[Security] Cybersecurity 중요성

다양한 사이버 보안 공격으로 인해 글로벌 사이버 보안 규제의 움직임이 활발하다.

글로벌 사이버 보안 규제를 대응하기 위해서는 제품에 대한 Reasonable Security Feature가 요구된다.

Cybersecurity 규제 동향

EU Cybersecurity Act

사이버 공격에 대한 EU의 대응을 확대하고, 사이버 복원력(Cyber resillience)을 향상시키고, 유럽 단일 시장(Digital single Market)에 대한 신뢰를 높이기 위한 제안으로 시작되었다.

2019년 6월 28일부터 시행되었다.

 

주요 목적

ENISA(European Network Information Security Agency) 강화

• ENISA: 사이버보안에 관한 전문가들로 구성된 기관으로 EU 관련 정책을 총괄 지원하고 자문하는 역할을 수행
• 유럽 연합 보안 전문 기관인 ENISA에 대한 영구 기관화
• 향후 ENISA는 유럽 연합 사이버 보안국(European Union Agency for Cybersecurity)로 변경, 권한이 강화됨

EU 사이버 보안 인증 프레임워크(EU cybersecurity Union Agency for Cybersecurity) 수립

• 유럽 사이버 보안 인증 체계를 수립하고 이러한 인증 체계에 따라 평가된 ICT 제품, 프로세스 및 서비스가 지정된 보안 요구 사항을 준수함을 증명하는 매커니즘을 정의
• 인증 체계를 설계하는 방법에 대한 지침을 제공
• ENISA는 인증 Framework인 EUCC(Common Criteria based European candidate cybersecurity certification)에 대한 candidate 계획을 발표

※ 각 회원국은 추후 인증제 위반 건에 대한 패널티를 제정할 것으로 예상됨

 

California Informatio Privacy: connected devices

시행일: 2020년 1월 1일

캘리포니아 주에서 판매용으로 제조된 connected devices  제조업체 대상

Connected device의 제조업체는 기기에 다음과 같은 resonable security feature를 갖추어야 한다

• 장치의 특성(nature) 및 기능(function)에 적합하다.
• 수집, 포함(contain) 또는 전송할수 있는 정보에 적합하다.
• 허가받지 않은 접근, 파괴, 사용, 수정 또는 공개로부터 장치 및 모든 정보가 보호되도록 설계되어야 한다.

 

[Reasonable] 사이버 보안 규제의 모호함

사이버 보안에 대한 규제나 인증은 가이드만 있을 뿐 정답이 존재하지 않는다.

예) 캘리포니아 사이버 보안 법안은 IoT 제품이 Resasonable Security Feature를 가져야 한다고 말하고 있다.

Resaonable은 "누구나 타탕하다고 생각하는", "누구라도 불충분하다고 이야기 할 수 없는"을 의미한다.

--> 현존하는 최선의 보안 솔루션을 적용해야 한다.

 

Reasonable Security Feature

최선의 보안 솔루션 적용은

Cyber Security Engineering을 통해 먼저 자산과 위협을 식별하고 그에 합당한 최선의 보안 요구사항과 완화 방안을 찾아내야 한다.

Reasonable Security Feature 도출 기법: Cybersecurity Engineering 기반 보안 요구사항 분석