국제표준인 ISO/IEC 27036, ISO/IEC 20243등을 준용한 기준(가이드라인) 개발과 더불어, 산업별(스마트 팩토 리, 스마트 헬스케어, 스마트 시티, 자율주행 자동차 등)로 적용하기 위한 단계별 기준 마련이 필요하다. 특히, 산업별 주요정보통신기반시설에 공급되는 ICT 장비의 공급망 보안을 위한 관리체계를 구축하고 관계기관의 이행점검을 위한 제도 기반 마련이 필요하다.
또한, 최근에 빈번히 발생하는 SW 업데이트 서버를 통한 정상 SW를 위·변조에 의해 발생하는 공급망 보안사고를 사전에 차단하기 위해서는, 신뢰할 수 있는 제품목록을 만들어 보안성이 인증된 제품, 기술과 서비스를 이용하는 환경 마련이 필요하다. 이를 통해, CPS/IoT 각 산업 활동에서 Security By Design에 근거해서 구성요소 전체의 보안성 확보와 더불어, ICT 공급망 보안을 통한 전체 사이버 환경에서의 안전성을 보증할 필요가 있다.
이를 위해 공급망 보안 국제표준인 ISO/IEC 27036, ISO/IEC 20243등을 준용한 기준(가이드라인) 개발과 더불어, 산업별(스마트 팩토 리, 스마트 헬스케어, 스마트 시티, 자율주행 자동차 등)로 적용하기 위한 단계별 기준 마련이 필요하다. 특히, 산업별 주요정보통신기반시설에 공급되는 ICT 장비의 공급망 보안을 위한 관리체계를 구축하고 관계기관의 이행점검을 위한 제도 기반 마련이 필요하다.
본 연구에서는 미국, EU와 국제표준의 ICT 공급망 보안 요구사항, 인증 지침 기준을 설명하고 비교 분석하여 국내에 적합한 공급망 보안 요구사항을 도출하는 방향성을 제시하였다. 하지만, ICT 공급망 생명주기 내의 참여업체와 방식의 다양화, 보안사고 시 책임성 등을 고려하였을 때, 모든 공급망 보안의 요구사항을 충족할 수 없는 한계가 존재한다. 따라서, 글로벌 공급망 위험관리 체계를 면밀히 분석해, 국제적으로 통용되는 제도마련이 필요하다.
향후 본 논문에서 소개한 ICT 공급망 보안의 미국, 유럽, 국제표준에서 요구하는 보안 요구사항을 심층 분석해, SW공급망 보안관리를 위한 SW품목관리 (SBOM, Software Bill of Materials) 방법에 대해 연구할 예정이며, 공급망 장비에 하드웨어 보안과 신뢰성 검증기술에 관한 연구를 진행하여 하드웨어 트로이를 탐지하는 방안을 연구할 예정이다.

참고문헌 (28)

KISA, "Cyber Threat Trend Report", Jul. 2018
Hyo-hyeon Son, Kwang-jun Kim and Man-hee Lee, "US supply chain securit y management system analysis.", Journal of the Korea Institute of Informati on Security & Cryptology, 29(5), pp. 1089-1097, Oct. 2019
Eung-kyu Lee and Jung-duk Kim, "A Case Study on ICT Supply Chain Attacks.", The Journal of Information Technology and Architecture, 16(4), pp. 383-396, Dec, 2019
MITRE, "Supply Chain Attack Framew ork and Attack Patterns", Dec. 2013
Office of the Under Secretary of Defense for Acquisition & Sustainment, "Supply Chain Attack Pattern : Framework and Catalog", 2014
MITRE, 'Supply Chain Attacks and Resiliency Mitigations.", Oct. 2017
National Institute of Standards and Technology, "Framework for Improving Critical Infrastructure Cybersecurity. version 1.0" , Feb. 2014
National Institute of Standards and Technology, "Framework for Improving Critical Infrastructure Cybersecurity. version 1.1" , Apr. 2018
National Institute of Standards and Technology," Supply Chain Risk Management Practices for Federal Information Systems and Organizations" Special Publication 800-161, Apr. 2015
National Institute of Standards and Technology, "Notional Supply Chain Risk Management Practices for Federal Information Systems" IR 7622, Oct. 2012
National Institute of Standards and Technology, "Managing Information Security Risk Organization, Mission, and Information System View" Special Publication 800-39, Mar. 2011
National Institute of Standards and Technology, "Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations" Special Publication 800-171 revision 2, Feb. 2020
National Institute of Standards and Technology, "Minimum Security Requirements for Federal Information and Information Systems" Federal Information Processing Standards Publication 200, Mar. 2006
National Institute of Standards and Technology, "Security and Privacy Controls for Federal Information Systems and Organizations" Special Publication 800-53, Apr. 2013
National Institute of Standards and Technology, "Assessing Security Requirements for Controlled Unclassified Information" Special Publication 800-171A, Jun. 2018
European Cyber Security Organisation, "Overview of existing Cybersecurity standards and certification schemes v2", Dec. 2017
International Standard, - Information security for supplier relationships - Part 1: Overview and concepts", ISO/IEC 27036-1, Apr. 2014
International Standard, - Information security for supplier relationships - Part 2: Requirements", ISO/IEC 27036-2, Aug. 2014
International Standard, - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security", ISO/IEC 27036-3, Nov. 2013
International Standard, - Information security for supplier relationships - Part 4: Guidelines for security of cloud services", ISO/IEC 27036-4, Oct. 2016
International Standard, "Information technology - (O-TTPS) - Mitigating maliciously tainted and counterfeit products - Part 1: Requirements and recommendations", ISO/IEC 20243-1, Feb. 2018
International Standard, "Information technology - Mitigating maliciously tainted and counterfeit products - Part 2: Assessment procedures for the O-TTPS and ISO/IEC 20243-1:2018", ISO/IEC 20243-2, Jan. 2018
Office of the Under Secretary of Defens e for Acquisition & Sustainment, "DFA RS 252.204-7012 Defense Industrial Base Compliance Information", Nov. 2011
European Cyber Security Organisation, "European Cyber Security Certification A Meta-Scheme Approach v1.0", Dec. 2017
National Institute of Standards and Technology, "Workshop Brief on Cyber SCRM Standards Mapping"
National Institute of Standards and Technology, "National Institute of Standards and Technology, "Workshop Brief on Cyber SCRM Standards Mapping(Draft)" , IR 8276, Feb. 2020
https://www.ncsc.gov.uk/collection/supply-chain-security/principles-supply-chain-security
UK Cabinet Office, "Supplier Assurance Framework: Good Practice Guide", May.2018

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증