美 NIST 보안성 자동평가프로토콜(SCAP)분석을 통한 공공기관의 정보보안관리실태 평가제도 개선방안 연구
지윤석*․이용석**․윤덕중***․신용태****
A Study on the Improvement of Information Security Management Condition Evaluation in Public Sector
through the SCAP Analysis by NIST in U.S.
Yoon Seok Jee*․Yong Suk Lee**․Duck Jung Yoon***․Yong Tae Shin****
Abstract
The 129 public institutions in Korea are subject to Information Security Management Condition Evaluation (ISMCE) as a part of the government management evaluation system by the Ministry of Economy and Finance. ISMCE is started in 2006 with the central government institutions, and applied to the all public institutions in 2009. This evaluation is annually conducted by the National Intelligence Service through the site visits, and the number of the evaluated institutions is increasing year by year. However, the process of ISMCE - identifying existing vulnerabilities in the information system - is conducted manually. To improve this inconvenience, this paper introduces the various evaluation system in the major countries, especially in the United States, and analyzes the Security Content Automation Protocol (SCAP) by NIST. SCAP is automation protocol for the system vulnerability management (in technical fields) and security policy compliance evaluation. Based on SCAP, this paper suggests an improvement plan for the ISMCE of Korea.
Keywords:SCAP, NIST, Information Security Management Condition Evaluation(ISMCE), ISMS
1)
Received:2019. 07. 17. Revised : 2019. 08. 21. Final Acceptance:2019. 08. 21.
**** First Author, Ph.D. Student, ITPM Song-Sil University, e-mail:[email protected]
**** Second Author, Ph.D. Student ITPM Song-Sil University, e-mail:[email protected]
**** Third Author, Ph.D. Student ITPM Song-Sil University, e-mail:[email protected]
**** Corresponding Author, Professor, Department of Computer Science, Song-Sil University, 369 Sangdo-Ro, DongJak-Gu, Seoul,
06978, Korea, Tel:+82-2-820-0681, e-mail:[email protected]
1. 서 론
2000년대 이후 IT기술의 발전과 함께, 국가․공공 기관에서 처리하는 업무의 정보시스템에 대한 의존도 가 급격히 증가되고 있다. 또한, 국가․공공기관 정보 시스템이 사이버공격의 직접적인 목표가 되는 경우도 증가하고 있기 때문에 사고예방을 위해 기관 소유의 정보시스템에 대한 취약점분석은 국가 기능 유지를 위 해 필수적인 행위이다. 더불어 국가․공공기관 정보시 스템의 활용도가 높아짐에 따라 서로 다른 특성을 갖 는 다양한 정보시스템이 존재하게 되었으며, 이에 따 라 분석 및 평가의 대상이 되는 취약점의 수도 급증하 고 있는 실정이다. 이러한 추세는 국가․공공기관 정 보시스템의 취약점 분석․관리를 어렵게 만드는 요소 로 작용하고 있다.
그러나 현재까지는 국가․공공기관 정보시스템에 존재하는 취약점을 분석하는 과정 및 이를 정량화하는 평가를 대부분 해당 기관을 방문하여 현지에서 취약점 을 발굴하는 등 수작업으로 처리하고 있는 실정이다.
이에 따라 취약점 분석․평가에 소요되는 업무 부담이 증가하고 신규 취약점에 대한 대처가 늦는 등 비효율 성이 증가하고 있다. 또한 취약점을 분석․평가를 수 행하는 전문 인력에 따라 상이한 평가결과가 도출될 우려가 있는 등 국가정보보호정책의 일관된 적용이 어 려운 것도 사실이다. 이에, 기존 취약점 분석․평가에 대한 비효율성을 개선하고 일관된 정보보호정책 적용 을 위한 개선방안이 필요하다.
본 연구에서는 국내외에서 시행중인 정보보안 평가 제도를 살펴보고 취약점 분석․평가의 효율적인 수행을 위해 미국 NIST(National Institute of Standards and Technology)의 표준규격인 SCAP(Security Content Automation Protocol)을 소개한다.
2. 국내외 정보보안관리체계
2.1 개요
영국, 독일, 일본 등은 민간․공공영역에 동일한 ISMS (Information Security Management System) 인증제도를 적용하고 있다. 특히, 일본의 “ISMS 적합성 평가제도”는 영국의 BS7799와 동일하여 1회의 심사 로 2개의 인증서가 발급된다[Jang et al., 2011].
반면 미국, 캐나다 등의 국가는 공공영역과 민간영역 에 대해 각각 다른 인증제도를 운영하고 있다. 미국은 연방정보보호관리법(FISMA, Federal Information Security Management Act)을 제정하고 2012. 12 표준기술원(NIST, National Institute of Stan- dards and Technology)이 개발한 정보보호관리 표준에 의해 예산관리국(OMB, Office of Manage- ment and Burget)이 매년 81개 연방정부기관을 심사한다. 심사결과는 “통과 또는 탈락” 형태가 아닌 미흡한 부분을 보완하고 결과를 예산에 반영하는 방식 이다[NIST, 1998].
우리나라는 전자정부법 제 27조 제3항(정보통신망 등의 보안대책 수립․시행) 동법 시행령 제 35조(전 자문서의 보관유통 관련 보안조치) 및 제 36조(이행 여부 확인), 공공기록물 관리법 시행령 제 5조(전자기 록물 보안관리)에 의거하여 국가정보원이 공공기관 대 상으로 ‘정보보안 관리실태 평가’를 실시하고 있다. 동 제도는 해당기관의 정보통신시스템에 대한 인증이 아 니라 보안관리 체계가 제대로 구축, 운영되고 있는 지 를 확인하고 미흡한 부분은 보완 및 보안대책을 지원 하는 형식으로 운영되고 있으며 미국의 FISMA와 유 사한 방식이다. 국정원은 2006년 중앙행정기관을 시 작으로 2007년 광역지방자치단체, 2008년 공공기관 대상 최초 평가를 실시한데 이어 2019년에는 189개 국가․공공기관을 대상으로 평가를 완료[KISA, 2019]
했으며 2019년 현재 190개 기관 중 공공기관은 129 개로 평가대상 수는 매년 꾸준히 증가 추세이다.
2.2 미국의 정보보호관리 법․제도 분석
미국은 정보보호관리를 제도화하기 위해 오래전부터 다양한 법적 장치를 강구해왔다. 특히 2002년 FISMA [Jung and Choi, 2010]를 전자정부법(e-Govern- ment Act)에 포함시키면서 정보보호관리를 크게 반 영하였다.
2.2.1 FISMA(Ferderal Information Security Management Act)
FISMA는 2002년도 제정된 전자정부법 중 3편
(Title Ⅲ)에 속하는 법으로서 정부기관으로 하여금 정보
와 정보시스템 보호를 위해 전사적 정보보호 프로그램을
개발, 문서화, 구현하도록 요구하고 있다. 정보보호 통제 의 효과성과 충분성을 보장하기 위해, FISMA는 기 관의 CIO와 정보보호책임자로 하여금 정보보호 프로 그램을 매년 검토하여 그 결과를 관리예산국(OMB : Office of Management and Budget)에게 보고 하도록 요구하고 있다. FISMA에 의하면 연방정부기 관은 매년 정보보호 프로그램에 대해 독립적인 평가를 수행하도록 요구되어진다. 또한 FISMA에서는 정보 및 정보시스템에서 보장해야 할 3가지 정보보호 목표 로 기밀성(개인정보보호 포함), 무결성(부인방지 및 진정성 포함), 가용성을 정의하고 있다[U.S.,2002].
2.2.2 ITMRA(Information Technology Management Reform Act)
ITMRA는 행정의 효율성과 효과성을 증진시키기 위하여 정보기술의 효과적인 활용을 도모하기 위하여 1996년에 제정되었으며, 이는 연방획득혁신법(Fede- ral Acquisition Reform Act)와 함께 Clinger- Cohen Act로 불리어졌다. ITMRA는 정보기술의 효과적인 활용을 위하여 자본계획과 투자 통제, 정보 기술 조달, 정보자원관리, 정보기술에 대항 성과 평가 를 중심으로 OMB, 기관장, CIO 등의 역할 및 책임 에 대하여 규정짓고 있다. ITMRA는 주로 정보자원 관리에 관해서 중점적으로 규정하고 있으며 정보보호 관리에 관한 것은 FISMA로 이양된 상태이다.
2.3 일본의 정보보호관리 법․제도 분석
일본은 2000년 11월에 고도 정보통신 네트워크 사회 형성기본법(IT기본법)을 마련하고 e-japan전략(2001 년~ 2005년)을 통해 국가정보화를 가속해왔다. 그리 고 2001년 1월부터 내각관방(총리실) 직속의 IT전 략본부가 국가정보화 전략을 전담해왔다[Jung and Choi, 2002]. 그리고 2004년 정보보호 문제에 대한 정부의 역할과 기능을 재검토하여 정보보호 문제에 관 한 정부의 중심적인 역할 강화를 위한 기능, 체계를 정 비하여 2005년 정보보호센터를 설치하고 센터 내에 정보보호 정책회의를 설립하고 9월에 개최된 제2차 정 보보호정책회의에서 정부기관 통일기준 마련이 의제 로 올라 정보보호 대책강화에 관한 기본방침 및 통일 기준을 제정하였다.
3. 미국 NIST의 SCAP(Security Content Automation Protocol)
3.1 개요
미국 NIST는 취약점 분석․평가의 효율적 수행을 위해 표준규격인 SCAP을 개발하여 평가대상인 연방 정부기관에 배포하였다.
3.2 SCAP
SCAP은 미국 정부에서 정보시스템의 취약점 관리 및 평가, 정책준수여부 평가 등의 업무를 자동화 하는 데 사용된다. SCAP은 아래와 같은 시스템 보안관리 업무를 수행하는데 있어서 자동화 및 표준화된 방법을 제공하려는 목적으로 개발되었다[NIST, 2009].
▲ 보안설정 기준의 구현
▲ 현재 패치 상태 확인
▲ 시스템 보안설정 모니터링
▲ 시스템 침해 징후 검사
현재, 이와 같은 업무를 수행하는데 있어서 여러 가 지 어려운 점이 존재하는데 이는 다음과 같은 이유 때 문이다.
◯ 보안관리 대상이 되는 시스템의 복잡성 : 단일 시
스템인 경우에도 운영체제와 탑재된 응용에 요구되
는 보안설정 항목의 개수는 수천 개에 이를 수 있
다. 그런데 대부분의 조직은 매우 많은 수의 시스템
을 보유하고 있으며, 각 시스템에서 사용되는 운영
체제의 종류는 매우 다양하다. 또한 시스템 별로 매
우 많은 수의 응용이 탑재되어 운영되고 있으며, 이
와 같은 응용들은 서로 다른 패치 방법 및 보안설정
관리 메커니즘을 가지고 있는 것이 일반적이다. 게
다가 동일한 소프트웨어라고 하더라도 서로 다른
강도의 보안 요구사항이 적용되는 경우도 빈번하게
발생한다. 이와 같은 시스템의 복잡성은 보안설정
관리를 어렵게 한다. 즉, 각 시스템마다 어떤 보안
설정이 필요한지 판단하는데 어려움이 있으며, 보
안설정을 적용한 뒤에 이를 검증하는 보안설정 관
리에 있어서도 어려움이 발생할 수밖에 없다.
◯ 새로운 위협에 대한 빠른 대응 요구 : 새롭게 발 견되거나 해커의 목표가 된 취약점을 제거하기 위 해서 소프트웨어를 재설정하거나 패치를 설치하는 작업은 이제 일상적인 업무이다. 일반적으로 새롭 게 발견되는 취약점의 개수가 매우 많기 때문에 조 직은 중요도가 높은 취약점을 판단하여 우선순위를 설정하고 이에 따라 제거해야 한다. 그러나 2015 년 한 해에만 6,500여 개의 소프트웨어 취약점이 국가취약점DB(NVD : National Vulnerability Database)에 추가된 사실에서 알 수 있듯이 취약 점의 개수가 매우 많고, 또한 앞서 기술한 바와 같 이 조직에서 관리하는 시스템의 복잡도가 매우 높 기 때문에 새로운 위협에 빠르게 대응하기가 매우 어려운 실정이다.
◯ 상호운용성 부족 : 패치 관리, 취약점 관리 등에 사 용되는 시스템 보안 도구들이 각기 자신들만의 기 술, 포맷, 용어, 평가 방법 및 콘텐츠를 사용하는 경 우가 대부분이어서 사용자에게 혼란을 주는 경우가 많다. 예를 들어 동일한 Apache Xerces C
++에서 stack-based 버퍼오버플로우 취약점(CVE-2016- 4463)에 대해서 A라는 취약점 스캐너는 ‘Apache buffer overflow’ 취약점이 발견되었다고 보고하 는 반면, B라는 취약점 스캐너는 ‘Apache HTTP Server Xerces buffer ovlerflow’ 취약점이 발 견되었다고 보고할 수 있다. 이 경우, 취약점 스캐너 를 사용하는 사용자는 자신이 관리하는 시스템에 2 개의 취약점이 존재하는 것으로 오해할 수 있다. 이 와 같은 상호운용성의 결여는 보안 평가, 복구 등에 소요되는 시간을 증가시킬 수 있다.
이 밖에도 최근에는 조직에게 특정 보안정책의 준 수 여부 검증을 요구하는 경우가 늘고 있다. 가장 대표 적인 예가 미국 연방정부기관이 FISMA(Federal Information Security Management Act)의 준 수 여부 확인을 요구 받는 경우이다. 보안정책 준수 여 부 확인을 위해서는 적용된 기술적인 사항을 해당 법 또는 정책의 요구사항과 매핑하는 작업이 필요하다.
이와 같은 업무는 대개 많은 시간을 필요로 하며, 잦은 오류가 발생하고는 한다. 이와 같은 업무 역시 SCAP 에 의해서 자동화가 가능하다.
정보시스템 보안설정 관리를 목표로 개발된 SCAP
의 정의는 ‘소프트웨어와 소프트웨어의 설정 및 소프 트웨어의 취약점을 표준화된 방법으로 연관시키기 위 한 프레임워크’라고 할 수 있다. 바꿔 말하면, 시스템 보안환경 및 설정을 문서화하는데 있어서 표준화된 양식을 제공함으로써 자동화를 가능하게 하는 표준 규격이다. 2009년 11월 버전 1.0이 공개된 이후, 2011년 2월 버전 1.1, 2011년 9월 버전 1.2가 개발 되어 공개되었으며, NIST에서 규격 개발을 주도하 고 있다.
3.2 SCAP의 구성
SCAP은 크게 두 부분으로 구성되는데, 첫 번째는 프로토콜이다. 프로토콜 부분에서는 소프트웨어 결함 과 설정 정보를 교환하기 위해서 필요한 포맷 및 명명 법 등의 표준화에 대해서 다룬다. 이를 위해서 SCAP 에서 새로운 표준을 정의한 것은 아니고 기존 표준규 격 등을 인용하여 사용하는데, 이를 SCAP 구성요소 라고 표현하기도 한다. 두 번째 부분은 콘텐츠이다. 이 는 SCAP에서 처리하는 소프트웨어 결함 및 보안설정 정보를 의미한다. 우선, SCAP 버전 1.2의 구성요소 를 살펴보면 <Table 1>과 같다.
<Table 1>에서 보는 바와 같이 SCAP의 구성요소 는 다시 4개의 그룹으로 구분할 수 있다. 명명법은 보 안 및 제품 관련 정보를 위한 명명법 및 사전이며, 취 약점 평가는 취약점의 특성 측정 및 이를 이용한 점수 화 방법을 다룬다. 표현 언어는 점검항목, 점검결과, 하위 수준의 검사 절차 등을 위한 XML 스키마이다.
마지막으로 정보 교환은 SCAP 데이터의 무결성 보장 을 위한 신뢰모델이다.
참조 데이터라고 부르기도 하는 SCAP의 두 번째 부분인 SCAP 콘텐츠는 여러 곳에서 확보할 수 있다.
예를 들어 국가취약점DB(NVD)는 CPE와 CVE 정보를 제공하며, MITRE에서는 CCE 정보와 OVAL DB를 제공한다.
지금까지 살펴본바와 같이 SCAP은 여러 가지 기
존 표준규격을 복합적으로 사용하고 있다. 예를 들어
어떤 플랫폼(CPE)상에서 어떤 보안설정(CCE)이 사
용되어야 하는지 XCCDF를 이용해서 표현할 수 있
다. SCAP의 사용 예를 보안설정을 점검하는 절차를
통해서 살펴보면 <Figure 1>과 같다.
The Component of SCAP Description Version Organization The Naming language
CCE(Common Configuration Enumeration) The naming and configuration of System
dictionary 5.0 MITRE
CPE(Common Platform Enumeration) The name and version of product 2.3 MITRE CVE(Common Vulnerabilities and Exposures) The name of S/W vulnerability - MITRE The vulnerability evaluation
CVSS(Common Vulnerability Scoring System) The score of vulnerability of S/W 2.0 FIRST CCSS(Common Configuration Scoring System) The score of S/W configuration vulnerability 1.0 NIST The description language
XCCDF(Extensible Configuration Checklist
Description Format) The language for expressing and reporting
vulnerability in S/W 1.2 NSA
NIST OVAL(Open Vulnerability and Assessment
Language) The language for the low level test of
evaluation items 5.1 MITRE
OCIL(Open Checklist Interactive Language) The language for manual evaluation 2.0 NIST ARF(Asset Report Format) The XML schema for describing assets 1.1 NIST
AI(Asset Identification) The language for managing asset 1.1 NIST
The information exchange
TMSAD(Trust Model for Security Automation
Data) The reliable model for SCAP data’s integrity 1.0 NIST
<Table 1> The Component of SCAP
<Figure 1> The CASE of SCAP
① CCE, CVE, CPE 등을 이용해서 정보시스템의 취약점과 보안설정을 생산하고 이를 XCCDF로 기술한다. XCCDF에는 해당 보안설정 이름 및 이 에 대한 설명, 참조한 CCE 번호 등이 포함된다.
② 앞서 생산한 보안설정에 따라 점검항목을 생산하여 OVAL로 기술한다. OVAL 내에 적용되는 운영체 제 및 해당 설정의 경로 등 점검을 위한 구체적인 내용이 기술되어있음을 확인할 수 있다.
③ 점검대상 시스템에서 보안설정 정보를 수집한다.
④ 점검항목과 실제 수집된 정보를 비교한다.
⑤ 점검결과에 따라 보고서를 ARF에 따라 작성한다.
4. SCAP의 활용방안
4.1 보안설정 검증 자동화
대부분의 기관들은 자신들만의 보안설정 정책을 보 유하고 있다. 이와 같은 보안설정 정책을 작성하는데 있어서 중요한 사항은 관리자가 이해할 수 있도록 작 성되어야 할 뿐만 아니라 보안설정의 확인을 자동으 로 수행할 수 있도록 컴퓨터로 해독 가능(machine- readable)하게 작성되어야 한다는 점이다.
SCAP은 SCAP 스캐너를 통해서 SCAP으로 표현
된 보안설정 점검항목을 작성하도록 함으로써 자동화
를 가능하게 한다. 해당 정보시스템이 보안설정 기준을
정책하고 있는지 판단하기 위해서 점검항목 내의 보안
설정을 시스템 내의 실제 설정과 비교한다(<Figure
2> 참조). 보안설정 검증이 이루어지는 시점은 활용하기
에 따라 다양한데, 정보시스템을 구매하여 업무 장소에
<Figure 2> The Idea of Utilizing SCAP
설치하기 이전에 검증이 이루어질 수도 있고, 정보시스 템을 감사하거나 모니터링 하는 과정에서 이루어질 수 도 있다. 보안설정 검증은 정보시스템 사용 이전에 이 루어지는 것도 중요하지만, 사용 도중에도 상시적으로 실시되어야 한다. 관리자나 사용자가 사용 과정에서 보안 설정을 변경하는 경우가 빈번하게 발생하기 때문이다.
보안설정 점검항목은 미국의 경우, 국가 점검항목 프로그램(NCP : National Checklist Program) 을 통해서 획득할 수 있다. 미국 정부는 연방조달규정 (FAR : Federal Acquisition Regulation)에 의 해서 연방기관은 반드시 NCP 점검항목에 의해서 검 사된 IT 제품만을 구매하도록 하고 있다. 경우에 따라서 는 정책에 의해서 특정 보안설정이 강제될 수도 있다.
연방 데스크탑 핵심 설정(FDCC : Federal Desk- top Core Configuration, USGCB(US Govern- ment Configuration Baseline)으로 명칭이 변경 됨에 따라 윈도우 XP, 윈도우 비스타, 윈도우 7에 정 부에서 수립한 보안설정이 적용되는 경우가 이에 해당 된다.
SCAP으로 표현된 보안설정 점검항목의 사용은 보 안설정 검증 이외에도 다른 효과가 기대되기도 한다.
첫 번째로 새로운 소프트웨어의 시험 능력 향상이다.
예를 들어, 새로운 응용 프로그램을 설치할 계획이 있 다면 SCAP을 통한 점검을 선행함으로써 새로운 응용 프로그램의 보안성을 확인할 수 있다. 즉, 새로운 응용 프로그램을 시험함으로써 해당 응용이 기존의 보안설 정을 변경하지 않고 정상적으로 동작함을 확인할 수 있 다. 두 번째로 보안 평가에 활용이 가능하다. SCAP을 통해 소프트웨어 결함과 보안설정을 매핑함으로써 해
당 소프트웨어 결함이 존재하지 않음을 확인할 수 있 다. 세 번째로 시스템의 패치 상태를 확인하는 용도로 사용될 수 있으며, 마지막으로 시스템의 침해 징후를 확인하는 용도로도 활용이 가능하다.
4.2 요구사항 추적
두 번째 SCAP 활용 방안은 요구사항 추적이다. 미 국의 경우, 연방기관, 업계, 학계 등 다양한 기관에서 제시하는 보안 정책 및 요구사항이 존재한다. 이와 같 은 요구사항들은 대개 추상적으로 기술되는 것이 일반 적이기 때문에 요구사항을 시스템에 적용해야 하는 입 장에서는 혼란이 발생할 수 있다. 기술적으로 시스템 에 적용한 보안설정이 추상적으로 기술된 보안 요구사 항을 만족시키는지 여부를 판단하는 일이 쉽지 않을 수 있다. SCAP를 사용해서 기술적인 보안설정 내용과 상위 수준의 보안요구사항을 매핑 시킴으로써 이와 같 은 문제를 해결할 수 있다. 예를 들어 NIST는 SCAP 을 통해서 연방 정보시스템을 위한 보안 관리 문서인 SP 800-53[NIST, 2009]과 윈도우 XP 및 윈도우 비스타의 설정을 매핑시키고 있다. SP 800-53에는 인증 관리를 위한 요구사항으로 최소 8자 이상의 패스 워드 길이를 설정하도록 하고 있는데, 패스워드의 길이 를 어떻게 확인할 것인지를 SCAP을 통해 표현함으로써 시스템 설정과 요구사항을 매핑할 수 있다(<Figure 3> 참조).
<Figure 3> The Idea of Utilizing SCAP-Tracing User Requirement
(Mapping Automation of Policy and Configuration)
이와 같은 요구사항 추적은 업무 부담 축소 및 비용 절감효과를 가져올 수 있다. 또한 부수적으로 보안설 정에 대한 근거를 제시하는 용도로 사용될 수 있다.
즉, 특정 보안설정을 변경하려 할 때 해당 설정과 매핑 되는 보안 요구사항을 제공할 수 있음으로 설정 변경 의 명확한 근거를 제시할 수 있다.
NIST에서는 NIST SP 800-53과 매핑되는 보안설 정 목록을 CCE를 통해서 제공하고 있다. 제품 개발 업체 에서는 CCE를 활용하여 해당 제품이 SP 800-53의 요구사항을 만족시키고 있음을 보일 수 있다. 또한 확장 에 따라 SP 800-53뿐만 아니라 ISO 27001[ISO/
IEC, 2005], DOD 8500[DoD, 2002], FISCAM [GAO, 2009] 등 다양한 보안 요구사항을 적용할 수 있다.
4.3 취약점 평가
SCAP을 적용하게 되면 CVSS, CVE, CPE를 조 합하여 사용함으로써 소프트웨어 결함 취약점에 대한 지속적인 측정 및 평가가 가능하다. 취약점을 정확하 고 일관되게 파악하는 능력은 취약점 제거 정책을 수 립하는데 도움이 된다. 예를 들어 SCAP을 통해서 조 직내 보안 현황이 정확하게 파악되어 있다면 보안정책 을 통해서 발견된 취약점 제거에 소요되는 순서 및 시 간 등을 지정할 수 있다(예 : 심각도가 높은 취약점 순 으로 제거, 중요도가 높은 응용 순으로 취약점 제거, 패치 공개후 3시간 안에 적용 등). 또한 CVSS 점수 를 산출하는 과정에서 모든 취약점의 주요 특성이 문 서화 되어서 제공되기 때문에 보안정책을 수립하는 과 정에서 취약점 제거 계획을 세우는데 유용하게 활용할 수 있다.
조직은 CVSS 점수를 활용해서 보안 관련 소프트 웨어 취약점의 복구 우선순위를 결정할 수 있다.
CVSS는 조직의 운영 환경에 적합하게 변경하여 사용 할 수도 있다. CVSS는 특정 취약점을 참조함에 있어 CVE를 사용함으로써 보다 쉽게 사용 가능하다. 새로 운 취약점이 발견되어 보고되면, 이에 해당하는 CVE ID가 생성된다. 신규 취약점에 영향을 받는 제품은 CPE를 통해서 식별할 수 있으며, CVSS 점수가 계 산되어 NVD에 추가된다. 조직은 자신들의 취약점 제거 우선순위 결정 절차의 한 과정으로 새로운 CVE 항목에 대한 CVSS 점수를 검토할 수 있다. SCAP
콘텐츠는 새로운 취약점에 대해서 조직내 시스템을 점 검하는 용도로 사용된다. 이와 같은 과정을 통해서 조 직은 자신들의 전체적인 보안 현황에 대해서 정확하게 인식할 수 있다.
5. 결 론
5.1 결론 및 시사점
본 연구는 현재 국내의 공공기관에 대한 정보보안관 리실태 평가[Korea Information Security Agency, 2019]는 ① 기관 차체평가 ② 국정원 현장실사(1~2 일) ③ 평가위원회 개최 및 심의의결 절차를 거쳐 진행 되는데 약 190여 개 기관을 대상으로 평가를 수행함에 따라 매년 현장실사 기간은 대부분 1일이며 약 10여 개 자체평가 우수기관만 2일 동안 진행되고 있다.
그러나 현장실사의 효율성 제고를 위해서는 기관당 최소 2일 이상이 필요한데 190여개 기관을 모두 2일 을 실시하기에는 현실적으로 불가능하다.
물론, 제안한 방안을 국내에 바로 적용하기 위해서 는 법적 근거 마련 및 공공기관의 동의 등이 선행되어 야한다. 그러나 이러한 걸림돌은 기재부․행안부를 비 롯한 평가 주관기관 및 약 200여 개의 평가대상인 국 가․공공기관 상호간에 협의에 의해 가능할 것이다.
왜냐하면 상시 점검체계 구축은 평가기관에도 현장실 사 주관기관에도 상호 큰 도움이 되기 때문이다.
또한, 현장실사의 효율성 제고를 위해서는 자동화 된 개선 방안이 절실한데, 이러한 개선을 위해 미국 NIST에서 실시하는 SCAP기술을 활용하여 한국형 일명 K-SCAP기술을 개발, 상시 점검체계를 구축한 다면 정기 또는 비정기적으로 69개 항목 128개 질의의 실태평가 중 기술적 지표를 중심으로 절반이상은 자동 으로 파악할 수 있는 방안을 제안하였다. K-SCAP은 우리나라에서 사용하는 정보보안 점검 항목과 미국의 점검 항목이 상이함으로 한국에서 사용하는 점검항목 을 기준으로 점검하는 방법을 재개발하고, 점검 결과를 우리나라에 적합한 방식으로 제시하였다. K-SCAP 의 유효성을 입증하기 위해서 전문가 평가를 거쳤다.
전문가는 K-SCAP이 우리나라의 정보보호시스템에 적용할 수 있다는 의견을 표출하였다.
본 연구는 향후 상시 공공기관의 보안평가체계 구
축을 위한 방안 중에 하나로 기여할 것으로 판단된다.
5.2 연구의 한계점 및 제언
본 연구의 한계점으로는 선진 외국의 국가기관에서 시행되는 중앙행정기관 또는 공공분야 대상 정보보안 관리실태 평가제도에 대해 구체적으로 공개된 자료가 거의 없으며 대부분 민간기업에 대한 평가․인증제도 에 관한 연구만이 존재한다는 것이다.
따라서 본 연구에서는 美 NIST에서 공개한 SCAP 에 대한 연구만을 대상으로 국내 공공영역에 대해 적 용을 제안하는 것이 한계점으로 볼 수 있다.
향후 연구에서는 유럽, 호주 등 해외 선진국의 사례 를 많이 발굴해서 본 연구의 한계를 극복하고 차별성 을 갖춘 체계적인 연구를 수행하는 것을 제안한다.
References
[1] Department of Defense, “DOD 8500 : Infor- mation Assurance(IA)”, DOD Directive, 2002. 10.
[2] ISO/IEC, “ISO/IEC 270001 : 2005 Infor- mation technology-Security techniques- Information security management sys- tems-Requirements”, ISO/IEC, 2005. 10.
[3] Jang et al., “Introduction to Information Security Management Systems and Po- licy”,
The Review of Information Security Institute, Vol. 11, No. 3, 2011, pp. 1-15.
[4] Jung, J.H. and Choi, M.G., “An Analysis of Foreign Information Security Mana- gement System and Policy Using Informa- tion Security Management Analysis Frame-
work”,
Proceeding of the KAIS Fall Con- ference, 2010, pp. 720-723.
[5] Korea Information Security Agency, “Na- tional Information Security White Paper, 2019”, 2019, pp. 91-93.
[6] National Information Service, “The Ex- planation, Information Security Manage- ment Evaluation Index”, 2019, pp. 2-3.
[7] NIST Technology Administration, “An In- troduction to Computer Security : The NIST Hand book, NIST USA, Jan, 1998.
[8] NIST, “NIST Special Publication 800-53 Revision 3, Recommended Security Con- trols for Federal Information Systems and Organizations”, NIST, 2009. 8.
[9] Quinn, S. D., Scarfone, K. A., Barrett, M., and Johnson, C. S., “Guide to Adopting and Using the Security Content Auto- mation Protocol(SCAP) Version 1.0”, NIST Special Publication 800-117, 2010. 7.
[10] US FISMA(Federal Information Security Management Act of 2002), 2002.
[11] US Government Accountability Office,
“Federal Information System Controls Au- dit Manual(FISCAM)”, US GAO, 2009. 2.
[12] Waltermire, S., Quinn, K., Scarfone, A.,
and Halbardier, D., “The Technical Spe-
cification for the Security Content Auto-
mation Protocol(SCAP) : SCAP Version
1.2”, NIST Special Publication 800-126
Revision 2, 2011. 9.
저자소개