[한국정보보호학회 칼럼] 위험관리 프레임워크, 디지털 시대의 필수적 위험관리 도구

NIST RMF, 국제 표준으로 자리 잡다...국내 적용을 위한 과제와 방안

[보안뉴스= 김득훈 한국정보보호학회 위험관리(RMF) 연구회 부위원장] 현대 사이버보안 환경에서 위험관리는 선택이 아닌 필수 요소로 자리 잡고 있다. 급속한 기술 발전과 복잡해지는 사이버 위협 속에서, 조직은 잠재적 위협을 효과적으로 식별하고 관리할 수 있는 구조화된 접근 방식이 필요하다. 위험관리 프레임워크(Risk Management Framework, RMF)는 조직이 직면하는 잠재적 위협을 체계적으로 식별, 분석 및 완화하여 위험을 관리하는 접근 방식이다. 특히 국방, 금융, 의료, 에너지 등 국가 기반 시설 관련 사이버보안 위협은 국가 안보와 직결되며, 이에 따라 RMF의 중요성이 더욱 부각되고 있다.

국제 RMF 동향
1) 美 NIST RMF 발전 및 적용
미국은 사이버보안 분야에서 선도적인 위치를 차지하고 있으며, 미국 국립표준기술연구소(NIST)에서 개발한 RMF는 국제 표준으로 인정받고 있다. NIST RMF는 2014년 개발된 이후 국가적 사이버보안 통합대책으로 활용되고 있으며, 이는 보안 요구사항 충족 여부를 확인하는 것과 더불어, 조직별 특성과 환경을 고려한 맞춤형 위험관리를 가능하게 했다는 점에서 큰 의미가 있다.

NIST RMF는 △프로세스 준비 △시스템 분류 △보안통제항목 선정 △보안통제항목 구현 △보안통제항목 평가 △인가 △모니터링까지 총 7단계로 구성된 위험관리 프로세스를 제시하며, 준비 단계를 제외한 나머지 6단계는 정보체계의 수명주기 동안 반복적으로 수행된다. 이는 IT 기술을 수반하는 미국 연방 정부 및 군에서 의무적으로 사용되고, 민간 기업에도 적용할 수 있으며, 조직별 특성과 환경을 고려한 유연성을 제공한다.

2) 다양한 국제 표준 및 프레임워크
현재 국제 위험관리 환경에서는 아래의 다양한 표준과 프레임워크가 공존하고 있다.
·ISO 27001: 데이터 보호와 위험 완화를 우선시하는 사이버보안 관리를 위한 국제 표준으로, 정보보호 관리체계(ISMS) 구축의 기반이 됨.
·NIST 사이버보안 프레임워크: IT 환경에서 활용되는 사이버보안 위험관리를 위한 강력한 프레임워크이며, 특히 중요 인프라 보호에 중점을 둠.
·ISO 27005: 사이버보안 위험관리를 위한 국제 표준으로, ISO 27001을 보완하여 보다 구체적인 위험관리 가이드라인을 제공함.
·ISO 31000: 조직 전반의 위험관리에 대한 원칙과 지침을 제공하는 국제 표준으로, 모든 유형의 위험에 적용할 수 있는 일반적인 프레임워크를 제공함.
·COSO ERM: 기업 리스크 관리를 비즈니스 전략과 통합해 가치 창출을 촉진하는 데 중점을 둔 프레임워크이며, 특히 재무 및 운영 위험 관리에 중점을 둠.

국내 RMF 동향
1) K-RMF 개발 및 추진 현황
한국 국방부는 미국의 NIST RMF를 기반으로 한국형 위험관리 프레임워크인 ‘K-RMF’를 개발 및 고도화하고 있다. 2020년부터 개발이 시작된 K-RMF는 우리 군 환경에 부합한 보안 제도로, 2024년 하반기에 시행되었으며, 현재 전산 관리 체계를 중심으로 단계적으로 확대 적용되고 있다. 이는 미국 국방성이 ‘사이버 전략(The Department of Defense Cyber Strategy)’을 발표하며 동맹국 군사 체계의 보안성을 높이는데 RMF를 기반으로 하도록 요구한 것에 대응하는 조치이다.

K-RMF는 무기체계 소요제기부터 폐기까지의 수명주기 동안 단계별 보안 통제를 수행하며, △시스템 보안분류 △보안통제항목 선정 △구현 △보안 평가 △인가 △모니터링까지 총 6단계로 구성된 위험관리 프로세스를 제시하고 있다. 특히 북한이 한국을 비롯한 세계 여러 국가의 방산기업을 대상으로 사이버 위협을 가하는 상황에서 RMF의 중요성이 부각되고 있다. 2026년부터 군 환경 내에서 전면적으로 시행될 예정이며, 전 주기적 관점의 무기체계를 다루는 보안관리 체계로 적용된다.

2) 민간 산업으로의 확산 노력
한국정보보호학회 ‘위험관리(RMF) 연구회’는 RMF 전면 적용과 산·학·연·군의 병행 연구 및 논의를 위해 ‘KIISC 위험관리 및 보안 평가 워크숍’을 통해 국방 분야뿐만 아니라 공공·민간 분야 전반에 걸쳐 사이버보안 체계의 안전성과 신뢰성 확보를 위해 노력하고 있다. 위험관리연구회 위원장인 아주대학교 사이버보안학과 곽진 교수는 “K-RMF를 통해 국내 실정에 맞는 위험관리 체계가 잘 구축된다면, 국내 보안 기업에 새로운 기회가 생길 것으로 전망된다. 국내 보안시장에 알맞은 체계 구축을 통해 국내기업들이 글로벌 기업들과 경쟁했을 때 충분한 경쟁력을 가져갈 수 있도록 체계 구축과 더불어 관련 기술연구도 지속적으로 수행해 나가야 할 것이다”라고 강조했다.

또한, 한국정보통신기술협회 AI신뢰성센터에서는 과학기술정보통신부의 지원을 받아 범용 인공지능(GPAI) 위험관리 프레임워크에 대한 연구를 수행하였다. 이 프레임워크는 ISO 31000 등의 국제 표준을 기반으로 설계되었으며, 범용 AI 모델의 특수성을 반영하여 추후 확장성과 국제 규범과의 호환 가능성을 확보하고자 노력했다.

RMF의 발전방향
1) 기술적 발전과 융합
위험관리 프레임워크는 빠르게 변화하는 기술 환경에 따라 지속적으로 고도화되고 있다. 특히 인공지능, 클라우드 컴퓨팅, 블록체인 등의 신기술이 발전함에 따라 기업들은 정교한 공격에 대응하기 위해 사이버보안 전략을 계속 업데이트해야 한다. 특히 RMF는 포괄적이고 유연한 특성으로 인해 다양한 분야로의 확장이 가능하다. 최근에는 우주보안 강화에도 RMF를 적용하려는 연구가 이루어지고 있다. 러시아-우크라이나 전쟁에서 볼 수 있듯이, 우주 분야 기술 역량이 국가 위기상황에서 국가 운영을 결정할 수 있는 중요한 요소로 자리 잡고 있기 때문이다.

2) 국제 표준과의 조화
국내 RMF 발전에 있어 중요한 과제 중 하나는 국제 표준과의 조화이다. K-RMF가 국내 환경에 최적화되는 동시에 국제적인 상호운용성을 확보하기 위해서는 NIST 사이버보안 프레임워크, ISO 31000 등 국제 표준과의 조화가 필수적이다.

결론
위험관리 프레임워크는 급변하는 사이버보안 환경에서 조직의 위험을 체계적으로 관리하기 위한 필수적인 도구로 자리매김하고 있다. 미국에서 시작된 NIST RMF는 이제 국제 표준으로 확산되고 있으며, 한국도 K-RMF를 통해 국내 환경에 최적화된 위험관리 체계를 구축하고 있다.

특히 국방 분야에서 시작된 RMF의 적용이 점차 공공 및 민간 분야로 확대되면서, 국가 전체의 사이버보안 수준을 향상시키는데 기여할 것으로 기대된다. AI, 빅데이터, 블록체인 등 신기술과의 융합을 통해 더욱 고도화된 위험관리가 가능해질 전망이다.

K-RMF의 성공적인 정착을 위해서는 산·학·연·군의 긴밀한 협력과 지속적인 연구개발이 필요하다. 또한 국제 표준과의 조화를 통해 글로벌 경쟁력을 확보하는 동시에, 국내 환경의 특수성을 반영한 맞춤형 위험관리 체계를 발전시켜야 할 것이다.

위험관리 프레임워크는 단순한 규제 준수를 넘어, 조직의 회복력을 강화하고 지속 가능한 성장을 가능케 하는 전략적 도구로서 그 중요성이 더욱 커질 것이다. 한국의 사이버보안 산업도 K-RMF를 중심으로 새로운 도약의 기회를 맞이할 수 있을 것으로 기대된다.
[글_ 김득훈 한국정보보호학회 위험관리(RMF) 연구회 부위원장]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다