국방부 8570 인증 가이드: IAT, IAM, IASAE 및 CSSP 역할 요구 사항

미 국방부(DoD)는 네트워크 보안, 핵심 임무 수행, 국가 안보 보호 등을 위해 고도의 숙련도와 자격을 갖춘 사이버 인력에 의존하고 있습니다. DoD 지침 8570은 정보보안(IA) 교육, 인증 및 인력 관리 요건에 대한 기본 틀을 마련했으며, DoD 지침 8140으로 책임 이관이 이루어진 이후에도 DoD 전반의 사이버 인력에 대한 지침으로 계속 활용되고 있습니다.

본 가이드는 정보보안 기술(IAT), 정보보안 관리(IAM), 정보보안 시스템 아키텍처 및 엔지니어링(IASAE), 사이버보안 서비스 제공업체(CSSP) 등 4대 주요 사이버 인력 범주에 대한 DoD 지침 8570의 기본 인증 요건을 공식적인 형식으로 포괄적으로 설명합니다. 이 가이드는 계약업체, DoD 민간 직원, 군인, 그리고 인력 관련 규정 준수를 담당하는 조직 책임자를 위한 참고 자료로 활용될 수 있습니다.

1. 배경: DoD 8570의 목적

DoD 지침 8570.01-M은 모든 정보 보증(IA) 및 사이버 보안 담당자가 DoD 정보 시스템을 보호하는 데 필요한 지식, 기술 및 업계에서 인정하는 자격증을 보유하도록 보장하기 위해 도입되었습니다. 8570에 따라 DoD는 다음과 같은 사항을 수립했습니다.

• 통합된 기본 인증 매트릭스
• 표준화된 인력 범주 및 수준
• 담당자가 승인된 자격증을 취득하고 유지해야 하는 요건
• 계약업체의 규정 준수 및 이행 의무
• DoD 구성 요소 전반에 걸친 공통 자격 체계

8570은 업데이트된 8140 체계에 단계적으로 통합되고 있지만, IAT, IAM, IASAE, CSSP로 구성된 분류 체계는 DoD 인력 배치 및 자격증 검증의 기반이 되고 있습니다.

2. DoD 8570 인력 범주

8570 표준은 사이버 보안 인력을 각각 특정 임무 및 책임에 따라 네 가지 주요 범주로 분류합니다.

다음과 같은 범주가 있습니다.

• 정보보안 기술(IAT)
• 정보보안 관리(IAM)
• 정보보안 시스템 아키텍처 및 엔지니어링(IASAE)
• 사이버보안 서비스 제공업체(CSSP)

각 범주는 복잡성과 책임 수준에 따라 세분화됩니다.

3. 정보보안 기술(IAT)

IAT 담당자는 사이버보안 및 정보보안 관련 실무 기술을 수행합니다. 주요 책임은 다음과 같습니다.

• 보안 제어 구현 및 유지 관리
• 국방부 정보 시스템 구성 및 관리
• 네트워크 방어 작전 지원
• 시스템 및 네트워크 취약점 관리

IAT 담당자는 배정된 수준에 맞는 기술적 역량을 입증해야 합니다.

IAT 레벨 I

주요 직무

• 헬프데스크 기술자
• 주니어 시스템 관리자
• 네트워크 지원 기술자

주요 책임

• 기본 장치 구성
• 정기 시스템 유지 관리
• 초기 보안 제어 구현

승인된 기본 자격증

• CompTIA A+
• CompTIA Network+
• CCNA (Cisco Certified Network Associate)

IAT 레벨 II

주요 직무

• 시스템 관리자
• 네트워크 관리자
• 중급 사이버 보안 분석가

주요 책임

• 미 국방부 보안 정책 시행
• 시스템 보안 구성
• 사고 탐지 및 보고

승인된 기본 자격증

• CompTIA Security+
• CompTIA CySA+
• GICSP
• CCNA Security

IAT 레벨 III

주요 직무

• 시니어 시스템 관리자
• 시니어 사이버 보안 엔지니어
• 네트워크 보안 엔지니어

주요 책임

• 고급 시스템 방어 작전
• 보안 아키텍처 구현
• 엔터프라이즈 보안 제어 통합

승인된 기본 인증

• CASP+ (CompTIA 고급 보안 전문가)
• CISSP (공인 정보 시스템 보안 전문가)
• GCED (GIAC 공인 엔터프라이즈 방어 전문가)

4. 정보 보증 관리(IAM)

IAM 담당자는 사이버 보안 프로그램을 감독하고, 정보 보증 운영을 관리하며, 국방부 정책 준수를 보장합니다. 이들은 관리, 운영 및 감독 책임을 맡습니다.

IAM 레벨 I

주요 역할

• 보안 관리자(초급)
• 정보 보증 책임자

주요 책임

• 사내 보안 프로그램 관리
• 사용자 접근 관리
• 기본 규정 준수 시행

승인된 기본 인증

• CAP(Certified Authorization Professional)
• GSLC(GIAC Security Leadership Certification)

IAM 레벨 II

주요 역할

• 중간급 사이버 보안 관리자
• 사이버 프로그램 관리자
• 정보 시스템 관리자

주요 책임

• 조직 내 정보 보증 운영 관리
• 취약점 및 위험 관리
• 정책 구현 및 모니터링

승인된 기본 인증

• CISM(Certified Information Security Manager)
• CISSP

IAM 레벨 III

주요 역할

• 선임 사이버 보안 관리자
• 최고 정보 보안 책임자(CISO)
• 기업 보안 리더

주요 책임

• 전사적 정보 보증(IA) 감독
• 전략 정책 개발
• 자원 계획 및 규정 준수 보장

승인된 기본 인증

• CISSP
• GSLC

5. 정보 보안 시스템 아키텍처 및 엔지니어링(IASAE)

IASAE 담당자는 안전한 정보 시스템의 설계, 엔지니어링 및 아키텍처에 중점을 둡니다. 이들은 국방부 시스템이 전체 수명 주기 동안 사이버 보안 요구 사항을 충족하도록 보장합니다.

IASAE 레벨 I, II, III

(이 레벨들은 단계별 기술 역할로 구성되지만, 기본 자격증은 유사합니다.)

주요 역할

• 사이버 보안 아키텍트
• 시스템 보안 엔지니어
• 엔터프라이즈 아키텍트

주요 책임

• 아키텍처 설계
• 시스템 사이버 보안 통합
• RMF 제어 상속 및 매핑

승인된 기본 자격증

• CISSP-ISSAP (정보 시스템 보안 아키텍처 전문가)
• CISSP-ISSEP (정보 시스템 보안 엔지니어링 전문가)
• CSSLP (보안 소프트웨어 수명주기 전문가 자격증)

이러한 자격증은 고급 엔지니어링 및 아키텍처 전문성을 입증합니다.

6. 사이버 보안 서비스 제공자(CSSP) 역할

6.1 개요

CSSP 범주는 방어적 사이버 작전(DCO) 및 보안 모니터링 기능을 지원합니다. CSSP 담당자는 일반적으로 보안 운영 센터(SOC), 사고 대응팀 및 국방부 사이버 방어 부대에서 근무합니다.

CSSP 역할은 다음과 같습니다.

• CSSP 분석가
• CSSP 인프라 지원 담당자
• CSSP 사고 대응 담당자
• CSSP 감사 담당자
• CSSP 관리자

각 역할은 고유한 책임과 자격 요건을 가지고 있습니다.

6.2 CSSP 분석가

담당 업무

• 네트워크 모니터링
• 사이버 사고 탐지
• 위협 분석

승인된 자격증

• CEH (Certified Ethical Hacker)
• CySA+
• GCIH

6.3 CSSP 인프라 지원

담당 업무

• 네트워크 방어 지원
• 인프라 모니터링
• 도구 구성

승인된 자격증

• Security+
• CySA+
• GNFA

6.4 CSSP 사고 대응 담당자

담당 업무

• 사이버 사고 식별
• 사고 확산 방지 및 제거
• 포렌식 분석

승인된 자격증

• GCIH
• CEH
• GCFA

6.5 CSSP 감사자

담당 업무

• 보안 검토 및 평가
• 규정 준수 확인
• 위험 및 취약성 감사

승인됨 자격증

• CISA
• GSNA
• CEH

6.6 CSSP 관리자

책임

• DCO 운영 감독
• SOC 성과 관리
• 기업 사이버 방어 관리

승인된 자격증

• CISSP
• CISM

7. 자격증 취득 및 유지 관리

8570 직무에 배정된 인원은 다음 사항을 준수해야 합니다.

• 배정 전 또는 배정 후 6개월 이내(부서 정책에 따라 다름)에 필요한 자격증을 취득해야 합니다.

• CEU, CPE 또는 기타 지속 교육 활동을 통해 자격증을 유효하게 유지해야 합니다.

• 해당 DoD 인력 관리 시스템에 자격증 유효성 검사 결과를 업로드해야 합니다.

이러한 요건을 충족하거나 유지하지 못할 경우 직무에서 해임되거나 계약 자격이 상실될 수 있습니다(계약직의 경우).

8. 조직적 책임

국방부 산하 기관 및 계약업체는 다음 사항을 보장해야 합니다.

• 인력이 올바른 8570 범주에 맞춰 배치되도록 보장
• 인증 기록이 최신 상태로 유지되고 감사가 가능하도록 보장
• 인력이 인증 일정을 준수하도록 보장
• 지속적인 교육 및 기술 유지 관리
• 국방부 사이버 인력 프레임워크(DCWF)를 완벽하게 준수

계약업체는 계약 인력이 업무 수행 시작 전에 인증 요건을 충족하도록 보장해야 합니다.

9. 요약

국방부 8570 프레임워크는 국방부 인력 자격 프로그램의 핵심 기반으로, 8140으로의 전환 과정에서도 인력 자격 인증의 지침 역할을 계속 수행합니다. 국방부는 IAT, IAM, IASAE 및 CSSP 역할에 대한 명확한 인증 경로를 제시함으로써 임무 수행에 필수적인 시스템을 보호하고 방어할 수 있는 사이버 인력을 확보합니다.

8570 요구사항을 이해하고 충족하는 것은 다음과 같은 사람들에게 필수적입니다.

• 국방부 소속 민간인
• 군인
• 방위산업 계약업체
• 국방부 네트워크를 지원하는 IT 및 사이버 전문가

규정 준수는 준비 태세를 보장하고 운영 보안을 강화하며, 조직이 연방 사이버 인력 관련 의무를 충족할 수 있도록 합니다.