RMF(Rist Management Framework)제도와 한국방산업체의 준비자세 (Ansys Medini)

관리자
2024-05-08
조회수 340



사진출처: NIST 홈페이지


1. RMF제도란?

RMF(Risk Management Framework)는 국방 분야에 도입되는 각종 무기체계 기획단계부터 도입, 폐기까지 전 단계에 보안 위험을 관리하는 제도입니다.

미국 국립표준기술연구소(NIST)는 위험식별·평가·완화·모니터링 등 위험관리에 대한 표준 및 절차인 RMF를 규정하였고 미국 군은 모든 무기체계에 RMF를 적용하고 있습니다. 

국방부에서도 지난 4월 12일 '국방 사이버보안 위험관리 지시' 훈령을 제정하고 향후 우리 군의 무기체계 및 전력지원체계 개발시 RMF적용을 의무화할 예정입니다.


2. 왜 RMF가 중요한가요?

- 현대의 첨단 무기체계는 소프트웨어가 차지하는 비중이 크게 늘었으며, 네트워크화됨에 따라 타 체계와 연동되고 디지털화된 정보유통체계와 결헙되어 임무 수행능력을 확장하고 있습니다.

그러나 동시에 보안 취약점이 노출될 가능성도 크게 증가하였고, 취약점이 노출될 경우에 네트워크에 연결된 모든체계에 악영향을 끼칠 가능성이 높습니다. 또한, 러시아-우크라이나, 이스라엘-팔레스타인 전쟁 등 지정학적 불확실성이 높아지면서 무기체계 사이버 보안 강화에 대한 주문이 높습니다. 북한은 전세계를 상대로 방산 첨단기술을 탈취해 무기개발에 악용하고 있습니다. 무기기술 획득을 넘어 한국 방산 기업이 개발한 무기체계에 사이버 위협을 가할 수 있어 조심해야 합니다.


- 미국 정부는 2015년부터 RMF제도를 도입하고 있으며 미국 연방정부 및 연방정부와 계약한 모든 기관에 RMF를 적용하고 있습니다. 미국은 연합작전을 하는 국가에 미국에 준하는 사이버 보안 수준을 요구하기 시작했습니다. 연합작전을 하려면 양쪽 군이 무기체계를 통해 정보를 공유해야 하는데 미국과 연합작전을 하는 국가의 보안 수준이 낮으면 미국까지 위협을 받을 수 있기 때문입니다.

무기체계는 수천억원 규모의 사업인데 검수항목에 RMF적용이 필수가 될 것이기 때문에 미리 대비 하지 않으면 수출에 제동이 걸릴 수 있습니다.


3. RMF의 주요 단계

- 사전검토 (Prepare)

  • 조직의 보안 요구사항을 식별하고 이해 관계자를 파악합니다.
  • 보안 통제와 절차에 대한 준비를 수행합니다.
  • RMF 프로세스를 위한 자원을 할당하고 팀을 구성합니다.

- 위험분석 (Categorize)

  • 시스템 및 네트워크의 보안 위험을 식별하고 분석합니다,
  • 위험을 평가하고 우선순위를 정하며, 보안 취약점을 식별합니다.
  • 위험에 따른 적절한 대응책을 마련합니다.

- 보안 통제 선택 (Selection)

  • 보안 통제를 선택하고 적용하기 위한 적절한 보안 표준과 가이드라인을 고려합니다.
  • 조직의 보안 요구 사항과 위험 분석 결과를 고려하여 보안 통제를 선택합니다.

- 구현 (Implement)

  • 선택된 보안 통제를 시스템에 구현하고 설정합니다.
  • 보안 통제가 효과적으로 시스템에 적용되도록 보장합니다.
  • 보안 통제의 정확성과 완전성을 검증합니다.

- 평가 (Assess)

  • 구현된 보안 통제의 효과를 평가하고 검증합니다.
  • 시스템 및 네트워크의 보안상태를 검토하고 문제점을 해결합니다.

- 인가 (Authorize)

  • 시스템이 보안 요구사항을 충족하고 적절한 수준의 보안을 제공하는지 확인합니다.
  • 시스템 운영을 승인하고 인가합니다.

- 모니터링 (Monitor)

  • 보안 통제의 효과를 지속적으로 모니터링하고 평가합니다.
  • 보안 사건을 탐지하고 대응합니다.
  • 보안 상태의 변경 및 개선을 추적하고 문서화합니다.


4. 한국방산업체의 준비자세 (Ansys Medini)

ANSYS의 MEDINI는 안전 및 신뢰성 분야에서 사용되는 고급 시스템 안전성 분석 및 평가 도구입니다. MEDINI는 시스템 및 소프트웨어의 안전성을 평가하고 개선하기 위한 다양한 기능을 제공합니다. 이 도구는 안전 요구 사항을 준수하고 시스템의 잠재적인 위험을 식별하는 데 사용됩니다.


MEDINI의 기능은 다음과 같습니다:

  1. 시스템 안전 분석: 시스템의 구조적 안전성을 분석하고 잠재적인 위험을 식별하는 기능을 제공합니다. 이를 통해 시스템 설계 단계에서 안전성을 고려할 수 있습니다.
  2. 위험 분석 및 평가: MEDINI는 위험 분석 기법을 사용하여 시스템의 잠재적인 위험을 식별하고 평가합니다. 이를 통해 안전한 시스템을 설계하고 운영할 수 있습니다.
  3. 요구 사항 관리: 안전 요구 사항을 관리하고 추적하는 기능을 제공하여 안전성을 준수하는 데 도움이 됩니다.
  4. 모델링 및 시뮬레이션: MEDINI는 시스템을 모델링하고 시뮬레이션하여 안전성을 평가하는 데 사용됩니다. 이를 통해 시스템의 동작을 이해하고 안전한 설계를 개발할 수 있습니다.
  5. 평가 보고서 생성: 안전성 평가 결과를 문서화하고 보고서를 생성하는 기능을 제공하여 이해 관계자에게 안전성에 대한 정보를 제공합니다.

이러한 기능을 통해 MEDINI는 다양한 산업 분야에서 사용되며, 제품 라이프사이클의 여러 단계에서 안전성을 보장하기 위한 도구로 활용됩니다.


Medini 제품 문의하기>>

https://www.ablemax.co.kr/115