미국 NIST, 7년 만에 보안 프라이버시에 관한 문건 개정안 발표

입력 : 2020-03-20 12:35

SP 800-53의 5번째 버전 초안 나와...4번째 버전이 발표된 지 7년만의 일
프라이버시에 관한 내용이 부록에서 핵심으로 옮겨져...의견 접수 후 최종안 나올 듯

[보안뉴스 문가용 기자] 미국의 국가표준기술연구소(NIST)가 SP 800-53 문건의 5번째 버전 초안을 공개했다. SP 800-53은 ‘정보 시스템과 조직을 위한 보안과 프라이버시 제어’에 관한 문서로 미국을 비롯해 여러 나라에서 비중 있게 적용 및 응용되고 있다. 미국 내 연방 정보 시스템에서는 SP 800-53을 반드시 따르도록 되어 있다. 7년 전 4번째 버전이 나온 이후 처음이다.


이번 초안 작성에 참여한 NIST의 론 로스(Ron Ross)는 초안을 발표하며 “우리가 의존하고 있는 정보 시스템들이 사이버 공격에 굳건히 버틸 수 있도록 하는 것이 SP 800-53의 목표”라고 강조했다. 동시에 “정보의 프라이버시를 보호하는 것도 절대 빼놓을 수 없는 지향점”이라고 덧붙이기도 했다.

그는 이번 발표를 통해 여러 가지 NIST의 문서를 언급했다. ‘위험 관리 프레임워크(Risk Management Framework)’, ‘사이버보안 프레임워크(Cybersecurity Framework)’, ‘프라이버시 프레임워크(Privacy Framework)’와 같은 도구로 조직의 위험을 평가하고, SP 800-53을 통해 해결책을 찾는 식으로 NIST가 마련한 정보 보안 관련 장치들을 조화롭게 활용할 수 있다는 내용이었다.

이 도구들은 다음 링크를 통해 상세히 열람할 수 있다.
1) 위험 관리 프레임워크 : https://csrc.nist.gov/projects/risk-management/risk-management-framework-(RMF)-Overview
2) 사이버보안 프레임워크 : https://www.nist.gov/cyberframework
3) 프라이버시 프레임워크 : https://www.nist.gov/privacy-framework
4) SP 800-53 5차 버전 초안 : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5-draft.pdf

SP 800-53의 5번째 버전이 이전 버전에 비해 가장 크게 달라진 점은 크게 세 가지로 요약된다. 그 중 하나는 프라이버시 제어 방식과 관련된 내용이 가장 중요한 항목에 포함되었다는 것이다. 4번째 버전에서는 부록에 있던 내용이었다. 또 다른 하나는 공급망 제어라는 항목이 추가되었다는 것이고 마지막은 사이버 방어력 강화와 안전한 시스템 설계 항목에 반드시 지켜야 할 지침들이 새롭게 마련된 것이다.

그러나 내용이 좀 더 보강된 것만이 전부는 아니다. 문건을 분석한 여러 외신들의 평에 따르면 보다 읽기 쉽게 전체적으로 다듬어졌고, 프레임워크 통합 및 구축을 위한 협업 색인이 새롭게 만들어진 것이 혁신적인 변화라고 한다. NIST 측에서 사용자 조직에 좀 더 실질적인 도움이 되는 방향으로 이번 버전을 구성할 생각으로 보인다.

보안 전문 외신 SC매거진(SC Magazine)은 내용 구성 면에 대해 “프라이버시와 관련된 내용이 보안의 주변부에서 중심으로 들어왔다는 건 시대의 흐름을 정확히 반영한 것”이라고 짚었고, “GDPR이나 CCPA의 등장으로 프라이버시에 대한 중요성이 사회적으로 각인되는 현상을 볼 수 있다”고 분석했다.

보안 업체 벡트라(Vectra)의 보안 분석 책임자인 크리스 모랄레스(Chris Morales)는 자신의 블로그를 통해 “보안은 조직의 이익에는 크게 동조하는 방향으로 흘러가고 있었지만, 개인과 소비자의 프라이버시에 그리 친화적이지는 못해왔다”며 “보안과 프라이버시가 같은 방향을 추구해야 할 때가 되었다”고 주장했다. “물론 보안과 프라이버시가 하나라는 개념은 늘 있어왔지만 그걸 구현하기가 힘들었습니다. 이번 NIST의 프레임워크가 좋은 도구가 되기를 바랍니다.”

공급망에 대한 내용이 보강된 것도 보안 업계는 긍정적으로 보고 있는 듯하다. 카본블랙(Carbon Black)의 사이버 보안 전략 수석인 톰 켈러만(Tom Kellermann)은 SNS를 통해 “아일랜드 호핑(island hopping) 공격이 여전히 많은 조직들을 괴롭히고 있는 가운데, 공급망 보호를 위한 장치가 나왔다는 건 적절하다”고 말했다.

보안과 프라이버시 보호를 위해 반드시 지켜야 할 내용 중에는 ‘설계에서부터 보안 고려하기(security by design)’이라는 개념이 포함되었다. 조금이라도 출시일을 앞당기기 위해서 보안 요소들을 무시하거나 뒤로 미뤄버리는 것을 근절시켜야 한다는 NIST의 의지 표명이라고도 볼 수 있다. 또한 ‘사이버 리질리언스(cyber resilience)’에 기반을 둔 내용도 필수 실천 사항에 포함되었는데, 이는 공격을 원천적으로 막는 방어 대책만이 아니라, 사건이 터진 후에 살아남을 수 있고 다시 정상 궤도로 올라서는 것까지 포함하는 개념이라 요즘 보안 전문가들 사이에서 각광 받고 있는 것이다.

NIST는 이번 초안에 대한 조언과 의견을 5월 15일까지 접수할 계획이다.

3줄 요약
1. NIST, 7년 만에 SP 800-53 문건의 개정판 발표. 아직은 초안 상태.
2. SP 800-53은 보안과 프라이버시 보호를 위한 구체적인 툴셋이 될 예정.
3. 5월 15일까지 의견 접수 받고 최종안 나올 것으로 보임.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 2

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 3

  리멤버, 회사 사칭 ‘계정에 대한 탈퇴 요청...

• 4

  2024년 3월 랜섬웨어 공격 사례 집계해보...

• 5

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 1

  [보안을 위한 보안: 버그바운티] 공격자 시...

• 2

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 2

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 3

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 4

  NSA의 제로트러스트 가이드라인, CISO는...

• 5

  지니언스, ‘제로 트러스트 전략 2.0’ 발...