SEBI의 사이버보안 및 사이버 복원력 프레임워크(CSCRF)
2024년 8월 20일, 인도 증권거래위원회(SEBI)는 인도 증권 시장의 현행 사이버보안 조치를 개선하고 사이버 위험 또는 위협에 대처하는 메커니즘을 강화하기 위해 사이버보안 및 사이버 복원력 프레임워크(CSCRF)를 SEBI 규제 대상 기관(RE)에 발표했습니다.
CSCRF는 사이버 복원력을 강화하고 SEBI 규제 대상 기관(RE)의 강력한 사이버보안을 유지하기 위한 표준과 지침을 제공하는 것을 목표로 합니다. CSCRF 프레임워크는 기존의 SEBI 사이버보안 공문/지침/권고/서한을 대체합니다.
CSCRF는 표준을 기반으로 하며 인도 컴퓨터 비상 대응팀(CERT-In)의 사이버 위기 관리 계획(CCMP)에서 채택한 5가지 사이버 복원력 목표인 예측, 견딤, 억제, 복구, 진화를 광범위하게 다룹니다. 이러한 사이버 복원력 목표는 거버넌스, 식별, 보호, 탐지, 대응 및 복구라는 사이버보안 기능과 연계되어 있습니다.
CSCRF는 네 부분으로 구성되어 있습니다.
- 1부: 목표 및 기준
- 2부: 지침
- 파트 III: 규정 준수를 위한 구조화된 형식
- 파트 IV: 부록 및 참조
이 프레임워크는 다음 규제 대상 기관(RE)에 적용되며, 운영 규모, 고객 수, 거래량, 관리 자산에 따라 RE를 여러 범주로 세분화하고 각 범주에 대한 구체적인 규정 준수 요건을 제공합니다.
- 사이버보안 및 사이버 복원력 관련 규정이 이미 존재하는 규제 대상 기관(RE)의 경우 - 2025년 1월 01일까지.
- CSCRF가 처음 발급되는 다른 RE의 경우 - 2025년 4월 01일까지.
규정 준수 개요
사이버보안 및 사이버 복원력 프레임워크(CSCRF)
탈레스는 프레임워크에서 거버넌스, 신원 확인, 보호의 사이버보안 기능 지침을 다룸으로써 CSCRF 규정 준수를 지원하는 솔루션을 살펴보세요.
탈레스가 CSCRF 규정 준수를 지원하는 방법
탈레스는 프레임워크에서 거버넌스, 신원 확인, 보호의 사이버보안 기능 지침을 다룸으로써 RE가 CSCRF를 준수하도록 지원할 수 있습니다.
탈레스는 애플리케이션 보안, 데이터 보안, 신원 및 액세스 관리라는 사이버보안의 세 가지 핵심 영역에서 솔루션을 제공합니다.
CSCRF 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 당사의 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격에 대한 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN), 런타임 애플리케이션 자가 보호(RASP)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
CSCRF 표준 강령 및 지침의 충족
SafeNet 인증 서비스 프라이빗 클라우드 에디션(PCE)은 200개 이상의 사전 테스트를 거친 구성을 제공하고, 타사 솔루션을 지원하며, 다양한 토큰 유형을 제공하는 비용 효율적이고 사용하기 쉬운 온프레미스 인증 플랫폼입니다.
CipherTrust 데이터 검색 및 분류(DDC)는 다양한 데이터 저장소에서 데이터를 식별하고 분류하고 온프레미스, 하이브리드, 클라우드 및 멀티 클라우드 환경 전반에서 자산을 관리함으로써 데이터 개인 정보 보호 및 보안을 강화합니다.
Imperva 데이터 보안 패브릭 데이터 활동 모니터링(DAM)을 사용하면 규제 대상 기관(RE)이 데이터 저장소 활동을 지속적으로 모니터링하고 자세한 감사 이력을 제공하여 중요한 데이터와 관련된 위험을 식별할 수 있습니다.
Imperva 데이터 보안 패브릭 데이터 활동 모니터링(DAM)은 관계형, NoSQL, 메인프레임, 빅데이터, 데이터 웨어하우스 등 다양한 플랫폼에서 감사를 간소화하고 Microsoft Azure 및 AWS를 지원하여 자세한 데이터 활동을 자동으로 캡처합니다.
탈레스 루나 HSM과 고속 암호화기는 규제 대상 기관(RE)이 PQC를 준비할 수 있도록 민첩한 암호화 접근 방식을 제공합니다.
- 양자 안전성을 갖춘 탈레스 루나 HSM으로 암호키를 강화합니다. 이 솔루션은 NIST 양자 내성 최종 후보 알고리즘이 추가되어 상용화되었습니다.
- 해시 기반 서명이 포함된 PQC FM을 사용한 양자 내성 알고리즘(QRA)(SP800-208)
- 통합/맞춤형 PQC: 루나의 기능 모듈(FM)을 사용하거나 다양한 파트너 FM/통합을 통해 자체 포스트 퀀텀 암호를 구현하세요
- QRNG: 양자 엔트로피와 QRNG 및 루나 HSM의 보안 키 스토리지로 양자 엔트로피를 주입합니다
- 탈레스 고속 암호화(HSE) 네트워크 암호화 솔루션은 전송 중인 데이터를 안전하게 보호하고, 암호화 민첩성을 갖춘 FPGA 기반 아키텍처로 포스트퀀텀 암호화(PQC)를 지원하여 양자 공격으로부터 장기간 보호하고 모든 곳에서 암호화를 제공합니다.
PQC 스타터 키트를 사용하면 규제 대상 기관(RE)이 신뢰할 수 있는 환경에서 양자 안전 솔루션을 안전하게 테스트할 수 있으며, Quantinuum과 협력하여 PQC 지원 키를 위한 루나 HSM을 설정할 수 있습니다.
Imperva 웹 애플리케이션 방화벽(WAF)은 웹 애플리케이션을 위한 포괄적인 보안을 제공하여 사이버 위협을 탐지하고 방지합니다. 실시간으로 공격을 차단하고 매일 규칙을 업데이트합니다.
Imperva 데이터 보안 패브릭 데이터 위험 분석은 데이터 액세스 및 활동을 모니터링하여 모든 사용자에 대한 가시성을 제공합니다. 심층 도메인 보안 전문 지식과 머신 러닝을 사용하여 의심스러운 행동을 식별합니다.
SafeNet 인증 서비스 프라이빗 클라우드 에디션(PCE)을 통해 조직은 기밀 리소스에 대한 액세스를 제한하고 SAML, RADIUS, 에이전트 또는 API를 통해 타사 솔루션을 지원할 수 있습니다.
Imperva 웹 애플리케이션 방화벽(WAF)은 포괄적인 웹 애플리케이션 보안을 제공하여 사이트 간 스크립팅 및 불법 리소스 액세스와 같은 사이버 위협을 탐지하고 방지합니다. 위협 연구팀이 매일 업데이트하여 실시간으로 공격을 차단합니다.
Imperva API Security는 완전한 API 가시성을 제공하여 엔드포인트를 자동으로 검색하고 위험을 평가합니다. 호출 데이터를 사용하여 민감한 API를 분류하여 사전 예방적 보안 조치를 가능하게 합니다. 지속적인 모니터링은 더 빠르고 안전한 소프트웨어 출시를 촉진하며, 추가 기능 또는 API Security Anywhere 제품의 일부로 제공됩니다.
CipherTrust 투명 암호화는 지속적인 파일 수준 암호화, 중앙 집중식 키 관리, 권한 있는 사용자 액세스 제어를 제공하여 물리적, 가상 및 클라우드 환경에서 무단 액세스를 방지하고 원활한 구현을 보장합니다.
CipherTrust 엔터프라이즈 키 관리는 클라우드 및 엔터프라이즈 환경에서 키 관리를 강화하여 FIPS 140-2를 준수하는 가상 또는 하드웨어 어플라이언스를 사용하는 자체 개발 암호화 및 타사 애플리케이션에 높은 보안 및 중앙 집중화 기능을 제공합니다.
SafeNet 인증 서비스 프라이빗 클라우드 에디션(PCE)은 OTP, PKI 자격증명, Kerberos, 다양한 폼 팩터 등 다양한 인증 방법을 통해 기업 애플리케이션에 중앙 집중식으로 안전하게 액세스할 수 있는 기능을 제공합니다.
탈레스 OneWelcome 신원 및 액세스 관리 솔루션은 여러 애플리케이션에 다중 인증 기기를 활용하여 포괄적인 보안 조치와 보고 기능을 조직에 제공합니다.
탈레스 OneWelcome 동의 및 기본 설정 관리 모듈을 통해 금융 기관은 사용자 역할과 책임에 따라 소비자 동의를 수집하고, 데이터 액세스를 관리하고, B2B 위임을 관리할 수 있습니다.
CipherTrust 관리자는 생성, 백업 및 복원, 비활성화, 삭제 등의 활동을 포함한 주요 수명 주기 관리를 간소화합니다. 주요 파기 단계를 통해 조직은 데이터의 디지털 파쇄를 실행할 수 있습니다.
Imperva API Security는 보안 팀에 포괄적인 API 가시성을 제공하여 더 빠르고 안전한 소프트웨어 출시 주기를 지원하고 리소스 집약적인 워크플로를 방지하여 새로운 위험에 대한 최신 정보를 제공합니다.
저장 데이터
탈레스는 클라우드 서비스 제공업체(CSP)가 제공하는 기본 암호화와 공존할 수 있는 저장 데이터에 대한 다양한 솔루션을 제공합니다.
- CipherTrust 투명 암호화는 물리, 가상 및 클라우드 환경에서 무단 액세스로부터 보호하기 위해 지속적인 파일 수준 암호화를 제공합니다. AES 및 ECC와 같은 강력한 표준 기반 프로토콜을 사용하며 FIPS 140-2 레벨 1 인증을 받았습니다.
- CipherTrust 토큰화는 클라우드에서 데이터 익명화 및 비식별화를 위한 토큰화, 동적 데이터 마스킹을 제공합니다.
- CipherTrust 애플리케이션 데이터 보호는 RESTful API를 사용하는 애플리케이션에 형식 보존 암호화 또는 기존 암호화를 제공합니다. 위의 모든 솔루션은 클라우드에 저장된 데이터를 보호하는 데 사용할 수 있습니다.
- CipherTrust 관리자는 CipherTrust 데이터 보안 플랫폼의 중앙 관리 지점입니다. 생성, 순환, 파기, 가져오기, 내보내기 등의 주요 수명 주기 작업을 관리하고, 키와 정책에 대한 역할 기반 액세스 제어를 제공하며, 강력한 감사 및 보고를 지원하고, 개발자에게 친숙한 REST API를 제공합니다.
전송 중인 데이터
- 탈레스 고속 네트워크 암호화(HSE) 솔루션은 데이터센터와 본사, 지사 및 위성 사무소, 백업 및 재해 복구 사이트, 온프레미스 및 클라우드 간에 네트워크를 통해 이동하는 데이터를 보호합니다.
CipherTrust 데이터 검색 및 분류(DDC)는 다양한 데이터 저장소에서 민감한 데이터를 식별하고 분류하는 프로세스를 간소화하여 보안 위험을 줄이고 클라우드 전환 및 문제 해결 시 더 나은 의사결정을 가능하게 합니다.
Imperva API Security는 엔드포인트를 자동으로 감지하고 민감한 데이터 주변의 위험을 파악하여 보안팀에 포괄적인 API 가시성을 제공합니다. 개발자가 다양한 환경에서 마이크로서비스와 API를 구축할 수 있도록 10대 OWASP API 보안 위험에 대한 보호를 강화하여 규제 대상 기관(RE)의 보안을 강화합니다.
CipherTrust 기밀 관리(CSM)는 Akeyless Vault를 기반으로 데브옵스 도구 및 클라우드 워크로드 전반에서 기밀에 대한 액세스를 자동화하고 GitHub 및 Kubernetes와 같은 타사 애플리케이션과 통합합니다.
탈레스 고속 암호화기(HSE)는 네트워크 독립적인 전송 데이터 암호화를 제공하여 도청, 감시 및 가로채기로부터 데이터, 비디오, 음성 및 메타데이터를 보호합니다. 물리 및 가상 어플라이언스로 제공되며 넓은 범위의 네트워크 속도를 지원합니다.
클라우드 서비스 도입을 위한 프레임워크
CipherTrust 데이터 보안 플랫폼은 규제 대상 기관(RE)을 위한 안전한 클라우드 스토리지를 제공합니다. 이는 고급 암호화와 중앙 집중식 키 관리를 활용하여 여러 클라우드 공급업체에 걸쳐 데이터 이동성을 보장합니다.
CipherTrust 클라우드 키 관리자(CCKM)는 여러 클라우드 인프라와 SaaS 애플리케이션에서 BYOK(Bring Your Own Key) 사용 사례를 지원합니다. 기업 데이터에 대한 강력한 보호 기능을 제공하여 규정을 준수하고 암호키 수명 주기를 제어할 수 있습니다.
CipherTrust 투명 암호화는 Amazon S3, Azure Files 등에 있는 데이터에 대한 투명한 암호화 및 액세스 제어를 제공합니다.
CipherTrust 토큰화는 데이터를 클라우드로 마이그레이션하기 전에 데이터를 난독화된 형태로 토큰화하여 데이터 유출을 방지합니다.
탈레스 루나 하드웨어 보안 모듈(HSM)은 조직에 암호키 제어를 위한 전용 하드웨어를 제공하여 안전한 암호화 처리, 키 생성 및 암호화를 위한 변조 방지 환경을 제공합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.