# NIST Cybersecurity Framework

NIST Cybersecurity Framework**(N CSF)는 국립표준기술소(National Institute Standards and Technology,IST)가 개발한 정보보안리 프레임워크로, 조직이 사이버 위험을 효과 관리하고 보안 수준을 향상시키기 위한 지침을 제공합니다. 이 프레임워크는 정부 기관뿐만 아니라 민간 기업에서도 널리 채택되고 있으며, 사이버 보안 전략 수립 및 운영의 기준으로 활용됩니다.

## 개요

NIST 사이버보안 프레임워크는 2014년 미국 오바마 행정부의 행정명령에 따라 산업계와 정부의 협업을 통해 개발되었습니다. 주요 목적은 미국의 중요 인프라(Critical Infrastructure) 보호를 강화하고, 조직이 사이버 위협에 대응할 수 있는 유연하고 확장 가능한 방식의 보안 체계를 구축하도록 돕는 것입니다.

NIST CSF는 법적 의무사항이 아니지만, 미국 및 전 세계의 많은 기업들이 자발적으로 이를 채택하여 보안 거버넌스를 강화하고, 규제 준수를 위한 기반을 마련하고 있습니다. 특히 ISO/IEC 27001, COBIT, CIS Controls 등 다른 국제 보안 표준과의 호환성이 높아 통합 보안 전략 수립에 유리합니다.

## 프레임워크 구성 요소

NIST CSF는 세 가지 핵심 구성 요소로 이루어져 있습니다:

1. **핵심(Core)**
2. **프로파일(Profile)**
3. **수행 수준(Tier)**

### 1. 핵심(Core)

핵심은 프레임워크의 중심으로, 조직이 사이버 보안 활동을 계획하고 실행하는 데 필요한 범주(Category), 하위 범주(Subcategory), 참고 정보(Informative References)를 제공합니다. 핵심은 다음과 같은 **5개 기능**(Functions)으로 구성됩니다:

#### 1.1 Identify(식별)

조직의 자산, 위험, 비즈니스 환경을 이해하고 사이버 보안 리스크를 식별하는 단계입니다.  
주요 범주: 자산 관리, 비즈니스 환경, 거버넌스, 리스크 평가, 리스크 관리 전략

- **예시**: IT 자산 목록을 유지하고, 주요 시스템의 취약점을 정기적으로 평가

#### 1.2 Protect(보호)

핵심 자산에 대한 접근을 제어하고, 보안 보호 조치를 시행하는 단계입니다.  
주요 범주: 액세스 제어, 데이터 보안, 정보 보호 절차 및 정책, 유지보수, 보호 기술

- **예시**: 다중 인증(MFA) 도입, 정기적인 보안 교육 실시

#### 1.3 Detect(탐지)

보안 사고를 조기에 발견하기 위한 능력을 구축하는 단계입니다.  
주요 범주: 지속적 모니터링, 이상 탐지, 보안 이벤트 모니터링

- **예시**: IDS/IPS 시스템 운영, 로그 분석을 통한 이상 행위 감지

#### 1.4 Respond(대응)

보안 사고 발생 시 효과적으로 대응하고 통제하는 절차를 마련하는 단계입니다.  
주요 범주: 대응 계획, 커뮤니케이션, 분석, 완화, 개선

- **예시**: 사고 대응 팀 구성, 인시던트 보고 프로세스 수립

#### 1.5 Recover(복구)

사고 후 정상 운영을 신속히 회복하고, 향후 재발 방지를 위한 조치를 취하는 단계입니다.  
주요 범주: 복구 계획, 개선, 커뮤니케이션

- **예시**: 백업 시스템을 활용한 데이터 복구, 사고 후 리뷰를 통한 프로세스 개선

### 2. 프로파일(Profile)

프로파일은 조직의 특정 요구사항, 리스크 선호도, 목표에 맞춰 핵심 요소를 맞춤화한 것입니다.  
- **현재 프로파일**(Current Profile): 현재의 보안 상태를 반영
- **목표 프로파일**(Target Profile): 향후 달성하고자 하는 보안 목표 상태

프로파일을 통해 조직은 현재 상태와 목표 상태 간의 격차(Gap)를 분석하고, 우선순위를 기반으로 개선 계획을 수립할 수 있습니다.

### 3. 수행 수준(Tier)

수행 수준은 조직의 사이버 보안 리스크 관리 프로세스의 성숙도를 평가하는 척도입니다. 4단계로 구분됩니다:

| Tier | 설명 |
|------|------|
| Tier 1: Partial | 보안 활동이 비공식적이며, 반응 중심적 |
| Tier 2: Risk Informed | 리스크 인식은 있으나, 정책 비공식적 |
| Tier 3: Repeatable | 공식 정책 수립, 정기적 검토 |
| Tier 4: Adaptive | 지속적 개선, 위협 정보 기반 대응 |

## NIST CSF의 장점

- **유연성**: 조직의 규모, 산업, 리스크 환경에 맞게 조정 가능
- **기준 통합성**: 다른 보안 표준과 쉽게 통합 가능
- **비기술자도 이해 가능**: 경영진과 기술진 모두가 참여할 수 있는 공통 언어 제공
- **위험 기반 접근**: 리스크 중심의 의사결정을 지원

## 적용 사례 및 글로벌 영향

NIST CSF는 미국의 에너지, 금융, 보건 등 중요 인프라 분야에서 널리 적용되고 있으며, 일본, 영국, 캐나다 등 여러 국가에서도 참고 모델로 활용되고 있습니다. 특히, **CISA**(Cybersecurity and Infrastructure Security Agency)는 NIST CSF를 국가 보안 전략의 핵심 요소로 삼고 있습니다.

## 참고 자료

- [NIST Cybersecurity Framework (NIST SP 800-53)](https://www.nist.gov/cyberframework)
- [NIST CSF 1.1 문서 다운로드](https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf)
- 미국 국토안보부(CISA) – [CISA NIST CSF Guidance](https://www.cisa.gov/resources-tools/resources/cybersecurity-framework)

## 관련 보안 표준

- **ISO/IEC 27001**: 정보 보안 관리 시스템 국제 표준
- **COBIT**: IT 거버넌스 프레임워크
- **CIS Controls**: 사이버 보안 모범 사례 18가지

---

NIST Cybersecurity Framework는 사이버 보안을 체계적으로 관리하고자 하는 모든 조직에게 강력히 권장되는 실용적인 가이드라인입니다. 기술적 조치뿐 아니라 조직 문화, 정책, 리스크 관리 전략까지 포괄하는 접근 방식은 현대 사이버 위협 환경 지속 가능한 보안 운영을 가능하게 합니다.