SP 800-53A Rev. 5: 보안 및 프라이버시 컨트롤 평가¶
개요¶
| 항목 | 내용 |
|---|---|
| 정식 명칭 | Assessing Security and Privacy Controls in Information Systems and Organizations |
| 문서 번호 | SP 800-53A Revision 5 |
| 발행일 | 2022년 1월 25일 |
| 최신 업데이트 | Release 5.2.0 (2025년 8월, 3개 평가 절차 추가) |
| 분량 | 약 750 페이지 |
| 원문 | https://csrc.nist.gov/pubs/sp/800/53/a/r5/final |
SP 800-53A는 SP 800-53에서 정의한 보안/프라이버시 컨트롤이 올바르게 구현되고, 의도대로 동작하며, 원하는 성과를 달성하는지 평가하기 위한 절차를 제공합니다.
53 시리즈에서의 위치¶
SP 800-53 → "어떤 컨트롤을 구현해야 하는가?" (카탈로그)
SP 800-53A → "컨트롤이 제대로 구현되었는가?" (평가) ← 이 문서
SP 800-53B → "어떤 컨트롤을 적용해야 하는가?" (기준선)
SP 800-53의 모든 컨트롤과 Enhancement에 대해 1:1로 평가 절차가 존재합니다.
3가지 평가 방법 (Assessment Methods)¶
| 방법 | 정의 | 목적 |
|---|---|---|
| Examine (검토) | 평가 객체(정책서, 메커니즘, 활동)를 검토·분석·관찰하여 이해를 확보하고 증거를 수집하는 과정 | 문서가 존재하는지, 내용이 적절한지, 구현이 올바른지 확인 |
| Interview (면담) | 조직 내 개인 또는 그룹과 대화하여 이해를 확보하고 증거를 수집하는 과정 | 담당자가 역할을 이해하고 있는지, 절차를 따르고 있는지 확인 |
| Test (테스트) | 평가 객체(메커니즘, 활동)를 지정된 조건에서 실행하여 실제 상태와 기대 상태를 비교하는 과정 | 기술적 통제가 실제로 작동하는지 검증 |
4가지 평가 객체 (Assessment Objects)¶
평가 방법은 아래 4가지 유형의 객체에 적용됩니다:
| 평가 객체 | 설명 | 예시 | 적용 가능한 방법 |
|---|---|---|---|
| Specifications (명세) | 문서 기반 산출물 | 정책, 절차서, 계획서, 요구사항 문서, 아키텍처 설계 | Examine |
| Mechanisms (메커니즘) | 하드웨어, 소프트웨어, 펌웨어 보호조치 | 방화벽, IDS, 암호화 모듈, 접근제어 시스템 | Examine, Test |
| Activities (활동) | 사람이 수행하는 보호 관련 행위 | 시스템 백업, 네트워크 모니터링, 비상 대응 훈련 | Examine, Test |
| Individuals (인력) | 명세·메커니즘·활동을 적용하는 사람 | 보안 담당자, 시스템 관리자, CISO | Interview |
평가 수준: Depth & Coverage¶
각 평가 방법에는 두 가지 속성이 있으며, 조직이 시스템 영향도와 리스크 허용수준에 따라 결정합니다.
Depth (깊이) — 분석의 엄밀도¶
| 수준 | 설명 |
|---|---|
| Basic | 개괄적 수준의 검토. 문서의 존재 여부, 핵심 요소의 포함 여부 확인 |
| Focused | Basic을 넘어서는 심화 분석. 구현의 적절성과 효과성 검토 |
| Comprehensive | 철저하고 상세한 분석. 구현의 정확성, 완전성, 의도 충족 여부까지 검증 |
Coverage (범위) — 검토의 폭¶
| 수준 | 설명 |
|---|---|
| Basic | 제한된 수의 명세/메커니즘/활동/인력을 대상으로 |
| Focused | Basic보다 확대된 범위 |
| Comprehensive | 전체 대상을 포함하는 완전한 범위 |
일반적으로 시스템 영향도가 높을수록(HIGH) Comprehensive에 가까운 수준이 기대됩니다.
평가 절차의 구조¶
각 컨트롤에 대한 평가 절차는 다음 요소로 구성됩니다:
1. Assessment Objective (평가 목표)¶
SP 800-53의 컨트롤 Statement에서 도출됩니다. 컨트롤의 각 부분을 개별 판단 항목(Determination Statement)으로 세분화합니다.
2. Determination Statement (판단 항목)¶
컨트롤의 구체적인 요구사항 하나하나를 평가 가능한 단위로 분해한 것입니다.
3. Potential Assessment Methods and Objects (잠재적 평가 방법 및 객체)¶
각 판단 항목에 대해 Examine/Interview/Test 중 적용 가능한 방법과, 검토 대상 객체를 제시합니다.
예시: AC-01 (Policy and Procedures)¶
컨트롤: AC-01 — 접근 제어 정책 및 절차
평가 목표:
다음을 판단한다:
AC-01_ODP[01] — 접근 제어 정책을 배포할 인력/역할이 정의되었는가
AC-01_ODP[02] — 접근 제어 절차를 배포할 인력/역할이 정의되었는가
AC-01a.01[01] — 목적을 다루는 접근 제어 정책이 수립되었는가
AC-01a.01[02] — 범위를 다루는 접근 제어 정책이 수립되었는가
...
잠재적 평가 방법 및 객체:
Examine: 접근 제어 정책, 절차서, 시스템 보안 계획서, 프라이버시 계획서
Interview: 접근 제어 책임자, 정보보안/프라이버시 책임자
하나의 컨트롤(AC-01)이 여러 개의 판단 항목으로 세분화됩니다. 이 때문에 53A의 분량이 약 750 페이지에 달합니다.
번호 체계¶
SP 800-53A는 53의 컨트롤 번호를 기반으로 대괄호를 사용하여 세분화합니다:
| 표기 | 의미 | 예시 |
|---|---|---|
AC-17 |
Base 컨트롤 | 원격 접근 |
AC-17a.[01] |
컨트롤 항목의 세분화 | 원격 접근 정책의 첫 번째 판단 항목 |
AC-02(01) |
Enhancement | 자동화된 계정 관리 |
AC-02(01)[1] |
Enhancement의 세분화 | 자동화된 계정 관리의 첫 번째 판단 항목 |
AC-01_ODP[01] |
조직 정의 파라미터 | 조직이 정의해야 할 값 |
괄호
()= Enhancement (SP 800-53에서 유래)
대괄호[]= 판단 항목 세분화 (SP 800-53A 고유)
_ODP= 조직 정의 파라미터 (Organization-Defined Parameter)
RMF에서의 위치¶
SP 800-53A는 RMF(Risk Management Framework, SP 800-37)의 Step 5 "Assess"를 지원합니다:
RMF 7단계:
1. Prepare (준비)
2. Categorize (분류) ← FIPS 199
3. Select (선택) ← SP 800-53B (기준선 선택)
4. Implement (구현) ← SP 800-53 (컨트롤 구현)
5. Assess (평가) ← SP 800-53A (이 문서)
6. Authorize (인가)
7. Monitor (모니터링)
평가 결과는: - 인가(Authorize) 결정의 근거가 됩니다 - 지속적 모니터링(Continuous Monitoring) 프로그램의 입력이 됩니다 - 잔여 리스크를 판단하고 수용 여부를 결정하는 데 사용됩니다
참고 자료¶
| 리소스 | URL |
|---|---|
| SP 800-53A Rev. 5 원문 | https://csrc.nist.gov/pubs/sp/800/53/a/r5/final |
| SP 800-53 (컨트롤 카탈로그) | SP 800-53 상세 문서 |
| SP 800-37 (RMF) | https://csrc.nist.gov/pubs/sp/800/37/r2/final |
| OSCAL Assessment Plan 모델 | https://pages.nist.gov/OSCAL/concepts/layer/assessment/ |