개인정보보호위원회

주메뉴 바로가기 본문 바로가기

이 누리집은 개인정보보호위원회 누리집입니다.

확대수치: 글자크기 100%

언어
KOR
ENG

URL 링크

복사하기

-

개인정보보호 국외동향 게시판 상세 테이블
개인정보보호 국외동향 게시판 상세 테이블로 제목, 작성부서, 작성자, 작성일, 조회수, 내용의 정보를 제공
제목	미국: NIST, S/W 업데이트 및 패치 리스크 관리 강화
작성부서	국제협력담당관	작성자
작성일	2025-09-10	조회수	29
페이지 URL	http://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030000&nttId=11488
미국: NIST, S/W 업데이트 및 패치 리스크 관리 강화 미국 NIST는 조직의 소프트웨어 업데이트·패치 안전성 제고를 위한 SP 800-53 개정을 발표함. 로깅 구문·근본 원인 분석·사이버 회복성 설계 등 신규 통제 항목을 신설하고 기존 통제를 보완함. ◆ 개정 배경 및 경과 - 미국 국립표준기술연구소(National Institute of Standards and Technology, NIST)는 2025년 8월 27일 안전한 소프트웨어 개발 관행과 패치 운영의 균형을 지원하기 위해 정보시스템 및 조직의 보안·개인정보 보호 통제 카탈로그(NIST SP 800-53)를 개정했다고 발표함. - 이번 개정은 소프트웨어 업데이트와 패치 배포 과정에서 발생할 수 있는 보안 위험을 효과적으로 관리하도록 통제 체계를 보완한 것으로, 국가 사이버보안 강화를 위한 대통령 행정명령 제14306호* 이행 조치에 해당함. * 행정명령 제14306호(국가 사이버보안 강화를 위한 선별된 노력 유지): 사이버 위협 행위 국가의 범위를 확대하고 소프트웨어 공급망 보안 등 연방 사이버보안 정책을 간소화하는 내용으로, 트럼프 행정부가 2025년 6월 6일 발표 - 개정판은 공개 참여 절차를 통해 마련되었으며, 최종 개정 내용은 사이버보안 및 개인정보 참조 도구 (Cybersecurity and Privacy Reference Tool, CPRT)에 반영됨. ◆ 신규 통제 항목 및 기존 통제 보완 방향 - 개정안은 패치 관련 위험 식별·완화, 무결성 검증, 운영 연속성 확보를 위해 ▴로깅 구문(Logging Syntax, SA-15) ▴근본 원인 분석(Root Cause Analysis, SI-02(07)) ▴사이버 회복성 설계(Design for Cyber Resiliency, SA-24)라는 신규 통제(Control) 항목을 추가하고 기존 통제를 보완함. - 로깅 구문은 보안 관련 사건 기록의 전자 형식을 정의하여 사고 대응 자동화와 재구성 효율성을 강화함. 또 한 근본 원인 분석은 소프트웨어 업데이트 문제와 실패 원인을 검토하고, 시정계획 수립 및 실행을 요구함. - 아울러 사이버 회복성 설계 항목은 공격 상황에서도 핵심 기능을 유지할 수 있도록 예측·대응·복구 역량을 설계 단계부터 내재화하도록 함. 그밖에 기존 통제의 기술적 요소와 구현 예시를 갱신해 조직의 배포 전 시 험, 배포 후 모니터링, 구성 관리 및 검증 활동의 구체성을 높였음. ◆ 이행지원 체계 및 의견 수렴 절차 - NIST는 개정 통제를 CPRT에 반영하는 동시에, 조직이 개정 사항을 시스템·제품·서비스에 신속히 적 용할 수 있도록 JSON과 OSCAL* 형식으로도 배포함. JSON(JavaScript Object Notation): 시스템 간 데이터 교환을 위해 키-값 쌍으로 구조화된 경량 텍스트 데이터 포맷 * OSCAL(Open Security Controls Assessment Language): 보안·개인정보 보호 통제 및 평가 산출물을 기계판독 가능 하게 표현하기 위해 NIST가 개발한 공개 표준 언어 - 공개 참여 절차는 의견수렴 기간 동안 실시간 피드백과 상시 제안 제출을 허용해, 기술 변화 속도에 부 합하는 민첩한 개정과 투명한 이해관계자 조율을 가능하게 했음. ◆ 평가 및 전망 - NIST는 이번 개정을 통해 사이버 위협 대응 역량을 제도적으로 강화하고, 조직이 기술 변화 속도에 발맞추어 보안 및 개인정보 보호를 효과적으로 관리할 수 있는 기반을 제공함. - 특히 기계판독 형식 제공과 공개 참여 절차는 국제적으로도 선도적 접근으로 평가되며, 표준의 적용 용이 성과 투명성을 동시에 제고하는 효과가 있음. - 따라서 이번 개정은 안전한 소프트웨어 공급망 관리와 사이버 회복성 제고라는 글로벌 과제를 지원하는 중요한 진전으로 평가됨. 출처: USA: NIST revises security and privacy control catalog (Dataguidance, 2025.08.29.) NIST Revises Security and Privacy Control Catalog to Improve Software Update and Patch Releases (NIST, 2025.08.27.

목록

이전글

미국: FTC 위원장, 빅테크 기업들에 데이터 보안 약화에 대한 경고 서한 발송
다음글

등록된 다음글이 없습니다.

해당 페이지의 만족도와 소중한 의견 남겨주세요.

개인정보보호위원회 정보서비스

해외 개인정보보호 사이트

주소 : (우)03171 서울특별시 종로구 세종대로 209 정부서울청사 개인정보보호위원회

개인정보침해신고 : 국번없이 118
대표전화 : 02-2100-3025
개인정보분쟁조정위원회 : 1833-6972
법령해석지원센터 : 02-2100-3043
월~금 9:00~18:00, 공휴일 제외

(사)한국장애인단체총연합회 한국웹접근성인증평가원 웹 접근성 우수사이트 인증마크(WA인증마크)

Copyright ⓒ Personal Information Protection Commission. All right reserved.