미국에서 발생하는 사이버 공격의 빈도, 심각성 및 다양성이 증가함에 따라 이러한 공격을 수량화하고 사고 정보를 기록·정리하는 일이 어려워지고 있음. 일부 연방정부 기관 및 민간 기업은 사이버 사고에 관한 데이터를 수집하고 있으나, 해당 데이터는 중앙집중식으로 관리되거나 표준화되지 못하여 중복 데이터가 걸러지지 못함. 아울러, 데이터 유형 및 저장소의 다양성으로 인해 데이터를 이용하여 사이버 사고의 범위와 규모를 이해하는 데 한계가 있음.
사이버 사고에 관한 데이터를 수집한 중앙 기록보관소를 설립하기 위해 미 의회는 2022년「중요 인프라에 대한 사이버 사고 보고법(Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA)」을 제정하여, 국토안보부 산하 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)에 1) 민간기관의 사이버 공격 보고를 의무화하는 규칙수립에 참여하고, 2) 보고의무 준수를 집행하며, 3) 수집된 데이터를 분석한 결과를 공유하도록 함.
한편, 사이버공간 솔라리움 위원회(Cyberspace Solarium Commission)는 사이버통계국(Bureau of Cyber Statistics)을 신설하여 사이버 사고 및 그 영향에 관한 데이터를 수집·분석·배포하는 업무를 부여할 것을 제안함. 이 제안은 CIRCIA과 목적은 유사하지만, 사이버통계국이 사이버 보안 관련자를 넘어 정책입안자 및 산업계 의사결정자를 대상으로 한다는 점에서 큰 차이가 있음. 사이버통계국은 사이버 사고에 관한 데이터를 객관적으로 분석하여 정책입안자 및 산업계에 제공하는 형태로 제안됨.
이 보고서는 사이버공간 솔라리움 위원회가 사이버통계국 신설에 관하여 제안한 내용을 개관함.
사이버 사고에 관한 데이터를 수집한 중앙 기록보관소를 설립하기 위해 미 의회는 2022년「중요 인프라에 대한 사이버 사고 보고법(Cyber Incident Reporting for Critical Infrastructure Act of 2022, CIRCIA)」을 제정하여, 국토안보부 산하 사이버보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency)에 1) 민간기관의 사이버 공격 보고를 의무화하는 규칙수립에 참여하고, 2) 보고의무 준수를 집행하며, 3) 수집된 데이터를 분석한 결과를 공유하도록 함.
한편, 사이버공간 솔라리움 위원회(Cyberspace Solarium Commission)는 사이버통계국(Bureau of Cyber Statistics)을 신설하여 사이버 사고 및 그 영향에 관한 데이터를 수집·분석·배포하는 업무를 부여할 것을 제안함. 이 제안은 CIRCIA과 목적은 유사하지만, 사이버통계국이 사이버 보안 관련자를 넘어 정책입안자 및 산업계 의사결정자를 대상으로 한다는 점에서 큰 차이가 있음. 사이버통계국은 사이버 사고에 관한 데이터를 객관적으로 분석하여 정책입안자 및 산업계에 제공하는 형태로 제안됨.
이 보고서는 사이버공간 솔라리움 위원회가 사이버통계국 신설에 관하여 제안한 내용을 개관함.
목차
Introduction
The Case for Improved Cybersecurity Statistics
- Data for Risk Management
Review of the Bureau of Cyber Statistics Proposal
- BCS as a Federal Statistical Agency
Cyber Incident Reporting Data Sources
- CISA Data Sources and Limitations
Considerations for CISA Undertaking BCS Responsibilities
- Defining Cybersecurity Metrics
- Collecting and Aggregating Data
- Reporting Mandates for Incidents
- Protecting Data and Privacy
- Exchanging Information Between Academia and the Private Sector
- Analyzing Data