<28B4D9BDC320C0E7BCF6C1A4BABB29B9CCB1B9C0C720C1D6BFE420C1A4BAB8BAB8C8A320B1E2B0FC20B9D B5BFC7E22E687770>

Size: px

Start display at page:

Download "<28B4D9BDC320C0E7BCF6C1A4BABB29B9CCB1B9C0C720C1D6BFE420C1A4BAB8BAB8C8A320B1E2B0FC20B9D B5BFC7E22E687770>"

서원 군
5 years ago
Views:

1 미국의주요정보보호기관및 R&D 동향

2 정보보호이슈리포트 원순재 채승완 전략기획팀 / 주임연구원 wsj@kisa.or.kr 전략기획팀 / 수석연구원 chaisw@kisa.or.kr 유은재 전략기획팀 / 주임연구원 yooej@kisa.or.kr 본정보보호이슈리포트는정보보호와관련된기술 사회문화 경제 현황을분석하고이를토대로정책대안을제시함으로써정보보호 정책수립기초자료로활용하기위해작성된보고서입니다. 본글의내용은필자의개인적인견해로서한국정보보호진흥원의공식입장과는무관합니다. 제작 배포 : 한국정보보호진흥원전략기획팀 ( )

3 요약 미국은 1988년국방부고등연구계획국 (DARPA) 의주도로침해사고대응팀조정센터를설치한이래정보보호조직을정비하고정보보호정책을추진해왔다. 특히, 9.11사태는미국의정보보호정책을한층강화하는계기가되었으며, 2002 년국토안보를총괄하기위해주요기반보장국 (CIAO), 비밀검찰국 (Secret Service) 등 22개기관을통합해국토안보부 (DHS) 를신설한바있다. 이어, 미국정부는 2005년제2스테이지리뷰를통해 DHS 조직을개편하는등정보보호조직체계를개편하였다. 이새로운체제는정보보호분야와관련된조직을준비국 (Directorate for Preparedness) 과과학기술국 (Science and Technology Directorate) 등 2개의국 ( 局 ) 으로통합하는것을골자로한다. 이와더불어자문위원회를설립하여 DHS 장관및대통령에게국토안전보장에대해제안할것을요구하고있다. 연구개발측면으로는, 2006년 " 연방정부정보보호및보증연구개발계획 (Federal Plan for Cyber Security and Information Assurance Research and Development)" 을발표했다. 이계획은연방정부차원의첫번째정보보호연구개발기본계획으로현재개발이추진되고있는몇몇보안기술에대한현황분석과더불어, 정보보호연구개발촉진을위한 10개의권고안을제시하고있다.

4 목차 Ⅰ. 정보보호정책개요 1 1. 정보보호정책추진체계 1 2. 국가기반보호계획 (NIPP) 2 Ⅱ. 주요정보보호기관 4 1. 국토안보부 (DHS) 4 2. 국립표준기술연구소 (NIST) 8 3. 전미과학재단 (NSF) 9 4. 에너지부 (DOE) 연방수사국 (FBI) 12 Ⅲ. 연구개발정책 정부기관에걸친연구개발 연방정보보호 R&D 계획 14 Ⅳ. 결론및시사점 21 < 참고문헌 > 22

5 Ⅰ. 정보보호정책개요 1. 정보보호정책추진체계 미국의정보보호정책의효시는 1988년국방부고등연구계획국 (DARPA) 의주도로카네기멜론대학 (CMU) 내침해사고대응팀조정센터 (CERT/CC) 가설치된것이라고볼수있다. 그후, 인터넷이보급되면서 1996년에는대통령직속주요기반보호위원회 (President's Commission on Critical Infrastructure Protection : PCCIP) 가설치되었다. 또한 1998년에는클린턴대통령에의해연방수사국 (FBI) 의국가기반보호센터 (National Infrastructure Protection Center : NIPC) 나상무부에주요기반보증국 (Critical Infrastructure Assurance Office : CIAO) 이설치되었다. 그후부시정권초기정보보호정책은 2001년에발생한 9.11사태를계기로변화하게되었다. 10월에는백악관에사이버보호실 (Office of Cyber Security) 과대통령직속주요기반보호위원회 (President's Critical Infrastructure Protection Board) 가, 2002년 11월에는국토안보부 (DHS) 가설립되어사이버보안에대한정책을강화했다. 현재는백악관에있는국토안보회의 (Homeland Security Council) 와그아래의각종상급고문위원회 (senior advisory committees) 가대통령에게국토안전보장에관한조언을하고있다. 정부는정보보호강화추진을위해정보를철저하게공개또는공유하게하고신뢰성을향상시키는대책을실시하고있다. 2000년에는정부정보보호개혁법 (Government Information Security Reform Act : GISRA) 이제정되어, 각정부기관은예산제정절차의일환으로서행정관리예산국 (Office of Management and Budget : OMB) 에보호대책의상황을보고하도록하였다. 2002년에는연방정보보호관리법 (Federal Information Security Management Act : FISMA) 이제정되었고, OMB 및 NIST가정보보호를담당하였다

2. 국가기반보호계획 (NIPP) DHS는국토안보대통령령 7호 (HSPD-7) 를근거로국가기반구조와주요자원 (Critical Infrastructure/Key Resource : 이하 CI/KR) 보호를개선하기위해 2006년 6월국가기반보호계획 (National Infrastructure Protection Plan : 이하 NIPP) 을발표하였다.

6 2. 국가기반보호계획 (NIPP) DHS는국토안보대통령령 7호 (HSPD-7) 를근거로국가기반구조와주요자원 (Critical Infrastructure/Key Resource : 이하 CI/KR) 보호를개선하기위해 2006년 6월국가기반보호계획 (National Infrastructure Protection Plan : 이하 NIPP) 을발표하였다. 본계획은유비쿼터스시대를대비하기위해미국이최근발표한핵심정보보호전략이라고볼수있다. 이계획은전체 7개의장으로구성되어있으며, CI/KR 보호프로그램을구현하기위한보안협력모델수립, 장기적위험감소프로그램실행, CI/KR 보호를위한자원의효율적사용극대화를목표로하고있다. 이를위해에너지, 물, 식량, 의료, 교통및 IT 시스템과같은국가의핵심자산및자원을보호하기위해민간부문과의협력관계를규명하는프레임워크를포함한다. 아래 < 그림 1> 은 NIPP의정보공유네트워크이다. 입력정보 < 그림 1> 미국 NIPP 의정보공유네트워크 - 2 -

7 DHS는 NIPP에서 30일이내에기반구조부문조정위원회 (Sector Coordinating Council : SCC) 및정부부처조정위원회 (Government Coordinating Council : GCC) 를운영하고, 핵심기반구조의소유자와운영자에게정보를제공할수있는프로토콜을구현할것을밝히고있다. 또한, 모든 17개기반구조부문을위한국토안전보장정보네트워크 (Homeland Security Information Network : HSIN) 를가동시키고, NIPP 인식제고계획도수립하여수행할예정이다

8 Ⅱ. 주요정보보호기관 본장에서는미국의정보보호정책을시행하는주요정보보호기관들을살펴보 도록하겠다. 아래그림은미국의정보보호추진체계및주요정보보호기관이다. 백악관 행정관리예산국 (OMB) 대통령과학기술자문위원회 (PITAC) 국방부 DARPA 법무부 상무부 국토안보부 (DHS) CCIPS FBI NIST CIO 국토안전보장자문심의회 국가주요인프라자문위원회 에너지부 (DOE) Secret Service 준비국 NCSD 과학기술국 전미과학재단 (NSF) 아이다호국립연구소 NCS CISE 샌디아국립연구소 HSOC < 그림 2> 미국의주요정보보호기관 1. 국토안보부 (DHS) DHS는미국에대한공격을막고, 국토의위협과테러에대한취약점을축소시키며, 테러리스트에의한공격으로발생된피해복구지원및위험최소화를위한임무를수행한다. DHS는연방정부의정보보호정책을실시할책임을지고있으며, 이를규정한것이 2003년 2월에제시된 " 사이버공간보안국가전략 - 4 -

9 (National Strategy to Secure Cyberspace)" 1) 이다. 이는연방정부의각기관이완 수해야할정보보호의포괄적인틀을제시한것이다. 현재그틀은재편성되어 야할필요가있다. < 그림 3> 미국 DHS 조직도 출처 ) 국가정보원 정보통신부 (2006) 2005년 DHS에서는제2스테이지리뷰 (Second Stage Review : 2SR) 에의한조직개편을단행하였다. 2) 이새로운체제는정보보호분야와관련조직을준비국 (Directorate for Preparedness) 과과학기술국 (Science and Technology Directorate) 의 2개의국 ( 局 ) 으로통합되는것을골자로한다. 이와더불어자문위원회를설립하고, DHS 장관및대통령에게국토안전보장에대해제안할것을요구하고있다. 아래의위원회는정보보호와관련된자문을하는위원회이다. 1) 사이버공간보안국가전략의 5가지우선사항임무중에서미래의테러공격에대한국토안보를최우선으로하고있으며, DHS 소속각기관들은위협과정보 ( 첩보 ) 의분석업무, 항공과해안의보호업무, 주요기반시설보호그리고미래의비상사태에대한대응활동조정역할을담당한다. 2) Congressional Research Service, "Department of Homeland Security Reorganization : The 2SR Initiative", August 2005, p. 9. < (2006년 11월 10일현재 ) - 5 -

10 - 국토안전보장자문위원회 (Homeland Security Advisory Council) : 국토안보부 장관에게국토안보와관련된현안에대해자문한다. 동위원회는주및지방 정부, 최초대응커뮤니티, 민간영역및학계의전문가로구성된다. - 국가기반시설자문위원회 (National Infrastructure Advisory Council) : 국토안보부 장관과대통령에게공공및민간영역의주요기반시설의보안과관련된사항 을자문한다. 가. 준비국 준비국 (Directorate for Preparedness) 은 2005년 DHS 개혁법 (Department of Homeland Security Reform Act of 2005) 에의해정보분석기반보호국 (Information Analysis and Infrastructure Protections : IAIP) 의일부와구비상대비대응국 (Emergency Preparedness and Response Directorate) 을통합하여생긴부처이며, 강한권한이주어졌다. IAIP의나머지업무는신설된최고정보담당관 (Chief Information Officer : CIO) 이담당하고있다. 준비국은연방정부, 주정부, 민간부문과협력하여정보보호위협파악, 취약성도출, 위협요인에자원배분등을수행한다. 그리고미국의국경, 항만, 도로망및중요정보시스템의보호를실시한다. 준비국이주로담당하고있는것은국가기반보호계획 (NIPP) 이다. 1) 국가사이버보안국 국가사이버보안국 (National Cyber Security Division : NCSD) 는 DHS의준비국아래설치되어 NCS와마찬가지로사이버보안및정보통신담당차관 3) 의감독 3) 2006년 12월현재, 사이버보안및정보통신담당차관 (assistant secretary for cybersecurity and telecommunications) 은 2006년 10월에부임한 Greg Garcia이다. 이차관직은 Michael Chertoff 장관이사이버보안강화를위해신설하였으나 1년이넘게공석으로있었다. Jaikumar Vijayan, 'DHS taps ITAA's Greg Garcia for cybersecurity post', September 18,

11 하에있다. 이는미국내정부 민간조직및해외기관과협력하여, 사이버공간과사이버자산을보호하는것을목적으로한다. NCSD는각연방정부내의침해사고대응창구기능, 대외활동및인식제고, 법집행및첩보, 전략적주도권등을담당하고있다. 2) 국가통신시스템 국가통신시스템 (National Communications System : NCS) 은미국과구소련의냉전기간중에일어난 1962년쿠바사태를계기로 1963년에설립된연방정부기구내의통신시스템이다. NCS는설립이래 40년간국방부의관할하에있었지만, DHS의설립과함께이관되었다. 현재는준비국아래배치되어, 사이버보안및정보통신을담당하는차관의감독하에운영중이다. NCS는공격, 재해복구등의상황에처했을때대통령, NSC, HSC, 과학기술국, 예산관리국을지원하고연방정부내의긴급예비통신을제공하는역할을한다. 3) 국토안전보장지휘센터 국토안전보장지휘센터 (Homeland Security Operations Center : HSOC) 는연방정부, 주정부, 지자체, 민간부문등각분야의기관들과수직적인제휴를강화하고, 보호에관련된정보교환과침해사고대응에있어서미국내의핵심적역할을수행하는조직이다. 정보보호는 HSOC가대처해야할중요한과제중하나이다. HSOC는국토안전보장정보네트워크 (Homeland Security Information Network : HSIN) 를통해서파트너들과연락한다. 이는인터넷을기반으로한통신네트워크이며, 50개주와전국 50개주요도시에정보를제공한다

12 나. 과학기술국 과학기술국의목표는연방정부나주정부에기술을제공하여국토를방위하는것이다. 2005년의사이버보안연구개발프로그램에대한지출은 1,800만달러에그치고있다. DHS가지원하는정보보호연구개발은대부분단기프로그램이다. 그리고연구개발의일부는 NSF와공동으로실시하고있다. 4) 다. 비밀정보기관 비밀정보기관의주요임무는 1865년창설시위조지폐를단속하는것이었지만, 현재는 DHS 아래에재편성되었다. 무엇보다최근의변화는 2001년 10월에대통령의서명을얻어발효된미국패트리어트법 (USA Patriot Act of 2001) 이다. 이법률에의해비밀정보기관은전자범죄태스크포스 (Electronic Crimes Task Force) 의전국네트워크를설치하도록의무화되었다. 1985년에뉴욕에설립된뉴욕전자범죄프로젝트팀 (NYECTF) 이모형이되었으며, 이모델을전국적으로확대한것이미국패트리어트법이다. 2. 국립표준기술연구소 (NIST) 상무부산하 NIST는미국의기술혁신, 통상및안전을위한기술적지원시스템을포함한미국의기술인프라를지원하여, 일반인들의생활의질향상과고용의확대를꾀하는역할을한다. 법률에의하면, NIST의업무내용은과학연구와기술개발모두의측면에서산업계와협력하는것이다. NIST 내의컴퓨터보안국 (Computer Security Division : CSD) 이정보시스템보안개선을위한업무를수행하고있다. 주임무는 IT취약점의연구, 개인정보보호에민감한비용효과적인연방시스템고안, 표준및시험프로그램개발및새 4) President's IT Advisory Committee, "Cyber Security : A Crisis of Prioritization", February 2005, p

13 로운기술의 IT위험, 취약점및보호요구사항에대한인식제고를포함한다. 5) 2004년 NIST의정보보호예산은 970만달러이다. 2005년 NIST CSD의정보보호예산은 1,000만달러이다. 6) NIST는 DHS와같은다른연방기관의예산지원도받으며, NSA와같은기관과도협력하고있다. 2003년 5월, NIST는 DHS와공식적인업무관계를발생시키기위한양해각서 (MOU) 를체결했다. NIST는이를통해 DHS의임무를지원하는연구및기술개발의역할을가지게되었고, DHS는기술강화및 NIST의전문기술을활용할수있게되었다. 3. 전미과학재단 (NSF) NSF는과학의발전, 미국일반인의건강, 번영과복지의향상및국가방위의확보를목적으로연방예산에의해설치된학술지원조직이다. NSF는미국대학기초연구가운데약 20% 를출자 ( 出資 ) 하고, NSF로부터지원받는연구분야는수학, 컴퓨터과학, 사회과학등범위가넓다. 정보보호에직접관련된 NSF의활동으로는사이버트러스트 (Cyber Trust) 프로그램을실시하는컴퓨터정보과학공학부문 (Computer and Information Science and Engineering : CISE) 과연방사이버서비스 (Federal Cyber Service) 2가지를들수있다. 5) NIST는 FISMA에해당되는, 연방정부의정보시스템보호를위한최종표준인 "FIPS 200" 을 2006년 3월발표하였다. 여기서는연방정부정보시스템등급별 (3개) 최소한의보안요구사항을명시하고있다. NIST, "Minimum Security Requirements for Federal Information and Information Systems", March < (2006년 11월 17일현재 ) 6) President's IT Advisory Committee, Op. Cit., p

14 가. 컴퓨터정보과학공학부문 (CISE) NSF 중통신기술, 정보과학 정보공학의연구개발육성 지원을담당한다. CISE 는아래 3 개의주요한목적을가진다. - 컴퓨터기술, 통신기술, 정보과학 정보공학의연구개발에있어서미국의세계적인리더로유지하는것 - 고도의컴퓨터기술, 통신기술, 정보시스템의원리와응용기술에대한이해를통하여사회에공헌하는것 - 정보사회에보편적, 현실적, 또는투명성있게참가함으로서공헌하는것 이목적을실현시키기위해서 CISE는컴퓨터과학, 정보과학및정보공학의다양한분야의연구개발을지원한다. 프로그램중하나인사이버트러스트는신뢰성이높은네트워크사회를실현시키기위해서정보보호분야의연구개발로특화된프로그램이다. 사이버트러스트의예산지원대상이되는연구과제는예비연구 (exploratory research), 개인연구또는소그룹연구및팀연구중하나이다. 나. 연방사이버서비스 7) 이프로그램은연구과제를위한연구예산이아니라정보보증및보호분야의연구를지향하는유능한학생을양성하는것과, 점차기술에의존하는현사회에있어서교육기관의교육 지도능력의향상을목표로한다. 이프로그램은 'Scholarship Track' 에서학생을대상으로장학금을지급하고있고, 'Capacity Building Track' 에서교육기관의지도능력향상을위한예산을제공하고있다. 학부생에게는 1년에 8,000달러를, 대학원생에게는 1년에 12,000달러가지급된다. 교육기관은최장 2년간, 최고연간 15만달러의예산이제공된다. 7) 장학금프로그램 (Federal Cyber Service : Scholarship for Service) 이다

15 4. 에너지부 (DOE) 가. 아이다호국립연구소 (INL) DOE가관할하는조직중 2개의국립연구소가직접사이버보안을담당하고있다. 아이다호국립연구소 (Idaho National Laboratory : INL) 은핵물리학에서나노테크놀로지에이르는폭넓은연구를하고있는데, 이에더불어정보보호에관해서도연구를하고있다. 특히 DHS로부터예산을제공받고있는 US Computer Emergency Response Team(US-CERT) 의제어시스템보호센터 (Control Systems Security Center) 는 INL 과 DHS에의해공동운영되고있으며, 산업계 대학 국가의연구기관및정부조직과공동체제로, 침해사고로부터주요기반시설을보호하기위한시스템개발을담당하고있다. 이는 " 안전한사이버공간을위한국가전략 (National Strategy to Secure Cyberspace)" 에대한 DHS 정보보호대책의핵심이다. 나. 샌디아국립연구소 샌디아국립연구소 (Sandia National Laboratory : SNL) 는 1949 년설립되었으며, 테러리스트의위협에대한국가안전보장을지원하는기술적인대책을개발하고 있다. 또샌디아사이버보호팀을운영하고있으며이들의목표는아래와같다. - 미국의주요기반시설에대한사이버공격을방지 - 사이버공격에대한국가의취약성을축소 - 사이버공격발생후의피해와복구시간을최소한으로줄이는것

16 5. 연방수사국 (FBI) 법무부에서정보보호를관할하는조직은컴퓨터범죄지적재산담당부문 (Computer Crime and Intellectual Property Section : CCIPS) 및 FBI이다. 특히, FBI는민간협력자간의제휴프로그램인 InfraGard를운영하고있는데, InfraGard 프로그램은 14,800개이상의민간부문회원이전국 84개지부로조직되어사이버공격등의감시와보고를실시하고있다. 8) 8) 참조 (2006 년 11 월 10 일현재 )

17 Ⅲ. 연구개발정책 1. 정부기관에걸친연구개발 미국의정보보호분야연구개발정책은 DARPA, DHS, NSF, NIST 등 4가지정부기관이중심이되어추진하고있으며, FBI, 에너지부도연구개발을수행하고있다. 주요분야는군사, 첩보및민간연구영역에서이루어지고있으며, 주로네트워크의상호의존성분석, 위협분석, 취약점및위험평가, 시스템보호및정보보증, 침입탐지및모니터링과같은주제에초점을맞추고있다. 그러나대다수의프로그램은, 정부에의한연구개발이라할지라도정부기관이독립적으로수행하는것이아닌민간기업, 비영리연구소, 대학부설연구소등과공동연구및위탁연구형태로추진되고있다. 이러한대표적인프로그램이바로 NITRD이다. NITRD는정보보호연구개발에서도중요한위치를차지하고있으며, ' 정보보호및보증 (CSIA)' 이이에해당한다. 한편, 9.11사태이후부시정부는국가대테러노력과연관된사이버보안활동조정능력개발과정보보호연구개발능력의제고를꾀하게되었다. 클린턴정부때구성된조직과비슷한메커니즘이마련되었지만, 부시정부의노력은대테러및과학기술정책국 (Office of Science and Technology : OSTP) 과밀접하게연관되어있고, 연구개발프로그램및예산책정의우선순위를개발하는기관과협력하도록하여, 좀더큰권한을가지고있다는점이다르다고할수있다. 2006년연방정부는 " 연방정부정보보호및보증연구개발계획 (Federal Plan for Cyber Security and Information Assurance Research and Development)" 을발표하였다. 9) 이계획은연방정부차원의첫번째정보보호연구개발기본계획으 9) 이보고서는 CSIA IWG이 NSTC의국가보안위원회 (Committee on National and Homeland Security) 와 NSTC의기술위원회산하네트워킹과정보기술연구개발 (Networking and Information Technology Research and Development) 소위원회등과공동으로작성한것이다. 아울러미정부기관 20개이상의기관들이 ' 사이버보안및정보보증을위한정부기관연합작업반 (The Interagency Working Group on Cyber Security and Information Assurance)' 의일원으로이번계획수립에참여하였다. (2006년 11월 10일현재 )

18 로현재개발이추진되고있는몇몇보안기술에대한현황분석과더불어, 정보보호연구개발촉진을위한 10개의권고안을제시하고있다. 이계획에따르면미정부는현정보보호수준향상을위해정부기관간공통으로도출된이슈들에연구개발우선순위에두고, 정부기관과민간부문의차이를줄이기위한조정노력을강화해야할것으로나타났다. 아울러새롭게부상하는기술을도입하고, 거시적인관점에서정보보호를위한폭넓은협력체계를구축하는등의노력이필요하다는점을강조하였다. 2. 연방정보보호 R&D 계획 가. 연구개발계획수립배경 이계획은 2007 회계연도미행정부연구개발예산우선순위에대한각서 (memorandum) 와 2005년대통령정보통신자문위원회 (President's IT Advisory Committee: PITAC) 10) 의보고서, 2002년에제정된정보보호연구개발법 (the Cyber Security Research and Development Act 2002) 에서제시한내용들을일정부분포괄하고있다. 정보보호연구개발법은 9.11사태이후하원과학위원회에서정보보호연구개발과관련된청문회를개최한이후, 정보보호관련연구수행이절대적으로부족하였고, 민ㆍ관ㆍ학간의적절한역할조정이이루어지지못하고있다는점, 정보보호관련연구를지원하는선도적역할을할정부기관의부재, 정보보호연구인력공급의절대적부족, 정보보호전문연구기관의부족등과같은문제점들이지적된이후 2002년 11월 27일제정되었다. 이법안의주요내용은 NSF와 NIST에새로운연구프로그램을신설하는것이다. NSF에는정보보호와관련된연구개발의혁신을위해연구센터와장학금제도를신설하는한편, NIST에는산업계와의공동연구를통한시너지효과창출을 10) PITAC 은대통령, 의회및 IT 연구개발과관련된연방기관들에게, 첨단정보기술분야에서 미국의경쟁우위유지와관련한전문적이고독립적인자문을제공해왔다

19 위해연구보조금프로그램을신설하여 2003년부터 2007년까지약 8억 7,000만달러를투입하여정보보호관련연구개발을촉진하도록하였다. PITAC은민간분야의정보보호연구재원이충분치않음을지적하고, 이를상쇄하기위해 NSF이매년 9,000만달러의예산을증대하여정보보호연구에투자하도록권고하였다. 이권고안이이번에발표된연방정부계획수립의한요인이라고할수있다. 11) 아울러 2007년도예산안에대한각서에서정보보호연구개발은슈퍼컴퓨터와고도네트워크구축프로그램과함께연방정부네트워킹정보기술연구개발사업의일환으로 30억달러의예산을책정받도록하였다. 한편미국의사이버보안산업협회 (Cyber Security Industry Alliance : CSIA) 12) 는 2004년 12월다음과같이정보보호강화를위한 12개의권고안을발표하였다. - DHS내사이버범죄협조국별도창설 - 사이버범죄에대한유럽협정의비준 - 민간부문의정보보호통제촉진 - 연방정부보안요건에맞춘조달관행지도 - 정부와민간부문간정보보호시책의전략적차이이해및조화 - 정보공유분석센터 (ISAC) 의기능강화 - 비상사태발생시협력네트워크설치, 시험운용 - 사이버범죄관련비용분석방법지도 - 정보보호연구개발예산의확대 - IT 보안표준개발을주관하는 NIST의예산확대 - 시간과경비를절약하고민간부문및연방정부요구를만족하는수준의공공기준인정프로세스강화 - 국가주요인프라를운영하고있는감독통제와데이터접근체계의보안확보 11) President's IT Advisory Committee, op. cit., p ) 보안업체인 RSA Security, Symantec, McAfee, Computer Associates, Check Point Software, Internet Security Systems, PGP, Qualys 등이연합체이며, 정보보호관련공공정책에대한조사, 자문및정책권고등의역할을수행한다

20 이어 2005년 12월 CSIA는온라인보안에대한소비자들의우려를나타내는조사연구결과를발표하였는데, 이보고서에서 CSIA는 2004년 12월발표한 12가지정보보호우선조치사항에대한평가결과를밝혔다. 여기서미국정부는 6개의 'D' 점수와 1개의 'F' 등급을받았다. 유럽연합의사이버범죄 (Cybercrime) 조약을비준하기위한미국정부의노력에대해서만 'B' 등급의평가를내렸다. 13) CSIA로부터 D 등급을받은부분은, 사이버공격으로인한손실을파악하도록연방정부를지도하는것, 민간부문에서기업의정보보호인식을고양하는것, 정부와민간부문간정보의공유를강화하는것등이다. CSIA는지난 1년간미국연방정부가이를위한구체적인행동을거의취하지않았다고비판하였다. 이러한관련업계의비판도이번계획발표에직간접적인영향을미친것으로판단된다. 연방계획에따르면, 연구개발투자가시급한부분으로는인증 (authentication) 과권한부여 (authorization), 신뢰관리 (trust management), 접근통제 (access control), 권한관리 (privilege management), 공격방어 (attack protection), 예방및사전조치 (prevention and pre-emption), 무선보안, 소프트웨어테스팅및평가도구등으로나타났다. 이계획에서는정부기관간연구개발로드맵개발을위해각기관에서대표자를지정하도록하고있으며, 민간부문에서도이에참여토록하였다. 아울러정보보호연구개발이광통신컴퓨팅, 양자컴퓨팅, 임베디드컴퓨팅등새로운정보기술에미치는영향을조사하도록권고하였다. 나. 연방계획주요내용 연방정부계획은현재진행되고있는몇몇보안기술에대한통찰과더불어, 향후다음과같은기술발전에따라 IT 보안이슈들이급격히부각될것이라고진 단했다. 13) 2006 년 8 월미국상원은사이버범죄수사에있어전세계적인공조를가능케하는동조약 을승인하였으며, 2007 년 1 월부터발효될예정이다

21 - IT 시스템과네트워크의복잡성증가 - 전화시스템과 IT 네트워크가하나의통합아키텍처로융합되는정보통신인프라의진화 - 공격에취약하여보안위협요소를증가시키는무선기술의급격한이용증가 - 국가경제에근간을이루는공급망관리시스템, 금융부문네트워크등의컴퓨터시스템에대한상호연결성과접근성증가 - IT 공급망의전세계화이를통한내외부체제전복시도가능성의증가 연방계획은이러한기술적환경변화에따라새롭게등장하고있는각종취약점과위협의유형을설명하고, 연방연구개발에대한최근의요구를분석하였다. 아울러연방계획의전략적목표, 정보보호및보증연구개발에있어연방정부기관의현재기술, 투자우선순위, 주요기술적어려움과현황에대한평가, 그리고연방기관의역할및책임에대해설명하였다. 이계획에서나타난정보보호및보증연구개발의기술적이슈및투자우선순위는 < 표 1> 과같다

22 < 표 1> 미국정보보호연구개발의기술및투자우선순위 사이버보안연구개발의기술적이슈 우선순위기술개발투자 1. 기능적사이버보안 (Functional Cyber Security) - 인증, 허가및신뢰관리 - 접근통제및권한관리 - 공격방어및사전조치 - 대규모사이버상황인식 - 자동화된공격탐지, 경보, 대응 - 내부자위험탐지및위험최소화 - 숨겨진정보의탐지및정보유통 covert - 복구및재구성 - 디지털포렌식 (digital forensic) 2. 기반보호 - 도메인네임시스템 (DNS) 보호 - 라우팅프로토콜보호 - IPv6, IPSec, 기타인터넷프로토콜 - 프로세스통제시스템보호 3. 특정보안이슈 - 무선보안 - RFID 보안 - 통합네트워크및이종트래픽의보안성 - 차세대서비스보안 4. 사이버보안평가 - 소프트웨어품질평가및단점유형화 - 취약점및악성코드탐지 - 사이버보안표준 - 사이버보안매트릭스 - 소프트웨어테스팅및평가기구 - 위험기반의사결정 - 주요기반의존도및독립성 5. 사이버보안기반 - 하드웨어및펌웨어보안 - 보안운영시스템 - 보안중심의프로그램언어 - 보안기술및정책관리방법

23 - 정보출처관리 (Information Provenance) - 정보의무결성 (Information Integrity) - 암호 - 다중보안 - 보안소프트웨어엔지니어링 - 오류복구시스템 (fault tolerant and resilient systems) - 통합된전사차원의보안모니터링및관리 - IT 시스템의엔지니어링순환주기전반의보안분석기술 6. 사이버보안및정보보증연구개발을위한기술 - 사이버보안및정보보증연구개발테스트베드 - IT 시스템모델링, 시뮬레이션등 - 인터넷모델링, 시뮬레이션등 - 네트워크매핑 7. 사이버보안을위한고도차세대시스템및아키텍처 - 신뢰컴퓨팅기반아키텍처 - 안전한시스템및아키텍처의내재화 - 자동화시스템 - 차세대인터넷기반을위한아키텍처 - 양자암호학 8. 사이버보안달성을위한사회학적관점 - 인터넷상의신뢰 - 프라이버시와사이버보안 물론여기서나타난우선순위는기관간 (interagency) 기술개발및투자우선순위를종합적으로나타낸것으로, 개별기관의임무와역할에따른차이점이존재한다. 눈여겨볼대목은기술개발과투자우선순위가공통적으로높은 ' 인증, 허가및신뢰관리 ', ' 접근통제및권한관리 ', ' 공격방어및사전조치 ', ' 무선보안 ', ' 소프트웨어테스팅및평가기구 ' 등이며, 기술개발과투자우선순위가높은항목들은 PITAC과 IRC(INFOSEC Research Council) 14) 가 2005년발표한정보보호연구개발우선순위를대부분포괄한다. 15) 14) 연방정부내정보보호연구개발관리자연합이다 15) PITAC에서제시한우선순위는인증기술, 안전한기반프로토콜 (secure fundamental protocols), 안전한소프트웨어엔지니어링과소프트웨어보증 (assurance), 전체시스템보안 (holistic system security), 모니터링및탐지, 위험경감 (mitigation) 및복구방법론, 사이버포

24 연방계획에서는결론적으로다음과같은 10 개의권고안을제시하고있다. - 정보보호전략및정부기관의수요에따른연방정부연구개발투자와장기적관점에서민간부문에서의보완프로젝트추진유도 - IT 시스템의전반적보호및정보보증수준을높이기위한혁신적접근방법연구와위기대응능력배양을위한연구개발노력 - 정보보호및정부기관간연구개발을개별연방정부및정부기관간예산우선순위에두고, 임무관련연구개발필요요건을충족시킬수있는가이드라인개발 - 정보보호부문연구개발의정부기관간조정및협력유지지원 - 시스템구축초기부터보안사항을고려하여불안정한현재인프라를대체할수있는안전한차세대기술지원연구개발추진 - 광컴퓨팅 (optical computing), 양자컴퓨팅 (quantum computing), 임베디드컴퓨팅 (embeddedcomputing) 과같은신기술의보안수준평가 - 이계획의기술적우선순위및투자분석을민간부문과협력하여, 정보보호및정부기관간연구개발우선순위에대한로드맵개발에활용할것. 아울러기술및투자수준의차이를해소하기위한기관간활동조정에중점을둘것 - IT 요소, 네트워크시스템보안등을측정하기위한새로운방법과기술의개발및적용 - 연방정부와민간부문주요인프라운영자간커뮤니케이션향상및조정등을통해더욱효율적인협력체계를구축할것 - 보다안전한차세대인터넷개발및테스트, 구축등을위해정부, IT 산업, 연구자및민간부문이용자, 국제협력파트너들간에폭넓은협력체계를구축할것렌식 (forensic), 신기술모델링및테스트베드, 매트릭스, 벤치마크, 모범사례 (best practice), 정보보호에영향을미칠수있는비기술적이슈들등이다. IRC에서제시한우선순위는, 글로벌수준의신원관리 (Global-scale identity management), 내부자위협 (insider threat), Availability if time-critical systems, 신뢰도측정이가능한시스템구축 (building scalable secure systems), 상황이해및공격속성, 정보출처 (information provenance), 프라이버시를고려한보안 (Security with privacy), 기업수준의보안매트릭스등이다

25 Ⅳ. 결론및시사점 미국은 2005년 제2스테이지리뷰 를통한 DHS 조직개편, 2006년 NIPP 발표를통한주요기반시설보호강화등적극적으로정보보호정책을펼치고있다. 특히, NIPP는최근전세계적인정보보호정책의흐름을반영하여, 민ㆍ관협력체계구축 강화와정보공유의중요성을강조하고있었다. 이는 Malware, 스파이웨어, 봇넷등을이용한신종범죄가만연할것으로보이는유비쿼터스시대를대비하여전반적으로정보보호체계와조직을강화하고있는것으로보여진다. 다만, 앞에서서술한 CSIA의평가결과에서볼수있듯이, 민간전문가들은미국정부의정보보호활동에대해개선이필요하다고평가하는것으로보여진다. 한편, 이번에발표된연방 R&D 계획은비록투자수준이나예산에대한세부적인내용은포함되지않았지만, 미국의정보통신기반시설을보다효율적으로보호하기위한정부기간간협의기반을마련했다는점에서의의가있다고할수있다. 아울러인터넷망뿐만아니라첨단과학기술과비상커뮤니케이션시스템을통제하고조정하는 IT 인프라보호를위해연구개발투자효과를극대화할수있는정부차원의구체적청사진을제공했다는점에서, 사이버보안을위한향후우리나라의정책방향에시사하는바가적지않다고할수있다

26 < 참고문헌 > 1. 국내문헌 [1] 국가정보원 정보통신부, 2006 국가정보보호백서, [2] 박상현, 김재경, 미국의 IT 연구개발체계변화와시사점, IITA 주간기술동향, [3] ETRI, 미국의 IT기반미래기술연구동향, [4] 윤재석, 원순재, 미국사이버보안 R&D 계획및시사점, IITA 주간기술동향, [5] 이성덕, 미국연방정부의 IT R&D 전략분석, IITA 주간기술동향, [6] 한국전산원, 2006년국가정보화백서, 2006 [7] 한국정보보호진흥원, 미국의주요정보통신기반보호현황, 국외문헌 [1] Congressional Research Service, "Department of Homeland Security Reorganization : The 2SR Initiative", August [2] Department of Homeland Security, "National Infrastructure Protection Plan", June [3] National Science and Technology Council, "Federal Plan for Cyber Security and Information Assurance Research and Development", April [4] NITRD, "The Networking and Information Technology Research and Development: Supplement to the President's Budget FY 2006", [5], "The Networking and Information Technology Research and Development: Supplement to the President's Budget FY 2007", [6] 財団法人ハイパーネットワーク社会研究所, 平成 17 年度企業個人の情報セキュリテ對策事業,

<C6EDC1FD2DBBE7C0CCB9F6C5D7B7AFB9E6C1F6B9FD20C1A6C1A4C3CBB1B820B1E4B1DEC1C2B4E3C8B82E687770>

<C6EDC1FD2DBBE7C0CCB9F6C5D7B7AFB9E6C1F6B9FD20C1A6C1A4C3CBB1B820B1E4B1DEC1C2B4E3C8B82E687770> 긴급좌담회 자료집 사이버테러방지법 제정촉구 긴급좌담회 - 자유민주연구원, 바른사회시민회의 공동주관 - 일 시 : 2016년 3월 10일(목) 14:30-16:30 장 소 : 프레스센터 19층 국화실 주 최 : 바른사회시민회의, 자유민주연구원 자유민주연구원 바른사회시민회의 사이버테러방지법 제정촉구 긴급좌담회 - 자유민주연구원, 바른사회시민회의 공동주관 - Ⅰ.