[논문]국방 사이버보안을 위한 RMF-CMMC 공통규정준수 메타모델 개발방안 연구

황재윤; 권혁진

doi:10.7472/jksii.2024.25.1.123

[국내논문] 국방 사이버보안을 위한 RMF-CMMC 공통규정준수 메타모델 개발방안 연구
A Research on RC3(RMF-CMMC Common Compliance) meta-model development in preparation for Defense Cybersecurity

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.25 no.1, 2024년, pp.123 - 136

황재윤 (eVolcano Inc) , 권혁진 (Department of Protection and Safety, Seoul National University of Science and Technology)

초록
AI-Helper

사이버보안 정책을 선도하는 미 국방부의 사이버보안 제도는 크게 2가지 방식으로 대외 군납업체 보안인증을 위한 CMMC와 내부기관대상 보안평가를 위한 RMF가 있다. 우리 군의 경우, 2026년부터 한국형 RMF(K-RMF)를 적용할 예정이다. 더불어 미 국방부가 발주하는 사업에 참여하는 국내 방산업체들은 2025년 10월전까지 CMMC인증을 사전 취득해야 하는 입장에 있다. 본 논문에서는 CMMC와 RMF 보안감사 준비업무를 동시에 지원할 수 있는 새로운 표준 컴플라이언스 메타모델(R3C) 개발방법론과 R3C메타모델을 기초로 한 컴플라이언스 솔루션 구현 결과물에 대해 소개하고 있다. 본 연구는 2022년 이후 국방부 합동참모본부 주관 한/미 국방 사이버보안 업무지원 자동화 솔루션 개발프로젝트를 수행하면서 얻은 미 국방 사이버보안 제도에 대한 실무 노하우를 토대로 진행되었다. 개발된 컴플라이언스 솔루션기능은 한/미 연합모의훈련 실무에 활용되고 있다. 본 연구를 통해 개발된 컴플라이언스 솔루션은 민간에도 제공할 예정이며, CMMC인증을 취득해야 하는 국내 방산업체에게 매우 유용하리라 예상한다.

Abstract ▼ AI-Helper

The U.S. Department of Defense, leading global cybersecurity policies, has two main cybersecurity frameworks: the Cybersecurity Maturity Model Certification (CMMC) for external defense industry certification, and the Risk Management Framework (RMF) for internal organizational security assessments. For Republic of Korea military, starting from 2026, the Korean version of RMF (K-RMF) will be fully implemented. Domestic defense industry companies participating in projects commissioned by the U.S. Department of Defense must obtain CMMC certification by October 2025. In this paper, a new standard compliance meta-model (R3C) development methodology that can simultaneously support CMMC and RMF security audit readiness tasks is introduced, along with the implementation results of a compliance solution based on the R3C meta-model. This research is based on practical experience with the U.S. Department of Defense's cybersecurity regulations gained during the joint project by the South Korean and U.S. defense ministries' joint chiefs of staff since 2022. The developed compliance solution functions are being utilized in joint South Korean-U.S. military exercises. The compliance solution developed through this research is expected to be available for sale in the private sector and is anticipated to be highly valuable for domestic defense industry companies that need immediate CMMC certification.

Keyword

표/그림 (15)

그림 (그림 1) RMF 7단계 프로세스 (Figure 1) RMF 7 Steps
그림 (그림 2) CMMC 인증심사제도 (Figure 2) CMMC Certification Audit System
그림 (그림 3) ISO 27001 메타모델 (Figure 3) ISO 27001 Meta-model
그림 (그림 4) 강화된 메타모델 (Figure 4) Enhanced Meta-model
그림 (그림 5) NIST SP800-30의 위험메트릭스 (Figure 5) Risk Matrix of NIST SP800-30
그림 (그림 6) RC3(RMF-CMMC Common Compliance) 메타모델 (Figure 6) RC3 (RMF-CMMC Common Compliance) Meta-model
그림 (그림 7) 핵심개념의 인스턴스화 (Figure 7) Instantiation of Core Concepts
그림 (그림 8) RC3 핵심개념 (Figure 8) RC3 Core Concepts
그림 (그림 9) CMMC의 실제 보안감사 요구사항 (eSR) (Figure 9) Actual Security Audit Requirements of CMMC (eSR)
그림 (그림 10) RC3메타모델에 기초한 자동화된 취약점 점검관리기능 구현 (Figure 10) Implementation of Automated Vulnerability Inspection Management Function Based on the RC3 Meta-model
그림 (그림 11) SCAP의 6개 핵심 컴포넌트 요소 (Figure 11) Six Core Components of SCAP
그림 (그림 12) 자동 생성된 취약점점검 종합결과보고서(1/2) (Figure 12) Comprehensive Vulnerability Inspection Report Automatically Generated (1/2)
그림 (그림 13)자동 생성된 취약점점검 종합결과보고서(2/2) (Figure 13) Comprehensive Vulnerability Inspection Report Automatically Generated (2/2)
그림 (그림 14) 수기식 사이버보안활동의 온라인화 지원 및 자동 생성된 증적이력(예시) (Figure 14) Support for Online Transformation of Manual Cybersecurity Activities and Automatically Generated Evidence History (Example)
그림 (그림 15) 국내외 다양한 국방 사이버보안 정책지원을 위한 RC3 오버레이 아키텍처 (Figure 15) RC3 Overlay Architecture for Supporting Various Domestic and International Defense Cybersecurity Policies

AI 본문요약
AI-Helper

문제 정의

본 논문은 2022년 이후 미 RMF를 토대로 국방부 합동참모본부 주관 한/미 연합연습 모의지원 사이버보안 자동화 솔루션 개발프로젝트를 수행하며 얻은 미 국방 사이버보안감사제도 준비에 대한 노하우를 토대로 하였다. CMMC와 RMF 보안감사 준비업무를 동시에 지원할 수 있는 상용도구(컴플라이언스 솔루션)의 공통 규정준수 메타모델 개발과정에 대해 기술하였다.
본 논문은 2022년 이후 미 RMF를 토대로 국방부 합동참모본부 주관 한/미 연합연습 모의지원 사이버보안 자동화 솔루션 개발프로젝트를 수행하며 얻은 미 국방 사이버보안감사제도 준비에 대한 노하우를 토대로 하였다. CMMC와 RMF 보안감사 준비업무를 동시에 지원할 수 있는 상용도구(컴플라이언스 솔루션)의 공통 규정준수 메타모델 개발과정에 대해 기술하였다.
본 논문은 2022년 이후 미 RMF를 토대로 국방부 합동참모본부 주관 한/미 연합연습 모의지원 사이버보안 자동화 솔루션 개발프로젝트를 수행하며 얻은 미 국방 사이버보안감사제도 준비에 대한 노하우를 토대로 CMMC와 RMF 보안감사 준비업무를 동시에 지원할 수 있는 상용도구(컴플라이언스 솔루션)의 공통 규정준수 메타모델 개발과정에 대해 기술하였다.

제안 방법

다행히 CMMC의 보안심사항목(Security Requirements)은 ISO 27001과 RMF의 보안통제항목으로부터 도출되었다. 이에 가장 보안요구수준이 낮은 ISO 27001메타모델을 개발한 선행연구사례를 토대로 CMMC와 RMF를 공통지원할 수 있는 공통 메타모델을 새롭게 개발하였다.
따라서 국방 사이버보안과 관련된 연구는 민간 분야의 사이버보안 연구보다 훨씬 다양하고 광범위하다. 이에 본 논문에서 관련연구는 국방 사이버보안 규정준수(Cybersecurity Compliance)라는 단일 주제영역으로 국한하였으며, 군 내 국방 사이버보안 규정준수를 위한 제도인 RMF와 군 외 제도인 CMMC에 대해 평가방법론적 측면에서 우선 조사, 분석하였다.
다음 그림 4의 강화된 메타모델(enhanced Meta-Model)은 그림 3의 ISO 27001메타모델을 기본 토대로 RMF와 CMMC의 보안요구사항을 추가 지원할 수 있도록 강화된 사이버보안 메타모델로 본 연구 역시 근거 이론과 질적 데이터 분석방법에 기초해 메타 모델 확장을 진행하였다.
강화된 보안요구사항 요소가 추가된 그림 4에 RMF와 CMMC의 보안정책에 따라 근거해 규정준수 여부를 모니터링하고, 규정위반이 해결되었는지 확인하는 일련의 컴플라이언스업무 및 지원도구와 관련해 필요한 최소한의 메타데이터 요소(MCR, Minimum Compliance Requirements)를 새롭게 정의하고 추가하여 컴플라이언스 중심 메타모델 그림 6을 완성하였다.
NIST 표준(SP 800-171의 '부록 D')는 CMMC의 보안통제항목과 RMF를의 보안통제항목 간 매핑정보를 제공하며, 이를 토대로 CMMC와 RMF를 동시에 지원할 수 있는 프로세스 순서의 정합성 검증을 수행하였다

대상 데이터

그 다음으로 본 논문의 연구 주제인 국방 사이버보안 규정준수를 돕는 효율적인 상용 지원도구(컴플라이언스 솔루션)개발을 위한 기반 토대인 '사이버보안 메타모델' 선행연구사례를 조사, 분석하였다
그 다음으로 본 논문의 연구 주제인 국방 사이버보안 규정준수를 돕는 효율적인 상용 지원도구(컴플라이언스 솔루션)개발을 위한 기반 토대인 '사이버보안 메타모델' 선행연구사례를 조사, 분석하였다. CMMC와 RMF 모두 새로운 사이버보안 평가제도로 표준 메타모델연구 사례가 존재하지 않으며, 이에 CMMC 및 RMF와 호완성이 좋은 국제 표준 사이버보안 표준모델인 ISO 27001관련 메타모델 선행 연구사례를 조사, 분석하였다.

성능/효과

7511)인 보안요소자동화프로토콜 SCAP(Security Content Automation Protocol)을 채택하는 방법을 모색해 보았다[21]. 검토결과, SCAP은 CMMC와 RMF 모두에서 인정되는 공인된 취약점해소 및 위험예방 방법으로 RC3메타모델에 100% 부합됨에 따라 SCAP을 취약점 점검관리 자동화 방안으로 채택하였다.
효과적인 솔루션 공급 계획 수립은 비용과 시간을 절약하는 데 중요한 역할을 한다. 본 논문에서 제안하는 솔루션은 이러한 요인들을 고려하여 개발되었으며, 기존 시스템의 통합과 확장성을 용이하게 함으로써, 메타모델의 적용 기간을 상당히 단축시킬 수 있다. 특히, 대규모 조직이나 복잡한 시스템 환경에서는 이러한 접근 방식이 시간과 비용 측면에서 더욱 효과적일 것으로 예상된다.

후속연구

그 이유로 태생적으로 RMF의 보안평가모델(NIST SP 800-53)은 800-161을 거쳐 CMMC(NIST SP 800-171)의 모태가 되었고, RMF를 준수할 경우 CMMC의 요구사항을 완벽히 충족시킬 수 있기 때문이다. CMMC의 실무 경험이 있는 전문가가 전혀 없는 국내 여건 상 미 RMF를 실무에 적용해가며 개발된 컴플라이언스 솔루션에 녹아들어가 있는 경험적 노하우는 CMMC인증심사과정에 있어서도 매우 큰 도움이 될 것이다.

참고문헌 (25)

Office of the USD A&S, "CMMC Self-Assessment？Guide Level 1, Version 2.0," DoD, 2021.12.？https://dodcio.defense.gov/Portals/0/Documents/CMMC/AG_Level1_V2.0_FinalDraft_20211210_508.pdf？
DoD, DoD Program Manager's Guidebook for？Integrating the Cybersecurity Risk Management？Framework (RMF) into the System Acquisition？Lifecycle VERSION 1.0, DoD, September 2015.？https://books.google.co.kr/books/about/ DoD_Program_Manager_s_Guidebook_for_Inte.html?idnbsjjwEACAAJ&redir_escy
United States Government, "Basic Safeguarding of？Covered Contractor Information Systems," FAR？52.204-21, 2323.6.2.？https://www.acquisition.gov/far/52.204-21
"Key Cybersecurity Challenges and Proposed Solutions？Faced by the Domestic Defense Industry," news2day,？2023.8.13.？https://www.news2day.co.kr/article/20230811500136
Seungbae Lee, "Considerations for Information Security？and Cybersecurity in U.S. Weapon Systems Acquisition？Programs," Defense Security Research Institute,？Defense and Security, Volume 1, Issue 2, December？2019.？
Advancements in the Establishment of 'Security Risk？Management System' in the Defense Sector, Defense？Daily, November 27,？2022.
CYBER AB, CMMC IMPLEMENTATION CONSULTING,？https://cyberab.org/CMMC-Ecosystem/Ecosystem-Roles/Consulting-and-Implementation？
Dr William Greenwalt, Tom Corben, "BREAKING？THE BARRIERS: REFORMING US EXPORT？CONTROLS TO REALISE THE POTENTIAL OF？AUKUS," UNITED STATES STUDIES CENTRE,？2023.5.17. https://doi.org/10.17606/2v6z-9j05？
Min-Hyo LEE. "A Study on the Tallinn Manual on the？International Law Applicable to Cyber Warfare," The？Korean Journal of Humanitarian Law, pp. 9-42, 2017.？https://www.dbpia.co.kr/journal/articleDetail?nodeIdNODE07365876？
DoD, "DoDI 8510.01 Risk Management Framework？(RMF) for DoD Information Technology (IT)," 2014, 5.？https://www.dau.edu/cop/stm/documents/dodi-851001-risk？-management-framework-rmf-dod-information-technology？
NIST, NIST Risk Management Framework, Created？November 30, 2016, Updated December 13, 2023？https://csrc.nist.gov/projects/risk-management/about-rmf？
DoD CIO, Cybersecurity Maturity Model Certification？(CMMC) Model Overview, 2021.11.？https://dodcio.defense.gov/CMMC/about/？
Tsoumas, B,Gritzalis, D, "Towards an Ontology-based？Security Management," AINA'06, IEEE, 2006.？https://doi.org/10.1109/AINA.2006.329？
Danijel Milicevic, Matthias Goeken, "Model Driven？Information Security Management - Evaluating and？Applying the Meta Model of ISO 27001," AMCIS 2011？Proceedings, 2011.？https://aisel.aisnet.org/amcis2011_submissions/376/
Danijel Milicevic, Matthias Goeken, "Ontology-Based？Evaluation of ISO 27001," in Proc. of 10th IFIP WG？6.11 Conference on e-Business, e-Services, and？e-Society (I3E), Nov 2010, Buenos Aires, Argentina.？https://doi.org/10.1007/978-3-642-16283-1_13？
Ik-jae Kim, KANG JI WON, Shin, Dong Kyoo, "A？study on the application of mission-based weapon？system cybersecurity test and evaluation," vol.22, no.6,？pp. 71-81, JICS, 2021.？https://doi.org/10.7472/jksii.2021.22.6.71？

원문보기 상세보기
DoD, The Department of Defense Cyber Table Top？Guidebook Version 1.0, 2018.6.？
NIST, "Guide for Conducting Risk Assessments," NIST？SP 800-30 Rev. 1, 2012.？https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpub？lication800-30r1.pdf？
Ye-Na Joo, Beomsoo Kim, HyukJin Kwon, "Suggestion？of Risk Priority Identification Methodology for the？Establishment of the Korean RMF System," JDPS,？vol.37, no.2, pp. 99-130, 2021.？https://www.dbpia.co.kr/Journal/articleDetail?nodeIdNODE10653845？
NIST, NATIONAL VULNERABILITY DATABASE,？https://nvd.nist.gov/？
NIST, "Security Content Automation Protocol (SCAP)？Version 1.2 Validation Program Test Requirements,"？NISTIR 7511 Revision 4, 2016.？https://csrc.nist.gov/projects/scap-validation-program/scap-1-2-validation
Mohammed Noraden Alsaleh, E. Al-Shaer, "SCAP？based configuration analytics for comprehensive？compliance checking," 4th SAFECONFIG, IEEE, 2011.？https://doi.org/10.1109/SafeConfig.2011.6111674
NIST, "Cybersecurity Framework Version 1.1？Manufacturing Profile," NISTIR 8183 Revision 1, 2020.？https://csrc.nist.gov/news/2020/cybersecurity-frameworkv1-1-manufacturing-profile？
NIST RMF, Security and Privacy Control Overlay？Overview？https://csrc.nist.gov/Projects/risk-management/sp800-53-controls/overlay-repository/overlay-overview？
NIST, "Cybersecurity Supply Chain Risk Management？Practices for Systems and Organizations," NIST SP？800-161r1, 2022.？https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdf

활용도 분석정보

상세보기

다운로드

내보내기

활용도 Top5 논문

해당 논문의 주제분야에서 활용도가 높은 상위 5개 콘텐츠를 보여줍니다.
더보기 버튼을 클릭하시면 더 많은 관련자료를 살펴볼 수 있습니다.

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증