현재 위치: WiKi Security Spirit » Business Certifications » 동유럽 몰도바 국가사이버보안전략 수립 컨설팅 사례

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
다음 판양쪽 다음 판
wiki_security_corp:동유럽_몰도바_moldova_국가사이버보안전략_수립_컨설팅_사례 [2015/10/28 07:59] wiki1122wiki_security_corp:동유럽_몰도바_moldova_국가사이버보안전략_수립_컨설팅_사례 [2015/10/28 08:01] wiki1122
줄 19: 줄 19:
 “Digital Moldova 2020”의 Pilar IV Establishing conditions for increasing digital space security and trust에 따라 주무부처인 MTIC는 유럽연합의 Cyber Security Strategy와 국제표준 가이드라인을 참고하여 중장기적 국가사이버보안 전략으로 National Cyber Security Program을 개발 중에 있었다. \\ “Digital Moldova 2020”의 Pilar IV Establishing conditions for increasing digital space security and trust에 따라 주무부처인 MTIC는 유럽연합의 Cyber Security Strategy와 국제표준 가이드라인을 참고하여 중장기적 국가사이버보안 전략으로 National Cyber Security Program을 개발 중에 있었다. \\
 금번 프로젝트 진행 중에 National Cyber Security Program은 여러 차례의 개정이 있었으며, Final draft에서는 7개 영역, 54개의 세부 Action들로 구성되었으며 간략히 요약하면 아래와 같다. \\ 금번 프로젝트 진행 중에 National Cyber Security Program은 여러 차례의 개정이 있었으며, Final draft에서는 7개 영역, 54개의 세부 Action들로 구성되었으며 간략히 요약하면 아래와 같다. \\
-{{:wiki_security_corp:moldovanationalcybersecurityprogram.png?200|}}+{{:wiki_security_corp:moldovanationalcybersecurityprogram.png?600|}}
 \\ \\
 ==== [ 프로젝트 범위 ] ==== ==== [ 프로젝트 범위 ] ====
 금번 프로젝트의 목적은 개발중인 National Cyber Security Program를 구체화하기 위한 것으로써, Moldova의 관련기관 및 이해관계자들의 요구사항들을 MTIC가 취합하여 11개의 요구사항을 금번 프로젝트의 요구사항으로 제시하였으며, 요청사항들의 세부내용을 파악하여 중복되는 사항과 요구사항과의 연관성을 파악하여 4개의 Task로 압축하였다. 프로젝트 중간에 Deputy Minister의 요청으로 2개의 Task가 추가되어 금번 프로젝트의 Task는 총 6개로 정의하여 수행하였다. \\ 금번 프로젝트의 목적은 개발중인 National Cyber Security Program를 구체화하기 위한 것으로써, Moldova의 관련기관 및 이해관계자들의 요구사항들을 MTIC가 취합하여 11개의 요구사항을 금번 프로젝트의 요구사항으로 제시하였으며, 요청사항들의 세부내용을 파악하여 중복되는 사항과 요구사항과의 연관성을 파악하여 4개의 Task로 압축하였다. 프로젝트 중간에 Deputy Minister의 요청으로 2개의 Task가 추가되어 금번 프로젝트의 Task는 총 6개로 정의하여 수행하였다. \\
-Task-A: Methodology Recommendations for Role and Responsibilities Definition \\ +Task-A: Methodology Recommendations for Role and Responsibilities Definition \\ 
-Task-B: Approximate Budgets Estimation for each action \\ +Task-B: Approximate Budgets Estimation for each action \\ 
-Task-C: Introduction of the International standard and Korean government case \\ +Task-C: Introduction of the International standard and Korean government case \\ 
-Task-D: Some improvement suggestions for the current cyber security program \\ +Task-D: Some improvement suggestions for the current cyber security program \\ 
-Task-X01: Penetration test for Government network \\ +Task-X01: Penetration test for Government network \\ 
-Task-X10: Penetration test for a Critical Information Service \\+Task-X10: Penetration test for a Critical Information Service \\
 \\ \\
 ==== [ 프로젝트 일정 ] ==== ==== [ 프로젝트 일정 ] ====
줄 38: 줄 38:
 금번 프로젝트의 기간과 리소스를 고려하여 글로벌에서 널리 사용되고 있는 RACI methodology를 선정하여 이 방법론의 이용방법을 소개하고, 이 방법론을 활용하여 National Cyber Security Program의 54개 action plan에 대한 역할과 책임 설계(안)을 만들어 결과물로 제출하였다.  \\ 금번 프로젝트의 기간과 리소스를 고려하여 글로벌에서 널리 사용되고 있는 RACI methodology를 선정하여 이 방법론의 이용방법을 소개하고, 이 방법론을 활용하여 National Cyber Security Program의 54개 action plan에 대한 역할과 책임 설계(안)을 만들어 결과물로 제출하였다.  \\
  
-**Task-B: Approximate Budgets Estimation for each action**+**Task-B: Approximate Budgets Estimation for each action** \\
 이 Task-B의 목적은 National Cyber Security Program을 구성하는 54개 Action들의 대략적인 예산비용을 산정하는 것이다. National Cyber Security Program 개발을 책임지고 있는 MTIC는 각 Action Plan별, 연간 및 전체 소요예산을 계획하여 내부승인을 거쳐 예산처 승인 등을 위해 반드시 필요한 요소이다. \\ 이 Task-B의 목적은 National Cyber Security Program을 구성하는 54개 Action들의 대략적인 예산비용을 산정하는 것이다. National Cyber Security Program 개발을 책임지고 있는 MTIC는 각 Action Plan별, 연간 및 전체 소요예산을 계획하여 내부승인을 거쳐 예산처 승인 등을 위해 반드시 필요한 요소이다. \\
 이 Task의 수행을 위해 우선은 54개로 구성된 Action plan의 세부 내용과 목적을 파악하고, 각 Action plan을 3가지 유형으로(Consultation Project, System Integration Project, 자체수행 프로젝트) 나누었다. 3가지 유형으로 나눈 이유는 해당 Action plan의 소요예산 계산기준이 다르기 때문이다.  \\ 이 Task의 수행을 위해 우선은 54개로 구성된 Action plan의 세부 내용과 목적을 파악하고, 각 Action plan을 3가지 유형으로(Consultation Project, System Integration Project, 자체수행 프로젝트) 나누었다. 3가지 유형으로 나눈 이유는 해당 Action plan의 소요예산 계산기준이 다르기 때문이다.  \\
줄 46: 줄 46:
 특히, 이 예산은 개발도상국의 특성을 고려하여 기초데이터를 변경할 수 있도록 하여 각 Action별 예산에 자동적으로 반영될 수 있도록 매크로로 계산식으로 심어 넣어서 변경관리가 용이하도록 산출물을 제출하였다. \\ 특히, 이 예산은 개발도상국의 특성을 고려하여 기초데이터를 변경할 수 있도록 하여 각 Action별 예산에 자동적으로 반영될 수 있도록 매크로로 계산식으로 심어 넣어서 변경관리가 용이하도록 산출물을 제출하였다. \\
  
-**Task-C: Introduction of the International standard and Korean government case**+**Task-C: Introduction of the International standard and Korean government case** \\
 54개의 Action으로 구성된 National Cyber Security Program은 26개 기관이나 관련부처들이 오너쉽을 분담하는 수행 주체가 되기 때문에, 각 Action들을 상세화하는 단계에서 반드시 필요한 것이 international Standard와 한국을 포함한 타 선진국의 사례가 중요한 참고자료가 된다. \\ 54개의 Action으로 구성된 National Cyber Security Program은 26개 기관이나 관련부처들이 오너쉽을 분담하는 수행 주체가 되기 때문에, 각 Action들을 상세화하는 단계에서 반드시 필요한 것이 international Standard와 한국을 포함한 타 선진국의 사례가 중요한 참고자료가 된다. \\
 따라서 이 Task-C의 목적은 각 action별 International Standard 또는 Model과 한국의 사례와 타 선진국의 사례를 조사하여 매핑하는 것이다. \\ 따라서 이 Task-C의 목적은 각 action별 International Standard 또는 Model과 한국의 사례와 타 선진국의 사례를 조사하여 매핑하는 것이다. \\
줄 53: 줄 53:
 이번 프로젝트를 하면서 알게된 웹사이트 중에 하나는 우리나라 법제처 법령조회 웹사이트에 영문버전 법령조회 기능이 있다는 것이었다. (참고: http://www.law.go.kr/LSW/engLsSc.do?menuId=0&subMenu=5&query=) 예전 콜롬이바, 르완다 등 개도국 프로젝트를 할 때는 영문화 작업을 해야 하는 번거로움이 있었는데, 이번에 아주 유용하게 사용하였다. \\ 이번 프로젝트를 하면서 알게된 웹사이트 중에 하나는 우리나라 법제처 법령조회 웹사이트에 영문버전 법령조회 기능이 있다는 것이었다. (참고: http://www.law.go.kr/LSW/engLsSc.do?menuId=0&subMenu=5&query=) 예전 콜롬이바, 르완다 등 개도국 프로젝트를 할 때는 영문화 작업을 해야 하는 번거로움이 있었는데, 이번에 아주 유용하게 사용하였다. \\
  
-**Task-D: Some improvement suggestions for the current cyber security program**+**Task-D: Some improvement suggestions for the current cyber security program** \\
 몇 년 전부터 ITU를 비롯하여 유럽의 ENISA, NATO CCDCOE 등에서 National Cyber Security Strategy 수립을 위한 가이드가 개발되어 공개되면서, 개발도상국과 같은 Cyber Security의 후발 국가들이 참조할 수 있는 자료가 많아졌다. 유럽연합 Agency인 ENISA같은 경우에는 매년 유럽연합국가를 비롯한 전세계 국가별 국가사이버보안전략을 취합, 조사하여 게시하고 있으며, CERT Capability Building Program 등 다양한 프로그램을 마련하고 지원하고 있다. \\ 몇 년 전부터 ITU를 비롯하여 유럽의 ENISA, NATO CCDCOE 등에서 National Cyber Security Strategy 수립을 위한 가이드가 개발되어 공개되면서, 개발도상국과 같은 Cyber Security의 후발 국가들이 참조할 수 있는 자료가 많아졌다. 유럽연합 Agency인 ENISA같은 경우에는 매년 유럽연합국가를 비롯한 전세계 국가별 국가사이버보안전략을 취합, 조사하여 게시하고 있으며, CERT Capability Building Program 등 다양한 프로그램을 마련하고 지원하고 있다. \\
 사실 이런 공개된 표준이나 프로그램 자료들을 잘 활용하면 어렵지 않게 국가 사이버보안 전략을 수립할 수도 있을 정도로 많아 졌다. 아주 쉽게는 유사한 환경에 있는 다른 나라의 국가사이버전략을 그대로 복사해서 자국의 환경에 맞게 수정해서 사용해도 될 정도의 자세한 자료들도 있다. Moldova의 경우에도 이와 같은 방법으로 초기의 National Cyber Security Program을 개발했기 때문에, 혹시라도 누락된 전략이나 Action 있는지 등에 대한 객관적 검토가 필요했다. \\ 사실 이런 공개된 표준이나 프로그램 자료들을 잘 활용하면 어렵지 않게 국가 사이버보안 전략을 수립할 수도 있을 정도로 많아 졌다. 아주 쉽게는 유사한 환경에 있는 다른 나라의 국가사이버전략을 그대로 복사해서 자국의 환경에 맞게 수정해서 사용해도 될 정도의 자세한 자료들도 있다. Moldova의 경우에도 이와 같은 방법으로 초기의 National Cyber Security Program을 개발했기 때문에, 혹시라도 누락된 전략이나 Action 있는지 등에 대한 객관적 검토가 필요했다. \\
줄 60: 줄 60:
 특히, 개선방안 중에는 평균 대졸초임이 100불이 조금 넘는 Moldova의 열악한 경제상황을 고려할 때, ITU나 ENISA, NATO CCDCOE와 같은 표준 가이드에서도 언급하고 있지 않은 우리나라의 국내전문가 자격제도인 산업보안기사와 같은 국내 전문가 자격제도와 ISMS, PIMS, PIPL과 같은 인증제도의 도입이 경제성과 효과성을 높다는 것을 강조하였다. \\ 특히, 개선방안 중에는 평균 대졸초임이 100불이 조금 넘는 Moldova의 열악한 경제상황을 고려할 때, ITU나 ENISA, NATO CCDCOE와 같은 표준 가이드에서도 언급하고 있지 않은 우리나라의 국내전문가 자격제도인 산업보안기사와 같은 국내 전문가 자격제도와 ISMS, PIMS, PIPL과 같은 인증제도의 도입이 경제성과 효과성을 높다는 것을 강조하였다. \\
  
-**Task-X01: Penetration test for Government network, Task-X10: Penetration test for a Critical Information Service**+**Task-X01: Penetration test for Government network, Task-X10: Penetration test for a Critical Information Service** \\
 MTIC 수석차관의 요청으로 몰도바 정부의 네트워크와 Critical Information Security Service에 대한 모의해킹 진단을 수행하여 보안수준이 어떤지 긴급하게 보완해야 하는 취약점은 무엇인지, 앞으로 어떤 부분을 보완해야 하는지를 파악하고 제언하였다. \\ MTIC 수석차관의 요청으로 몰도바 정부의 네트워크와 Critical Information Security Service에 대한 모의해킹 진단을 수행하여 보안수준이 어떤지 긴급하게 보완해야 하는 취약점은 무엇인지, 앞으로 어떤 부분을 보완해야 하는지를 파악하고 제언하였다. \\
 두 차례의 모의해킹 진단결과, 모두 대상 시스템의 root권한을 획득하게 되어 일부 내용에 대해서는 공식보고에서 생략해 달라는 요청이 있을 정도로 MTIC 입장에서는 심각한 결과가 도출되기도 하였다. \\ 두 차례의 모의해킹 진단결과, 모두 대상 시스템의 root권한을 획득하게 되어 일부 내용에 대해서는 공식보고에서 생략해 달라는 요청이 있을 정도로 MTIC 입장에서는 심각한 결과가 도출되기도 하였다. \\
 모의해킹 진단결과에 대한 보호대책은 단기와 장기로 나누어 보호대책을 제시하였으며, 특히 지속적으로 개발, 구축되는 전자정부 사업들에 대한 Secure SDLC에 대하여 높은 관심을 보였고 우리나라의 사례인 전자정부서비스 개발단계 SW보안 취약점 진단 등을 소개하여 제도적 도입의 필요성 강조하였다. \\ 모의해킹 진단결과에 대한 보호대책은 단기와 장기로 나누어 보호대책을 제시하였으며, 특히 지속적으로 개발, 구축되는 전자정부 사업들에 대한 Secure SDLC에 대하여 높은 관심을 보였고 우리나라의 사례인 전자정부서비스 개발단계 SW보안 취약점 진단 등을 소개하여 제도적 도입의 필요성 강조하였다. \\
- 

추적: