국립표준기술원(NIST)의 사이버 보안

[사무국]

수학·물리·천문분과 · 황선태

  오늘날 개인용 컴퓨터(PC)와 인터넷 (Internet) 사용이 일반화되어 있는 정보화 사회에서 인공지능(AI)기술 경쟁 시대에 진입해 정보통신기술(ICT)은 더욱 발전하고 있는데, 삶의 질을 향상시키고 국가안보를 강화하기 위한 선진화 교육개념으로서 사이버 보안(Cybersecurity) 관련 교육의 중요성은 재론의 여지가 없다. 사이버 보안은 인터넷 공간에서 해킹, 정보 유출, 사이버 테러, 금융 사고 등의 위험으로부터 사용자의 자산 보호를 위해 시행되는 모든 공정의 안보와 연관된다. AI 기술은 악성코드 탐지, 네트워크 보안 및 사용자 인증 등 사이버 보안의 여러 분야에서 사용될 수 있다. 특히, 사이버 보안은 국가안보와도 직결되는 만큼 정보 보안산업의 필요성은 아무리 강조해도 지나치지 않는다.

 이러한 견지에서 국립표준기술원(National Institute of Standards and Technology: NIST)의 사이버 보안에 관하여 검토해 본다. NIST는 미국 산업계, 연방정부 기관과 일반 대중의 요구 사항들을 충족하기 위해서 사이버 보안 표준, 지침, 모범사례 및 기타 각종 자원을 개발한다. 그 활동 중에는 어떤 기관이 즉시 실행할 수 있는 특정 정보를 생성하는 것을 비롯해서 기술 발전과 미래의 도전을 예상하는 장기간 연구에 이르기까지 다양한 프로젝트가 포함된다. 일부 NIST 사이버 보안 할당은 연방법, 행정명령 및 정책에 의하여 정의된다. 예로서, 백악관 예산관리국(OMB)은 모든 연방정부 기관이 NIST의 사이버 보안 표준과 비국가 보안시스템에 대한 지침을 구현할 수 있도록 감독한다. 그와 같은 사이버 보안 활동은 또한 산업과 더 광범위한 일반 대중의 요구에 의해서 주도된다. 여기서, NIST는 우선순위를 결정하고 그들이 직면하고 있는 문제들을 해결할 수 있도록 이해 당사자들과 함께 적극적으로 참여해 상호협력·지원한다. NIST는 또한 개인 정보 위험에 대한 이해를 증진하고 관리개선을 도모하며 그들 중 일부는 사이버 보안과 직접 관련된다. 한편, NIST가 더 집중하게 될 우선순위 영역에는 암호화, 교육 및 인력, 신흥기술, 위험 관리, 신분 확인 및 접근 관리, 개인 정보 보호, 신뢰할 수 있는 네트워크 및 플랫폼 등이 포함된다. 추가 세부 사항은 팩트 시트(Fact Sheet)에서 확인된다. [1,2] 추가로, 두 가지의 사이버 공급망 프로젝트가 소개되었다. 즉, 행정명령 14028은 국가 사이버 및 공급망 사이버 보안 개선을 위한 국가 이니셔티브(Initiative)이다. 이와 연계해서, NIST의 2022년 2월 사이버 보안 정보요청에 대한 응답 요약을 참조할 수 있다. [3] 끝으로, 사이버 보안은 예방과 더불어 대응과 복구가 중요한 구성 요소가 된다는 것을 재확인하는 바이다. (주) OMB: Office of Management and Budget

필자소개
KAIST 원자력공학과 핵공학 박사
KRISS 방사선연구실장(명예연구원)
STEPI 국제과기협력센터 협력위원
US NIST, CNR, 냉중성자 연구위원
IDK, Ltd. Co., AET R&D 자문위원