CRML (Cyber Risk Modeling Language)

CRML (Cyber Risk Modeling Language)이란 무엇인가요?

CRML(Cyber Risk Modeling Language)은 현대 사이버 위험 정량화에 만연한 파편화와 불일치 문제를 해결하기 위해 구축된 오픈 소스 선언형 사양입니다. 이는 텔레메트리 매핑, 시뮬레이션 파이프라인, 통제 종속성 및 요구되는 출력을 포함하여 복잡한 사이버 위험 모델을 정의하기 위한 표준화된 YAML/JSON 형식을 제공합니다. CRML의 핵심 철학은 **위험 코딩(Risk as Code, RaC)**을 구현하여 위험 및 규정 준수 가정을 버전 관리되고, 검토 가능하며, 실행 가능한 아티팩트로 변환하는 것입니다. 이 아티팩트는 다양한 팀과 도구 전반에서 일관되게 검증될 수 있습니다.

이 언어는 모델 정의와 실행 엔진을 분리하는 추상화 계층 역할을 합니다. 이는 조직이 FAIR 몬테카를로 엔진이나 베이지안/QBER 접근 방식과 같은 독점 도구나 특정 정량화 방법론에 얽매이지 않음을 의미합니다. 모델 설명을 표준화함으로써 CRML은 명시적인 가정을 가지고 정의된 동일한 위험 시나리오가 다양한 규정 준수 시뮬레이션 플랫폼에서 안정적으로 실행될 수 있도록 보장하여 감사 용이성, 재현성 및 정량화된 결과를 기반으로 보안 투자를 정당화하는 능력을 획기적으로 향상시킵니다.

주요 기능

CRML은 정량적 사이버 위험 관리에 엄격함과 표준화를 가져오도록 설계되었습니다.

• 엔진 비종속적 설계: FAIR 스타일 몬테카를로, 베이지안 방법 또는 보험 계리 모델을 지원하는 것을 포함하여 CRML 사양을 준수하는 모든 시뮬레이션 엔진과 원활하게 작동합니다.
• 선언형 YAML/JSON 형식: 모델은 사람이 읽을 수 있는 YAML 또는 JSON을 사용하여 설명되므로 읽고, 검토하고, 버전 제어(Git을 통해)하고, 감사하기 쉽습니다.
• 통제 효과성 모델링: 사용자가 복잡한 심층 방어 시나리오를 포함하여 보안 통제가 전반적인 위험 노출을 줄이는 방식을 명시적으로 정량화할 수 있도록 합니다.
• 중앙값 기반 파라미터화: 로그정규분포와 같은 일반적인 분포에 대해 중앙값을 직접 지정할 수 있도록 하여 입력 프로세스를 단순화합니다.
• 엄격한 유효성 검사: 모델 정의에서 구조적 및 논리적 오류를 시뮬레이션 시작 전에 포착하기 위해 JSON 스키마 유효성 검사를 통합하여 시간 절약 및 결함 있는 결과 방지.
• 다중 통화 지원: 다양한 통화 간의 자동 변환을 지원하여 글로벌 위험 모델링을 용이하게 합니다.
• 자동 보정: 제공된 손실 데이터에 따라 분포를 자동으로 보정하는 메커니즘을 갖추고 있습니다.

CRML (Cyber Risk Modeling Language) 사용 방법

CRML을 시작하는 것은 선언형 사양을 사용하여 위험 모델 구조를 정의하는 것을 포함합니다. 워크플로는 일반적으로 다음 단계를 따릅니다.

1. 모델 구조 정의: 위험 시나리오를 개괄하는 CRML 파일(일반적으로 YAML)을 생성합니다. 여기에는 위협 이벤트, 손실 이벤트 빈도, 손실 이벤트 크기 및 이들 간의 관계 정의가 포함됩니다.
2. 통제 및 가정 매핑: 범위 내의 보안 통제를 명시적으로 정의하고 CRML 사양에 따라 효과(예: 감소 계수 또는 확률 수정자 사용)를 정량화합니다.
3. 시뮬레이션 요구 사항 지정: 요구되는 출력, 유효성 검사 확인 및 특정 시뮬레이션 매개변수(예: 몬테카를로 실행 횟수 또는 베이지안 사전 확률)를 자세히 설명합니다.
4. 호환되는 엔진으로 실행: 표준화된 CRML 파일을 호환되는 시뮬레이션 엔진(예: 사용자 지정 FAIR 엔진 또는 베이지안 솔버)에 공급합니다. 모델이 표준화되었기 때문에 엔진은 입력을 해석하고 계산을 실행하는 방법을 정확히 알 수 있습니다.
5. 검토 및 버전 관리: 모델이 이제 버전 관리되는 아티팩트(코드형 인프라와 유사)이므로 소스 제어에서 추적하고, 동료 검토를 거치며, 위험 결정에 대한 감사 가능한 증거로 사용될 수 있습니다.

사용 사례

CRML은 정성적 위험 평가를 넘어 엄격하고 방어 가능한 정량화로 나아가려는 조직에 매우 중요합니다.

1. 보안 지출 정당화: 특정 통제(예: MFA 배포) 구현으로 달성되는 예상 연간 손실(ALE) 감소를 정량화하여 경영진 또는 이사회에 예산 요청을 정당화합니다.
2. 전사적 위험 집계: 이질적인 비즈니스 단위 또는 지리적 영역 전반의 위험 모델을 표준화하여 전사적 수준의 재무 목표에 대한 사이버 위험 노출을 일관되게 집계하고 비교할 수 있도록 합니다.
3. 공급업체 위험 관리: 중요한 제3자 공급업체에 대한 표준화되고 기계가 읽을 수 있는 위험 프로필을 생성하여 내부 벤치마크 대비 보안 태세를 자동으로 비교할 수 있도록 합니다.
4. 감사 및 규정 준수 추적성: 최종 위험 수치를 계산에 사용된 정확한 가정, 통제 매핑 및 데이터와 명시적으로 연결하는 변경 불가능하고 버전이 지정된 기록을 생성하여 엄격한 감사 요구 사항을 충족합니다.
5. 심층 방어 모델링: 여러 겹의 통제가 단일 위협을 완화하는 복잡한 보안 아키텍처를 정확하게 모델링하여 위험 감소가 이중으로 계산되지 않도록 보장합니다.

FAQ

Q: CRML은 독점적인가요, 아니면 어떤 도구와도 사용할 수 있나요? A: CRML은 오픈 소스 선언형 언어입니다. 의도적으로 엔진에 구애받지 않습니다. CRML 사양을 구현하는 모든 시뮬레이션 플랫폼은 이 형식으로 정의된 모델을 처리하고 실행할 수 있습니다.

Q: CRML과 FAIR와 같은 기존 프레임워크 간의 관계는 무엇인가요? A: CRML은 FAIR 원칙이나 기타 방법론을 사용하여 실행될 수 있는 모델을 설명하도록 설계되었습니다. 이는 위험 시나리오의 입력과 구조를 표준화하여 표준화되고 이식 가능한 파일 형식 내에서 FAIR 개념(예: 위협 이벤트 빈도 및 손실 크기)을 사용할 수 있도록 합니다.

Q: 이 프로젝트는 프로덕션 사용에 안정적인가요? A: 이 프로젝트는 현재 활발하게 개발 중입니다(저장소에 명시된 대로). 핵심 개념은 강력하지만, 프로젝트가 안정적인 주요 릴리스에 도달할 때까지 사용자는 개발 브랜치(crml-dev-1.3)를 모니터링하고 잠재적인 주요 변경 사항에 대비해야 합니다.

Q: CRML은 어떻게 일관성 없는 통제 문서화를 해결하나요? A: 통제 효과 및 심층 방어 가정을 구조화된 YAML/JSON 정의에 포함하도록 강제함으로써, CRML은 일관성 없는 스프레드시트나 서술적 문서에 대한 의존성을 제거합니다. 모든 분석가는 동일한 기계 판독 가능한 정의를 사용하여 최종 위험 계산에 통제가 영향을 미치는 방식의 일관성을 보장합니다.

Q: 공식 문서나 예제는 어디서 찾을 수 있나요? A: 이 프로젝트는 일반적으로 MkDocs를 통해 생성되는 문서를 유지 관리하며, 다양한 위험 시나리오 및 통제 매핑을 정의하는 방법을 보여주기 위해 저장소 구조 내에 예제를 포함하고 있습니다.