미국 국립표준기술원(National Institute of Standards and Technology, NIST)은 계측 과학, 표준, 기술 진흥을 통해 혁신을 촉진하는 비규제 기관입니다. NIST 사이버 보안 프레임워크(NIST CSF)는 기업에서 사이버 보안 위험을 더 효과적으로 관리하는 데 도움이 될 여러 표준, 지침, 모범 사례로 구성되었습니다. 

NIST CSF는 어떤 업종과 조직의 기존 보안 프로세스와도 유연하게 통합할 수 있도록 설계되었습니다. 미국에서 사실상 어떤 민간 기업에서도 정보 보안 및 사이버 보안 위험 관리를 구현하는 출발점으로 삼기에 적합합니다.

2013년 2월 12일자로 행정 명령(EO) 13636호, '주요 인프라 사이버 보안 강화(Improving Critical Infrastructure Cybersecurity)'가 공표되었습니다. 이로써 NIST는 미국의 민간 분야와 손잡고 '사이버 보안 프레임워크에 적용할, 자발적 합의에 의한 기존 표준 및 산업 모범 사례 선정'을 시작했습니다. 이러한 협업의 결실로 NIST 사이버 보안 프레임워크 버전 1.0이 탄생했습니다.

2014 사이버 보안 강화법(Cybersecurity Enhancement Act, CEA)이 제정되면서 NIST의 사이버 보안 프레임워크 개발 활동이 더욱 확대되었습니다. 현재 NIST CSF는 여전히 미국의 모든 업종에서 가장 광범위하게 채택되는 보안 프레임워크 중 하나입니다.

NIST 사이버 보안 프레임워크는 여러 기능, 범주, 하위 범주, 참조 정보로 구성됩니다. 

기능(Functions)에서는 모범 사례의 보안 프로토콜을 개괄적으로 설명합니다. 기능은 절차적 단계가 아닙니다. 그보다는 "역동적인 사이버 보안 위험을 다루는 운영 문화가 자리잡도록 동시에, 중단 없이" 수행해야 할 일입니다. 범주(Categories) 및 하위 범주(Subcategories)는 조직 내의 특정 부서나 프로세스를 위한 더 구체적인 실천 계획을 제시합니다. 

NIST 기능 및 범주의 예를 들면 다음과 같습니다.

• 식별(Identify): 사이버 보안 팀은 사이버 공격으로부터 보호하기 위해 해당 조직에 가장 중요한 자산과 자원이 무엇인지를 철저히 파악해야 합니다. 식별 기능에는 자산 관리, 비즈니스 환경, 거버넌스, 위험 평가, 위험 관리 전략, 공급망 위험 관리와 같은 범주가 포함됩니다.
  
  
• 보호(Protect): 보호 기능은 적합한 보호 장치를 개발하여 구현하고 중요 인프라를 보호하기 위한 기술적/물리적 제어의 상당 부분을 다룹니다. ID 관리 및 액세스 제어, 인식 및 교육, 데이터 보안, 정보 보호 프로세스 및 절차, 유지 보수, 보호 기술이 이러한 범주에 해당합니다.
  
  
• 탐지(Detect): 탐지 기능은 조직에 사이버 공격에 관해 알리는 수단을 구현합니다. 탐지 범주에는 이상 및 이벤트, 보안 상시 모니터링, 탐지 프로세스가 포함됩니다.
  
  
• 대응(Respond): 대응 기능 범주에서는 사이버 공격 및 기타 사이버 보안 이벤트에 대한 올바른 대응을 보장합니다. 구체적으로는 대응 계획, 커뮤니케이션, 분석, 완화, 개선 등의 범주가 있습니다.
  
  
• 복구(Recover): 복구 활동에서는 사이버 레질리언스 계획을 이행합니다. 그리고 사이버 공격, 보안 침해, 기타 사이버 보안 이벤트가 발생할 경우에 비즈니스 연속성을 보장합니다. 복구 기능으로는 복구 계획 개선 및 커뮤니케이션이 있습니다.

NIST CSF의 참조 정보에서는 기능, 범주, 하위 범주, 그리고 다른 프레임워크의 특정 보안 제어 간의 직접적인 상관 관계를 제시합니다. 이러한 프레임워크로는 CIS(Center for Internet Security) Controls®, COBIT 5, ISA(International Society of Automation) 62443-2-1:2009, ISA 62443-3-3:2013, ISO(International Organization for Standardization)/IEC(International Electrotechnical Commission) 27001:2013, NIST SP 800-53 Rev. 4 등이 있습니다.

NIST CSF에서는 물리적 디바이스 및 시스템을 인벤토리화하는 방법, 또는 소프트웨어 플랫폼 및 애플리케이션을 인벤토리화하는 방법을 다루지 않습니다. 완수해야 할 작업의 체크리스트를 제공할 뿐입니다. 기업은 인벤토리화 방법과 관련하여 각자의 방식을 선택할 수 있습니다. 추가적인 지침이 필요한 기업은 다른 보완적 표준에 포함된 관련 제어의 참조 정보를 활용할 수 있습니다. CSF에서는 기업의 사이버 보안 위험 관리 요구 사항에 가장 적합한 툴의 선정 및 선택과 관련하여 상당한 자유를 보장합니다.

NIST 사이버 보안 프레임워크에서는 민간 기업에서 이 프레임워크의 구현 현황을 제대로 평가할 수 있도록 4가지 구현 단계(Tier)를 규정합니다.

• Tier 1 – 부분적(Partial): 해당 기업은 NIST CSF를 알고 있으며, 인프라의 일부 영역에서 몇 가지 제어 요소를 구현했을 수도 있습니다. 사이버 보안 활동 및 프로토콜 구현은 미리 계획되지 않고 사후 대응 형태로 이루어졌습니다. 이 기업은 사이버 보안 위험에 관한 인식이 제한적이며, 정보 보안을 실현할 프로세스 및 리소스가 없습니다.
  
  
• Tier 2 – 위험 인식(Risk Informed): 이 기업은 사이버 보안 위험을 비교적 잘 알고 있으며, 비공식적인 수준에서 정보를 공유합니다. 계획에 근거한, 반복 가능하고 선제적인 전사적 사이버 보안 위험 관리 프로세스는 없습니다.
  
  
• Tier 3 – 반복 가능(Repeatable): 이 기업과 그 경영진은 사이버 보안 위험을 인식하고 있습니다. 반복 가능한 전사적 차원의 사이버 보안 위험 관리 계획을 구현했습니다. 사이버 보안 팀은 사이버 공격을 효과적으로 모니터링하고 대응하기 위한 실천 계획을 마련했습니다.
  
  
• Tier 4 – 적응형(Adaptive): 이 조직은 사이버 레질리언스를 갖춘 상태이며, 경험을 통한 학습 및 예측 지표를 활용하여 사이버 공격을 예방합니다. 사이버 보안 팀은 사이버 보안 기술 및 프랙티스를 끊임없이 개선하고 업그레이드하며, 위협 환경의 변화에 빠르고 효율적으로 적응합니다. 전사적 차원의 정보 보안 및 위험 관리 방식이 정립되어 있으며, 위험 관련 정보를 토대로 의사 결정, 정책, 절차, 프로세스가 마련됩니다. 적응형 조직에서는 사이버 보안 위험 /관리를 예산 결정 및 조직 문화에 접목합니다.

NIST 사이버 보안 프레임워크에서는 정보 보안 위험 관리 프로그램을 수립하거나 개선하는 방법과 관련하여 단계별 지침을 제공합니다.

1. 우선순위 및 범위 지정: 프로젝트의 범위를 명확히 정하고 우선순위를 결정합니다. 해당 기업의 거시적 비즈니스/임무 목표와 비즈니스 요구 사항을 확립하고, 위험 허용치를 결정합니다.
   
   
2. 방향 설정: 기업의 자산 및 시스템 재고를 파악하고, 이 기업에 적용될 만한 규정, 위험 관리 방식, 위협 요인을 파악합니다.
   
   
3. 현재 유효한 프로파일 개발: 현재 유효한 프로파일이란 해당 기업에서 당장의 위험을 관리하는 방식을 CSF의 범주 및 하위 범주별로 조명한 것입니다. 
   
   
4. 위험 평가 수행: 운영 환경, 새로운 위험, 사이버 보안 위협 정보를 평가하여 해당 기업에 영향을 미칠 만한 사이버 보안 이벤트의 발생 가능성 및 심각도를 판단합니다.
   
   
5. 목표 프로파일 개발: 목표 프로파일이란 정보 보안 팀의 위험 관리 목표를 의미합니다.
   
   
6. 격차 확인, 분석, 우선순위 결정: 정보 보안 팀은 현재 유효한 프로파일과 목표 프로파일의 격차를 파악함으로써 실천 계획을 수립할 수 있습니다. 여기에는 측정 가능한 마일스톤, 그리고 격차 해소에 필요한 리소스(인력, 예산, 시간)가 포함됩니다.
   
   
7. 실천 계획 이행: 6단계에 정의된 대로 실천 계획을 이행합니다.