728x90
반응형
(개념) 사이버 공격으로 인한 시스템의 기능적 영향과 임무 수행에 대한 영향을 분석하는 기법
- 공격 시나리오와 플랫폼의 임무 시나리오를 연계하여, 각 단계에서 발생할 수 있는 사이버 이벤트와 그로 인한 결과를 분석함으로써 사이버 보안 전략 수립에 필수적인 자료를 제공
- 정보시스템 또는 네트워크에 대한 사이버 공격이 조직의 주요 임무(Mission)에 미치는 영향을 식별하고 정량적 또는 정성적으로 평가하는 절차
주요 목적
- 사이버 위협의 임무 기반 영향 분석
- 위협 기반 자산 우선순위 도출
- 사이버-운영 연계 시각 제공
CMIA 핵심 구성요소
| 구성요소 | [설명] |
| Mission | 조직의 핵심 목표 및 이를 지원하는 기능 |
| System/Asset | 임무 달성에 필요한 정보자산, 네트워크, 인프라 |
| Threat | 사이버 공격 시나리오 (예: 랜섬웨어, DDoS 등) |
| Impact | 임무 지연, 데이터 손실, 서비스 중단 등의 결과 |
| Dependency Mapping | 임무 ↔ 시스템 간 의존성 시각화 |
| Risk Scoring | 자산의 중요도 및 위협 수준 기반 영향도 수치화 |
CMIA 분석 절차 (예시)
- 임무 식별 및 분해
- 시스템-임무 매핑
- 사이버 위협 모델링
- 영향 평가
- 완화 전략 도출
CMIA 관련 주요 프레임워크
- NIST SP 800-160: 시스템보안공학 관점에서 임무 영향 분석 강조
- MITRE ATT&CK: 위협 시나리오 기반 영향 평가 시 활용
- DoD CMIA Framework (미 국방부): 군사작전과 사이버 위협 간 연계를 위한 체계적 접근
예시: 병원 시스템에 대한 CMIA
| 요소 | 내용 |
| 임무 | 응급환자 진료 및 생명 유지 |
| 자산 | 전자의무기록 시스템(EMR), 네트워크, PACS |
| 위협 | 랜섬웨어 감염으로 EMR 접근 불가 |
| 영향 | 환자 치료 지연 → 생명 위협, 법적/사회적 신뢰도 하락 |
| 완화 | EMR 백업, 네트워크 분산, 대응 시나리오 수립 |
활용 효과
- 보안 투자 효율성 증가 (리스크-임무 기반 의사결정)
- 경영진/운영진 대상 설득력 있는 리스크 보고 가능
- 보안 사고 대응 시 전략적 판단 지원
728x90
'03.Security' 카테고리의 다른 글
| 인공지능 - 보안 - 안전한 인공지능(AI) 데이터 활용을 위한 AI 프라이버시 리스크 관리 모델 (3) | 2025.07.31 |
|---|---|
| 인공지능 - 보안 - Agent - Meta, LlamaFirewall (0) | 2025.07.24 |
| 암호화 알고리즘 - 블록 암호화 - 포맷 유지 암호(FPE) , NIST SP 800-38G (1) | 2025.07.06 |
| 정보보안 - 국가보안 - 국가망보안체계 (N²SF: National Network Security Framework) (0) | 2025.06.20 |
| 개인정보 - 보호 - 법 해설서(안) (2) | 2025.06.06 |
