본문 바로가기
  • 보험을 공부합시다. (보험계리사 공부 및 보험뉴스)
보험계리사 독학 (2차시험)/계리리스크관리 (2차 시험)

(보험계리사 2차 계리리스크관리 KIRI 리포트) 한미 사이버 사고 정보 공유 환경 비교 및 시사점

by 지식을 공유하는 사람 2024. 8. 1.
728x90
300x250

미국 정부의 사이버 정보 공유법 제정

  1. 2012년 미국 정부 활동
    1) 사이버보험 워크숍(NPPD(2012)) 참가자들의 ‘연방정부가 사이버 사고 데이터 수집 및 공유에 주도적 역할을 수행해 줄 것’에 대한 요청
  2. 2015년 미국 정부 활동
    1) 사이버 정보 공유법(CISA법) 제정 : 적정(Appropriate) 연방정부 부처가 사이버 사고 정 보를 수집・공유하도록 함
    2) CISA법 재정을 통한 행동
    → 정보 공유 주체들을 개인정보유출 손해배상책임으로부터 보호하여 적극적인 정보 공유를 유도함
    → 연방정부는 개인의 사생활 보호 가이드라인에 따라 정보를 공유하여야 함
  3. 2024년 미국 정부 활동
    1) 사이버 사고 보고를 의무화하는 CIRCIA 도입 및 연방정부의 사이버 사고 정보 수집 권한 강화
    2) CIRCIA 도입이유
    → 주요 인프라에 대한 사이버 리스크관리 강화를 위함
    → 기존 제도의 복잡하고 중복된 사이버 사고 보고 체계와 민감 개인정보 유출 우려로 인한 보고 누락 등의 문제를 해결하기 위함
  4. 축약어 의미
    1) CISA(Certified Information Systems Auditor) : 정보시스템 감사 컨트롤 협회(ISACA)가 인증하는, 시스템을 독자적으로 점검 ·평가할 수 있는 국제 자격
    2) NCCIC(National Cybersecurity and Communications Integration Center) : CISA 산하 조직으로 중요한 인프라 등의 사이버 정보 집약 기관
    3) CTIIC(Cyber Threat Intelligence Integration Center) : 사이버 위협 정보 통합 센터로 불리며 위협 인텔리전스 수집 및 분석을 담당하는 ODNI의 하부조직

미국 보험회사의 활동

  1. 금융 서비스 부문 정보 공유 및 분석 센터(FS-ISAC) 설립 → 이는 연방정부와 사이버 사고 정보를 공유
  2. 2015년 CISA법 재정으로 제공되는 사항
    1) 연방정부가 허가받은 민간 대표 기관과 사이버 사고 관련 정보를 공유하는 것을 허용
    2) 여러 분야의 기업들이 정보 공유 및 분석 센터(Information Sharing and Analysis Centers; ISAC)를 설립하여 미국 정부로부터 사이버 사고 정보를 공유받음
    → ISAC 설립 업체 : 화학, 자동차, 항공, 통신, 천연가스, 전기, 투표관리, 응급서비스, 금융 및 보험, 농업, 건강, IT, 해운, 대중매체, 국방, 에너지, 부동산, 교육 및 연구, 소매업, 우주, 교통, 수자
    3) 
  3. 금융서비스 부문 정보 공유 및 분석 센터(Financial Services ISAC; FS-ISAC)를 통하여 미국 정부로부터 사이버 사고 관련 정보를 공유받아 이를 활용함

대한민국의 사이버 사고 정보 공유

  1. 사이버 사고 정보 수집 및 공유 센터
    1) 국가사이버안전센터(NCSC)
    2) 사이버 위협정보 분석・공유 시스템(C-TAS System)
    3) 정보 공유・분석센터(ISAC)
  2. 사이버 안전센터 운영 방안
    1) 국가정보원 : 「국가사이버안전관리규정」 제14조에 의거하여 정부 및 공공기관의 사이버보안 업무를 총괄하는 국가사이버안전센터(National Cyber Security Center; NCSC)를 운영
    2) 한국인터넷진흥원 : 「정보통신망법」 제48조 2항에 의거하여 사이버 침해사고 정보를 수집하고 공유하는 사이버 위협정보 분석・공유 시스템(Cyber Threat Analysis and Sharing System; C-TAS)을 운영
    3) ISAC : 「정보통신기반 보호법」 제9조에 의해 정보통신기반시설의 사이버 리스크관리를 위한 정보 공유・분석 센터(ISAC)의 운영에 관한 내용을 정함
    4) 그 외 사이버안전센터 운영 중인 센터 : 기획재정부, 과학기술정보통신부, 교육부, 외교부, 통일부, 법무부, 국방부, 행정안전부, 문화체육관광부, 방송통신위원회, 방위사업청, 경찰청, 환경부

대한민국의 사이버 사고 정보 공유 체계 문제점

  1. 일원화된 정보 수집・공유 체계의 부재
    ∴ 사이버 사고 정보 수집이 제한적이고 업종 간 사이버 사고 정보의 공유가 활발하지 않음
  2. 참여자에 대한 개인정보 보호 관련 법적 책임 감경 조항 부재
    ∵ 미국의 CISA법과 다르게 법 조항이 없어 기관들의 참여가 소극적임
  3. 국내외 사이버 위협 인텔리전스 서비스를 이용한 정보 공유가 저조
    → C-TAS 사용 : 회원 73개 사 중 55%
    → 국내 사이버 위협 인텔리전스 서비스 사용 : 회원 73개 사 중 30.14%
    → 해외 사이버 위협 인텔리전스 서비스 사용 : 회원 73개 사 중 16.44%

대한민국의 사이버 리스크관리 강화를 위한 노력

  1. 법 재정 및 개정 (모두 발의되었으나 폐기됨)
    1) 국가사이버위기관리법안(18대, 공성진)
    2) 국가 사이버안전관리에 관한 법률안(19대, 하태경)
    3) 사이버위협정보 공유에 관한 법률안(19대, 이철우)
    4) 사이버테러 방지 및 대응에 관한 법률안(19대, 이노근)
    5) 국가 사이버안보에 관한 법률안(20대, 이철우)
  2. 미국의 사례를 벤치마킹하여 사이버 사고정보의 수집 및 공유 관련 제도개선 필요
    1) 표준 리스크관리 절차(리스크 식별 → 평가 → 대응)에 따라 사이버 리스크관리를 하기 위하여 사이버 사고 정보의 집적・공유가 필수적
    2) 사이버 리스크를 정량화하는 것인데, 이를 위하여 다양한 사이버 사고 정보가 필요함

 

※해당 내용은 보험연구원 키리리포트를 요약한 내용입니다.

출처 : 보험연구원 (kiri.or.kr)

728x90
300x250
저작자표시 비영리 변경금지

'보험계리사 독학 (2차시험) > 계리리스크관리 (2차 시험)' 카테고리의 다른 글

(보험계리사 2차 계리리스크관리 KIRI 리포트) 공제보험 사고 정보 수집 및 활용 관련 제도개선 방안  (0) 2024.08.12
(보험계리사 2차 계리리스크관리 KIRI 리포트) 보험금청구권의 신탁재산 확대 필요성  (0) 2024.08.02
(보험계리사 2차 계리리스크관리 KIRI 리포트) 국내외 임신・출산 관련 보험상품 현황 및 과제  (0) 2024.07.17
(보험계리사 2차 계리리스크관리 KIRI 리포트) IFRS17 시행과 선임계리사 역할 확대  (1) 2024.07.15
(보험계리사 2차 계리리스크관리 KIRI 리포트) 국내 UBI(Usage-Based Insurance) 상품현황과 과제  (1) 2024.07.01

관련글

티스토리툴바