차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판마지막 판양쪽 다음 판 | ||
wiki_security_corp:동유럽_몰도바_moldova_국가사이버보안전략_수립_컨설팅_사례 [2015/10/28 07:59] – wiki1122 | wiki_security_corp:동유럽_몰도바_moldova_국가사이버보안전략_수립_컨설팅_사례 [2023/05/22 07:13] – wiki1122 | ||
---|---|---|---|
줄 19: | 줄 19: | ||
“Digital Moldova 2020”의 Pilar IV Establishing conditions for increasing digital space security and trust에 따라 주무부처인 MTIC는 유럽연합의 Cyber Security Strategy와 국제표준 가이드라인을 참고하여 중장기적 국가사이버보안 전략으로 National Cyber Security Program을 개발 중에 있었다. \\ | “Digital Moldova 2020”의 Pilar IV Establishing conditions for increasing digital space security and trust에 따라 주무부처인 MTIC는 유럽연합의 Cyber Security Strategy와 국제표준 가이드라인을 참고하여 중장기적 국가사이버보안 전략으로 National Cyber Security Program을 개발 중에 있었다. \\ | ||
금번 프로젝트 진행 중에 National Cyber Security Program은 여러 차례의 개정이 있었으며, | 금번 프로젝트 진행 중에 National Cyber Security Program은 여러 차례의 개정이 있었으며, | ||
- | {{: | + | {{: |
- | \\ | + | |
==== [ 프로젝트 범위 ] ==== | ==== [ 프로젝트 범위 ] ==== | ||
금번 프로젝트의 목적은 개발중인 National Cyber Security Program를 구체화하기 위한 것으로써, | 금번 프로젝트의 목적은 개발중인 National Cyber Security Program를 구체화하기 위한 것으로써, | ||
- | Task-A: Methodology Recommendations for Role and Responsibilities Definition \\ | + | - Task-A: Methodology Recommendations for Role and Responsibilities Definition \\ |
- | Task-B: Approximate Budgets Estimation for each action \\ | + | - Task-B: Approximate Budgets Estimation for each action \\ |
- | Task-C: Introduction of the International standard and Korean government case \\ | + | - Task-C: Introduction of the International standard and Korean government case \\ |
- | Task-D: Some improvement suggestions for the current cyber security program \\ | + | - Task-D: Some improvement suggestions for the current cyber security program \\ |
- | Task-X01: Penetration test for Government network \\ | + | - Task-X01: Penetration test for Government network \\ |
- | Task-X10: Penetration test for a Critical Information Service \\ | + | - Task-X10: Penetration test for a Critical Information Service \\ |
- | \\ | + | |
==== [ 프로젝트 일정 ] ==== | ==== [ 프로젝트 일정 ] ==== | ||
- | 프로젝트 기간은 총 3개월로 계약되어 수행하였으며, | + | 프로젝트 기간은 총 3개월로 계약되어 수행하였으며, |
==== [ 프로젝트 수행결과 ] ==== | ==== [ 프로젝트 수행결과 ] ==== | ||
줄 38: | 줄 38: | ||
금번 프로젝트의 기간과 리소스를 고려하여 글로벌에서 널리 사용되고 있는 RACI methodology를 선정하여 이 방법론의 이용방법을 소개하고, | 금번 프로젝트의 기간과 리소스를 고려하여 글로벌에서 널리 사용되고 있는 RACI methodology를 선정하여 이 방법론의 이용방법을 소개하고, | ||
- | **Task-B: Approximate Budgets Estimation for each action** | + | **Task-B: Approximate Budgets Estimation for each action** |
이 Task-B의 목적은 National Cyber Security Program을 구성하는 54개 Action들의 대략적인 예산비용을 산정하는 것이다. National Cyber Security Program 개발을 책임지고 있는 MTIC는 각 Action Plan별, 연간 및 전체 소요예산을 계획하여 내부승인을 거쳐 예산처 승인 등을 위해 반드시 필요한 요소이다. \\ | 이 Task-B의 목적은 National Cyber Security Program을 구성하는 54개 Action들의 대략적인 예산비용을 산정하는 것이다. National Cyber Security Program 개발을 책임지고 있는 MTIC는 각 Action Plan별, 연간 및 전체 소요예산을 계획하여 내부승인을 거쳐 예산처 승인 등을 위해 반드시 필요한 요소이다. \\ | ||
이 Task의 수행을 위해 우선은 54개로 구성된 Action plan의 세부 내용과 목적을 파악하고, | 이 Task의 수행을 위해 우선은 54개로 구성된 Action plan의 세부 내용과 목적을 파악하고, | ||
줄 46: | 줄 46: | ||
특히, 이 예산은 개발도상국의 특성을 고려하여 기초데이터를 변경할 수 있도록 하여 각 Action별 예산에 자동적으로 반영될 수 있도록 매크로로 계산식으로 심어 넣어서 변경관리가 용이하도록 산출물을 제출하였다. \\ | 특히, 이 예산은 개발도상국의 특성을 고려하여 기초데이터를 변경할 수 있도록 하여 각 Action별 예산에 자동적으로 반영될 수 있도록 매크로로 계산식으로 심어 넣어서 변경관리가 용이하도록 산출물을 제출하였다. \\ | ||
- | **Task-C: Introduction of the International standard and Korean government case** | + | **Task-C: Introduction of the International standard and Korean government case** |
54개의 Action으로 구성된 National Cyber Security Program은 26개 기관이나 관련부처들이 오너쉽을 분담하는 수행 주체가 되기 때문에, 각 Action들을 상세화하는 단계에서 반드시 필요한 것이 international Standard와 한국을 포함한 타 선진국의 사례가 중요한 참고자료가 된다. \\ | 54개의 Action으로 구성된 National Cyber Security Program은 26개 기관이나 관련부처들이 오너쉽을 분담하는 수행 주체가 되기 때문에, 각 Action들을 상세화하는 단계에서 반드시 필요한 것이 international Standard와 한국을 포함한 타 선진국의 사례가 중요한 참고자료가 된다. \\ | ||
따라서 이 Task-C의 목적은 각 action별 International Standard 또는 Model과 한국의 사례와 타 선진국의 사례를 조사하여 매핑하는 것이다. \\ | 따라서 이 Task-C의 목적은 각 action별 International Standard 또는 Model과 한국의 사례와 타 선진국의 사례를 조사하여 매핑하는 것이다. \\ | ||
줄 53: | 줄 53: | ||
이번 프로젝트를 하면서 알게된 웹사이트 중에 하나는 우리나라 법제처 법령조회 웹사이트에 영문버전 법령조회 기능이 있다는 것이었다. (참고: http:// | 이번 프로젝트를 하면서 알게된 웹사이트 중에 하나는 우리나라 법제처 법령조회 웹사이트에 영문버전 법령조회 기능이 있다는 것이었다. (참고: http:// | ||
- | **Task-D: Some improvement suggestions for the current cyber security program** | + | **Task-D: Some improvement suggestions for the current cyber security program** |
몇 년 전부터 ITU를 비롯하여 유럽의 ENISA, NATO CCDCOE 등에서 National Cyber Security Strategy 수립을 위한 가이드가 개발되어 공개되면서, | 몇 년 전부터 ITU를 비롯하여 유럽의 ENISA, NATO CCDCOE 등에서 National Cyber Security Strategy 수립을 위한 가이드가 개발되어 공개되면서, | ||
사실 이런 공개된 표준이나 프로그램 자료들을 잘 활용하면 어렵지 않게 국가 사이버보안 전략을 수립할 수도 있을 정도로 많아 졌다. 아주 쉽게는 유사한 환경에 있는 다른 나라의 국가사이버전략을 그대로 복사해서 자국의 환경에 맞게 수정해서 사용해도 될 정도의 자세한 자료들도 있다. Moldova의 경우에도 이와 같은 방법으로 초기의 National Cyber Security Program을 개발했기 때문에, 혹시라도 누락된 전략이나 Action 있는지 등에 대한 객관적 검토가 필요했다. \\ | 사실 이런 공개된 표준이나 프로그램 자료들을 잘 활용하면 어렵지 않게 국가 사이버보안 전략을 수립할 수도 있을 정도로 많아 졌다. 아주 쉽게는 유사한 환경에 있는 다른 나라의 국가사이버전략을 그대로 복사해서 자국의 환경에 맞게 수정해서 사용해도 될 정도의 자세한 자료들도 있다. Moldova의 경우에도 이와 같은 방법으로 초기의 National Cyber Security Program을 개발했기 때문에, 혹시라도 누락된 전략이나 Action 있는지 등에 대한 객관적 검토가 필요했다. \\ | ||
줄 60: | 줄 60: | ||
특히, 개선방안 중에는 평균 대졸초임이 100불이 조금 넘는 Moldova의 열악한 경제상황을 고려할 때, ITU나 ENISA, NATO CCDCOE와 같은 표준 가이드에서도 언급하고 있지 않은 우리나라의 국내전문가 자격제도인 산업보안기사와 같은 국내 전문가 자격제도와 ISMS, PIMS, PIPL과 같은 인증제도의 도입이 경제성과 효과성을 높다는 것을 강조하였다. \\ | 특히, 개선방안 중에는 평균 대졸초임이 100불이 조금 넘는 Moldova의 열악한 경제상황을 고려할 때, ITU나 ENISA, NATO CCDCOE와 같은 표준 가이드에서도 언급하고 있지 않은 우리나라의 국내전문가 자격제도인 산업보안기사와 같은 국내 전문가 자격제도와 ISMS, PIMS, PIPL과 같은 인증제도의 도입이 경제성과 효과성을 높다는 것을 강조하였다. \\ | ||
- | **Task-X01: Penetration test for Government network, Task-X10: Penetration test for a Critical Information Service** | + | **Task-X01: Penetration test for Government network, Task-X10: Penetration test for a Critical Information Service** |
MTIC 수석차관의 요청으로 몰도바 정부의 네트워크와 Critical Information Security Service에 대한 모의해킹 진단을 수행하여 보안수준이 어떤지 긴급하게 보완해야 하는 취약점은 무엇인지, | MTIC 수석차관의 요청으로 몰도바 정부의 네트워크와 Critical Information Security Service에 대한 모의해킹 진단을 수행하여 보안수준이 어떤지 긴급하게 보완해야 하는 취약점은 무엇인지, | ||
두 차례의 모의해킹 진단결과, | 두 차례의 모의해킹 진단결과, | ||
모의해킹 진단결과에 대한 보호대책은 단기와 장기로 나누어 보호대책을 제시하였으며, | 모의해킹 진단결과에 대한 보호대책은 단기와 장기로 나누어 보호대책을 제시하였으며, | ||
- |