CISA란 무엇인가요?
'사이버보안 및 인프라 보안 기관(CISA)'은 미국 국토안보부(DHS)의 산하 기관으로, 모든 정부 기관의 사이버보안 및 인프라 보호를 담당하며, 미국 주정부와 사이버보안 프로그램을 조율하고, 민간 및 국가 차원의 해커를 대상으로 정부의 사이버보안 방어 체계를 강화합니다.
CISA는 이해관계자의 위험 완화 역량을 강화하여 국가의 핵심 인프라와 공공 집회를 보호하는 역할을 담당합니다. 그러한 목표를 달성하기 위해 CISA는 국가 사이버 시스템의 보안, 복원력, 안정성을 보장하기 위한 공동의 노력을 주도합니다. CISA는 민간 부문, 학계, 정부 파트너와의 협력을 통해 다양한 사이버 인력을 구축하고, 보안 기술의 개발과 활용을 촉진하며, 모범 사례를 장려하기 위한 국가 차원의 활동을 주도합니다.
제로 트러스트란 무엇인가요?
미국 국립표준기술원(NIST) 800-207에 따르면, "제로 트러스트는 정적인 네트워크 기반 경계에서 벗어나 사용자, 자산, 리소스로 방어의 초점을 이동시키는 일련의 진화하는 사이버보안 패러다임을 일컫는 용어"입니다.
제로 트러스트 가이드라인을 수립하기 위해 NIST와 '사이버보안 및 인프라 보안 기관(CISA)'은 연방 네트워크가 어떻게 보호되고 있는지, 그리고 해당 네트워크 내의 데이터와 자산이 업계 전반에서 어떻게 보호되고 있는지 조사했습니다.
NIST와 CISA는 대부분의 조직이 네트워크에 대한 초기 접근을 제어하기 위해 방화벽, VPN과 같은 경계 기반 방어에 크게 의존하고 있다는 결론을 내렸습니다. 그러나 사용자가 네트워크에 접근한 후에는 해당 사용자의 활동이 제대로 모니터링되거나 추적되지 않았습니다. 기존의 경계 보안 조치는 일반적으로 네트워크 내부에 있는 모든 사용자를 신뢰할 수 있는 사용자로 간주합니다. 여기에는 위협 행위자와 악의적 내부자도 포함됩니다. 제로 트러스트는 네트워크 내외부의 그 어떤 개체도 신뢰하지 않는다는 전제 하에 조직이 데이터 침해를 방지하고 자산을 보호하는 데 도움이 됩니다. 제로 트러스트는 보안에 관한 한 신뢰가 취약점이라는 것을 인식합니다.
CISA 제로 트러스트 성숙도 모델 2.0이란 무엇인가요?
CISA의 제로 트러스트 성숙도 모델(ZTMM)은 빠르게 변화하는 환경과 기술 환경에서 지속적인 제로 트러스트 현대화 노력을 달성할 수 있는 접근 방식을 제공합니다. ZTMM은 조직이 제로 트러스트 아키텍처(ZTA)를 구현하기 위한 계획을 개발하도록 요구하는 행정 명령(EO) 14028호 "국가 사이버보안 개선"(3)(b)(ii)1에 따라 제로 트러스트 아키텍처로의 전환 계획을 설계하고 구현하는 데 취할 수 있는 여러 경로 중 하나입니다. ZTMM은 행정명령 14028에 따라 연방 기관에 맞춰 설계되었으나, 모든 조직은 이 문서에 명시된 접근 방식을 검토하고 채택하는 것을 고려해야 합니다.
CISA 제로 트러스트 성숙도 모델 2.0의 기둥은 무엇인가요?
CISA의 제로 트러스트 성숙도 모델은 신원, 장치, 네트워크, 애플리케이션 및 워크로드, 데이터라는 제로 트러스트의 5가지 기둥으로 나뉩니다. 각 기둥에는 성숙도 수준(고전 형태, 초기, 고급, 최적)에 따른 요건이 포함되어 있습니다.
- 신원: 사용자 및 사용자의 기기를 확인하고 인증하는 데 중점을 둡니다.
- 기기: 소유권과 관계없이 기기가 안전하고 적절하게 관리되도록 보장합니다.
- 네트워크: 경계에만 의존하지 않고 내외부 네트워크 트래픽을 관리하는 것을 강조합니다.
- 애플리케이션 및 워크로드: 온프레미스 및 클라우드 기반 애플리케이션 전반에서 세분화된 액세스 제어 및 보호 정책을 구현합니다.
- 데이터: 상태와 관계없이 데이터를 지속적으로 모니터링하고 암호화합니다.
CISA ZTMM은 또한 세 가지 교차 기능을 지원합니다.
- 가시성 및 분석: 네트워크 트래픽과 보안 상태에 대한 통찰력을 제공합니다.
- 자동화 및 오케스트레이션: 작업을 간소화하고 보안 프로세스를 자동화합니다.
- 거버넌스: 보안 관리를 위한 정책과 표준을 수립합니다.
어떤 조직이 CISA ZTMM 2.0을 사용할 수 있나요?
NIST ZTMM 2.0은 미국 정부 기관이 프로세스와 시스템을 디지털로 전환하는 과정에서 사이버보안을 유지하고 개선할 수 있는 지침으로 개발되었습니다. 그러나 이 지침은 모든 산업 부문의 크고 작은 기업과 조직에서 자발적으로 채택할 만큼 충분한 유연성을 갖춘 것으로 입증되었습니다.
CISA ZTMM 2.0을 준수하지 않을 경우 어떤 처벌을 받나요?
CISA ZTMM 준수는 자발적으로 선택할 수 있습니다. 그러나 조직이 NIST 프레임워크의 모범 사례를 따른다는 증거는 조직이 정보 보안을 지키고자 성실히 노력하고 있음을 보여줌으로써 데이터 침해 발생 시 부과되는 과징금 및 형사처벌에 대한 방어 수단을 제공할 수 있습니다.
탈레스는 CISA ZTMM 2.0 규정 준수를 어떻게 지원하나요?
탈레스 솔루션은 규정 준수를 간소화하고 보안을 자동화하여 조직이 CISA 제로 트러스트 성숙도 모델 2.0 요건을 준수하도록 돕고, 보안 및 규정 준수 팀의 부담을 줄여줍니다.
기타 주요 데이터 보호 및 보안 규정
PCI HSM
의무 규정 | 현재 시행 중
PCI HSM 규격은 특히 결제 산업을 위한 HSM의 논리적·물리적 보안 준수 기준을 정의합니다. PCI HSM 규제 준수 인증은 이러한 기준을 충족하는 데 달려 있습니다.
DORA
규정 | 현재 시행 중
DORA는 금융 기관의 IT 보안을 강화하여 사이버 공격의 규모와 심각성이 증가하는 상황에서 유럽의 금융 부문이 회복력을 갖출 수 있도록 하는 것을 목표로 합니다.
데이터 유출 통지법
규정 | 현재 시행 중
전 세계 각국에서는 개인 정보 유출에 따른 데이터 유출 통지 요건을 제정하고 있습니다. 관할권에 따라 다르지만 거의 보편적으로 '세이프 하버' 조항을 포함합니다.
GLBA
규정 | 현재 시행 중
'1999년 금융 서비스 현대화법'이라고도 불리는 '그램 리치 블라일리 법(GLBA)'은 금융 기관이 고객에게 정보 공유 관행을 설명하고 민감 데이터를 보호할 것을 요구합니다.