NIST Cybersecurity Framework (CSF) 2.0
개요
| 항목 |
내용 |
| 정식 명칭 |
NIST Cybersecurity Framework 2.0 (CSWP 29) |
| 발행일 |
2024년 2월 26일 |
| 이전 버전 |
CSF 1.1 (2018년 4월) |
| 대상 |
모든 조직 (규모·업종 불문, CSF 2.0부터 연방기관 한정이 아닌 범용으로 확대) |
| 원문 |
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf |
| 공식 사이트 |
https://www.nist.gov/cyberframework |
CSF는 조직이 사이버보안 리스크를 이해하고, 줄이고, 소통하기 위한 프레임워크입니다. 규범적 통제 목록이 아닌, 목표 기반(outcome-based) 접근을 제공합니다.
CSF 2.0의 주요 변경점 (vs 1.1)
| 변경 사항 |
설명 |
| Govern 기능 신설 |
사이버보안 거버넌스를 독립 Function으로 격상. 기존 5개 → 6개 Function |
| 범용 대상으로 확대 |
"연방기관 및 핵심 인프라" → "모든 규모, 모든 업종의 조직" |
| 공급망 리스크 관리 강화 |
GV.SC로 독립 Category화 (기존 ID.SC에서 이동) |
| Category/Subcategory 재구성 |
1.1의 23 Categories → 2.0의 22 Categories, Subcategories 전면 재편 |
| Community Profile 도입 |
특정 업종/사용 사례에 맞는 공유 가능한 CSF Profile 개념 추가 |
| Informative References 확장 |
SP 800-53, ISO 27001 등 외부 참조와의 매핑 체계 강화 |
핵심 구성 요소
CSF 2.0은 세 가지 핵심 요소로 구성됩니다:
1. CSF Core
6개 Function → 22개 Category → 106개 Subcategory로 이루어진 사이버보안 성과(outcome) 체계입니다.
2. CSF Profile
CSF Core의 성과 항목에 조직의 상태를 매핑한 것입니다. 두 종류가 있습니다:
Organizational Profile (개별 조직용)
- Current Profile: 현재 달성하고 있는 성과
- Target Profile: 달성하고자 하는 목표 성과
- 두 Profile을 비교하는 Gap Analysis를 통해 개선 우선순위를 도출합니다.
Community Profile (업종/사용 사례 공유용, CSF 2.0에서 신설)
- 특정 업종(예: 금융, 의료)이나 사용 사례에 맞게 작성된 공유 가능한 기준선
- 조직이 자체 Organizational Profile을 만들 때 출발점으로 활용할 수 있습니다.
3. CSF Tiers (Tier 1~4)
조직의 사이버보안 리스크 관리 접근 수준을 특징화합니다. 성숙도 모델이 아닙니다 — 모든 조직이 Tier 4를 목표로 할 필요는 없으며, 조직의 리스크 환경에 맞는 Tier를 선택합니다.
| Tier |
명칭 |
특징 |
| Tier 1 |
Partial |
리스크 관리가 비공식적이고 임기응변적 |
| Tier 2 |
Risk Informed |
리스크를 인식하지만 조직 전체에 일관된 정책이 없음 |
| Tier 3 |
Repeatable |
공식적인 정책이 있고 정기적으로 검토됨 |
| Tier 4 |
Adaptive |
리스크 관리가 지속적으로 학습하고 적응하는 문화로 정착 |
CSF Core 전체 구조
한눈에 보기
| Function |
코드 |
설명 |
Categories |
Subcategories |
| Govern |
GV |
조직의 사이버보안 리스크 관리 전략, 기대치, 정책을 수립·소통·모니터링 |
6개 |
31개 |
| Identify |
ID |
조직의 현재 사이버보안 리스크를 이해 |
3개 |
21개 |
| Protect |
PR |
사이버보안 리스크를 관리하기 위한 보호조치를 적용 |
5개 |
22개 |
| Detect |
DE |
사이버보안 공격과 침해를 탐지·분석 |
2개 |
11개 |
| Respond |
RS |
탐지된 사이버보안 사고에 대응 |
4개 |
13개 |
| Recover |
RC |
사이버보안 사고로 영향받은 자산과 운영을 복구 |
2개 |
8개 |
|
|
합계 |
22개 |
106개 |
아래 각 Function을 클릭하면 Category 및 Subcategory 전체 목록을 확인할 수 있습니다.
Subcategory 번호에 갭이 있는 경우(예: PR.DS-02 다음에 PR.DS-10)가 있습니다. 이는 CSF 1.1에서 2.0으로 재구성되면서 일부 항목이 통합·이동·삭제된 결과이며, 누락이 아닙니다.
GV — Govern (거버넌스)
조직의 사이버보안 리스크 관리 전략, 기대치, 정책을 수립하고 소통하며 모니터링합니다.
GV.OC — Organizational Context (조직 맥락)
| ID |
성과 |
| GV.OC-01 |
조직의 미션이 이해되고 사이버보안 리스크 관리에 반영된다 |
| GV.OC-02 |
내부/외부 이해관계자와 그들의 사이버보안 리스크 관리에 대한 요구 및 기대가 파악되고 고려된다 |
| GV.OC-03 |
사이버보안 관련 법적·규제·계약 요구사항(프라이버시·시민 자유 의무 포함)이 이해되고 관리된다 |
| GV.OC-04 |
외부 이해관계자가 의존하거나 기대하는 핵심 목표, 역량, 서비스가 이해되고 소통된다 |
| GV.OC-05 |
조직이 의존하는 성과, 역량, 서비스가 이해되고 소통된다 |
GV.RM — Risk Management Strategy (리스크 관리 전략)
| ID |
성과 |
| GV.RM-01 |
리스크 관리 목표가 수립되고 조직 이해관계자의 합의를 받는다 |
| GV.RM-02 |
리스크 허용범위(appetite) 및 허용수준(tolerance) 선언이 수립·소통·유지된다 |
| GV.RM-03 |
사이버보안 리스크 관리 활동과 결과가 전사 리스크 관리 프로세스에 포함된다 |
| GV.RM-04 |
적절한 리스크 대응 옵션을 설명하는 전략 방향이 수립되고 소통된다 |
| GV.RM-05 |
공급자 및 제3자 리스크를 포함한 사이버보안 리스크에 대한 조직 내 소통 채널이 수립된다 |
| GV.RM-06 |
사이버보안 리스크를 산정·문서화·범주화·우선순위화하는 표준화된 방법이 수립되고 소통된다 |
| GV.RM-07 |
전략적 기회(즉, 긍정적 리스크)가 파악되고 조직의 사이버보안 리스크 논의에 포함된다 |
GV.RR — Roles, Responsibilities, and Authorities (역할·책임·권한)
| ID |
성과 |
| GV.RR-01 |
조직 리더십이 사이버보안 리스크에 대해 책임을 지며, 리스크 인식적이고 윤리적이며 지속적으로 개선하는 문화를 조성한다 |
| GV.RR-02 |
사이버보안 리스크 관리와 관련된 역할, 책임, 권한이 수립·소통·이해·집행된다 |
| GV.RR-03 |
사이버보안 리스크 전략, 역할, 책임, 정책에 상응하는 적절한 자원이 배분된다 |
| GV.RR-04 |
사이버보안이 인사 관행에 포함된다 |
GV.PO — Policy (정책)
| ID |
성과 |
| GV.PO-01 |
사이버보안 리스크를 관리하기 위한 정책이 조직 맥락, 사이버보안 전략, 우선순위에 기반하여 수립·소통·집행된다 |
| GV.PO-02 |
사이버보안 리스크 관리 정책이 요구사항, 위협, 기술, 조직 미션의 변화를 반영하여 검토·갱신·소통·집행된다 |
GV.OV — Oversight (감독)
| ID |
성과 |
| GV.OV-01 |
사이버보안 리스크 관리 전략 결과가 전략과 방향의 정보 제공 및 조정을 위해 검토된다 |
| GV.OV-02 |
사이버보안 리스크 관리 전략이 조직 요구사항과 리스크를 커버하도록 검토·조정된다 |
| GV.OV-03 |
조직의 사이버보안 리스크 관리 성과가 평가되고 필요한 조정을 위해 검토된다 |
GV.SC — Cybersecurity Supply Chain Risk Management (공급망 리스크 관리)
| ID |
성과 |
| GV.SC-01 |
사이버보안 공급망 리스크 관리 프로그램, 전략, 목표, 정책, 프로세스가 수립되고 조직 이해관계자의 합의를 받는다 |
| GV.SC-02 |
공급자, 고객, 파트너에 대한 사이버보안 역할과 책임이 수립·소통되며 내외부적으로 조율된다 |
| GV.SC-03 |
사이버보안 공급망 리스크 관리가 사이버보안 및 전사 리스크 관리, 리스크 평가, 개선 프로세스에 통합된다 |
| GV.SC-04 |
공급자가 파악되고 중요도에 따라 우선순위가 매겨진다 |
| GV.SC-05 |
공급망의 사이버보안 리스크를 해결하기 위한 요구사항이 수립·우선순위화되고, 공급자 및 관련 제3자와의 계약에 통합된다 |
| GV.SC-06 |
공식 공급자 또는 제3자 관계를 맺기 전에 리스크를 줄이기 위한 계획과 실사가 수행된다 |
| GV.SC-07 |
공급자, 그들의 제품/서비스 및 제3자가 초래하는 리스크가 관계 기간 동안 이해·기록·우선순위화·평가·대응·모니터링된다 |
| GV.SC-08 |
관련 공급자 및 제3자가 사고 계획, 대응, 복구 활동에 포함된다 |
| GV.SC-09 |
공급망 보안 관행이 사이버보안 및 전사 리스크 관리 프로그램에 통합되고, 기술 제품/서비스 생명주기 전반에 걸쳐 성과가 모니터링된다 |
| GV.SC-10 |
사이버보안 공급망 리스크 관리 계획이 파트너십이나 서비스 계약 종료 후의 활동에 대한 조항을 포함한다 |
ID — Identify (식별)
조직의 현재 사이버보안 리스크를 이해합니다.
ID.AM — Asset Management (자산 관리)
| ID |
성과 |
| ID.AM-01 |
조직이 관리하는 하드웨어 인벤토리가 유지된다 |
| ID.AM-02 |
조직이 관리하는 소프트웨어, 서비스, 시스템 인벤토리가 유지된다 |
| ID.AM-03 |
조직의 인가된 네트워크 통신 및 내부/외부 네트워크 데이터 흐름의 표현이 유지된다 |
| ID.AM-04 |
공급자가 제공하는 서비스 인벤토리가 유지된다 |
| ID.AM-05 |
자산이 분류, 중요도, 자원, 미션 영향에 따라 우선순위가 매겨진다 |
| ID.AM-07 |
지정된 데이터 유형에 대한 데이터 인벤토리와 해당 메타데이터가 유지된다 |
| ID.AM-08 |
시스템, 하드웨어, 소프트웨어, 서비스, 데이터가 생명주기 전반에 걸쳐 관리된다 |
ID.RA — Risk Assessment (리스크 평가)
| ID |
성과 |
| ID.RA-01 |
자산의 취약점이 식별·검증·기록된다 |
| ID.RA-02 |
사이버 위협 인텔리전스가 정보 공유 포럼과 소스로부터 수신된다 |
| ID.RA-03 |
조직에 대한 내부/외부 위협이 식별되고 기록된다 |
| ID.RA-04 |
위협이 취약점을 악용할 잠재적 영향과 가능성이 식별되고 기록된다 |
| ID.RA-05 |
위협, 취약점, 가능성, 영향이 내재 리스크를 이해하고 리스크 대응 우선순위를 결정하는 데 사용된다 |
| ID.RA-06 |
리스크 대응이 선택·우선순위화·계획·추적·소통된다 |
| ID.RA-07 |
변경과 예외가 관리되고, 리스크 영향이 평가·기록·추적된다 |
| ID.RA-08 |
취약점 공개를 수신·분석·대응하는 프로세스가 수립된다 |
| ID.RA-09 |
하드웨어 및 소프트웨어의 진정성과 무결성이 취득·사용 전에 평가된다 |
| ID.RA-10 |
핵심 공급자가 취득 전에 평가된다 |
ID.IM — Improvement (개선)
| ID |
성과 |
| ID.IM-01 |
평가로부터 개선 사항이 식별된다 |
| ID.IM-02 |
공급자 및 관련 제3자와의 협력을 포함한 보안 테스트·훈련으로부터 개선 사항이 식별된다 |
| ID.IM-03 |
운영 프로세스, 절차, 활동의 실행으로부터 개선 사항이 식별된다 |
| ID.IM-04 |
운영에 영향을 미치는 사고 대응 계획 및 기타 사이버보안 계획이 수립·소통·유지·개선된다 |
PR — Protect (보호)
사이버보안 리스크를 관리하기 위한 보호조치를 적용합니다.
PR.AA — Identity Management, Authentication, and Access Control (식별·인증·접근제어)
| ID |
성과 |
| PR.AA-01 |
인가된 사용자, 서비스, 하드웨어에 대한 식별 정보와 자격증명이 조직에 의해 관리된다 |
| PR.AA-02 |
식별 정보가 상호작용 맥락에 따라 확인(proofing)되고 자격증명에 바인딩된다 |
| PR.AA-03 |
사용자, 서비스, 하드웨어가 인증된다 |
| PR.AA-04 |
식별 정보 단언(identity assertion)이 보호·전달·검증된다 |
| PR.AA-05 |
접근 권한, 자격, 인가가 정책에 정의되고, 최소 권한 및 직무 분리 원칙을 통합하여 관리·집행·검토된다 |
| PR.AA-06 |
자산에 대한 물리적 접근이 리스크에 상응하게 관리·모니터링·집행된다 |
PR.AT — Awareness and Training (인식 및 교육)
| ID |
성과 |
| PR.AT-01 |
직원에게 사이버보안 리스크를 고려하여 일반 업무를 수행할 수 있는 지식과 기술을 갖추도록 인식 및 교육이 제공된다 |
| PR.AT-02 |
전문 역할을 수행하는 개인에게 사이버보안 리스크를 고려하여 관련 업무를 수행할 수 있는 지식과 기술을 갖추도록 인식 및 교육이 제공된다 |
PR.DS — Data Security (데이터 보안)
| ID |
성과 |
| PR.DS-01 |
저장 데이터(data-at-rest)의 기밀성, 무결성, 가용성이 보호된다 |
| PR.DS-02 |
전송 데이터(data-in-transit)의 기밀성, 무결성, 가용성이 보호된다 |
| PR.DS-10 |
사용 중 데이터(data-in-use)의 기밀성, 무결성, 가용성이 보호된다 |
| PR.DS-11 |
데이터 백업이 생성·보호·유지·테스트된다 |
| ID |
성과 |
| PR.PS-01 |
구성 관리 관행이 수립되고 적용된다 |
| PR.PS-02 |
소프트웨어가 리스크에 상응하게 유지·교체·제거된다 |
| PR.PS-03 |
하드웨어가 리스크에 상응하게 유지·교체·제거된다 |
| PR.PS-04 |
로그 기록이 생성되고 지속적 모니터링에 활용 가능하게 된다 |
| PR.PS-05 |
비인가 소프트웨어의 설치 및 실행이 방지된다 |
| PR.PS-06 |
안전한 소프트웨어 개발 관행이 통합되고, 소프트웨어 개발 생명주기 전반에 걸쳐 성과가 모니터링된다 |
PR.IR — Technology Infrastructure Resilience (기술 인프라 복원력)
| ID |
성과 |
| PR.IR-01 |
네트워크 및 환경이 비인가 논리적 접근과 사용으로부터 보호된다 |
| PR.IR-02 |
조직의 기술 자산이 환경적 위협으로부터 보호된다 |
| PR.IR-03 |
정상 및 비정상 상황에서 복원력 요구사항을 달성하기 위한 메커니즘이 구현된다 |
| PR.IR-04 |
가용성을 보장하기 위한 적절한 자원 용량이 유지된다 |
DE — Detect (탐지)
사이버보안 공격과 침해 가능성을 탐지하고 분석합니다.
DE.CM — Continuous Monitoring (지속적 모니터링)
| ID |
성과 |
| DE.CM-01 |
잠재적 유해 이벤트를 발견하기 위해 네트워크 및 네트워크 서비스가 모니터링된다 |
| DE.CM-02 |
잠재적 유해 이벤트를 발견하기 위해 물리적 환경이 모니터링된다 |
| DE.CM-03 |
잠재적 유해 이벤트를 발견하기 위해 인원 활동 및 기술 사용이 모니터링된다 |
| DE.CM-06 |
잠재적 유해 이벤트를 발견하기 위해 외부 서비스 제공자의 활동 및 서비스가 모니터링된다 |
| DE.CM-09 |
잠재적 유해 이벤트를 발견하기 위해 컴퓨팅 하드웨어/소프트웨어, 런타임 환경, 데이터가 모니터링된다 |
DE.AE — Adverse Event Analysis (유해 이벤트 분석)
| ID |
성과 |
| DE.AE-02 |
잠재적 유해 이벤트가 관련 활동을 더 잘 이해하기 위해 분석된다 |
| DE.AE-03 |
다수의 소스로부터 정보가 상관 분석된다 |
| DE.AE-04 |
유해 이벤트의 추정 영향과 범위가 파악된다 |
| DE.AE-06 |
유해 이벤트에 대한 정보가 인가된 담당자 및 도구에 제공된다 |
| DE.AE-07 |
사이버 위협 인텔리전스 및 기타 맥락 정보가 분석에 통합된다 |
| DE.AE-08 |
유해 이벤트가 정의된 사고 기준을 충족할 때 사고가 선언된다 |
RS — Respond (대응)
탐지된 사이버보안 사고에 대해 조치를 취합니다.
RS.MA — Incident Management (사고 관리)
| ID |
성과 |
| RS.MA-01 |
사고가 선언되면 관련 제3자와 협력하여 사고 대응 계획이 실행된다 |
| RS.MA-02 |
사고 보고가 분류(triage)되고 검증된다 |
| RS.MA-03 |
사고가 범주화되고 우선순위가 매겨진다 |
| RS.MA-04 |
필요에 따라 사고가 에스컬레이션되거나 격상된다 |
| RS.MA-05 |
사고 복구를 개시하기 위한 기준이 적용된다 |
RS.AN — Incident Analysis (사고 분석)
| ID |
성과 |
| RS.AN-03 |
사고 중 발생한 상황과 근본 원인을 규명하기 위한 분석이 수행된다 |
| RS.AN-06 |
조사 중 수행된 조치가 기록되고, 기록의 무결성과 출처가 보존된다 |
| RS.AN-07 |
사고 데이터와 메타데이터가 수집되고, 무결성과 출처가 보존된다 |
| RS.AN-08 |
사고의 규모가 추정되고 검증된다 |
RS.CO — Incident Response Reporting and Communication (대응 보고·소통)
| ID |
성과 |
| RS.CO-02 |
내부 및 외부 이해관계자에게 사고가 통지된다 |
| RS.CO-03 |
지정된 내부 및 외부 이해관계자와 정보가 공유된다 |
RS.MI — Incident Mitigation (사고 완화)
| ID |
성과 |
| RS.MI-01 |
사고가 억제(contain)된다 |
| RS.MI-02 |
사고가 제거(eradicate)된다 |
RC — Recover (복구)
사이버보안 사고로 영향받은 자산과 운영을 복구합니다.
RC.RP — Incident Recovery Plan Execution (복구 계획 실행)
| ID |
성과 |
| RC.RP-01 |
사고 대응 프로세스에서 개시되면 사고 대응 계획의 복구 부분이 실행된다 |
| RC.RP-02 |
복구 조치가 선택·범위 설정·우선순위화·수행된다 |
| RC.RP-03 |
백업 및 기타 복원 자산의 무결성이 복원에 사용하기 전에 검증된다 |
| RC.RP-04 |
핵심 미션 기능과 사이버보안 리스크 관리가 사고 후 운영 정상화를 수립하는 데 고려된다 |
| RC.RP-05 |
복원된 자산의 무결성이 검증되고, 시스템과 서비스가 복원되며, 정상 운영 상태가 확인된다 |
| RC.RP-06 |
기준에 따라 사고 복구 종료가 선언되고, 사고 관련 문서화가 완료된다 |
RC.CO — Incident Recovery Communication (복구 소통)
| ID |
성과 |
| RC.CO-03 |
복구 활동과 운영 역량 복원 진행 상황이 지정된 내부/외부 이해관계자에게 소통된다 |
| RC.CO-04 |
사고 복구에 대한 공개 업데이트가 승인된 방법과 메시징을 사용하여 공유된다 |
참고 자료
| 리소스 |
URL |
| CSF 2.0 원문 (CSWP 29) |
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf |
| CSF 2.0 공식 사이트 |
https://www.nist.gov/cyberframework |
| CSF 2.0 Quick Start Guide |
https://csrc.nist.gov/pubs/sp/1299/final |
| CSF 2.0 Reference Tool |
https://csrc.nist.gov/projects/cybersecurity-framework/filters#/csf/filters |
| CSF 2.0 ↔ SP 800-53 매핑 |
https://csrc.nist.gov/projects/cprt |
| CSF 2.0 OSCAL (JSON) |
https://github.com/usnistgov/oscal-content/tree/main/nist.gov/CSF/v2.0 |