한수원블로그
삶에 활력(力)을 더하는 이야기
모바일메뉴 열기
검색창 닫기

ㅣThink Safety l 미국 연방정부의 정보보안 인증제도

  • 2015.01.01.
  • 2781
  • 블로그지기
  • 페이스북
  • 트위터
  • 카카오
  • 인쇄

블로그_정보보안인증제도_01

한수원은 현재 원자력발전소 행정업무의 추가 사이버 교란과 공격 가능성에 대해서, 강화된 보안시스템을 구축하여 대비하고 있습니다.

다른 나라는 사이버 보안을 위해 어떻게 대응하고 있을까요?  미국연방기관에서는 일정 수준이상의 PC 보안 수준을 유지하기 위해서 USGCB(Gov`t Configuration Baseline) 보안 규격을 수립하였다고 합니다. 다양한 사이버 보안 위협으로부터 보호하기 위한 미국의 USGCB 제도는 어떤 것인지. 알아보는 시간을 갖도록 하겠습니다.

 

☞ USGCB(Gov`t Configuration Baseline) 보안인증제도란?

USGCB 제도는 미국 연방기관에서 사용되는 모든 PC들을 안전한 보안 수준을 유지하게 위한 제도로써, 다양한 IT보안 침해행위로부터 연방기관내의 PC, 노트북 등을 보호하려는 PC보안인증제도입니다.

보안인증제도는 보안 기본 지침 제공·위험 감소 등 다양한 목적을 위해 설립된 제도로써 세부내용은 다음과 같습니다.

○ 보안 기본 지침 제공

: 사용자 접근권한 제한 등, PC의 설정항목을 표준으로 지정하여 보안수준 제고

○ 위험 감소

: PC 공급에서 설정한 수준보다 엄격한 수준의 설정항목을 표준으로 사용하여, 위협과 취약점으로 인한 위험을 감소

○ 시간/자원절약

: 조직 내, 모든 PC에 동일한 보안설정을 적용함으로서 IT 관리부서의 효율적 운영

○ 시스템 효율성 개선

: 접근권한 제한 등으로 인해 PC의 불필요한 동작이 감소하여 시스템 자원이 낭비되는 것을 방지

○ 운영비용 감소

: 조직 내, 모든 PC에 하나의 설정을 적용함으로써 문제 발생 시, 대처 비용 감소

○ 정부정보의 기밀성·무결성·가용성 확보에 대한 공감대 형성

: PC에 저장되어 있는 정보의 보안수준에 대해 구성원 모두가 신뢰

 

☞ 보안인증제도 구성 및 역활

인증제도는 관리 및 감독하는 예산관리국(OMB, Office of Management and Budget), 개발문서를 관리하는 국립표준기술연구소(NIST, National Institute of Standards and Technology), 운영하는 최고 정보관리자 협의회(CIO, Chief Information Officer)로 구성되어 있으며, 아래 그림과 같이 구성되어 있습니다.

블로그_정보보안인증제도_02

각 기관들의 주요 역할은 다음과 같습니다. 예산관리국(OMB)은 정책결정 기관으로서, 보안인증제도 추진을 총괄하며 최고 정보관리자 협의회(CIO)가 작성한 보안항목에 대한 승인작업을 진행합니다. 최고 정보관리자 협의회(CIO)는 보안제도를 실행하는 기관으로, 예산관리국(OMB)의 지시사항을 이행하기 위해, 관련 업무에 대한 계획과 요구사항을 NIST와 함께 진행 합니다. 국립표준기술연구소(NIST)는 보안기술개발하는 연구소로 환경에 따라 보안설정을 적용/시험 할수 인는 프로그램을 개발해고, 표준과 가이드라인을 개발하는 임무를 수행합니다.

앞에서 살펴본 USGCB제도는 SCAP(The Security Content Automation)제도, FISMA(Federal Information Security Management) 제도 등 여러 IT보안 인증제도와 연계하여 미국 연방기관내의 IT인프라영역을 체계적이고 통합적으로 관리 및 감독하고 있습니다.

국내에서도 보안성평가, 정보보호안전진단, 정보보호관리체계 등 다양한 정보보증에 대한 보안정책이 시행되고 있습니다. 하지만 우리나라에서도 사이버 보안 인증제도들을 연계할 수 있는 법규 및 지침들이 추가적으로 마련되어, 사이버 보안에 대한 안정성 및 신뢰성이 더욱 더 강화되었으면 하는 바램입니다.

think safety

 

 

블로그지기

 

1

댓글 남기기

블로그지기
블로그지기
한수원의 생생한 소식과 한수원사람들의 이야기를 전합니다
목록