강은성의 보안 아키텍트 | 시급히 갖춰야 할 국가적 침해사고 분석 체계
강은성의 보안 아키텍트 | 시급히 갖춰야 할 국가적 침해사고 분석 체계
1년 좀 넘게 블록체인 스타트업에서 정보보호 최고책임자(CISO)를 한 적이 있다. 입사 전에도 회의에 참석하여 국외 공격 표적이 되었다는 얘기를 들은 터라 입사 직후 관련 PC들을 전문기업에 맡
www.cio.com
- 정보 침해사고 신고 의무
- 정보통신망법 제48조의3에 따라 침해사고 발생 시 24시간 이내 신고 의무 부과
- 신고 내용에는 사고 발생 일시, 원인, 피해 내용, 대응 현황 등이 포함
- 2024년 8월 시행령 개정으로 신고 기준 및 내용 강화
- 침해사고 신고 현황
- 2023년 침해사고 신고율은 8.5%로 2022년 대비 증가 (+2.6%)
- 미신고 이유
- 피해 규모가 경미하다는 인식 (88.1%)
- 신고 절차의 복잡성 및 후속 조치에 대한 부담 (25.1%)
- 피해 복구가 어려울 것이라는 불신 (27.9%)
- 침해사고 분석 체계의 현황과 문제점
- 과기정통부 및 KISA가 침해사고 분석 및 대응 책임을 지지만 전문 역량과 자원 부족
- 국내 침해사고 분석 시장의 부족으로 전문기업의 서비스 제공 어려움
- 침해사고 분석 미흡 시 오염 및 추가 피해 발생 가능
- 국가적 침해사고 분석 체계 구축 방안
- 민간 보안 역량 활용
- 자격 요건을 갖춘 민간 전문기업의 참여 유도
- 전문기업과 피해 기업 간 신뢰 형성을 통해 분석 생태계 구축
- 분석 체계의 제도화
- 침해사고 분석과 대응을 지원하는 관련 법·제도 마련
- 신고 및 분석 프로세스를 간소화하여 기업 참여 유도
- 국제 사례 참고
- 미국의 맨디언트와 같은 세계적 침해사고 분석 기업 활용 사례 학습
- 국내 환경에 적합한 민간·공공 협력 모델 개발
- 민간 보안 역량 활용
- 결론
- 침해사고 분석 체계는 개별 기업의 문제를 넘어 국가적인 보안 역량 강화로 이어져야 함
- 민간과 공공의 협력을 통해 전문성을 갖춘 체계를 구축해야 함
- 사고 발생 후 대응뿐만 아니라 예방과 전반적인 보안 개선을 목표로 한 접근 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| CISA Zero Trust Maturity Model에 대한 새로운 Microsoft 가이드 (1) | 2025.01.03 |
|---|---|
| Windows 레지스트리 모험 #5: regf 파일 형식 (0) | 2025.01.03 |
| Lazarus 그룹, 핵 관련 엔지니어 노린 CookiePlus 백도어 공격 포착 (0) | 2025.01.03 |
| RiseLoader의 기술분석 (0) | 2025.01.03 |
| Cl0p, 클레오(Cleo) 취약점 악용해 데이터 유출 위협 (1) | 2025.01.03 |