ETRI-Knowledge Sharing Plaform

국방 무기체계는 시대의 흐름에 따라서 소프트웨어 비중이 확대되고 있는데, 이는 소프트웨어 취약점을 이용한 사이버 공격의 가능성도 높아지는 결과를 낳게 되었다. 이를 극복하기 위해서, 무기체계 소프트웨어 취약성을 검증하고, 사이버 공격을 예방할 수 있는 위험관리 체계의 중요성이 증대하고 있다.
그러나, 기존의 무기체계 개발은 위험관리는 체계 개발과 밀접하게 연동되지 않았으며, 다양한 기관이 관여하는 국방 무기체계의 특성상 기관별 역할이 명확하게 구분되지 않아서 누락 또는 중복되는 업무가 존재하는 경우가 많았다. 또한, 대부분의 업무가 관리 인력의 개인적인 역량에 좌우되는 경향이 컸으며, 데이터 보호에만 초점을 맞춘 무기체계 소프트웨어 관리로 위험관리 측면에서는 한계를 보여주었다.
위험관리 프레임워크 (RMF: Risk Management Framework)는 이러한 문제점을 극복하기 위하여 미국 국립표준기술연구소 (NIST: National Institute of Standards and Technology)에서 국가급 표준지침을 수립하였으며 2014년에 미 국방부에서도 도입하였다. 그리고, 우리나라에서도 한미 연동체계의 RMF 적용을 시작으로, 한국형 위험관리 제도 (K-RMF)를 도입하게 되었다.
본 과제에서는 사이버보안 위험관리 제도를 위한 준수 평가 자동화 도구 개발을 목표로 과제를 수행중이며, 특히 한국형 보안 기술 구현 가이드 (K-STIG)을 개발하고, 개발된 K-STIG를 바탕으로 준수평가를 자동화할 수 있는 도구의 개발을 목표로 하고 있다.
본 기술이전은 보안 기술 구현 가이드와 보안 준수 평가 결과를 사용자가 쉽게 읽을 수 있도록 하며, 이를 통해서 보안 준수 평가 도구를 관리할 수 있는 관리 포털에 관한 내용이다. 위험관리 준수 평가 관리 포털을 개발하여 이를 우리군의 무기체계 뿐만 아니라 민간 영역에 활용할 수 있도록 하고자 한다.

?위험관리 준수 평가 관리 포털에 관한 내용으로, 보안 기술 구현 가이드, 이와 관련한 벤치마크 파일, 준수 평가 관리, 준수 평가 도구 연동 등의 기능을 개발하여, 이를 우리군의 무기체계 뿐만 아니라 민간 영역의 위험관리에서도 활용할 수 있도록 하고자 한다.

○ 구현 기술 보안 가이드 관리
○ 위험관리 준수 평가를 위한 벤치마크 파일 관리
○ 위험관리 준수 평가 결과 관리
○ 위험관리 준수 평가 도구 호출을 이용한 준수 평가 수행
○ 웹 기반 사용자 인터페이스를 통한 편리한 사용

기술명 : 위험관리 준수 평가를 위한 관리 포털
○ 보안 기술 구현 가이드 시각화 기능
- 본 기술이전은 K-RMF 3단계를 위한 보안 기술 구현 가이드를 사용자가 편리하게 사용할 수 있도록 도시화
- 보안 기술 구현 가이드는 XCCDF 기반의 XML 문서로 작성되는데, 이를 사용자가 읽을 수 있는 형식으로 시각화 구현
- 보안 기술 구현 가이드 문서를 입력 받아서 목록을 관리하고, 해당 목록에서 선택함으로써 원하는 보안 기술 구현 가이드 문서를 확인 가능
- 문서에서 각각의 취약점 점검 항목을 확인할 수 있게 되어 있으며, 다음과 같은 내용을 표시
* 구현 가이드 식별 정보: 구현 가이드 번호. 버전 관련 정보 등
* 구현 가이드 제목: 각 항목을 대표하는 명확한 제목
* 설명: 각 구현 가이드에 대한 설명
* 검증 방법: 구현 가이드의 정확한 구현 여부를 확인할 수 있는 방법
* 수정 방법: 구현 가이드를 준수하지 못할 경우에 수정 방법
* 관련 보안 통제 및 참조 정보: 관련된 보안 통제항목이나 기타 관련된 정보
* 출력 항목을 Group ID/Rule ID/STIG ID 등 선택할 수 있도록 개발

○ 위험관리 준수 평가 결과 관리 기능
- 위험관리 보안 준수 평가의 결과는 XML 또는 HTML 등의 다양한 형태로 제공되는데, 이를 이용하여 체크리스트 형태로 변환하여 관리하도록 구현
- 외부에서 입력된 체크리스트를 입력으로 받을 수 있는 기능 구현
- 무기체계, 자산, 체크리스트의 수직구조로 설계하였으며, 무기체계, 자산 단위의 파이 차트를 이용하여 준수 평가 결과를 편리하게 확인할 수 있도록 구현
- 체크리스트에서 표시하는 준수 평가 결과는 취약, 양호, 해당없음, 미검토의 4 가지 종류로 표시할 수 있으며, 심각도를 상, 중, 하로 표시할 수 있게 구현
- 도구에 의한 자동 준수 평가가 불가능한 경우를 위하여, 수동적으로 평가 결과를 수정할 수 있는 기능을 구현

○ 위험관리 준수 평가 도구 연동 기능
- 본 기술이전에서는 위험관리 준수평가 도구와의 연동 기능을 제공
- 준수평가 도구 연동을 위해서는 무기체계->자산->체크리스트 단위와 연결되어 있는 벤치마크 파일을 호출함으로써 이루어짐
- 체크리스트 생성 방법 중에서 보안 기술 구현 가이드 및 관련 벤치마크 파일을 이용하여, 검증 결과가 비어 있는 체크리스트를 생성할 수 있으며, 이런 빈 체크리스트를 이용하여 위험관리 준수 평가를 위한 벤치마크를 선택함으로써 준수 평가 도구를 호출 가능
- 준수평가 수행을 위해서는 SCAP v1.3 규격에 따라 작성된 벤치마크 파일을 사용
- SCAP v1.3은 XCCDF, OVAL, CPE 등의 구성요소를 DataStream 형태로 패키징하여 제공하며, 이러한 SCAP DataStream 기반 벤치마크를 활용하여 위험관리 준수평가를 수행
본 기술이전은 해당 기술에 관한 요구사항 정의서, 설계서 및 상세 설계서, 시험절차서 및 결과서 등의 관련 문서 및 프로그램 등을 계약시에 이전한다.
○ 사용자 요구사항정의서 및 시스템요구사항 정의서
○ 관련 기능 설명서
○ 관련 기능에 관한 시험 절차서 및 결과서
○ 관련 소프트웨어 프로그램
○ 관련 특허

?국방정보화 기반조성 및 국방정보자원관리에 관한 법률 (약칭: 국방정보화법)의 시행에 따라서 소프트웨어를 내장하고 있는 국방 무기체계에 대해서는 위험관리 준수 평가를 시행해야 함. \
?미국의 위험관리와 연계하여, 한국형 위험관리 기술의 국내 정착에 기여할 수 있을 것으로 보임
위험관리 기반 취약점 분석 및 모니터링을 위한 기반 기술로 활용 가능