[논문]상호운용성을 고려한 RMF 기반의 위험관리체계 적용 방향

권혁진; 김성태; 주예나

doi:10.7472/jksii.2021.22.6.83

초록
AI-Helper

RMF(사이버보안 위험관리 프레임워크)는 지금 현재 국방영역을 넘어 미 연방정부 전체에 통용되는 보다 강화된 미 국방 사이버보안 프레임워크이다. 최근 십여년 간 미국이 접한 비정규전에 있어 사이버전이 차지하는 비율, 특히 중국과 북한으로부터 유발된 사이버공격 비중은 점점 더 증대되고 있다. 결국 미국은 범정부 차원의 보다 강화된 사이버보안 정책을 마련하고자 RMF체계를 새롭게 구축중이며, 미 국방부는 연방정부차원을 넘어 동맹국 간에도 미 국방 RMF평가 정책을 확대해 나가고자 한다. 이미 한국군도 F-35A 획득 시 RMF 적용방침을 통보한 미측 요구로 RMF를 적용한 바 있다. 한국군의 RMF적용은 더 이상 피할 수 없는 대세이다. 이제 우리군은 성공적인 한국형 RMF체계 조기 구축을 위해 무엇을 준비해야 하는지 진지하게 고민해야 할 시점이다.

Abstract ▼ AI-Helper

The RMF (Cyber Security Risk Management Framework) is a more strengthened U.S. defense cybersecurity framework that is currently used throughout the U.S. federal government beyond the defense sector. In the past decade, the proportion of cyber warfare in non-regular warfare encountered by the United...

The RMF (Cyber Security Risk Management Framework) is a more strengthened U.S. defense cybersecurity framework that is currently used throughout the U.S. federal government beyond the defense sector. In the past decade, the proportion of cyber warfare in non-regular warfare encountered by the United States, especially cyberattacks caused by China and North Korea, has been increasing. In the end, the U.S. is newly establishing an RMF system to prepare a more strengthened cybersecurity policy at the pan-government level, and the U.S. Department of Defense aims to expand the U.S. defense RMF evaluation policy beyond the federal government level. The South Korean military has already applied RMF at the request of the U.S. that notified the policy to apply RMF when obtaining F-35A. The application of RMF by the Korean military is no longer inevitable. Now is the time for the Korean military to seriously think about what to prepare for the early establishment of a successful Korean RMF system.

주제어

표/그림 (4)

그림 (그림 2) 정보유형별 보안통제 요소식별 및 영향 수준평가(예시) (Figure 2) Identification of security control elements by type of information and evaluation of impact level(example)
그림 (그림 1) RMF의 7단계 프로세스 (Figure 1) RMF's 7-Step Process
그림 (그림 3) 잠재된 미래 사이버 위협식별 및 우선순위도출을 위한 TSN 분석절차 (Figure 3) TSN analysis procedure for identifying potential future cyber threats and deriving priorities
그림 (그림 4) 프로젝트 수행단계별 결함(위험)제거에 소요되는 비용 (Figure 4) The cost of eliminating defects(risks) by project execution stage

AI 본문요약
AI-Helper

문제 정의

이에 본 연구는 미국방 RMF만의 차별화된 요소(1단계에서 정보 레벨로 심화된 사이버보안 통제 구현, 4단계에서 능력기반소요기획 (Joint Capabilities Integration and Development System 이하 JCIDS)제도 하 능력평가 (Capabilities Based Assessment 이하 CBA)활용한 신뢰할 수 있는 시스템 및 TSN(Trusted Systems and Networks analysis 이하 TSN)에 초점을 두고 기술하였다.

제안 방법

현시점에서는 아직 한국형 RMF 제도가 확립되지 않아 구체적인 한미 국방 사이버위험관리제도에 대한 상호 비교 및 분석이 어렵다고 사료된 바 RMF와 기존 사이버 보안 관리기법 간의 차이점을 분석함으로써 RMF 기반의 위험관리 체계를 살펴보고자 한다.

성능/효과

둘째, RMF기반 사이버보안 위험관리 자동화관리체계 구축을 위해 이미 미군은 미 국방부 주관 eMASS(enterprise Mission Assurance Support Service)라는 RMF자동화지원체 계를 구축, 운영중에 있으며, 피평가기관을 위한 다양한 RMF자동화지원 솔루션들을 민간에서 제작, 판매중이다. 체계적인 RMF운영을 위해서는 반드시 한국형 eMASS체 계 개발이 필요한데, 이 역시 안보지원사에서 책임지고 한국형 eMASS체계를 조기개발, 운영업무를 주도해나가야 한다.
셋째, 한국형 RMF제도 정립 시, 단순 무기체계 획득 뿐 아니라 국방업무 전반에 걸쳐 RMF를 의무적용하기 위한 관련 법/제도 정비가 필요하다. 특히 안보지원사가 주관하는 '방산분야 보안측정'은 RMF기반 보안평가체계로 조기에 전환해야 한다.

후속연구

마지막으로 합참 및 각군 본부, 예하 각 하위기관별로 정보통신, 항공, 함정 등 임무영역별로 RMF전문가 양성이 필요하다. 앞서 설명한 바와 같이 TSN 분석 등 RMF기 반 사이버위험관리는 임무영역에 대한 숙련된 전문지식이 뒷받침되어야 함에 따라 안보지원사 주도 혹은 사이버작전사령부의 추가 업무지원만으로 모든 국방 RMF업무를 전담하는 것은 사실상 불가능하기 때문이다.
아무리 작은 구멍이라도 방치한다면 구멍은 점점 더 커져 어느 순간 저수지 제방을 무너뜨리게 된다. 비록 방산업체에서 초기 RMF도입 시에는 많은 노력과 수고가 요구되겠지만 장기적으로 미 국방 뿐 아니라 미 연방정부, 향후 동맹국 간에도 통용되는 RMF적용 시 해외 방산수출에 있어 경쟁력 강화에 큰 도움이 되리라 예상한다.
첫째, 한국형 RMF 조기 정착화를 위해서는 관련 법/제도 정비 등 제반여건을 조기에 정비하고 RMF활성화를 주도해나갈 선도기관으로 안보지원사 내 RMF수행 전담 조직 신설 및 전문인력 확충이 필요하다.

참고문헌 (11)

Ho-Yeon Ryu, Young-Ho Nam, "An Attack Model Based on Software Cruise for Information Warfare", Journal of Internet Computing and Services, Vol. 5, No. 5, pp 49-59, 2004. http://www.jics.or.kr/digital-library/260
Uihyeon Song, Donghwa Kim, Myung Kil Ahn, "Layered Authoring of Cyber Warfare Training Scenario", Journal of Internet Computing and Services, Vol. 21 No. 1, pp191-pp199, 2020. https://doi.org/10.7472/jksii.2020.21.1.191

원문보기 상세보기
Seungbae Lee, "Implementation Considerations for Program Protection and Cybersecurity in Weapon Acquisition Systems from U.S.", Vol. 1, No. 2, pp 23-36, 2019.
Hyunsuk Cho, Sungyong Cha, Seungjoo Kim, "A Case Study on the Application of RMF to Domestic Weapon System", Korea Institute of Information Security & Cryptology, Vol. 29, No. 6, pp.1463-1475, 2019. https://doi.org/10.13089/JKIISC.2019.29.6.1463

원문보기 상세보기
DoD, "NetOps Strategic Vision", 2018.
Sung-Joong Kim et al, "A Study on the Operation Concept of Cyber Warfare Execution Procedures", Journal of Internet Computing and Services, Vol. 21 No. 2, pp. 73-80, 2020. https://doi.org/10.7472/jksii.2020.21.2.73

원문보기 상세보기
Korea University Security Analysis and Evaluation Laboratory, "Research on how to apply the RMF process of the defense acquisition system for cybersecurity test evaluation," Joint Chiefs of Staff's Test and Evaluation Department Service, 2017.
Stephen Cook, Shaun Wilson, "The case for investment in Systems Engineering in the early stages of Projects and Programs", SETE conference, 2018. https://www.shoalgroup.com/wp-content/uploads/2018/05/Cook-Wilson-2018-Case-for-early-stage-investment-inSE-SETE-2018.pdf
DoD, DoD Program Manager's Guiedbook for Integrating the Cybersecurity Risk Management Framework into the System Acquisition Lifecycle, September 2015.
Hu-Chen Liu, FMEA Using Uncertainty Theories and MCDM Methods, Springer, 2016. https://link.springer.com/book/10.1007/978-981-10-1466-6
Craig C. Sherbrooke, "Vari-metric: Improved Approximations for Multi-indenture, Multi-echelon Availability Models", Operations Research, Vol.34, No.2, 1986. https://doi.org/10.1287/opre.34.2.311

상세보기

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 상호운용성을 고려한 RMF 기반의 위험관리체계 적용 방향
The direction of application of the RMF-based risk management system considering interoperability 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (4)

표/그림 (4)

AI 본문요약
AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 상호운용성을 고려한 RMF 기반의 위험관리체계 적용 방향 The direction of application of the RMF-based risk management system considering interoperability 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

표/그림 (4) 모든 표/그림 보기

표/그림 (4) 슬라이드로 보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

김성태 (3)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

연관된 기능

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 상호운용성을 고려한 RMF 기반의 위험관리체계 적용 방향
The direction of application of the RMF-based risk management system considering interoperability 원문보기

초록
AI-Helper

표/그림 (4)

표/그림 (4)

AI 본문요약
AI-Helper