한국정보보호학회 위험관리(RMF)연구회와 보안평가연구회는 9월 21일 더케이호텔서울 거문고홀에서 ‘2023 KIISC 위험관리(RMF) 및 보안평가 워크숍’을 개최했다.

국방부, 국군방첩사령부 후원으로 개최된 이번 워크숍에는 관련 공공기관 및 학계, 산업계 450여 명이 온오프라인으로 참석했으며 오전 키노트 및 개회식과 오후 위험관리 트랙, 보안평가 트랙으로 나눠 다양한 주제 발표들이 이어졌다.

키노트 발표에서 김홍선 SC제일은행 부행장은 ‘RMF(Risk Management Framework) 도입의 원칙과 방향’을 주제로 “위험관리(RMF)의 핵심은 조직이 보유한 자산을 명확하게 파악하고, 해당 자산에 대한 리스크를 정량화하며, 이를 기반으로 적절한 시큐리티 컨트롤을 도입하는 것이다. 이를 통해 리스크 관리 체계를 구축하고, 지속적으로 진화시키며, 사이버 레질리언스를 갖추는 것”이라고 강조했다.

특히 그는 “RMF는 IT 부서에만 적용될 것이 아니라 조직 전체로 확장되어야 한다. 정부든 기업이든 모든 것이 이제 IT시스템으로 돌아가는데 특정 IT보안 부서에서만 RMF가 머물러서는 안된다”며 “RMF는 조직 전체의 지표가 되어야 한다. 그리고 리스크에 대한 책임주체가 확실해야 한다. RMF는 단순히 기술적 문제가 아니다. 사이버 보안이 조직의 목표가 되어야 한다”고 덧붙였다.

이어 이경호 고려대 교수는 ‘위험관리 원리와 사례’를 주제로 미 연방 정부와 다른 국가에서 RMF를 구현하는 사례를 소개하며, 각 국가별로 해당 보안 체계를 어떻게 운영하고 있는지 상세히 설명했다.

또 이 교수는 우리나라 군의 사이버 전투 체계 도입과 정보 분류의 중요성에 대해 언급하며, 현행화와 리스크 평가의 어려움에 대해 언급했다. 정보의 보호와 관리를 위해서는 정부 차원에서의 체계적인 관리가 필수적임을 강조했다.

이경호 교수의 강연은 사이버 보안 분야에서의 표준화와 리스크 관리의 중요성을 강조하며, 전 세계적으로 이러한 원칙들이 어떻게 적용되고 있는지에 대해 공유하는 시간이었다.

이어 진행된 개회식에서 원유재 한국정보보호학회장(충남대학교 교수)은 보안평가연구회와 위험관리연구회 공동 워크샵에 참석한 다수의 관계자들을 환영하며 학회와 국방 분야의 협력을 강조했다.

특히 RMF를 통해 민간과 국방 분야에서의 협력이 발전되길 희망한다고 전했다.

그는 "군에서 RMF 도입이 확산된다면 민간에까지 그 영향력이 확대될 것이다. 이를 통해 국방뿐만 아니라 사회 전체의 사이버 보안 역량이 강화될 수 있길 기대한다”고 강조했다.

이동범 한국정보보호산업협회장은 곽진 위원장(아주대 교수)과 손경호 위원장(강원대 교수)을 비롯한 관계자들에게 감사의 말을 전하며 “현재의 급속한 디지털 변환 시기에 단편적인 보안솔루션만으로는 대응이 불가능하다. 통합적인 시각에서 위험 관리 프레임웍이 필요하다”고 강조했다.

그는 또 “CC인증은 국내 보안산업 발전에 큰 기여를 했다. 다만 현재 시점에서는 변화된 환경에 맞고 각 도메인에 맞는 보안성 평가 방법론이 필요할 것으로 보인다. 그리고 정부와 군, 학계, 산업계 모두 힘을 보태 보안산업이 발전할 수 있는 생태계를 조성해 보다 안전한 사회로 나아갈 수 있는 토대를 만들어 갔으면 한다”고 축사를 전했다.

곽 진 위험관리연구회 위원장(아주대 교수)은 “보안성평가연구회와 공동으로 준비한 이번 워크숍은 국방분야 뿐만 아니라 공공, 민간 분야 전반에 걸쳐 사이버보안 체계의 안전성과 신뢰성 확보를 위해 가장 중요한 위험관리 체계 및 보안/안전성 평가 기술의 설계와 구축, 운영과 활용에 대한 최신 동향과 전문적인 지식 공유를 통해 안전한 사이버보안 환경 조성을 만들고자 마련됐다”고 전했다.

이번 워크숍은 위험관리 및 보안성평가/인증 관련 최신 동향과 기술에 대한 우수한 전문가들과 실제 평가/인증 담당자들의 전문적이고 실무적인 내용으로 구성됐다. 

[관련출처: 데일리시큐 ]​