EU 규정 준수 의무 이해

규정 준수, 규정 준수, 보안, 보안? 이론적으로 우리가 일하고 협력하는 산업을 규율하는 규정은 사이버 또는 다른 형태의 보안을 중심으로 가드레일을 설치하는 것을 목표로 하는 프레임워크를 정의하고 지침을 제공합니다.

이로 인해 서로 다른 견해, 해석에 대한 이분법, 또는 적어도 의무 사항의 세부 사항 적용에 대한 논의의 여지가 생길 수 있습니다. 컴플라이언스를 언급할 때 '틱 박스 운동'이라는 용어를 들어본 적이 있을 텐데요, 이는 컴플라이언스를 대수롭지 않게 여기거나 해당 산업이나 지역에 적용되는 다양한 컴플라이언스 의무를 이행하기 위해 오랫동안 노력해온 전문가들이 혀를 차며 던지는 말일 수 있습니다.

저는 위의 몇 가지 경험을 통해, 그리고 규정 준수 프레임워크를 검토하는 데 상당한 시간을 투자한 조직 및 개인과 긴밀히 협력하면서 형성된 개인적인 견해를 가지고 있습니다. 종종 제가 발견한 것은 건조하고 기술적인 세부 사항보다는 규정의 '정신'에 따라 작업할 때 규정 준수의 실제 적용이 더 쉽고 간단하며 덜 복잡해진다는 사실입니다. 물론 규정 준수 유형에 따라 세부 사항은 어느 정도 중요하지만, 주어진 제어의 '의미'를 파악하기 위해 텍스트를 살펴보는 것이 중요한 경우가 많습니다. 이 규칙의 의도와 보안 강화 또는 개선에 대한 의미는 제가 선호하는 처리 방식입니다.

앞서 언급한 바와 같이 컴플라이언스의 핵심은 보안의 기본 수준, 즉 일반적인 태도를 개선하고 이러한 태도를 안정적으로 확인할 수 있는 기능을 제공하기 위한 것입니다.

주의할 점은 주어진 권한이 표현하는 구체적인 세부 사항에는 차이가 있다는 것입니다. 예를 들어, PCI DSS는 로깅 및 파일 모니터링에 대한 구체적인 세부 사항을 제공하는 반면, NIS 지침 (EU 전용)은 훨씬 더 광범위한 지침과 국가별 현지 수준에서 더 많은 변형을 제공합니다.

마찬가지로, 훌륭한 감사인은 기술적 세부 사항보다 의도와 효과를 더 많이 살펴본다는 점에서 감사인 또는 감사 기관의 해석에 대한 제 경험도 이와 일치하는 경우가 많습니다. 물론 이는 위와 같이 위임이 얼마나 구체적인지와 직접적으로 관련이 있으며, 이는 제 직접적인 경험일 뿐입니다.

일루미오가 어디에 적합한지 궁금하신가요? 위에서 언급한 비즈니스와 관리 기관의 공통점은 모두 고부가가치 자산과 데이터를 보호한다는 공통의 목표를 공유한다는 것입니다. 데이터, 사이버 보안 관행, 일부 중요 인프라에 적용되는 모든 규정 준수 의무는 그 핵심에 공통된 추론이 있습니다. 신용카드 정보, 개인 식별 정보(PII), 결제 기록, 자산 데이터 또는 이러한 데이터를 처리하고 전송하는 시스템이나 기타 데이터의 제어 시스템을 보호하는 것은 모든 규정 준수 의무의 핵심입니다. 즉, 이러한 보호에는 항상 분리 또는 마이크로세분화라는 측면이 수반됩니다. 목표는 공격 표면, 즉 침해의 폭발 반경을 제한하거나, 어떤 형태로든 중요 시스템과 데이터가 우선순위가 낮거나 덜 중요한 영역으로부터 멀리 떨어져 있도록 액세스 및 연결에 대한 완전한 제로 트러스트 모델을 채택하는 것입니다.

이를 위해 이 블로그 시리즈에서는 다양한 규정 준수 영역에 대한 세부 사항을 살펴보고, 해당 분야의 경험이 풍부한 외부 전문가가 각 블로그 게시물에 대한 반론을 제시하는 데 중점을 둘 것입니다. 이렇게 하면 내 해설에 색을 입히는 데 도움이 될 뿐만 아니라 정부 또는 제3자 수준에서 각 의무를 해석하고 감사하는 다양한 방식(감사자의 의견 포함)에 대한 구체적인 세부 정보도 얻을 수 있습니다.

기여해주신 분들께 미리 감사드립니다!

미국 규정과 크게 다를 수 있으므로 주로 EU/유럽의 규정 준수 의무에 초점을 맞출 것입니다. 따라서 HIPAA, NIST, 사베인즈-옥슬리와 같은 의무 사항은 자세히 다루지 않겠습니다. 일루미오에는 이미 PCI 컴플라이언스에 대한 중요한 정보가 있으므로 PCI DSS에 대한 이야기는 여기까지만 하겠습니다.

따라서 이 시리즈에서 다루는 영역은 몇 가지 유사한 관리 영역으로 그룹화됩니다:

중요 인프라 - NIS 지침, LPM
이 블로그 게시물에서는 EU 국가에 적용되는 비교적 새로운 NIS 지침(네트워크 및 정보 시스템 지침)에 대해 다룹니다. 이는 광범위한 송금, GDPR과의 관계, 비교적 개방적이고 현지에 맞는 해석으로 인해 흥미로운 의무입니다. 또한 이 게시물에는 이 글의 앞부분에서 규정 준수 및 이행의 의도와 관련하여 앞서 설명한 국정원 지침의 강제적 통제가 아닌 지침이라는 보다 개방적인 성격에 대한 자세한 내용도 포함되어 있습니다.

또한 이와 관련이 있으며 국정원 지침을 만드는 데 영향을 준 프랑스 중요 정보 인프라 보호법(LPM)은 몇 가지 흥미로운 제어 기능을 갖춘 보다 성숙한 중요 인프라 관련 의무 사항입니다.

금융/결제 - SWIFT, ECB SIPS
여기에서는 금융 관련 의무 사항, 일루미오 플랫폼이 최초로 보호하는 데 사용된 SWIFT 및 EU 관련 ECB SIPS(유럽 중앙 은행 - 시스템적으로 중요한 결제 시스템) 준수 지침에 대해 설명합니다.

데이터 처리 - ISO 27001, GDPR
이 게시물에서는 데이터 거버넌스 및 제어, PII 및 호스팅 시스템 보호에 대해 설명합니다. 이 역시 다양한 잠재적 의미와 해석이 가능한 영역입니다. 예를 들어, GDPR은 보다 구체적인 사이버 보안 표준과 밀접하게 연결되어 있으며, 국정원 지침과도 밀접하게 연결되어 있습니다.

규정 준수 전문가들의 인사이트와 전문 지식을 공유하고 일루미오가 모든 조직의 규정 준수 목표 달성을 어떻게 도울 수 있는지 설명할 수 있기를 기대합니다.