최근 방산업계와 국책 연구기관들이 북한의 소행으로 보이는 해킹 공격에 연일 뚫리고 있다. 이와 관련, 미국이 방산업체를 대상으로 적용하는 ‘사이버시큐리티 성숙도 모델 인증(CMMC)’에 대한 소개가 우리의 방위산업 보호에 도움이 될 것으로 판단해 이를 소개하는 시리즈를 시작한다. <편집자 주>

[뉴스투데이=이민재 TQMS 대표] CMMC의 17개 도메인 중, 이번에다룰 주제는 조직의 기술 자산을 관리하는 ‘자산관리(AM, Asset Management)’ 도메인과 기술 자산을 사용하는 직원을 관리하는 ‘직원보안(PS, Personnel Security)’ 도메인이다.

사이버시큐리티 성숙도 모델 인증(CMMC)은 미 국방부가 방위산업계로부터 제품과 서비스를 획득하고 유지하는 동안 악의적인 사이버 범죄자들로부터 정부와의 계약 정보뿐만 아니라 기밀로 분류되지 않았으나 통제가 필요한 정보도 보호하기 위해 개발됐다.

기밀로 분류되지 않았으나 통제가 필요한 정보(CUI, Controlled Unclassified Information)는 2009년 12월 29일 발효된 미국의 ‘국가보안정보분류 행정명령 13526’에 따라 기밀로 분류된 정보나 모든 선·후행 명령 또는 1954년 원자력법에 따라 분류된 정보를 제외하고 법률, 규정 및 범정부 정책에 따라 보호 또는 확산 통제가 필요한 정보를 말한다.

정부가 생성 또는 소유하거나 기업이 정부를 위해 또는 정부를 대신하여 생성 또는 소유하는 정보이다. 법률, 규정 또는 정부 차원의 정책은 기관이 보호 또는 보급 통제를 통해 처리하도록 요구하거나 허용한다. 미 국방부의 “CUI 레지스트”에서는 행정부가 보호하는 정보의 특정 범주 및 하위 범주에 대한 정보를 제공한다.

중요기반시설, 국방, 수출통제, 금융, 이민, 정보, 국제협정, 법 집행, 법률, 자연 및 문화자원(Natural and Cultural Resources), NATO, 핵(Nuclear), 개인정보보호(Privacy), 조달 및 획득, 독점 비즈니스 정보(Proprietary Business Information), 통계, 세금 등이 해당된다.

‘자산관리 도메인’은 이렇듯 기밀로 분류되지는 않았으나 통제가 필요한 정보 자산을 관리하는 내용을 다루고 있다. 1단계와 2단계에서는 요구하는 프랙티스가 없으며, 3단계에서 ‘기밀로 분류되지 않았으나 통제가 필요한 정보 데이터 처리 절차를 정의’하는 프랙티스를 다루고 있다.

통제가 필요한 정보처리 절차에는 데이터 통제가 필요한 정보로 분류하는 방법과 통제가 필요한 정보에 대한 접근통제를 제공하고 시행하는 방법을 포함해야 한다. 또한 통제가 필요한 정보를 수신, 전송, 저장 및 삭제하는 방법에 대한 지침도 포함해야 한다. 절차는 통제가 필요한 정보에 대한 물리적이고 디지털적인 두 가지 측면을 모두 고려해야 한다.

4단계 또한 ‘인벤토리 내에서 특정 컴포넌트 속성(예: 펌웨어 수준, OS 유형)이 있는 시스템을 검색하고 식별하는 기능을 사용한다’는 하나의 프랙티스를 다루고 있다.

조직이 컴포넌트 속성을 결정할 때 가질 수 있는 한 가지 목적은 설치된 하드웨어 또는 소프트웨어에서 취약점이 발견되면 특정 시스템을 찾아 이 시스템에 패치를 신속하게 배포하거나 시스템을 네트워크에서 격리하는 것이다. 소규모 조직 및 지역의 경우 수작업 절차로 이러한 목적을 달성할 수 있다. 그러나 조직 규모가 커지면 자동화가 필요하다.

4단계 프랙티스에 대한 이해를 돕기 위해 사례를 들어 보겠다. 귀하는 조직의 IT 관리자이다. 공급업체로부터 macOS 10.14에서 실행할 때 응용 프로그램 버전 9.3.201의 권한 상승 취약점에 대해 배웠다. 귀하는 조직에 이 버전의 응용 프로그램이 설치돼 있어 이 취약점을 수정하기 위해 공급업체에서 배포한 패치를 다운로드했다. 

이어 귀하는 자산 목록을 보고 이 버전의 소프트웨어 응용 프로그램이 설치된 모든 macOS 10.14 시스템을 식별했다. 그리고 자산 목록에 있는 해당 시스템이 다음 네트워크에 연결할 때 패치를 설치하도록 작업을 예약한다. 

또 다른 사례로서, 귀하는 사이버 헌트팀에 있으며 조직에서 배포한 IoT 센서에 공격자가 다양하게 사용하는 기술이 있다는 것을 알게 됐다. 귀하는 시스템을 확인하여 현재 네트워크에 연결된 이러한 센서의 수와 해당 IP 주소를 식별했다. 귀하는 공급업체가 패치를 출시할 때까지 감시를 강화하기 위해 사이버 운영팀에 이 정보를 제공한다.

5단계에서는 요구하는 프랙티스는 없다. 자산관리 활동은 정의된 요구사항에 따라 기술 자산을 식별, 목록화 및 관리하도록 한다. 자산관리 도메인에서는 ① 자산 식별 및 문서화, ② 자산 목록 관리 등 2가지 역량이 요구된다.

‘직원보안 도메인’은 자산관리 도메인에서 다루는 정보 자산에 접근할 필요가 있는 직원에게 역할을 할당하고, 수행에 대해 적절히 검증받을 수 있도록 관련된 프로세스를 개발해 이행하는 활동이다.

1단계는 요구하는 프랙티스가 없으며, 2단계에서는 두 개의 프랙티스를 다루고 있다. 하나는 기밀로 분류되지 않았으나 통제가 필요한 정보가 포함된 조직의 시스템에 접근 부여하기 전에 개인에 대한 검열을 시행하는 것이고, 다른 하나는 이 시스템이 해고나 전근과 같은 인사 조처 중이거나 인사 조처 후에도 보호되는지 확인하는 것이다.

기밀로 분류되지 않았으나 통제가 필요한 정보에 접근해야 하는 모든 직원은 접근 권한을 얻기 전에 조직에서 정의한 기준에 따라 선별 검사를 받아야 한다. 특정 접근 수준에 대해 정의된 요구사항에 따라 선별 유형을 결정한다.

직원이 보직을 바꾸거나 퇴사하게 되면 더 이상 해당 정보에 접근할 수 없도록 해야 한다. 직원이 퇴사할 때 확인할 사항은 ① 사용하고 있는 모든 회사 IT 장비(예: 노트북 컴퓨터, 휴대폰, 저장장치) 반납, ② 모든 신분증, 접근 카드 또는 열쇠 반납, ③ 다른 회사에 입사 후에도 통제가 필요한 정보에 대해 말하지 않을 의무를 상기시키는 퇴사 인터뷰 시행 등이다.

조직은 또한 ① 재사용하기 전에 장비 내의 모든 정보 제거, ② 직원 계정을 비활성화하거나 폐쇄, ③ 기밀로 분류되지 않았으나 통제가 필요한 정보가 있는 물리적 공간에 대한 접근 제한 등과 같은 활동을 수행한다. 

3, 4, 5단계에서 요구하는 프랙티스는 없다. 직원보안 도메인에서 요구되는 역량은 ① 직원 선별, ② 인사 조처 중 기밀로 분류되지 않았으나 통제가 필요한 정보에 대한 보호이다. 다음 6회에서는 시스템 통제의 적절성을 검토하고 조사하는 ‘감사 및 책임 도메인’을 살펴본다.

◀ 이민재 대표 프로필 ▶ 미국 로체스터공과대학(Rochester Institute of Technology)에서 응용수학을 전공했고, 미국 뉴욕대(New York University)에서 전산감리학 석사학위를 받았으며, 숭실대에서 CMMI(Capability Maturity Model Integration)에 대한 연구로 소프트웨어공학 박사학위를 취득했다. CMMI 관련 다양한 저서와 논문을 집필했고, 국내 70여 기업에 대한 프로세스 개선 컨설팅 및 CMMI 인증심사 경험을 바탕으로 국가 사이버안보 역량 강화를 위한 사이버시큐리티 프로세스 연구에 매진 중이다. 지난 2015년에는 제9회 ‘아시아·태평양 시스템 엔지니어링 콘퍼런스(APCOSE)’에서 사이버시큐리티 성숙도 모델 설계 방안을 제시하는 논문인 ‘A Study on Designing Cyber Security Maturity Model’을 발표했다.