싱가포르 사이버보안국(CSA)은 사이버보안법에 따라 주요 정보 인프라(CII) 소유자의 규제를 위해 사이버보안국장이 발행한 실천 강령 또는 성능 표준을 발표했습니다. 주요 정보 인프라를 위한 사이버보안 실천 강령 – 제2판(CCoP 2.0)은 2022년 7월 4일부터 시행되며 이전 버전의 강령을 대체합니다.
주요 정보 인프라(CCoP)를 위한 사이버보안 실천 강령의 개요 CCoP 2.0의 목적
CCoP 2.0은 CII의 사이버보안을 보장하기 위해 주요 정보 인프라 소유자(CIIO)가 구현해야 하는 최소 요건을 명시하기 위한 것입니다. CIIO는 CII의 사이버보안 위험 프로필에 따라 CII의 사이버보안을 더욱 강화하기 위해 이 규정에 명시된 것 이상의 조치를 시행할 것으로 예상됩니다.
- 첨단 및 정교한 사이버 공격에 대비해 CII의 사이버보안 방어력을 강화합니다.
- 클라우드 컴퓨팅, 인공 지능(AI), 5G 등의 기술이 제시하는 새로운 과제를 해결하기 위한 CII 프레임워크를 제공합니다.
- 빠르게 진화하는 사이버보안 위험과 사고에 대응할 수 있는 CII의 역량을 강화합니다.
- 정부와 민간 부문 간의 협력 및 정보 공유를 개선하여 사이버 위협을 신속하게 식별하고 대응합니다.
- 파괴적인 사이버 사건에 대한 싱가포르 CII의 전반적인 복원력을 개선합니다.
사이버보안법은 주요 정보 인프라(CII) 지정을 위한 프레임워크를 제공하며, 11개 중요 부문의 CII 소유자는 CCoP 2.0에 명시된 필수 사이버 위생 관행을 준수하여 CII 부문의 강력한 사이버보안 기반을 확보해야 합니다.
- 11개 핵심 부문: 에너지, 정보통신, 수자원, 의료, 은행 및 금융, 보안 및 응급 서비스, 항공, 육상 운송, 해양, 정부, 미디어.
- CCoP 2.0 부록으로 일련의 필수 운영 기술(OT)별 사이버보안 관행이 도입되었으며, 이는 OT 주요 정보 인프라(CII)의 사이버보안 수준을 높이는 것을 목표로 합니다.
규제 준수 요약
싱가포르 주요 정보 인프라를 위한 사이버보안 실천 강령(CCoP 2.0) 준수
CII가 종합 사이버보안 솔루션을 통해 CCoP 2.0을 어떻게 준수하는지 알아보고 요건에 대해 자세히 알아보세요.
탈레스가 싱가포르의 CCoP 2.0을 지원하는 방식
탈레스의 솔루션은 가시성과 제어 기능을 통해 보안 및 규정 준수를 간소화하고 자동화함으로써, 보호 및 탐지 조항에 중점을 둔 CII의 CCoP 2.0 요건 충족을 지원하여 보안 및 규정 준수 팀의 부담을 줄입니다.
싱가포르 CCoP 2.0 규정 준수 솔루션
애플리케이션 보안
클라우드, 온프레미스 또는 하이브리드 모델에서 규모에 맞게 애플리케이션과 API를 보호합니다. 시장을 선도하는 탈레스 제품군에는 웹 애플리케이션 방화벽(WAF), 분산 서비스 거부(DDoS) 및 악성 BOT 공격으로부터의 보호, API 보안, 안전한 콘텐츠 전송 네트워크(CDN)가 포함됩니다.
데이터 보안
암호화 토큰화 및 키 관리를 사용하여 하이브리드 IT 전반에서 민감 데이터를 발견·분류하고 저장·전송·사용 중에 어디서나 자동으로 보호합니다. 탈레스 솔루션은 정확한 위험 평가를 위해 잠재적 위험을 식별·평가하고 우선순위를 정하며, 비정상적인 행동을 탐지하고 활동을 모니터링함으로써 규정 준수 여부를 검증하여 조직이 노력을 어디에 투자할지 우선순위를 정할 수 있도록 지원합니다.
ID 및 액세스 관리
고객, 직원, 협력사를 대상으로 애플리케이션과 디지털 서비스에 대한 원활하고 안전하며 신뢰할 수 있는 액세스를 제공합니다. 당사 솔루션은 세분화된 액세스 정책과 다중 인증을 통해 역할과 상황에 따라 내·외부 사용자의 액세스를 제한하여, 적절한 사용자가 적시에 적절한 리소스에 대한 액세스 권한을 받을 수 있도록 지원합니다.
CCoP 2.0 조항 충족
탈레스의 지원 방식:
- 정책을 통해 역할과 상황에 따라 내·외부 사용자의 시스템 및 데이터 액세스를 제한합니다.
- 위험 평가에 따라 상황에 맞는 보안 조치를 적용합니다.
- 여러 하이브리드 환경에서의 액세스 정책과 시행을 하나의 창으로 일원화합니다.
- 역할 기반 액세스 제어를 통해 키 관리 작업을 통합합니다.
- 데브옵스 도구 전반에서 기밀에 대한 액세스를 보호하고 자동화합니다.
- 시스템에 접근하는 사용자에게 실제 권한이 있는지 확인하는 다중 인증(MFA)을 제공합니다.
- 싱글사인온(SSO)을 사용하면 사용자가 한 번의 인증으로 여러 시스템에 안전하게 액세스할 수 있습니다.
- 사용자 역할, 책임, 위험에 따라 액세스 정책을 설정합니다.
탈레스의 지원 방식:
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 자동화된 워크플로에 유연한 인증 옵션을 제공하여 비밀번호에 대한 의존도를 완화합니다.
- 클라우드 애플리케이션에 싱글사인온 인증을 확장하여 보호받는 ID를 통해 안전하게 일원화된 방식으로 액세스할 수 있도록 지원합니다.
- 민감한 데이터에 특권 액세스 제어를 적용합니다.
- 기술 스택 전반에서 권한 있는 계정에 대해 정적 비밀 대신 적시 액세스(동적 비밀)를 지원하는 정적 비밀, 동적 비밀, SSH 키, API 키 및 토큰을 포함하여 자격 증명, 인증서 및 키의 포괄적인 비밀 관리 기능을 사용할 수 있습니다.
탈레스의 지원 방식:
- 모든 공개, 비공개, 섀도 API에 대한 잠재적 위험을 발견하고 분류합니다.
- 합법적인 트래픽은 계속 허용하면서, DDoS 공격과 악성 봇으로부터 중요한 네트워크 자산을 보호합니다.
- 데이터 트래픽을 모니터링하여 데이터 유출 위험을 발견합니다.
- 비즈니스 로직 공격과 OWASP API의 10대 위협 요소를 비롯한 여러 위협으로부터 보호를 제공합니다.
- 웹 애플리케이션 방화벽을 사용하여 사이버 위협을 탐지하고 예방합니다.
- 민감한 데이터는 생성된 후 익명화하고, 일반 텍스트 데이터가 승인되지 않은 애플리케이션과 인력에 의해 처리되거나 저장되지 않도록 방지합니다.
- 데브옵스 도구 전반에서 기밀에 대한 액세스를 보호하고 자동화합니다.
탈레스의 지원 방식:
- 민감한 데이터에 대해 특권 사용자 액세스 제어를 활성화하고 권한이 없는 액세스를 최소한의 권한으로 제한하는 설계를 사용합니다.
- 소스에서 대상까지, 열 수준에서 PII와 같은 고속 대량 토큰화 및 암호화를 제공합니다.
- 다양한 KMIP 클라이언트, TDE 에이전트 등을 포함하여 커넥터와 타사 기기에 대한 키와 인증서 관리를 통합합니다.
- 민감한 데이터 활동에 대해 완전한 가시성을 확보하고, 누가 접근 권한이 있는지 추적하고, 그들이 하는 일을 감사하고, 문서화합니다.
- 데이터베이스 공격과 비정상적인 액세스 요청을 실시간으로 경고하거나 차단합니다.
- 비정상적인 I/O 활동이 있는지 프로세스를 지속적으로 모니터링하고 악성 활동을 경고하거나 차단합니다.
- 활성 프로세스를 모니터링하여 과도한 데이터 액세스, 데이터 유출, 무단 암호화 또는 악의적인 사용자 사칭과 같은 활동을 식별하고 이러한 활동이 감지되면 경고 및 차단합니다.
탈레스의 지원 방식:
- MySQL 등의 데이터 저장소에서 평가 테스트를 실행하여 알려진 취약점을 스캔합니다.
- CIS 벤치마크를 기반으로 하며 사전 정의된 취약성 테스트 1,500여 종으로 데이터베이스를 스캔하여 최신 위협으로부터 데이터베이스를 보호할 수 있습니다.
탈레스의 지원 방식:
- FIPS 140-3 레벨 3 환경에서 암호키를 보호합니다.
- 키 수명 주기 관리를 통해 클라우드 및 온프레미스 환경에서 키 관리를 간소화합니다.
- 클라우드 키 관리 목적으로 점점 더 많아지는 IaaS, PaaS 및 SaaS 제공업체를 지원합니다. SaaS 솔루션은 Microsoft Office365, Salesforce.com, Salesforce Sandbox뿐만 아니라 SAP Data Custodian도 포함합니다. 지원하는 IaaS/PaaS 솔루션에는 Microsoft Azure, Microsoft Azure China National Cloud, Microsoft Azure Stack, IBM Cloud, Google Cloud Platform, 아마존 웹 서비스가 있습니다.
- 모든 기밀과 민감한 자격 증명을 관리하고 보호합니다.
- 업무 분리 원칙에 따라 암호화된 데이터와 암호키를 다른 장소에 저장합니다.
- 양자 컴퓨팅의 위협에 대처하기 위해 포스트 퀀텀 민첩성을 도입합니다.
- 기본 클라우드 키와 키 소스에서 생성된 키의 전체 키 수명 주기 관리를 통해 BYOK 및 HYOK를 지원합니다.
탈레스의 지원 방식:
- 서명, 행동 및 평판 분석을 사용하여 모든 악성 프로그램 주입 공격을 차단합니다.
- 웹 애플리케이션 방화벽을 사용하여 사이버 위협을 탐지하고 예방합니다.
- 클라우드와 온프레미스 시스템 전반의 모든 데이터베이스 활동을 모니터링하고 감사하여 가시성을 확보합니다.
- 정책 위반 시 실시간 알림이나 사용자 액세스 차단을 통해 데이터를 보호합니다.
- 사용자 행동, 애플리케이션 및 API 액세스 패턴, 데이터 소스 컨텍스트를 종합하여 통찰력을 제공합니다.
- 서버, 클라우드, 파일 공유 전반에서 비정형 데이터 액세스를 실시간으로 모니터링합니다.
- 지능적이고 컨텍스트가 풍부한 분석을 통해 심층적인 가시성과 AI 기반 통찰력을 얻고 위협과 내부 위험을 감지합니다.
관련 자료
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.