.png)
EU 규정 준수 의무에 대한 이해: GDPR, 사이버 필수 사항
이 블로그 시리즈의 1부에서는 규정 준수 환경과 다양한 산업에서 각각 사이버 보안에 대한 자체 규정 또는 지침이 어떻게 적용되는지에 대해 설명했습니다. 그 다음에는 제가 직접 경험한 분야이자 사이버 보안이 발전함에 따라 관심을 갖게 된 중요 시스템 및 운영 기술 부문의 규제 및 보안 제어에 관한 포스팅이 이어졌습니다. 그 다음에는 EU에 존재하는 금융 서비스 규정으로 이동했습니다.
여기에서는 약간 접점이 있는 규정인 GDPR과 사이버 보안에 대한 NCSC(영국 국가 사이버 보안 센터)의 가이드라인인 사이버 에센셜/사이버 에센셜 플러스에 대해 살펴볼 것입니다.
일반 데이터 보호 규정 - GDPR
많은 분들이 일반 데이터 보호 규정(GDPR)에 대해 잘 알고 계실 텐데요, 이는 EU에서의 생활과 업무에 직접적인 영향을 미치거나 우리가 작업하는 데이터 및 상호 작용하는 시스템에 적용되는 규정입니다.
너무 자세히 설명하지 않더라도 GDPR은 주로 데이터 보호, 데이터 처리 및 EU 시민의 개인 식별 정보(PII)에 대한 개인 정보 보호 문제에 중점을 두고 있습니다. 핵심 원칙은 개인이 자신의 데이터를 통제할 수 있도록 하고, 데이터 관리자와 데이터 처리자가 데이터 보호 원칙을 이행하기 위해 '적절한 기술적 및 조직적 조치' 를 마련하도록 의무화합니다. 2018년 봄에 시작되어 EU 시민의 데이터를 취급하는 모든 조직에 적용되는 GDPR은 광범위하지만 지침(지침)이 아닌 규정(통제)으로서 PII에 대한 통제를 통합하는 것을 목표로 합니다.
기본적으로 GDPR은 사이버 보안 실무자에게 몇 가지 의미를 갖습니다. 특히 조직은 다음과 같은 사항을 준수해야 합니다:
- 보안 위험 관리
- 사이버 공격으로부터 개인 데이터 보호
- 보안 이벤트 탐지
- 영향 최소화
이러한 문제는 이 글의 뒷부분에서 설명하는 영국의 사이버 에센셜 가이드라인 시행을 포함하여 여러 가지 방법으로 해결할 수 있습니다.
지금은 마이크로 세분화, 침해 방지, 측면 이동 감소라는 렌즈를 통해 요구 사항을 어떻게 해석하고 적용하는지 자세히 살펴보고자 합니다.
GDPR의 핵심 원칙과 일루미오의 지원 방법
사이버 보안 관점에서 GDPR 표준을 충족하는 데 도움이 되는 여러 가지 가이드라인이 있으며, NCSC GDPR 보안 결과 가이드에 설명되어 있습니다. 이 중 몇 가지 특정 요구사항은 마이크로 세분화의 범주에 속합니다:
A) 보안 위험 관리
개인 데이터에 대한 보안 위험을 이해, 평가 및 체계적으로 관리하기 위한 적절한 조직 구조, 정책 및 프로세스를 갖추고 있습니다.
구체적으로
A. 3 자산 관리
이 요건은 일반적으로 GDPR에서 데이터 자체를 다루지만, 데이터 처리/데이터 호스팅 시스템 자체를 시각화 및 매핑한 후 적절하게 세분화하여 부적절한 액세스나 유출을 방지할 수 있습니다.
A. 4 데이터 프로세서 및 공급망
귀하는 데이터 처리자와 같은 제3자에 대한 종속성으로 인해 발생할 수 있는 처리 작업에 대한 보안 위험을 이해하고 관리합니다. 여기에는 적절한 보안 조치를 취하는 것도 포함됩니다.
일루미네이션을 통한 애플리케이션 종속성 매핑은 일루미오 코어의 주요 기능으로, 조직의 외부 시스템과의 연결성을 더 잘 이해할 수 있게 해줍니다.
B) 사이버 공격으로부터 개인 데이터 보호
회원님은 사이버 공격으로부터 보호하기 위해 회원님이 처리하는 개인 데이터와 해당 데이터를 처리하는 시스템을 포괄하는 적절한 보안 조치를 마련하고 있습니다.
위와 마찬가지로 이 가이드라인의 핵심 지침은 사이버 공격 방지, 즉 GDPR에 따라 관리되는 데이터를 보유한 시스템으로의 성공적인 측면 이동을 방지하는 것에 관한 것입니다. 마이크로 세분화가 바로 이러한 상황을 방지하는 기능입니다.
C) 보안 이벤트 탐지
개인 데이터를 처리하는 시스템에 영향을 미치는 보안 이벤트를 감지하고 해당 데이터에 대한 승인된 사용자의 액세스를 모니터링할 수 있습니다.
C.1 보안 모니터링
개인 데이터를 처리하는 시스템의 상태를 적절히 모니터링하고 비정상적인 사용자 활동을 포함하여 해당 데이터에 대한 사용자 액세스를 모니터링합니다.
여기서도 애플리케이션 종속성 매핑이 중요한 역할을 합니다. 중요한 애플리케이션이나 시스템으로 들어오고 나가는 애플리케이션 흐름을 모니터링하는 것은 침해 또는 동작 변화를 모니터링할 때 매우 강력합니다. SIEM 및 SOAR 등의 시스템과 통합할 수 있는 기능과 함께, 침해된 것으로 보이는 디바이스를 격리하는 등 공격에 신속하게 대응할 수 있습니다.
제로 트러스트 태세를 채택하는 조직의 경우, Illumio 정책은 공격이 자리를 잡기도 전에 조직을 최전방에 배치하고, 본질적으로 중요한 시스템을 측면 이동으로 인한 침해 사슬로부터 보호합니다.
D) 영향 최소화
할 수 있습니다:
개인 데이터 유출의 영향 최소화하기
시스템 및 서비스 복원
여기서는 폭발 반경, 특히 폭발 반경의 이해와 최소화에 대해 다룹니다. 다시 말하지만, 여기서 말하는 시스템은 데이터 자체가 아니라 시스템을 의미합니다.
이러한 요건을 충족하기 위해 참고할 수 있는 여러 가지 구체적인 가이드라인 세트가 있으며, GDPR 준수 표준을 충족하기 위한 컨설팅과 방향을 제시하는 전담 조직도 있습니다. 영국에서 출발점으로 참고할 수 있는 가이드라인 중 하나는 사이버 에센셜이며, 외부 감사를 받은 버전인 사이버 에센셜 플러스가 있습니다:
사이버 에센셜, 사이버 에센셜 플러스
사이버 에센셜은 NCSC에서 발표한 간단한 사이버 보안 가이드라인으로, 모든 조직이 조직을 보호하는 데 사용할 수 있으며 GDPR 등을 준수하려고 할 때 도움이 될 수 있습니다. 사이버 에센셜 자체는 자체 평가 옵션이며, 사이버 에센셜 플러스는 외부 검증 버전으로 사용할 수 있습니다. 요구 사항은 두 가지 모두 동일하며 증명 방법만 변경됩니다.
범위는 전체 IT 인프라 또는 하위 집합을 포함할 수 있습니다. 웹 애플리케이션은 기본적으로 범위 내에 있습니다.
2020년 8월 버전 2.1부터 구체적인 요구 사항은 몇 가지 주요 영역을 중심으로 이루어집니다:
- 방화벽
- 보안 구성
- 사용자 액세스 제어
- 멀웨어 보호
- 패치 관리
이 중 Illumio가 도움을 줄 수 있는 세 가지 주요 섹션은 방화벽, 보안 구성, 멀웨어 보호입니다. 사용자 액세스 제어의 일부 측면은 일루미오 적응형 사용자 세분화 기능으로 해결할 수도 있습니다.
방화벽
모든 디바이스는 네트워크 서비스를 실행하여 다른 디바이스 및 서비스와 어떤 형태로든 통신을 합니다. 이러한 서비스에 대한 액세스를 제한하면 공격에 대한 노출을 줄일 수 있습니다. 방화벽 및 이에 상응하는 네트워크 장치를 사용하여 이를 달성할 수 있습니다.
경계 방화벽은 인바운드 및 아웃바운드 네트워크 트래픽을 컴퓨터 및 모바일 디바이스 네트워크의 서비스로 제한할 수 있는 네트워크 장치입니다. 사이버 공격으로부터 보호하는 데 도움이 될 수 있습니다 사이버 에센셜: 트래픽의 소스, 목적지, 통신 프로토콜 유형에 따라 트래픽을 허용하거나 차단할 수 있는 '방화벽 규칙'이라는 제한을 구현하여 IT 인프라에 대한 요구 사항입니다.
또는 장치에 호스트 기반 방화벽을 구성할 수도 있습니다. 이는 경계 방화벽과 동일한 방식으로 작동하지만 경계 방화벽이 구성된 단일 장치만 보호합니다. 이 접근 방식은 보다 맞춤화된 규칙을 제공할 수 있으며 규칙이 사용되는 모든 디바이스에 적용된다는 것을 의미합니다. 하지만 이렇게 하면 방화벽 규칙 관리의 관리 오버헤드가 증가합니다.
Illumio는 주로 호스트 기반의 기존 OS 방화벽을 사용하며, 동적 제로 트러스트 보안 태세를 쉽게 달성할 수 있도록 프로그래밍합니다. 기존의 개별 방화벽을 사용하면 보호해야 하는 디바이스 및 데이터에 밀착된 매우 세분화된 정책을 수립할 수 있습니다.
보안 구성
컴퓨터와 네트워크 장치가 기본 구성에서 항상 안전한 것은 아닙니다. 기본으로 제공되는 표준 구성에는 종종 다음과 같은 약점이 하나 이상 포함되어 있습니다:
- 미리 정해진 공개적으로 알려진 기본 비밀번호를 사용하는 관리 계정
- 미리 활성화되어 있지만 불필요한 사용자 계정(때로는 특별한 액세스 권한이 있는 경우)
- 사전 설치되어 있지만 불필요한 애플리케이션 또는 서비스
컴퓨터와 네트워크 장치의 기본 설치는 사이버 공격자에게 조직의 민감한 정보에 무단으로 액세스할 수 있는 다양한 기회를 제공할 수 있으며, 종종 쉽게 액세스할 수 있습니다.
여기서도 정책 모델로서의 제로 트러스트는 특정 워크로드의 보안을 대폭 강화하며 앞서 언급한 '불필요한 애플리케이션 또는 서비스'에 대한 액세스를 최소화합니다.
악성 소프트웨어 보호
인터넷에서 다운로드한 소프트웨어를 실행하면 디바이스가 멀웨어 감염에 노출될 수 있습니다.
컴퓨터 바이러스, 웜, 스파이웨어와 같은 멀웨어는 악의적인 작업을 수행하기 위해 의도적으로 작성 및 배포된 소프트웨어입니다. 악성 이메일 첨부파일, 다운로드(애플리케이션 스토어에서 다운로드 포함), 승인되지 않은 소프트웨어의 직접 설치 등이 멀웨어 감염의 잠재적 원인이 될 수 있습니다.
이 지침에 따라 Illumio Core와 Illumio Edge는 멀웨어 감염의 측면 이동 부분을 방지하여 폭발 반경을 최소화하고 중요한 비즈니스 애플리케이션의 후속 감염을 방지합니다.
결론적으로
통제와 안내의 경우 모두 해석이 중요한 경우가 많습니다. GDPR은 해석과 이행이 까다로운 것으로 알려져 있으며, 요구되는 목표를 달성하기 위한 구체적인 방법에 대한 방향이 비교적 개방적입니다. GDPR과 관련된 벌금은 구현된 제어의 기술적 세부 사항 외에도 요구 사항을 충족하는 데 필요한 의도와 노력을 고려합니다.
마찬가지로 사이버 에센셜은 보안을 강화하는 방법에 대한 기본적인 개요를 제공하지만, 이를 달성하기 위한 다양한 방법이 열려 있습니다. 애플리케이션 종속성 매핑이 제공하는 세분화된 가시성과 Illumio를 통해 가능한 기본 거부, 제로 트러스트 보안 태세는 조직이 이 두 가지 보안 가이드라인을 모두 충족하는 데 큰 도움이 됩니다.
일루미오의 제로 트러스트 접근 방식에 대해 자세히 알아보려면 https://www.illumio.com/solutions/zero-trust 을 방문하세요.
