CAF는 NCSC에서 개발한 산업 전반에 적용 가능한 툴로, 기업이 적절한 수준의 사이버 안정성을 평가하고 달성하며 이를 입증할 수 있도록 구조화된 접근 방식을 제공합니다.
핵심 내용
사이버 안정성은 공공 서비스에 필수적인 요소입니다. 국가 차원의 공격 증가로 인해 중요 인프라와 민감한 데이터가 위협받고 있습니다. 성과 기반 프레임워크를 도입하면 지속적이고 정교한 위협 속에서도 필수 서비스를 유지할 수 있습니다.
자산 가시성은 CAF 목표 A의 기반입니다. 인프라에 대한 완전한 이해 없이는 보안 리스크를 관리할 수 없으며, 섀도 API와 자산을 자동으로 탐지하는 기능이 핵심 자산 관리 원칙을 충족하는 데 필수적입니다.
제로 트러스트는 CAF 목표 B 달성의 핵심입니다. 사이버 공격을 방어하려면 경계 기반 보안에서 벗어나, 세분화된 ID 기반 접속 제어와 마이크로세그멘테이션을 도입해 핵심 시스템 내 측면 이동을 차단해야 합니다.
CAF v4.0은 사후 대응형 모니터링이 아닌 선제적 탐지를 요구합니다. 목표 C를 달성하려면 단순 로그 분석에서 벗어나 최신 위협 헌팅과 행위 기반 분석을 통해 숨겨진 공격자를 사전에 탐지해야 합니다.
- 공급망 무결성은 CAF의 핵심 보안 성과입니다. 소프트웨어 수명주기 전반과 서드파티 스크립트 실행 과정에 보안을 내재화해 구성요소의 신뢰성과 시민 데이터의 안전을 보호해야 합니다.
자주 묻는 질문(FAQ)
NIS 규제 대상 기업, 국가 핵심 인프라(CNI)를 운영하는 기업, 그리고 핵심 정부 기능을 지원하거나 공공 안전 리스크를 관리하는 공공 부문 조직을 위해 설계되었습니다.
사이버 평가 프레임워크 버전 4.0은 2025년 8월에 출시되었습니다.
CAF는 4개의 상위 목표와 14개의 원칙으로 구성되어 있으며, 41개의 세부 성과 항목과 우수 사례 지표를 통해 평가됩니다.
목표는 다음과 같습니다. 목표 A: 보안 리스크 관리, 목표 B: 사이버 공격 방어, 목표 C: 사이버 보안 이벤트 탐지, 목표 D: 인시던트 영향 최소화.
업데이트된 프레임워크(원칙 A2.b)는 공격자의 역량과 기법을 이해하고, 구체적인 위협 인텔리전스를 리스크 관리 의사결정에 반영할 것을 요구합니다.
원칙 C1.f에 따라 기존의 로그 분석을 넘어 사용자 및 시스템의 행동을 이해해야 하며, 이를 통해 악성 활동을 나타내는 비정상 징후를 탐지해야 합니다.
초기 단계는 “요구사항 이해”로, 핵심 IT 시스템에 의존하는 필수 기능을 식별하고 잠재적인 위협과 취약점을 기반으로 리스크의 우선순위를 정하는 과정입니다.