[이민재의 CMMC 탐구 (2)] 사이버시큐리티 성숙도 모델 인증 구조

김한경 안보전문기자 입력 : 2021.08.02 15:31 ㅣ 수정 : 2021.08.02 15:57

17개 도메인으로 구성되며, 도메인별 정의된 5개 단계에서 프로세스 및 프랙티스 성숙도 평가

  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 글자크게
  • 글자작게

최근 방산업계와 국책 연구기관들이 북한의 소행으로 보이는 해킹 공격에 연일 뚫리고 있다. 이와 관련, 미국이 방산업체를 대상으로 적용하는 ‘사이버시큐리티 성숙도 모델 인증(CMMC)’에 대한 소개가 우리의 방위산업 보호에 도움이 될 것으로 판단해 이를 소개하는 시리즈를 시작한다. <편집자 주>

 

image
이민재 TQMS 대표(공학박사)

[뉴스투데이=이민재 TQMS 대표] 어느 날 외양간에서 소 한 마리가 없어지자 주인은 외양간 울타리가 허술하다고 생각해 튼튼하게 고쳤다. 얼마 후, 소 한 마리가 또 없어지자 주인은 이상하다고 생각하며 울타리를 다시 고쳤다. 며칠 뒤 외양간을 도망친 소들이 한가롭게 이야기를 나눴다. “네가 보기에 우리 주인이 언제까지 울타리를 고칠 거 같니?” 질문을 받은 다른 소가 이렇게 대답했다. “뭐, 아마도 자기가 문 잠그는 것을 계속 까먹는다면야 그렇겠지.”

 

사이버공격은 해커가 가진 기술을 과시하는 수단을 넘어선 지 오래다. 국가의 기반 시설을 제어하는 시스템에 악성코드를 감염시켜 핵심 부분을 망가뜨리는 일명 ‘사이버 미사일’이 속속 발견되고 있다. 적이 노리는 표적도 군사적 목표로부터 우리의 일상생활 전체를 포함하고 있다. 사이버공격을 막기 위해 국가기관과 기업은 다양한 사이버방어 기술을 개발해 적용 중이나, 아이러니하게도 이러한 기술은 다시 사이버공격 기술로 이용된다.

 

악의적인 사이버 범죄자들이 미국 내 방위산업계와 국방부의 공급망을 표적으로 삼고 있다고 판단한 미 국방부는 카네기멜론대학 소프트웨어공학연구소와 존스홉킨스대학 응용물리연구소에 의뢰해 CMMC(Cybersecurity Maturity Model Certification, 사이버시큐리티 성숙도 모델 인증) 모델을 개발했다. CMMC 모델에는 정부와의 계약정보만이 아니라 기밀로 분류되지 않지만 통제가 필요한 정보를 보호하기 위한 프로세스가 담겨있다.

 

일찍이 미 국방부가 국방백서를 통해 “조직에서 발견되는 문제의 90%는 프로세스에 기인한다”라고 발표한 것처럼 실제로 침해사고 대다수는 기술보다 인력관리 및 프로세스 부재로 발생하고 있다. 프로세스는 사람이나 기술에 초점을 맞추는 것보다 발전적이고 효과적인 추진 방향을 제공한다. 아무리 우수한 인력도 적합한 프로세스 없이는 최선의 성과를 내기 어렵고 로드맵이 없는 기술의 적용은 중복투자를 초래할 수 있다.

 

CMMC 모델에서 제시하는 프로세스 접근은 방위산업계의 보안 및 복원력을 향상하기 위해 미 국방부와 방위산업계가 추구하는 여러 노력 중 하나이다. 이러한 노력은 미 국방부가 향후 획득 과정에서 사이버시큐리티를 적용하는 데 중요한 역할을 한다.

 

CMMC와 같은 성숙도 모델은 특정 분야에서 능력과 진전을 보여주는 특성과 속성 및 지표 또는 정형화된 패턴을 모은 것으로 진전되는 상황 측정을 위해 단계별 척도를 가진다. 일반적으로 모범사례를 예로 들어 제시하며 해당 분야의 표준이나 기타 실행 규칙들을 통합할 수 있다. 따라서 성숙도 모델은 조직이 그들의 ‘프로세스’와 ‘프랙티스’의 현행 능력 수준을 평가하고 개선을 위한 목표와 우선순위를 설정할 수 있는 기준점을 제공한다. 

 

CMMC 모델은 여러 사이버시큐리티 표준과 프레임워크 및 다양한 성숙도 프로세스와 사이버시큐리티 모범사례를 참조했으며, 방위산업계와 국방부 이해관계자들의 의견을 반영하여 구성했다. 모델은 이러한 ‘프로세스’와 ‘프랙티스’를 ‘도메인’에 포함하고 이들을 5개 단계로 매핑하여 구성했으며, 추가로 각 도메인 내의 ‘역량’에 프랙티스를 정렬하여 구성했다.

 

image
CMMC 모델을 구성하는 17개의 도메인. 대부분 미연방정보처리표준의 보안 관련 영역과 미국립표준기술연구소의 보안 요구사항에 출처를 두고 있다. [자료=이민재 대표]

 

‘도메인’이란 사이버시큐리티 모범사례를 기반으로 하는 역량의 집합으로 CMMC 모델은 17개의 도메인이 있다. 각 도메인은 5개의 정의된 단계에서 프랙티스 및 프로세스 성숙도를 평가한다. 이러한 도메인 대부분은 미연방정보처리표준의 보안 관련 영역과 미국립표준기술연구소의 보안 요구사항에 출처를 두고 있다.

 

‘역량’은 각 도메인 내에서 사이버시큐리티 목표가 충족되도록 하는 성과이다. 역량은 프랙티스와 프로세스를 통해 충족되며, 각 도메인은 일련의 역량으로 구성된다. CMMC 모델에서는 도메인별로 적게는 1개에서, 많게는 5개의 역량을 요구하며, CMMC 모델의 17개 도메인과 관련된 역량은 총 43개이다.

 

예를 들어, ‘접근통제 도메인’에서 요구되는 역량은 ① 시스템 접근 요구사항 설정, ② 내부시스템 접근통제, ③ 원격 시스템 접근통제, ④ 승인된 사용자와 프로세스에 대한 데이터 접근 제한 등 4가지이며, ‘자산관리 도메인’에서 요구되는 역량은 ① 자산 식별 및 문서화, ② 자산 목록 관리 등 2가지이다. 

 

‘프로세스’란 조직에서 정의한 목표를 구현하기 위해 수행하는 절차적 활동으로 5개 단계로 구분된다. 현재 및 미래의 위협에 대해 CMMC 모델의 프랙티스를 반복할 수 있고 효과적으로 만드는 제도화에 활용된다. 17개 도메인별로 요구되는 프랙티스가 수행될 수 있도록 관련 정책을 수립하고, 정책을 구현하기 위한 CMMC 모델의 프랙티스를 문서화하며, 도메인별 활동을 수행하기 위한 계획을 수립하고 자원을 제공하는 활동들이 포함된다.

 

‘프랙티스’는 CMMC 모델에서 정의한 목표를 충족하기 위해 수행해야 하는 일련의 활동을 의미한다. 모든 역량과 도메인에 대해 전체 5개 단계에 매핑된 171개의 프랙티스로 구성된다. 예를 들어, ‘접근통제 도메인’의 성숙도 1단계에서 요구되는 프랙티스는 ‘인가된 사용자만이 회사의 정보시스템을 사용할 수 있도록 제한’하는 내용을 다루며, 2단계에서는 ‘정보시스템 사용에 필요한 사용자 권한을 통제하고 원격 접근을 감시하며 통제’하는 내용을 다룬다.

 

CMMC 모델은 5개의 단계로 사이버시큐리티 성숙도를 측정한다. 각 단계는 일련의 프로세스와 프랙티스로 구성된다. 프로세스와 프랙티스는 정의된 CMMC 목표를 달성하기 위해 수행되는 일련의 활동으로 CMMC 모델을 구현하는 데 있어 매우 중요한 요소이다.

 

image
CMMC 모델의 프로세스 5단계와 프랙티스 5단계를 설명한 도표. [자료=이민재 대표]

 

프로세스의 범위는 1단계 ‘수행된(Performed)’으로부터 5단계 ‘최적화(Optimizing)’로 구분되며, 프랙티스의 범위는 1단계 ‘초급 사이버보안(Basic Cyber Hygiene)’으로부터 5단계 ‘최상의/혁신적인(Advanced/Progressive)’으로 구분된다.

 

CMMC 모델은 단계별로 도메인과 관련된 일련의 프로세스와 프랙티스를 누적하여 적용한다. 즉, 조직이 특정 단계를 달성하려면 이전의 하위 단계 프로세스가 제도화 돼 있고, 프랙티스가 이행됐음을 모두 입증해야 한다. 만약 조직의 프로세스 제도화 정도와 프랙티스 이행 정도가 서로 다른 성과가 나타날 경우 두 수준 중 낮은 수준의 단계에 대한 인증을 받게 된다. 

 

다음 3회에서는 CMMC 모델을 구현하는 데 있어 매우 중요한 요소인 프로세스와 프로세스 성숙도에 대해 살펴본다. 또한 CMMC 모델에서 요구하는 171개 프랙티스에 대한 상세 내용은 43개 역량과 함께 개별 도메인을 소개하면서 추후 설명하겠다. 

 

 

이민재 대표 프로필 ▶ 미국 로체스터공과대학(Rochester Institute of Technology)에서 응용수학을 전공했고, 미국 뉴욕대(New York University)에서 전산감리학 석사학위를 받았으며, 숭실대에서 CMMI(Capability Maturity Model Integration)에 대한 연구로 소프트웨어공학 박사학위를 취득했다. CMMI 관련 다양한 저서와 논문을 집필했고, 국내 70여 기업에 대한 프로세스 개선 컨설팅 및 CMMI 인증심사 경험을 바탕으로 국가 사이버안보 역량 강화를 위한 사이버시큐리티 프로세스 연구에 매진 중이다. 지난 2015년에는 제9회 ‘아시아·태평양 시스템 엔지니어링 콘퍼런스(APCOSE)’에서 사이버시큐리티 성숙도 모델 설계 방안을 제시하는 논문인 ‘A Study on Designing Cyber Security Maturity Model’을 발표했다.

 

댓글 (0)

- 띄어 쓰기를 포함하여 250자 이내로 써주세요.

- 건전한 토론문화를 위해, 타인에게 불쾌감을 주는 욕설/비방/허위/명예훼손/도배 등의 댓글은 표시가 제한됩니다.

0 /250