[논문]국방획득체계 적용 한국형 보안위험관리 프레임워크

양우성; 차성용; 윤종성; 권혁주; 유재원

doi:10.13089/jkiisc.2022.32.6.1183

국방획득체계 적용 한국형 보안위험관리 프레임워크
Korean Security Risk Management Framework for the Application of Defense Acquisition System 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.32 no.6, 2022년, pp.1183 - 1192

양우성 (한국형 사이버보안제도개발TF 국군방첩사령부) , 차성용 (한국형 사이버보안제도개발TF 국군방첩사령부) , 윤종성 (한국형 사이버보안제도개발TF 국군방첩사령부) , 권혁주 (한국형 사이버보안제도개발TF 국군방첩사령부) , 유재원 (한국형 사이버보안제도개발TF 국군방첩사령부)

초록
AI-Helper

정보 및 정보를 생산, 처리, 폐기하는 시스템은 정보의 총수명주기에 걸쳐 일정수준의 보안이 유지되어야 한다. 일정수준의 보안을 유지하기 위해 소프트웨어 및 자동차 개발, 미국 연방정부 정보체계 등 시스템 수명주기의 보안관리 프로세스를 적용하고 있으나, 우리나라에는 이와 유사한 보안관리 프로세스가 전무한 실정이다. 본 논문에서는 국방 분야 정보 및 정보 처리시스템의 총수명주기에 걸쳐 일정수준의 보안을 유지하기 위한 한국형 보안위험관리 프레임워크를 제안한다. 국방 분야에 적용할 수 있는 한국형 보안위험관리 프레임워크의 개발 목적과 적용방안을 소개함으로써 향후 국방 보안업무가 나가야 할 방향을 제시하고 보안 패러다임의 전환을 유도하고자 한다

Abstract ▼ AI-Helper

Information and Information processing systems must maintain a certain level of security during the total life cycle of Information. To maintain a certain level of security, security management processes are applied to software, automobile development, and the U.S. federal government information system over a life cycle, but theme of no similar security management process in Korea. This paper proposes a Korean-style security risk management framework to maintain a certain level of security in the total life cycle of information and information processing system in the defense sector. By applied to the defense field, we intend to present the direction of defense security work in the future and induce an shift in security paradigm.

주제어

표/그림 (14)

그림 Fig. 1. Cost Increase Due to Expansion of Security Area
그림 Fig. 2. Microsoft Security Development Lifecycle
그림 Fig. 3. DevSecOps Process Flow
그림 Fig. 4. Connected Vehicle Cybersecurity Volvo Group Trucks Technology
그림 Fig. 5. For more information on each RMF Step, including Resources for Implementers and Supporting NIST Publications, select the Step below
그림 Fig. 6. K-RMF 6 steps process flow
그림 Fig. 7. K-RMF Categorize Step
그림 Fig. 8. K-RMF Select Step
그림 Fig. 9. K-RMF Implement Step
그림 Fig. 10. K-RMF Assess Step
그림 Fig. 11. K-RMF Authorize Step
그림 Fig. 12. K-RMF Monitor Step
그림 Fig. 13. ORGANIZATION - WIDE RISK MANAGEMENT APPROACH
그림 Fig. 14. Functional Isolation of K-RMF

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 현행 우리나라의 인증 및 인가(Certification & Accreditation) 형식의 보안 관리 프로세스의 문제점을 해결하기 위해 시스템 개발부터 폐기 시까지 총수명주기동안 지속적인 위험평가 및 인가(Assessment and Authorization) 형식의 보안위험관리 프레임워크의 개발하고 이를 국방획득체계 단계에 따라 국방 무기 및 정보시스템에 적용함으로써 한국형 보안위험관리 프레임워크의 적절함을 증명하고자 하였다.
우리나라 국방 보안 거버넌스 및 환경에 대한 분석을 통해 현재 산재되어 중복 수행되고 있는 보안활동을 통합 및 간소화하고 효율성을 제고 할 수 있는 전사적 보안관리 방안을 도출하고자 하였다.
우리나라 국방보안의 새로운 보안제도로 정착되기까지 어려움과 시행착오가 예상되지만 전면 적용 전까지 시범적용과 각계각층의 의견 수렴, 미국 연방정부 및 국방부 RMF의 변화 모니터링 등 다양한 피드백을 통해 한국형 보안위험관리 프레임워크의 완성도를 높이고 조기 정착토록 노력하여 우리나라의 국방 보안수준을 한층 격상시키고자 한다.

제안 방법

과 같이 소요제기-선행연구-탐색/체계개발-시험평가-전력화/폐기로 이루진다. 국방획득체계 단계별 한국형 보안위험관리 프레임워크를 결합하여 총수명주기에 걸쳐 보안수준을 관리할 수 있도록 설계하였다.
국방획득체계와 연계한 6단계의 보안위험관리 수행절차, 한국형 보안통제항목, 전사적 보안관리 활동 체계 구성 등 군 보안환경을 고려한 한국형 보안위험 관리 프레임워크를 제시하였다.
다만, 위험을 분석, 평가하여 적절한 정보보호대책을 선정하고 구현하는 개념은 동일하지만 한국형 보안위험관리 프레임워크의 위험평가는 미국 연방정부 NIST SP 800-30(Guide for Conducting Risk Assessments), 미국 국방부 Cyber security Risk Assessment Guide를 기반으로 MITRE의 CAPEC과 ATT&CK, Lockheed Martin의 Cyber-kill chain 등 위협 모델을 접목하여 개발되었다
미구현 보안통제항목으로부터 발생할 수 있는 취약점 및 위협을 분석하고 식별된 위협의 발생 가능성과 체계에 미칠 영향성을 종합적으로 판단하는 초기 위험수준 평가를 통해 초기 위험도를 산출한다. 산출된 초기 위험도가 조직의 위험관리 허용 수준보다 높을 시에는 조정된 위험수준 평가를 통해 미구현 보안 통제항목과 구현 보안통제항목과의 연관 관계를 분석하여 초기 위험수준 평가 결과의 가능성과 영향성을 완화할 수 있는 요인을 식별하고 초기 위험도의 수준을 재판단하여 조정된 위험도를 산출한다.
우리 군의 직면하고 있는 보이지 않는 보안 위협을 대응하고자 미국 연방정부 NIST RMF 및 국제 표준 정보보안 경영시스템(ISO27001) 인증제도, 현행 우리 군의 보안제도를 융합하여 국방획득체계와 연계한 6단계의 보안위험관리 수행절차 및 17개 패밀리 761개의 보안통제항목으로 구성된 한국형 보안 위험관리 프레임워크를 개발하였다. 다만, 관련 연구에서 보았듯이 미국 연방정부 NIST RMF와 MS-SDL도 장기간에 걸쳐 변화하는 보안환경과 위협에 대응할 수 있는 보안관리 제도로 개발하고 지속적인 연구개발을 통해 완성도를 높여왔듯이 우리나라 국방 보안환경과 새로운 보안기술에 대한 계속적인 연구가 수행된다면 보다 나은 한국형 보안위험관리 프레임워크로 발전될 수 있을 것이다.
조직수준에서 보안위험 전략·정책을 수립하고 위험관리의 전반적인 조정·통제 역할을 수행하는 최상위 계층, 임무 및 사업관점에서 조직의 임무와 연계 下 사업을 추진하는 계층, 실질적으로 체계를 운용하는 계층으로 구분하여 조직 전체가 보안활동에 참여하도록 설계하였다.
최초 한국형 보안위험관리 프레임워크도 미국 연방정부 NIST RMF와 동일하게 국방획득체계의 전단계에서 위험관리를 실시하는 것으로 개발하였으나 보안위험관리를 처음 도입하는 현실과 단계별 위험평가의 세부적인 사항에 대한 논의와 추가 개발 소요 등을 종합 고려하여 보안통제항목 선정 2단계의 위협기반 위험평가와 보안평가 4단계의 보안통제항목 기반의 위협평가로 축소하였다. 향후에는 모든 단계에서 위험관리와 평가를 실시할 수 있도록 추가 방안을 개발하여 확대 적용할 예정이다.
평가방식을 기존 체크리스트 방식(Certification and Accreditation, C&A)을 지속적 위험평가 및 인가(Assessment and Authorization, A&A)방식으로 변경하여 새로운 보안취약점에 대한 위험을 조기 식별하고 대응할 수 있도록 설계하였다.
한국형 보안위험관리 프레임워크는 Fig.13.과 같이 전사적 수준의 3계층 위험관리 개념을 도입ㆍ적용하였다.
한국형 보안위험관리 프레임워크는 미국 연방정부 및 국방부의 RMF를 연구하고 벤치마킹하여 개발하였다. 정보 및 정보 처리시스템의 총수명주기에 걸쳐 보안위험을 단계별로 관리하는 절차는 거의 동일하다.
현재 체계를 운용하는 계층에게만 보안활동과 책임이 집중되어 있는 문제점을 해소하고 한국형 보안 위험관리 프레임워크 적용 시 각 계층별 임무분장을 구분하여 조직 전체가 보안활동에 참여토록 하였다. 전사적 보안활동은 조직의 보안 인식을 일치화하고 각 계층 간 의사소통을 통해 보안정책 수립 및 시행간 발생 가능한 보안 공백을 최소화하는 등 보다 효과적인 보안 관리를 추구할 수 있다.

후속연구

우리 군의 직면하고 있는 보이지 않는 보안 위협을 대응하고자 미국 연방정부 NIST RMF 및 국제 표준 정보보안 경영시스템(ISO27001) 인증제도, 현행 우리 군의 보안제도를 융합하여 국방획득체계와 연계한 6단계의 보안위험관리 수행절차 및 17개 패밀리 761개의 보안통제항목으로 구성된 한국형 보안 위험관리 프레임워크를 개발하였다. 다만, 관련 연구에서 보았듯이 미국 연방정부 NIST RMF와 MS-SDL도 장기간에 걸쳐 변화하는 보안환경과 위협에 대응할 수 있는 보안관리 제도로 개발하고 지속적인 연구개발을 통해 완성도를 높여왔듯이 우리나라 국방 보안환경과 새로운 보안기술에 대한 계속적인 연구가 수행된다면 보다 나은 한국형 보안위험관리 프레임워크로 발전될 수 있을 것이다.
최초 한국형 보안위험관리 프레임워크도 미국 연방정부 NIST RMF와 동일하게 국방획득체계의 전단계에서 위험관리를 실시하는 것으로 개발하였으나 보안위험관리를 처음 도입하는 현실과 단계별 위험평가의 세부적인 사항에 대한 논의와 추가 개발 소요 등을 종합 고려하여 보안통제항목 선정 2단계의 위협기반 위험평가와 보안평가 4단계의 보안통제항목 기반의 위협평가로 축소하였다. 향후에는 모든 단계에서 위험관리와 평가를 실시할 수 있도록 추가 방안을 개발하여 확대 적용할 예정이다.

참고문헌 (12)

Jung Sejin, et al, "OOPT:An Object - Oriented Development Methodology for Software Engineering Education", Journal of KIISE, 44(5), pp. 510-521, May. 2017

원문보기 상세보기
Kim tai-dal, "Software development project management using Agile methodology", The Journal of the Institute of Internet, Broadcasting and Communication, 16(1), pp. 155-162, Feb. 2016

원문보기 상세보기
Son Kyung-A and Yun Young-Sun, "Introduction and Analysis of Open Source Software Development Methodology", Journal of Software Assessment and Valuation, 16(2), pp. 163-172, Dec. 2020

상세보기
Hur Junghun and Choi Jin-Young, "Practical use of MS SDLC for small mobile app development", Proceedings of the Korean Information Science Society Conference, 39(1C), pp. 292-294, Jun. 2012
Cho Jihoon, "Data security 4.0 for next-generation data security", The Magazine of the IEIE, 48(5), pp. 16-25, May. 2021
Jeong Seungyeon, Kang Sooyoung and Kim Seungjoo, "A Methodology for Integrating Security into the Automotive Development Process", KIPS Transactions on Software and Data Engineering, 19(12), pp. 387-402, Dec, 2020
"Connected Vehicle Cybersecurity Volvo Group Trucks Technology", Volvo GTT Presentation material, 2019
Kim So Jeong, "Information Security : A Comparative Study on Information Security Management Activity of Public Sector in USA & Korea", The KIPS Transactions:PartC, 13(1) pp. 69-74, Feb. 2006
"Security & Privacy Controls for Federal Information Systems and Organizations", NIST SP 800-53 Rev.4, 2013
Hyun-suk Cho, Sung-yong Cha and Seung-joo Kim, "A Case Study on the Application of RMF to Domestic Weapon System", journal of The Korea Institute of Information Security &Cryptology, 29(6), pp. 1463-1474, Dec. 2019

원문보기 상세보기
Yongseok Lee and Jeongmin Choi, "Research for Application the RMF to the Korean Military", The Journal of Korean Institute of Communications and Information Sciences, 45(12), pp. 2132-2139, Dec. 2020

상세보기
Jong-chool Park and Yong-hoon Choi. "A Study on How to Secure Interoperability of Information Assurance Based on K-RMF", The Journal of Korean Institute of Communications and Information Sciences, 47(4), pp. 671-678, Apr. 2022

상세보기

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증