전체메뉴

[애플경제 이윤순 기자] 미국의 국립표준기술연구소(NIST)가 ‘2024년 사이버 보안 프레임워크’를 업데이트, 관심을 끌고 있다. 이는 비단 미국 뿐 아니라 세계 각국의 사이버보안 정책의 벤치마크 대상으로 평가되기도 한다.

특히 이번엔 공개된 ‘NIST CSF 버전 2.0’은 10년 전 프레임워크가 출시된 이후 첫 번째 시행된 주요 업데이트로서, 주요 인프라에서 모든 인프라로 기본 대상을 확장하기 위한 목표다. 본래 ‘NIST CSF’는 모든 미국 사이버 자산의 균일한 보호를 위해 관행을 표준화하는 것을 목표로 하고 있다.

NIST 사이버보안 프레임워크?

NIST CSF는 기업이나 조직에서 사이버 보안 및 위험 관리를 개선하기 위한 일련의 선택적 표준, 모범 사례 및 권장 사항이다. 이는 사이버 보안을 개선하고 사이버 보안 위험을 제한하기 위한 공통 언어, 표준 세트, 쉽게 실행 가능한 일련의 목표를 만드는 것이다.

테크리퍼블릭은 “NIST는 기업이 사이버보안 프레임워크로 쉽게 전환하는 데 필요한 FAQ나, 업계 리소스, 기타 정보에 대한 링크와 함께 웹 사이트를 통해 CSF에 대한 중요한 문서를 제공하고 있다”고 설명했다.

NIST 프레임워크 버전 2.0부터는 식별, 보호, 감지, 대응, 복구 및 관리라는 6가지 핵심 요소가 있다. 또 NIST 사이버보안 프레임워크의 네 가지 구성요소가 있다. 이는 핵심, 조직 프로필, 계층 및 정보 참조 등이다.

NIST CSF 버전 2.0은 프레임워크은 무엇보다 중요한 인프라뿐 아니라, 모든 부문의 조직으로 확장하고 거버넌스에 대한 새로운 강조점을 추가한다. ‘거버넌스’ 부분에서는 사이버 보안을 재무, 평판 및 기타 사항과 함께 기업 경영진이나 조직의 리더가 고려해야 하는 기업 리스크의 가장 중요한 요소로 지목한 것이다.

NIST CSF 2.0에는 빠른 시작 가이드, 참조 도구, 조직 및 커뮤니티 프로필 가이드가 포함되어 있다. 참조 도구는 버전 1.1에 비해 CSF를 구현하는 단순화된 방법을 조직에 제공하기 위해 만들어졌다.

NIST 사이버보안 프레임워크, 적용 대상은?

NIST CSF는 비단 큰 조직이나 기업 뿐 아니라, 업무상 컴퓨터를 사용하는 모든 사람에게 영향을 미친다. IT 팀과 CXO는 이를 구현할 수 있다. 모든 기업의 구성원들은 이에 따른 보안 표준을 따를 책임이 있다. 또 경영진이나 조직의 리더는 보안 팀이 중요한 인프라를 보호할 수 있도록 역량을 강화할 책임이 있다는 주문이다. 특히 ‘NIST CSF 2.0’의 새로운 관리 기능에는 경영진, 관리자 및 실무자 간의 커뮤니케이션 채널이 포함되어 있는게 특징이다. 이에 NIST CSF는 일반인에게도 큰 영향을 미치고 있다.

NIST 프레임워크는 또한 정부용으로만 사용될 뿐 아니라, 모든 규모의 기업에 적용할 수 있다. CSF는 조직의 사이버 보안 및 사이버 보안 위험에 대한 결정을 내리는 모든 사람과 새로운 IT 정책 구현을 담당하는 모든 사람에게 유용하게 쓰일 수 있다.

NIST CSF 표준은 그래서 민간 기업이 도입하면 좋은 선택 사항이다. 그렇다고 의무적인 것은 아니다.

NIST는 “NIST CSF가 사이버보안의 이상적인 표준은 아니지만, 모든 기업이 보안 관행을 개선하고 사이버 보안 이벤트를 예방하는 하나의 기준은 될 수 있다.”면서 “NIST CSF는 미국 정부가 제시한 것이긴 하지만, 국제적으로 모든 기업이나 정부에 유용할 수 있다”고 밝혔다.