국내외 과학기술 정책에 대한 간략한 정보
단신동향
해외단신
사이버보안 : 네트워크 모니터링 프로그램에 대한 추가 지침 및 조치 필요 원문보기 1
- 국가 미국
- 생성기관 정부책임처(GAO)
- 주제분류 핵심R&D분야
- 원문발표일 2025-06-11
- 등록일 2025-06-27
- 권호 290
○ 미국 정부책임처(GAO)는 국토안보부(DHS)와 사이버보안 및 기반시설 안보국(CISA)이 운영 중인 연속 진단 및 완화(CDM: Continuous Diagnostics and Mitigation) 프로그램의 운영 성과를 평가하고, 이를 통해 연방정부의 사이버 보안 대응능력 제고 여부와 관련 정책과제 등을 분석하기 위한 보고서를 발표
○ 엄격한 시아버보안 프로그램의 핵심 측면은 위험을 감지하고 관리하기 위해 네트워크와 시스템을 지속적으로 모니터링하는 것임
- 정보보안현대화법(FISMA, Federal Information Security Modernization Act of 2014)에는 GAO가 기관의 법집행에 대해 주기적으로 보고하는 조항이 있으며,
- 이에 따라 동 보고서는 지속적인 진단 및 완화(CDM, Continuous Diagnostics and Mitigation) 프로그램이 (1)목표를 달성하고 있는지, (2) 다른 연방 사이버보안 이니셔티브를 지원하는 정도를 검토함
○ DHS는 2012년부터 CDM 프로그램을 도입하여, 연방 네트워크와 시스템의 사이버 보안을 강화하고자 함
- 동 프로그램의 목표는 다음과 같음: (1) 취약한 구성 또는 알려진 보안 결함의 노출 감소, (2) 연방 차원의 사이버보안 대응능력 향상, (3) 정부 전체의 사이버보안 상태 가시성 제고, (4)정보보안현대화법(FISMA) 보고 간소화
- 프로그램 성과평가 결과, 4가지 목표 중 2가지 목표(안전하지 않은 구성이나 알려진 취약점에 대한 노출감소, 대응역량 목표)를 달성했으나 다른 2가지 목표는 부분적으로 달성한 것으로 확인됨
○ 성과평가 결과를 반영하여 GAO는 네 가지 권고안을 DHS와 CISA(Cybersecurity and Infrastructure Security Agency)에 제시
- (1) 네트워크 보안과 데이터 보안역량 실행에 관한 지침 발표
- (2) 데이터 품질 문제 해결
- (3) 앤드포인트 솔루션 구현
- (4) 클라우드 자산관리에 대한 업데이트된 지침 발표
○ 엄격한 시아버보안 프로그램의 핵심 측면은 위험을 감지하고 관리하기 위해 네트워크와 시스템을 지속적으로 모니터링하는 것임
- 정보보안현대화법(FISMA, Federal Information Security Modernization Act of 2014)에는 GAO가 기관의 법집행에 대해 주기적으로 보고하는 조항이 있으며,
- 이에 따라 동 보고서는 지속적인 진단 및 완화(CDM, Continuous Diagnostics and Mitigation) 프로그램이 (1)목표를 달성하고 있는지, (2) 다른 연방 사이버보안 이니셔티브를 지원하는 정도를 검토함
○ DHS는 2012년부터 CDM 프로그램을 도입하여, 연방 네트워크와 시스템의 사이버 보안을 강화하고자 함
- 동 프로그램의 목표는 다음과 같음: (1) 취약한 구성 또는 알려진 보안 결함의 노출 감소, (2) 연방 차원의 사이버보안 대응능력 향상, (3) 정부 전체의 사이버보안 상태 가시성 제고, (4)정보보안현대화법(FISMA) 보고 간소화
- 프로그램 성과평가 결과, 4가지 목표 중 2가지 목표(안전하지 않은 구성이나 알려진 취약점에 대한 노출감소, 대응역량 목표)를 달성했으나 다른 2가지 목표는 부분적으로 달성한 것으로 확인됨
○ 성과평가 결과를 반영하여 GAO는 네 가지 권고안을 DHS와 CISA(Cybersecurity and Infrastructure Security Agency)에 제시
- (1) 네트워크 보안과 데이터 보안역량 실행에 관한 지침 발표
- (2) 데이터 품질 문제 해결
- (3) 앤드포인트 솔루션 구현
- (4) 클라우드 자산관리에 대한 업데이트된 지침 발표
