중요 인프라 보안법이란 무엇인가요?
2024년 11월 25일, 사이버보안 입법 패키지에 포함된 '중요 인프라 및 기타 법률 개정안(대응 및 예방 강화) 법안 2024(SOCI 법안)'이 법률로 제정되었습니다. SOCI 법은 정부가 사이버보안 전략 2023-2030의 4단계 방어(중요 인프라 보호)를 이행하고 진화하는 사이버 위협 환경의 격차와 문제를 해결할 수 있도록 더 광범위한 권한을 부여합니다.
- 비즈니스 크리티컬 데이터를 보관하는 데이터 저장 시스템은 개정안에 따라 주요 인프라 자산으로 규제됩니다.
- 새로운 정부 결과 관리 권한을 통해 정부는 사이버 사고뿐만 아니라 보다 광범위한 사고에 대응하기 위한 조치를 취하도록 해당 기관에 지시할 수 있습니다.
- '보호 대상 정보'에 대한 새로운 정의에는 피해 기반 평가와 관련 정보의 전체 목록이 포함되어 있으며, 보호 대상 정보를 다른 목적으로 공유하거나 사용할 수 있는 경우에 대한 설명이 포함되어 있습니다.
- 규제 당국이 중요 인프라 위험 관리 프로그램에서 확인된 심각한 결함을 해결하기 위해 책임 있는 기관에 지시를 내릴 수 있는 새로운 권한이 부여됩니다.
비즈니스 크리티컬 데이터를 보관하는 데이터 스토리지 시스템
- 16번: "...데이터 스토리지 시스템 및 비즈니스 크리티컬 데이터의 보호를 강화합니다."
- 19번: "부칙은 비즈니스에 중요한 데이터를 보유한 모든 비운영 시스템을 캡처하는 것이 아니라, 취약성이 중요 인프라에 관련 영향을 미칠 수 있는 시스템만을 대상으로 합니다. 캡처할 수 있는 시스템 유형의 예로는 정보와 운영 기술 시스템 간의 네트워크 분리가 부적절한 비즈니스 크리티컬 데이터를 보관하는 데이터 스토리지 시스템 또는 네트워크 청사진, 암호키, 알고리즘, 운영 시스템 코드, 전술, 기술 및 절차와 같은 운영 데이터를 보관하는 데이터 스토리지 시스템 등이 있습니다."
- 20번: "...책임 주체가 제3자에게 아웃소싱하는 경우 제3자가 데이터 저장 시스템에 대한 책임을 지게 됩니다."
- 31번: 제안되는 다양한 기준은 비즈니스에 중요한 데이터를 보유하고 있는 모든 비운영 시스템을 캡처해야 하는 것이 아니라 취약성이 중요 인프라에 관련 영향을 미칠 수 있는 시스템만 캡처해야 한다는 의도를 명확히 하고 있습니다. 또한 주요 중요 인프라 자산의 책임 주체가 소유하거나 운영하는 데이터 스토리지 시스템에 대한 책임이 있음을 명확히 합니다.
규정 준수 개요
호주 SOCI 법 준수 보장
탈레스가 중요 인프라 보안, 데이터 보호, 암호키 관리를 통해 조직이 호주의 SOCI 법을 준수하도록 지원하는 방법을 알아보세요.
탈레스가 SOCI 법(개정안) 준수를 지원하는 방법
탈레스의 솔루션은 규정 준수를 간소화하고 보안을 자동화하여 보안 및 규정 준수 팀의 부담을 줄임으로써 조직이 SOCI 법을 준수할 수 있도록 지원합니다.
탈레스는 애플리케이션 보안, 데이터 보안, 신원 및 액세스 관리라는 사이버보안의 세 가지 핵심 영역에서 포괄적인 사이버 보안 솔루션을 제공합니다.
SOCI 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사의 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN), 런타임 애플리케이션 자가 보호(RASP)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
SOCI 법(개정안)의 요건 준수 - 부칙 1
탈레스의 지원 방식:
- 모든 공개, 비공개 및 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
- 온프레미스 및 클라우드에서 위험에 처한 정형 및 비정형 중요 데이터를 식별합니다.
- 규정 준수 현황을 파악하고, 부족한 부분을 문서화하고, 완전한 규정 준수를 위한 경로를 제공합니다.
탈레스의 지원 방식:
- 클라우드 및 온프레미스 시스템 전반의 정형 및 비정형 데이터에 대한 데이터 활동을 모니터링합니다.
- 모든 시스템에 대한 모든 액세스 이벤트에 대한 감사 추적 및 보고서를 생성하고 외부 SIEM 시스템으로 로그를 스트리밍합니다.
탈레스의 지원 방식:
- 데이터/애플리케이션의 민감도에 따라 적응형 인증 정책을 구축 및 배포합니다.
- 피싱 및 중간자 공격으로부터 보호합니다.
탈레스의 지원 방식:
- FIPS 140-2 레벨 3 환경에서 암호키를 보호합니다.
- 클라우드 및 온프레미스 환경에서 키 관리를 간소화합니다.
- 모든 기밀과 민감한 자격 증명을 관리하고 보호합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.