본문으로 바로가기

국내외 과학기술 정책에 대한 간략한 정보

단신동향

해외단신

글자 크게 글자 작게 Print

사이버 보안 사고 보고의 정책 원칙 제시 원문보기 1

  • 국가 미국
  • 생성기관 정보기술산업협회
  • 주제분류 핵심R&D분야
  • 원문발표일 2021-07-19
  • 등록일 2021-08-27
  • 권호 197
○ 정보기술산업협회(ITI)는 미국 내에서 사이버 보안 사고를 보고하는 정책 원칙을 제시하는 보고서*를 발표함
* ITI Policy Principles for Security Incident Reporting in the U.S.
○ 사이버 보안 사고 보고는 데이터 유출 안내나 사이버 위협 정보 공유와 비슷하지만 서로 다른 개념으로, 사이버 보안 사고 보고의 목표와 적용 범위의 혼란은 잘못된 정책으로 이어짐
- 사이버 보안 사고 보고는 이미 일어난 과거의 사건에 초점을 맞추어 피해 내역이나 해커의 특성 등의 정보를 제공하는 것으로, 사고로 인한 실제적, 잠재적 피해에 초점을 맞춤
- 데이터 유출 안내는 개인 식별 정보나 다른 민감한 프라이버시 데이터에 대한 불법적인 접근이나 공개에 관한 것으로, 대부분의 주 및 지방법이 여기에 초점을 맞추고 있음
- 사이버 위협 정보 공유는 잠재적인 미래의 사고에 초점을 맞추어 관련 기관이 위협과 관련한 정보를 이해하고 예방하기 위해 적극적으로 공유하는 것임
○ 본 보고서는 사이버 보안 사고에 대한 적절한 보고가 관련 리스크를 줄이는데 큰 도움이 될 수 있음을 강조하며 다음과 같은 원칙을 제시함
- 특정 목표 요건과 사고 심각성 수준에 따라 사이버 보안 사고를 분류할 수 있는 사고 범주 매트릭스를 개발하고 적용할 것
- 현실적인 보고 시점을 사이버 보안 사고의 심각성에 대응해 서로 다르게 설정할 것
- 보고에 대한 책임의 범위를 사이버 보안 사고가 발생한 기관으로만 제한할 것
- 연방 기관과 공유된 민감한 정보에 대한 비밀성과 적절한 보호를 보장하고, 규제적으로 활용하지 않을 것
- 정보의 자유법(FOIA)에 적용받지 않는 법적 책임 보호와 적절한 면제 요건을 사안에 맞추어 제공할 것
- 연방 사이버 보안 사고 보고 요건과 조화를 이룰 것
- 기업이 보안 사고를 보고할 단일화된 정부 내 창구를 설정할 것
- 적절하고 유연한 보고 탬플릿을 설정할 것
- 보고 과정과 메커니즘을 산업계의 우수 사례에 맞게 일관성을 유지하고 쌍방향의 정보 공유가 가능하도록 만들 것
- 보안 사고 보고에 대응할 수 있는 연방 기관의 역량을 강화할 것

배너존

  • 케이투베이스
  • ITFIND
  • 한국연구개발서비스협회
  • 한국과학기술정보연구원