진회승, 심미나, 양민호

연구17-009_소프트웨어안전 정보공유체계에 관한 연구 (다운로드 : 43회)

A Study on software safety information sharing system - Focusing on overseas cases

■ 목차

제1장 서 론
    제1절 연구 배경 및 필요성
    제2절 연구 목적
    제3절 연구 내용
    제4절 연구 방법 및 범위

제2장 이론적 배경
    제1절 SW안전
        1. SW안전의 정의
        2. SW안전의 범위 및 유형 분류
    제2절 SW안전 정보공유체계
        1. 정보공유체계의 정의 및 유형
        2. SW안전 정보공유체계의 의의

제3장 미국 사례 연구
    제1절 미국의 주요기반시설 보호 및 정보공유에 대한 법적근거 및 배경
    제2절 분야별 정보공유체계 현황
        1. 일반 SW안전 부문
        2. 정보통신 부문 : INFORMATION TECHNOLOGY ISAC
        3. 항공 부문 : AVIATION ISAC
        4. 의료 부문 : NATIONAL HEALTH ISAC
        5. 자동차 부문 : AUTOMOTIVE ISAC
        6. 기타 부문
    제3절 정보 공유 표준
        1. 미국 TAXII/STIX
        2. 미국 TLP (Traffic Light Protocol)
    제4절 요약

제4장 일본 사례 연구
    제1절 일본의 주요기반시설 보호 및 정보공유에 대한 법적 근거 및 배경
    제2절 분야별 정보공유체계 현황
        2. 통신 부문 : Telecom ISAC
        3. 통신부문 확장 : COMMUNICATIONS ISAC
        4. 금융 부문 : 금융 ISAC
        5. 전력 부문 : 전력 ISAC
        6. 자동차 부문 : Auto ISAC
    제3절 요약

제5장 국내 정보공유체계 현황 및 문제점
    제1절 정보공유 체계 개요 및 법적 근거
    제2절 분야별 정보공유체계
        1. 정보통신 ISAC(Information Sharing and Analysis Centers)
        2. C-TAS(Cyber Threats Analysis & Sharing System)
    제3절 문제점

제6장 정보공유체계 활성화 정책 및 시사점
    제1절 정보공유 활성화 정책
        1. 국외 정보공유체계 활성화 정책 및 사례
        2. 국내 정보공유체계 활성화 정책 및 사례
    제2절 시사점

제7장 정책방향 제안 및 결론
    제1절 정책방향
    제2절 결론

■ 요약문

1. 제 목

  소프트웨어안전 정보공유체계에 관한 연구 - 해외 사례중심으로

2. 연구 목적 및 필요성

  본 연구는 SW안전 확보와 신속한 사고대응을 위한 SW안전 정보공유 플랫폼 구축이 요구됨에 따라 국내외 정보공유분석센터(ISAC, Information Sharing & Analysis Center)의 현황 및 체계를 면밀히 조사하여 SW안전 정보공유 체계 구축 및 활성화 정책 기초 자료로 활용하는데 주요 목적이 있다.

  크고 작은 SW안전 사고사례가 빈번하게 발생하고 있으나, 이에 대한 분석 및 대응조치에 대한 보고서는 공개 또는 공유 되지 않는 상황이며 SW안전사고의 대부분은 SW가 가지는 본질적인 문제에서 기인하나, 산업 도메인별로 전담기관 등이 구분되어 있고 소관 부처가 별도로 지정되어 있어 그 결과의 공유가 어려운 실정이다. 이로 인해 SW안전사고와 관련한 해결과제 등을 연구하는 데 중복적 투자가 발생하고, 이는 예산 낭비로 이어질 뿐만 아니라, 효과적인 사고대응에 실패하는 결과를 초래 할 수 있다. 따라서 SW안전 확보와 신속한 사고대응을 위한 SW안전 정보공유 플랫폼 구축이 요구되며, 이를 체계적으로 정착시킬 수 있는 정책적 연구가 필요하다.

3. 연구의 구성 및 범위

  해외 주요국의 도메인별 정보공유체계 현황을 분석하고, 국내 정보통신 분야의 정보공유체계를 조사하고 문제점을 도출한다. 이를 위해 세부적으로 해외 분야별 공유체계 분석, ISAC의 체계, 정보공유 현황, 정보공유 기술, 구성원들의 참여 요인 요소, 운영상의 주요 이슈 등을 조사하였다. 주요 분석대상은 협의를 통해 미국과 일본의 8개를 선정하였다. 미국은 항공, 의료, 자동차, 정보기술 분야의 4개 ISAC이며, 일본은 통신 2분야, 금융, 전력 분야의 4개 ISAC이 대상이다. 국내 정보통신 분야 정보공유 체계를 분석하고 문제점을 도출한다.

  정보공유체계 활성화 방안을 조사하고 시사점을 도출한다. 마지막으로 조사·분석한 결과를 바탕으로 정보공유체계 구축 및 활성화 정책 방향을 도출한다.

4. 연구 내용 및 결과

  미국 산업도메인별 정보공유체계 현황을 조사한 결과, 미국의 산업도메인 중 통신, 항공, 의료, 자동차 부문은 ISAC을 운영하고 있는 대표적인 산업으로 잘 알려져 있다. 미국은 테러방지를 위해 국가안보차원에서 일찌감치 국토안보법에 근거한 국가기반보호계획의 법제화를 추진하고 이를 통해 본격적으로 중요기반보호를 위한 행정명령(PDD-63)과 국토안보행정명령(HSPD-7) 등을 통해 보호활동을 추진하고 있다. 그일환으로 정보공유체계를 설립하고 운영하고 있다고 할 수 있다.

  산업 분야 중 통신 부문의 IT-ISAC은 정부 기관과 파트너십을 갖는 비영리 조직으로 독자적으로 Threat Intelligence Platform을 구축하고 멤버쉽 등급에 따라 공유 정보 및 참여 정보를 공유한다는 특징이 있으며, 특히 다른 ISAC과 차별되는 다양한 Special Interest Groups을 운영한다. 항공 부문의 A-ISAC은 정부 파트너가 참여하는 비영리 기구로 항공 산업에 대한 사이버 위협 정보를 공유한다. A-ISAC은 공유 데이터 분석 그룹(Analyst Working Group)을 운영하며 정보공유를 위한 다양한 방식을 제공하는데, 특히 정보 공유 기술로서 TLP 표준기술을 사용함으로써 멤버 등급에 따른 차별화된 서비스를 제공한다는 특징이 있다. 의료 부문의 NH-ISAC은 보건 부문에 대한 사이버 보안 보호 및 사이버 위협을 대비하기 위한 것으로 정보 공유를 위한 커뮤니티 및 포럼을 제공하는데 특히 CYBERFIT® 보안 서비스 그룹을 제공한다. 또한 다른 ISAC가 차별화되는 독자적인 기술로 AIS(Automated Intelligence Sharing)를 사용하며 Tier에 따라서 서비스를 제공한다. 점차 중요성이 커지는 자동차 부문의 Auto-ISAC은 차량 사이버 보안 위험에 대한 정보를 공유한다. Auto-ISAC은 정보공유를 위한 커뮤니티를 제공하며 모범사례 개발을 위해 워킹 그룹을 운영하고 있다. 북미 지역의 모든 경량 차량의 99%가 Auto-ISAC의 회원일 뿐만 아니라 우리나라를 포함한 자동차 회사들이 Auto-ISAC에 회원으로 가입하고 있다는 점에서 Auto-ISAC이 의미하는 바가 크다.

  일본 산업도메인별 정보공유체계 현황을 조사한 결과, 일본은 2000년 e-Japan 구상에 따라 IT기본법을 통해 정보통신기반시설 보호정책을 추진해오고 있으며 그 일환으로 정보공유체계를 구축하고 있다. 2005년 내각관방 산하에 내각 사이버보안센터를 신설하고 정책협의회를 설치하여 본격적인 활동을 시작하였는데 2006년 책정된 제1차 사이버보안 기본계획을 통해 주요 기반의 IT장애에 대해 분야를 초월한 횡단적 보호를 표명하며 세부 목표 중 하나로 주요기반 분야의 정보공유분석기능인 셉터(CEPTOAR)를 정비하고 주요기반 연락협의회(CEPTOAR-Council) 창설을 촉진함으로써 정보공유분석기능 측면의 중대한 시발점이 되었다. 이를 시작으로 매년 정보공유 정책을 강화해가고 있으며 중요 분야의 경우는 셉터를 체계적 조직으로 구성한 ISAC을 설립하여 운영하도록 하고 있다. 2010년부터는 미국의 행정명령에 자극을 받아 민간 거버넌스를 강조한 전략을 발표하고 스마트시티, ITS를 비롯한 교통통제시스템 등의 새로운 분야까지를 포함한 구체적인 안전대책과 정보공유체제의 심화, 확충을 요구하고 있다. 또한 민관학연 등 관련 주체의 능력을 강화하고 상호협력 할 것을 강조하면서 총무성이나 경제산업성과의 구체적인 정보공유가 논의되고 있다. 일본은 산업도메인 전반에 CEPTOAR 기능을 갖추고 있는데 이들 중 특히 통신, 금융, 전력 부문은 ISAC 형태의 정보공유체계를 갖춘 대표적인 산업으로 알려져 있다.

  우선 통신 부문의 텔레콤 ISAC (Telecom-ISAC)은 회원 간의 협업을 최고의 목표로 11개의 워킹그룹과 1개의 스페셜 인터레스트 그룹을 통하여 통신 분야의 사이버 위협에 대응하는 정보를 교환하며 피해를 최소화하는데 그 역할과 책임을 다하고 있다. 또한, 세부 워킹그룹을 통하여 기업 간 정보공유 체계를 이루고 있으며 기업과 기관간의 협업을 통해 정보공유를 활성화시키고 있다는 점에서 의미가 있다. 통신부문의 ICT-ISAC은 ICT 분야 전반의 총체적 보안 확보에 기여하기 위해 ISP 사업자뿐만 아니라 방송 사업자, 소프트웨어 벤더, 정보 관련 기기 제조 사업자 등 다양한 분야로 확대하여 포괄되는 사업자들과 함께 활동하고 있다. 즉, 다양한 기업 및 단체와 협력하여 조직된 ISAC으로 정보공유 범위를 넓혔다는데 그 의의가 있다. 금융 부문의 금융ISAC (F-ISAC)은 미국의 금융 ISAC을 모델로 하여 조직 및 운영체계 면에서 매우 흡사하며 일본의 여러 ISAC 중에서 가장 완성도가 높은 조직이다. 또한 정회원과 준회원, 찬조회원 및 제휴회원 간의 정보 제공 범위에 차이를 두어 등급에 따라 양질의 정보를 제공함으로써 안전에 관한 정보를 제공함에 있어 신뢰를 갖고 있다. 전력 ISAC은 2017년 발족하였기 때문에 조직 및 운영체계 측면에서 아직 미흡하다. 향후 다른 ISAC을 참조하여 운영될 것으로 예상된다.

  국내 정보통신 분야의 정보공유체계를 조사한 결과, 우리나라의 ISAC은 주요 정보통신기반 보호를 위한 분야별 근거 법률 체계를 기반으로 하여 통신, 금융, 행정 ISAC 등을 구축, 운영하고 있으며 특히 정보통신ISAC은 2002년에 설립되어 민간과 정부 이원의 재원을 통해 운영되고 있다. 기술적 지원을 명시한 정보공유분석센터 구축 운영으로는 정보공유 활성화의 한계가 있다고 분석되고 있어 최근에는 기술적 지원뿐만 아니라 재정적 지원을 법제화하는 움직임이 활발히 진행되고 있다.

  정보통신ISAC은 한국정보통신진흥협회가 운영하는 조직으로 기반시설 정보보호, 취약점 분석평가, ISMS인증 업무를 수행함과 동시에 민간차원의 협의회를 운영함으로써 관련 사업자의 사이버차원의 예방활동을 강화 노력을 기울이며 지속적으로 회원가입을 권고하고 지원을 확대하고 있다. 이와 같이 기관을 중심으로 정보를 공유하는 상하체계와 협의회를 중심으로 관련 사업자간 정보를 공유하는 이원적 체계를 갖추고 있다. 또한 국내 ISAC 기반을 위하여 C-TAS 플랫폼을 개발하고 활성화 정책을 펴고 있다. 사이버 위협정보를 체계적으로 수집해 관계기관 간 자동화된 정보공유를 수행하는 예방 및 대응 시스템을 규격화한 것으로 정보수집, 종합분석, 정보공유의 3단계로 각종 위협정보를 실시간으로 외부 기관에 전파하고 양방향 정보공유 방식으로 이해관계자간 신속한 대응 활동이 가능하도록 해준다. 한국인터넷진흥원이 운영하고 있는 C-TAS의 다양한 활용사례는 매년 증가하고 있으며 분기별로 워크샵이나 세미나를 통해 회원사에 제공되고 있다.

  국내 SW안전 정보공유체계 구축 및 활성화의 문제점은 다음과 같이 세 가지로 압축하였다. 첫째 국내는 정보공유의 필요성보다는 부작용에 대한 인식이 강하다. 둘째 국내 SW안전 분야의 정보공유는 SW안전 표준이나 사고예방을 위한 관련 사고사례 정보공유 등 부분적인 정보공유에 그치는 경우가 많다. 셋째 국내의 경우 미국이나 일본에 비해 분야별 정보공유체계(ISAC)가 다소 미약하다.

  이러한 문제점 해결을 위하여 그간의 정보공유 활성화 정책 및 사례를 조사하였다. 미국의 사이버보안 강화를 위한 인센티브 정책에 대해 조사하였으며, 국내의 정보통신기술, 의료, 행정 분야의 정보공유를 위한 정책을 분석하였다. 재정지원을 통한 기업의 부담 해소와 자발적 참여에 대한 검토 필요, 정부의 의지와 자발적 참여사이의 균형 유지, 국내에서 효율성, 효과성 면에서 강조되는 책임의 경감 및 책임 한정, 법적 베네핏 정책을 통한 정보공유 활성화 추진의 시사점이 도출되었다.

  미국과 일본의 현황 분석 결과, 크게 세 가지 정책 방향을 도출하였다.

  첫째 SW안전 공유체계에 대한 인식개선이다. 정보공유 정책을 수행하는데 정보 유출에 대한 우려가 가장 큰 저해요인이 되기 때문에, 정보공유로 인한 피해보다는 정보공유에 대한 필요성 및 활용성을 강조하고 정보 유출에 대한 의심을 해소할 수 있는 방안 마련이 필요하다.

  둘째 SW안전 관련 정보수집 추진 및 시스템 구축이다. 정보공유 서비스 그룹 또는 프로그램 운영을 통해 정보 수집을 확대하고, 정보 공유 표준규격을 통한 광범위한 정보공유를 실현한다.

  셋째 정보공유 활성화를 위한 방안 마련이다. 체계적인 정보공유체계의 마련보다는 초기에는 기능 중심 조직을 마련한다. 자발적 참여를 위한 인센티브 정책을 마련하며, 정보 공유 사례의 발굴 및 적용이 필요하다.

5. 정책적 활용 및 기대효과

  서론에서처럼 SW안전사고는 본질적인 문제에 기인하지만 산업도메인별로 소관기관이 명확하지 않고 그 결과의 공유가 어렵다. 따라서 해결과제를 연구하거나 관리하는데 예산 낭비나 효과성 문제가 제기되고 있다. 이와 같은 실정에서 국내외 정보공유분석센터(ISAC) 현황 및 체계를 조사하는 것은 그 자체로 유의미할 뿐만 아니라 SW안전 정보공유 체계의 도입 검토 시 ISAC 구축이나 활성화 정책을 위해 필수불가결한 기초 자료로 활용될 가능성이 매우 크다.

  국내 정보공유체계의 문제점을 발견하고, 정보공유 활성화를 위한 해외 인센티브 정책을 벤치마킹하여, 제시한 정책방향은 국내 SW안전 정보공유체계 마련에 기여할것으로 기대한다.

■ Contents

Chapter 1. Introduction
Chapter 2. Overview of Information Sharing System on Software Safety
Chapter 3. Information Sharing System in US Industry Domain
Chapter 4. Information Sharing System in Japan Industry Domain
Chapter 5. Current State and Problems of Information Sharing System in Domestic Industry Domain
Chapter 6. Activation Policy and implication of Information Sharing System
Chapter 7. Direction of Policy

■ Summary

  The purpose of this study is to investigate the current situation of ISAC in Korea and abroad and, to utilize them as a basic data of the policy. First, we analyze the ISAC status of major foreign countries. Second, we survey the ISAC in the field of information and telecommunication in Korea. Third, we derive implications for the establishment of SW-ISAC. The four major ISACs (aerospace, medical, automotive and information technology) in US and four ISACs (communication, finance, and power) sectors in Japan are the main targets. Finally, Based on the results of the research and analysis, we draw up a policy direction for establishing and promoting an information sharing system.

  The United States operates ISAC in communications, aerospace, medical, and automotive applications. In the aspect of national security, the government is promoting the legalization of the national infrastructure protection plan based on the Homeland Security Law. The United States are actively working on PDD-63 and HSPD-7 for critical infrastructure protection and are operating ISAC in earnest. Japan will promote information and communication infrastructure protection policies through IT Basic Law. As part of that, Japan are building an information sharing system. In 2006, the first cyber security basic plan was to improve the information sharing analysis function(CEPTOAR) and promote the creation of the CEPTOAR-Council. An important area is the establishment of ISAC, which systematizes CEPTOAR.

  Domestic ISAC operates communications, finance, and administrative ISAC based on the sectoral legal system to protect the major information and communication infrastructure. In particular, IT-ISAC was established in 2002 and operated by private and governmental sources. Technical support alone limits the activation of information sharing. In recent years, legislation has been underway to provide financial support as well as technical support.

  As a result of analyzing the situation of the United States and Japan, three policy directions were derived.

  The first is to improve awareness of the SW safety sharing system. Since the concern about information leakage is the biggest obstacle to carrying out the information sharing policy, it is necessary to emphasize the necessity and utility of information sharing rather than damage caused by information sharing.

  The second is the collection and implementation of SW safety-related information. We expand information collection through information sharing service group or program operation, and realize broad information sharing through information sharing standards.

  Third, there is a plan for revitalizing information sharing. In the beginning, the government forms a function oriented organization rather than a systematic information sharing system. Incentive policy for voluntary participation about information sharing should be established, and information sharing cases should be identified and applied.

  Surveys of domestic and international ISAC status are meaningful. And it will be the essential basic data when introducing SW safety ISAC. It is expected that the policy direction as a result of finding out the problems of the domestic information sharing system and benchmarking the overseas incentive policy for information sharing promotion, will contribute to the establishment of the SW safety information sharing system.

 

소프트웨어안전 정보공유