[논문]개발 전주기 사이버보안 관점에서의 해상 사이버보안 형식 승인과 RMF 비교 연구

이수원; 황세영; 홍진아; 김병진

doi:10.13089/jkiisc.2022.32.2.279

초록
AI-Helper

최근 사이버 위협이 고도화되고 해킹기술이 발달함에 따라 자동차, 선박 등 다양한 분야에서 사이버보안이 강조되고 있다. 이러한 추세에 따라 여러 산업 분야에서 기자재 및 시스템에 대한 사이버보안을 요구하고 있으며, 이에 관련된 인증 및 제도가 구체화 되고 있다. 본 논문에서는 산업 분야의 사이버보안 형식승인이 RMF와 같이 명시적으로 개발 단계별로 구분하지는 않으나, 시스템 개발 전주기에 사이버보안 요소가 반영되어야 한다는 공통요소가 있다는 전제하에 RMF와 비교하였다. 비교 대상으로 해상 사이버보안 형식승인을 선정하였으며, 이는 공식적인 사이버보안 형식승인의 예로 국내 유일의 국제 선박검사 기관인 한국선급의 형식승인을 예로 비교한 것이지 산업 분야의 사이버보안 형식승인을 대표한다는 의미는 아니다. 비교 결과 해상 사이버보안 형식승인 획득 절차는 RMF와 같이 개발 단계별로 구분하지 않지만, RMF와 같이 개발 전단계에 대해 사이버보안 요소 적용해야 하는 절차상의 공통점과 단계별 결과물에 대한 유사성을 확인하였다. 이에 따라 해상 사이버보안 형식승인 획득과정을 통해 개발된 시스템은 개발 전주기에 사이버보안 요소가 적용되었다고 판단할 수 있는 가능성을 확인하였다.

Abstract ▼ AI-Helper

With the advancement of cyber threats and the development of hacking technologies, cyber security is being emphasized in various fields such as automobiles and ships. According to this trend, various industrial fields are demanding cybersecurity, and related certifications. In this paper, cybersecur...

With the advancement of cyber threats and the development of hacking technologies, cyber security is being emphasized in various fields such as automobiles and ships. According to this trend, various industrial fields are demanding cybersecurity, and related certifications. In this paper, cybersecurity type approval is compared with the RMF stage under the premise that there are common elements with RMF in that cybersecurity elements must be reflected in the entire system development cycle. For comparison, type approval of maritime cyber security of the Korean Register of Shipping was selected. In conclusion, although type approval of maritime cyber security acquisition procedure is not divided by development stage like the RMF, there are the commonalities in the procedure to apply the cybersecurity element to the System development lifecycle like the RMF. Accordingly, the possibility of determining that the cybersecurity element was applied to the entire development cycle was confirmed.

Keyword

표/그림 (10)

그림 Fig. 1. SecuAider Key Features
표 Table 1. Security Objective Definitions [44 U.S.C., SEC. 3542]
표 Table 2. Potential Impact Definitions
표 Table 3. Asset Materiality Rating Criteria
그림 Fig. 2. Asset value evaluation result
표 Table 4. RMF's family of security and privacy controls
표 Table 5. Cyber security requirements in accordance
그림 Fig. 3. Risk distribution before and after action
그림 Fig. 4. SecuAider Type Approval Certificate
그림 Fig. 5. Vulnerability check result using Nipper

AI 본문요약
AI-Helper

문제 정의

본 논문에서는 여러 산업분야에서 요구되는 사이버보안이 시스템 개발 전 주기에 걸쳐 관리되고 적용되어야 한다는 전제하에 해상 사이버보안 형식승인을 RMF에서 명시하는 개발 전 주기 단계별로 유사성을 분석하였다
본 논문에서는 여러 산업분야에서 요구되는 사이버보안이 시스템 개발 전 주기에 걸쳐 관리되고 적용되어야 한다는 전제하에 해상 사이버보안 형식승인을 RMF에서 명시하는 개발 전 주기 단계별로 유사성을 분석하였다. 이유는 각산업 분야별로 요구되는 사이버 보안 항목이 다를 수 있지만, 개발 전주기에 사이버보안 요구 항목을 반영해야 한다는 공통점과 유사성을 도출함으로써, 추후 다른 산업분야 간의 활용되거나 참고할 수 가능성을 확인하기 위해서이다. 본 논문의구성은 다음과 같다.
본 논문에서는 해상 사이버 형식승인에 대한 인증 과정과 미국의 RMF 단계를 비교함으로써 시스템 개발 전주기에 사이버보안 요소가 어떻게 반영되는지와 어떠한 유사성이 있는지에 대해 연구하였다. 또한 시스템 개발 전주기에 사이버보안 요소를 고려한 하나의 예로서 SecuAider 개발 시 해상 사이버 형식 승인 획득 과정에 필요하였던 절차 및 내용을 구체적인 예로 설명하였다.
이러한 점에서 사이버보안 형식승인은 RMF와 같이 개발 전단계별로 구분하여 수행해야 하는 절차를 명시하고 있지 않지만 개발 전단계에 대해 사이버보안 요소 적용하는 관점에서 유사성이 있음을 확인하였다. 또한 본 논문에서는 하나의 시스템이 해상 사이버 형식승인을 획득하는 과정에서 필요한 사이버보안 요소에 대해 구체적인 예를 들어 설명함으로써 유사성 내용에 대한 이해를 돕고자 하였다. 추후 연구로서는 산업 분야별 보호 통제 항목의 구체적인 요구사항을 비교하여 각 산업 분야간 상호 인정할 수 있는 사이버보안 요구사항을 도출하고자 한다.

제안 방법

서론에 이어, 2장에서는 관련 연구로 미국의RMF와 한국선급의 해상 사이버보안형식 승인에 대해 설명하고, 해상 사이버 형식 승인 과정에서 필요로 하는 사이버보안 요소에 대해 구체적인 실례로 설명하기 위한 SecuAider에 대해 간단히 설명한다. 자동차에 대한 사이버보안 형식 승인에 대해서도 비교 분석하고자 하였으나, 현재 국내 자동차의 사이버보안형식 승인을 인증하는 기관은 없기때문에, 사이버보안의 형식승인이 발급 가능한 한국선급의 해상사이버보안 형식승인이 인증과정을 통해 비교분석하였다. 3장에서는 해상 사이버보안 형식승인도 개발전주기에 사이버보안 요소를 반영해야한다는 관점에서 RMF 단계별로 해상 사이버보안 형식승인과 RMF와 공통점을 언급하고 실례로서 어떠한 내용이 반영되는지 SecuAider에서 적용한 내용을 예를들어 설명하였다.
본 장에서는 해상 사이버보안 형식승인 과정과 RMF 각 단계별로 유사성을 분석하고 실제사 이버보안 형식승인 과정에서 적용한 내용을 예를 들어 기술하였다. 개발 전단계의 사이버보안 적용 내용을비교하기 위해 RMF 단계를 기준으로 사이버보안 형식승인 과정을 비교하였다. RMF 단계는 준비(Prepare), 분류(Categorize), 선택(Select), 구현(Implement), 평가(Assess), 승인(Authorize), 모니터(Monitor)의 7단계로 구성되며 각 단계에서의 RMF의 한국선급 해상 사이버보안 형식승인의 정의 및 요구사항에 대하여 기술하여 비교 분석을 수행하였다.
개발 전단계의 사이버보안 적용 내용을비교하기 위해 RMF 단계를 기준으로 사이버보안 형식승인 과정을 비교하였다. RMF 단계는 준비(Prepare), 분류(Categorize), 선택(Select), 구현(Implement), 평가(Assess), 승인(Authorize), 모니터(Monitor)의 7단계로 구성되며 각 단계에서의 RMF의 한국선급 해상 사이버보안 형식승인의 정의 및 요구사항에 대하여 기술하여 비교 분석을 수행하였다.
RMF 또한 구체적인 방법에 대해 명시하지 않으며 구현 방법에 대해서는 NIST의 기관에서 발간하는 별도의 문서에 정의되어 있다. 사이버보안 형식승인에 적용한 실제적인 예를 위해 SecuAider에서 설정한 보안통제항목을 설명하면, 기술적 취약점 분석, 평가방법 상세가이드, 한국선급의 형식승인 지침, STIG(Securiy Technical Implementation Guide) 항목 근거로 보안장비, 네트워크 장비, 서버, DB 영역을 분류하여 205항목을 선정하였다. 선정된 205개 항목은 RMF에서의 접근통제(AC), 보안평 가 및 인가(CA), 식별 및 인증(IA) 등의 세부 내용과 유사하였다.

이론/모형

취약점 진단을 위한 취약점 분석 자동화 도구 중 OS 취약점 분석을 위해 Paws Studio[8]와 네트워크 장비의 보안 취약점을 위해 Nipper Studio[8]를 사용하였다. Paws Studio와 Nipper Studio는 사이버보안의 주요기관인 CIS, NIST, SANS,NSA, NERC 등의 정책을 지원하는 도구이다.

성능/효과

본 논문에서는 해상 사이버 형식승인에 대한 인증 과정과 미국의 RMF 단계를 비교함으로써 시스템 개발 전주기에 사이버보안 요소가 어떻게 반영되는지와 어떠한 유사성이 있는지에 대해 연구하였다. 또한 시스템 개발 전주기에 사이버보안 요소를 고려한 하나의 예로서 SecuAider 개발 시 해상 사이버 형식 승인 획득 과정에 필요하였던 절차 및 내용을 구체적인 예로 설명하였다. 본 논문은 여러 분야에서 요구하는 사이버보안은 시스템 개발 전주기에 관리되어야 한다는 관점에서 절차상의 유사성 및 단계별 사이버보안 결과에 대한 유사성을 분석한것이지, 각 분야에서 요구하는 구체적인 사이버보안 요구항목에 대한 유사성을 비교 분석한 것은 아니다.
본 논문은 여러 분야에서 요구하는 사이버보안은 시스템 개발 전주기에 관리되어야 한다는 관점에서 절차상의 유사성 및 단계별 사이버보안 결과에 대한 유사성을 분석한것이지, 각 분야에서 요구하는 구체적인 사이버보안 요구항목에 대한 유사성을 비교 분석한 것은 아니다. 결론적으로 과거에는 기능 및 성능 위주 방식으로 시스템이 개발되었다면, 최근에는 사이버보안 요소가 시스템 개발에 필수적인 요소가 되었으며, 사이버보안은 시스템의 요구사항 분석 단계부터 설계, 개발, 시험, 운용 및 폐기에 이르는 전단계에 사이버보안 요소가 적용되어야 한다는 것이다. 이러한 점에서 사이버보안 형식승인은 RMF와 같이 개발 전단계별로 구분하여 수행해야 하는 절차를 명시하고 있지 않지만 개발 전단계에 대해 사이버보안 요소 적용하는 관점에서 유사성이 있음을 확인하였다.
결론적으로 과거에는 기능 및 성능 위주 방식으로 시스템이 개발되었다면, 최근에는 사이버보안 요소가 시스템 개발에 필수적인 요소가 되었으며, 사이버보안은 시스템의 요구사항 분석 단계부터 설계, 개발, 시험, 운용 및 폐기에 이르는 전단계에 사이버보안 요소가 적용되어야 한다는 것이다. 이러한 점에서 사이버보안 형식승인은 RMF와 같이 개발 전단계별로 구분하여 수행해야 하는 절차를 명시하고 있지 않지만 개발 전단계에 대해 사이버보안 요소 적용하는 관점에서 유사성이 있음을 확인하였다. 또한 본 논문에서는 하나의 시스템이 해상 사이버 형식승인을 획득하는 과정에서 필요한 사이버보안 요소에 대해 구체적인 예를 들어 설명함으로써 유사성 내용에 대한 이해를 돕고자 하였다.

후속연구

또한 본 논문에서는 하나의 시스템이 해상 사이버 형식승인을 획득하는 과정에서 필요한 사이버보안 요소에 대해 구체적인 예를 들어 설명함으로써 유사성 내용에 대한 이해를 돕고자 하였다. 추후 연구로서는 산업 분야별 보호 통제 항목의 구체적인 요구사항을 비교하여 각 산업 분야간 상호 인정할 수 있는 사이버보안 요구사항을 도출하고자 한다.

참고문헌 (10)

Seungmok Lee, "A study on the application of RMF for weapon systems in Korea: weapons and security system integration," Institute of Defense Acquisition program, Jornal of Advances in Military Studies, Vol. 4, No. 3, pp.191-208, Dec. 2021

상세보기
"IMO International Maritime Organization Policy Trends", Korea Maritime Institute. Aug. 2018. vol 7.
"Automotive Cyber Security Guidelines," Ministry of Land, Infrastructure and Transport and Korea Transportation Safety Authority, Dec. 2020
Cho Hyun Suk, "A Case Study on the Application of RMF to Domestic Weapon System," master's thesis, Korea University, Feb. 2020
wikipedia, "Korean Register", https://ko.wikipedia.org/wiki/%ED%95%9C%EA%B5%AD%EC%84%A0%EA%B8%89, Nov. 2021
"Maritime Cybersecurity Systems Guidelines," Korean Register, Apr. 2019
"Maritime Cybersecurity Type Approval Guidelines," Korea Register, Apr. 2019
TITANIA, "Nipper, Paws" https://www.titania.com, Nov. 2021
Jina Hong, Seyong Hwang, Suwon Lee and Jaeyeon Lee, "Implementation of Reusable Technical Risk Assessment Tool to Reinforce Cybersecurity", 2020 KIMST, P 2-16, Nov. 2020
"Detailed guide to analysis and evaluation of technical vulnerabilities of major information and communication infrastructure," Korea Internet & Security Agency, Jun. 2018

이 논문을 인용한 문헌

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

[국내논문] 개발 전주기 사이버보안 관점에서의 해상 사이버보안 형식 승인과 RMF 비교 연구
A Comparative Study on Type Approval of Maritime Cyber Security and RMF in the View of System Development Lifecycle 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

Keyword

표/그림 (10)

표/그림 (10)

AI 본문요약
AI-Helper

문제 정의

제안 방법

이론/모형

성능/효과

후속연구

참고문헌 (10)

이 논문을 인용한 문헌

활용도 분석정보

활용도 Top5 논문

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

[국내논문] 개발 전주기 사이버보안 관점에서의 해상 사이버보안 형식 승인과 RMF 비교 연구 A Comparative Study on Type Approval of Maritime Cyber Security and RMF in the View of System Development Lifecycle 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

Keyword

표/그림 (10) 모든 표/그림 보기

표/그림 (10) 슬라이드로 보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

이론/모형

성능/효과

후속연구

참고문헌 (10)

이 논문을 인용한 문헌

활용도 분석정보

활용도 Top5 논문 더보기

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

[국내논문] 개발 전주기 사이버보안 관점에서의 해상 사이버보안 형식 승인과 RMF 비교 연구
A Comparative Study on Type Approval of Maritime Cyber Security and RMF in the View of System Development Lifecycle 원문보기

초록
AI-Helper

표/그림 (10)

표/그림 (10)

AI 본문요약
AI-Helper

활용도 Top5 논문