미국 국방부는 최근 사이버 보안 성숙도 모델 인증 (Cybersecurity Maturity Model Certification, CMMC) 프로그램을 발표했습니다. 이 프로그램은 미국 정부의 통제된 기밀 정보 (Controlled Unclassified Information, CUI)를 보호하기 위한 DoD 프로그램의 가장 진화한 모습입니다.
DoD는 국방부 조달규정 (Defense Federal Acquisition Regulation Supplement, DFARS)의 계약 조항을 통해 요구사항을 이행합니다. 귀사가 직접 또는 DoD의 공급업체를 통해 DoD에 장비 또는 서비스를 납품한다면 귀사는 다음 조항에 동의해야 합니다.
DoD 계약 조항에는 CUI 처리에 관한 요구사항이 포함되어 있으며 해당 요구사항은 최근 몇 년 동안 진화해 왔습니다.
DFARS 252.204-7012는 CUI 보호에 필요한 기본 요구 사항을 설명합니다. 이 조항은 NIST 800-171에서 정의된 110가지 보안 조치를 기반으로 합니다. 조직에서는 나머지 보안 조치를 이행하기 위한 실행 계획 및 이행 일정 (Plan of Action and Milestones, POAM) 대부분을 충족하고 있음을 확고히 해야 합니다. 또한 이 조항은 정부 CUI를 위험하게 만드는 사이버 사고가 발생할 경우 조직에서 정부 고객에게 이를 알리도록 요구합니다.
-7012 조항은 2017년에 처음 도입되었습니다. 2023년, 미국 정부는 CUI와 관련하여 3가지 새로운 조항 (-7019, -7020, -7021)을 도입했습니다.
DFARS 252.204-7019는 7012의 보고 요구사항을 확장합니다. 조직은 내부 시스템에 대한 평가를 수행하여 점수로 환산해야 합니다. 환산한 점수는 공급 업체 성능 및 위험 평가 시스템 (SPRS) 웹사이트에 보고해야 합니다. 이 사이트에서 정부 기관 및 주요 계약업체는 이 점수를 검토할 수 있습니다. 평가와 점수는 3년마다 업데이트해야 합니다.
DFARS 252.204-7020은 -7019를 이행하기 위한 여러 가지 평가 레벨을 정의합니다. CUI 데이터 유형에 따라 조직 또는 정부 팀이 평가를 수행할 수 있습니다. 이 조항은 정부 기관이 그렇게 결정하면 해당 기관이 검토를 수행할 접근 권한을 갖는다고 명시합니다.
DFARS 252.204-7021은 CMMC 프로그램을 생성합니다. 이 프로그램은 공급업체를 3가지 레벨로 정의하고, 각 레벨의 평가 요구사항은 다릅니다. 레벨 1 공급업체는 NIST 800-171의 15가지 기본 보안 조치를 충족해야 하며 평가는 해당 조직에서 수행합니다. 레벨 2 공급업체는 110가지 보안 조치 모두를 충족해야 하며 평가는 CMMC 인증 제3자 평가 기관 (Third Party Assessment Organization, C3PAO)에서 수행합니다. 레벨 3 공급업체는 정부 공무원이 직접 평가해야 합니다. rev. 3이 2024년에 발표되긴 했지만 DoD는 해명서에서 CMMC가 NIST 800-171 rev. 2에 맞춰 작성될 것이라고 확인했습니다.
전체 CMMC 프로그램은 2024년 후반에 출시되었으며 -7021의 이행을 요구하는 첫 번째 계약이 2025년 초에 시작될 것입니다.
CMMC는 IT 팀에 확실한 영향을 미칩니다. IT 팀은 이메일, 데이터 스토리지, 사무용 도구, 개발 도구 등 조직의 데이터 시스템이 CMMC 요구사항을 준수하는지 확인해야 합니다. 대부분의 기업에서는 IT 팀에서 CMMC 규정 준수, 평가, 규정 준수를 확인하는 성명서에 서명하는 업무를 담당합니다.
지난 수십 년 동안 테스트 시스템은 이러한 보안 프로그램 중 다수에서 제외되었습니다. 그러나 테스트 시스템은 CUI를 포함한 중요한 정부 데이터를 처리하고 있습니다. 테스트 시스템은 정부 네트워크에 배포되는 시스템에 연결되므로 테스트 시스템에 대한 악의적인 공격이 발생하면 정부 시스템이 손상됩니다. 테스트 시스템은 안보 방어 시스템의 중요한 부분이므로 CMMC 평가에 포함되어야 합니다.
이는 테스트 시스템이 NIST 800-171 보안 조치를 준수해야 함을 의미합니다. 그러나 이 경우 보안 조치의 준수는 메인스트림 IT 시스템과 다른 방식으로 접근해야 합니다. 예를 들어, 시스템을 최신 상태로 유지하기 위해 IT 부분 보안 조치에는 잦은 업데이트가 필요합니다. 그러나 테스트 시스템은 같은 빈도로 업데이트할 수 없습니다. 지속적인 작동을 보장하기 위해 업데이트는 완전한 테스트를 거쳐야 하며 테스트와 테스트 사이에 실행해야 합니다. 테스트 중간에 업데이트를 적용하면 테스트가 지연되거나 안전상의 문제가 발생할 수 있습니다.
이러한 차이점으로 인해 테스트 장비는 정보 기술 (IT) 대신 운영 기술 (OT)로 그룹화됩니다. NIST 800-82, 운영 기술 (OT) 보안 가이드에서는 IT 시스템과 OT 시스템 간의 보안 차이를 이해하는 데 필요한 몇 가지 지침을 제공합니다. 이 가이드는 테스트 시스템을 위한 보안 전략을 개발하는 IT 팀에게 중요한 문서입니다.
NI는 전세계 테스트 팀과 긴밀하게 협력하여 악의적인 공격으로부터 테스트 시스템을 보호합니다. 성공적인 테스트 팀은 다음과 같은 보안 원칙을 구현합니다.
IT 보안 팀과 명확하고 개방적으로 통신할 수 있는 채널을 가능한 한 빨리 만듭니다. IT 보안 팀의 규칙 및 가이드라인을 파악하기 위해 노력하고 시간을 들여 IT 보안 팀에 테스트 작업이 어떻게 작동하는지 소개합니다.
개발 과정에 안전한 개발 프레임워크를 적용합니다. NIST 800-218은 안전한 솔루션을 개발하기 위해 팀에서 반드시 따라야 할 일련의 사례를 제공합니다.
필요한 기능과 문서를 제공할 수 있는 평판이 좋은 공급업체와 협력합니다. 보안을 중요시하는 회사의 구성요소를 사용하면 시스템이 안전한지 입증하는 것이 훨씬 쉽습니다. 공급업체가 SBOM, 메모리 휘발성 설명서, 규정 준수 매트릭스, 보안 구현 가이드와 같은 문서를 제공하면 서류 작업의 부담을 줄일 수 있습니다.
보안 문화를 발전시키고 보안을 중요시하도록 팀원 교육을 진행합니다.
지속적인 보안 계획을 생성합니다. 테스트 시스템 업데이트는 테스트 팀에 실제적인 부담을 안겨줍니다. 업데이트는 테스트 워크플로에 지장을 줍니다. 시스템을 다시 검증해야 할 수도 있습니다. 운영 흐름에 맞춰 진행 중인 업데이트 계획을 고려해야 하며 고객 또는 회사가 진행 중인 업데이트를 재정적으로 지원할 준비가 되어 있는지 확인해야 합니다.
다른 사례에서 배웁니다. NI는 매년 2회에 걸쳐 테스트 시스템 보안 컨퍼런스를 개최하여 테스트 시스템 보안 포럼에 프레젠테이션을 게시합니다. 이 컨퍼런스에 참여하여 질문을 하거나 업계 모범 사례에 대해 배울 수 있습니다.
NIST 800-171에서 설명하는 요구사항에 대해 자세히 알아보려면 CMMC 요구사항을 참조하십시오.
Linux®는 전 세계에 상표권을 보유하고 있는 Linus Torvalds와 독점 라이센스 계약을 맺고 있는 LMI의 2차 라이센스에 따라 사용되었습니다.