EU 규정 준수 의무 이해 운영 기술 & 중요 시스템

EU 규정 준수 의무 이해에 관한 첫 번째 포스팅에서 저는 규정 준수 환경 전반과 다양한 산업 유형 및 영역에서 각각 사이버 보안에 대한 자체 규정 준수 의무 또는 지침이 어떻게 적용되는지에 대해 설명했습니다. 오늘은 정말 흥미로운 분야인 중요 시스템 및 운영 기술과 관련된 규정과 보안 제어에 대해 집중적으로 살펴보겠습니다.

명확성을 위해 일반적으로 사용되는 몇 가지 약어부터 정의해 보겠습니다:

• OT - 운영 기술(IT, 정보 기술과 대비되는 개념)
• IT - 정보 기술, 일반적인 컴퓨터 시스템 및 우리 모두에게 익숙한 네트워크
• ICS - 산업용 제어 시스템
• SCADA - 감독 제어 및 데이터 수집

기본적인 요구 사항이 상당히 다르기 때문에 업계에 존재하는 규정 준수에 대해 자세히 알아보기 전에 OT 보안과 IT 보안의 핵심적인 차이점을 이해하는 것이 중요합니다. 현업에서 일하거나 관련 경험이 있는 분이라면 아래 도표에서 다양한 변형을 보셨을 것입니다:

OT 환경에서는 시스템의 장애 또는 데이터의 불일치로 인해 세상에 실제적인 물리적 영향을 미칠 수 있습니다. 예를 들어, 안전 시스템의 고장이나 생산 라인의 중단은 IT의 유사한 장애보다 물리적으로 더 해로운 결과를 초래할 수 있습니다. 물론 이는 시스템 자체(소프트웨어 포함)가 복원력과 이중화를 염두에 두고 구축되었음을 의미하며, 관련 규정 준수 의무에서도 이를 고려하고 있습니다.

따라서 적용될 수 있는 몇 가지 규정 준수 유형을 살펴본 다음 마이크로세그멘테이션과 제어가 어떻게 적용되는지 논의해 보겠습니다.

EU에서 볼 수 있는 주요 의무 사항은 다음과 같습니다:

• 네트워크 및 정보 보안 지침 또는 NIS-D. 이는 모든 국가의 의견을 수렴하여 중앙에서 만들어졌지만 국가별로 현지에서 지침과 감독을 제공하는 EU 차원의 사이버 통제입니다.
• LPM. 이와 유사하지만 더 로컬에 초점을 맞춘 LPM은 프랑스의 OT 관련 의무 또는 "중요 정보 인프라 보호법"입니다. 이는 부분적으로 NIS-D의 기초가 되었으며 필수 서비스 운영자와 유사한 개념을 포함하고 있습니다. LPM과의 차이점은 의무 사항이므로 의무 사항의 '범위'에 속하는 것으로 간주되는 시스템은 LPM 보안 지침을 준수해야 한다는 점입니다. 프랑스의 경우, 이 법은 프랑스 국가 사이버 보안 기관인 ANSSI(프랑스 국가 사이버 보안 기관)에서 관리하며, 이 기관은 지역 내 NIS-D를 감독하기도 합니다.

마이크로세그멘테이션이 OT 시스템 규정 준수에 적용되는 방법

NIS-D와 LPM 모두 몇 가지 주요 영역을 명시적으로 언급하고 있습니다.

LPM의 경우 20개의 카테고리가 있습니다:

• 정보 보증 정책
• 보안 인증
• 네트워크 매핑
• 보안 유지 관리
• 로깅
• 로그 상관관계 및 분석
• 탐지
• 보안 인시던트 처리
• 보안 알림 처리
• 위기 관리
• 신원 확인
• 인증
• 액세스 제어 및 권한 관리
• 관리 액세스 제어
• 관리 시스템
• 시스템 및 네트워크의 분리
• 트래픽 모니터링 및 필터링
• 원격 액세스
• 시스템 설정
• 지표

NIS-D의 경우 지역 회원국에서 구체적인 지침을 게시합니다. 예를 들어 영국에서는 국가사이버보안센터( NCSC )가 사이버 평가 프레임워크 (CAF)를 통해 이를 처리하고 있습니다. 이에 대한 자세한 내용은 이 웨비나를 확인하고 이 백서를 읽어보세요.

NIS-D에는 마이크로 세분화 및 네트워크 흐름 가시성과 관련된 유사한 수의 특정 영역이 있습니다:

• 위험 관리 프로세스: 조직 프로세스는 필수 서비스와 관련된 네트워크 및 정보 시스템에 대한 보안 위험을 식별, 분석, 우선순위 지정 및 관리합니다.
• 데이터 보안: 필수 서비스에 중요한 데이터를 전송하는 데 사용되는 데이터 링크에 대한 최신 이해도를 유지합니다.
• 전송 중인 데이터: 필수 서비스 제공에 중요한 데이터를 전달하는 모든 데이터 링크를 식별하고 적절하게 보호합니다.
• 설계를 통한 보안: 네트워크와 정보 시스템이 적절한 보안 영역으로 분리되어 있습니다. 필수 서비스를 위한 운영 시스템은 신뢰도가 높고 보안이 강화된 구역에 분리되어 있습니다.
• 복원력을 위한 설계: 필수 서비스의 운영 시스템은 적절한 기술적, 물리적 수단을 통해 다른 비즈니스 및 외부 시스템과 분리되어 있습니다. 독립적인 사용자 관리로 네트워크와 시스템 인프라를 분리합니다. 운영 체제에서 인터넷 서비스에 액세스할 수 없습니다.
• 취약점 관리: 귀사의 필수 서비스가 공개적으로 알려진 취약점에 노출되어 있는지를 최신 상태로 파악하고 있습니다.
• 보안 모니터링: 모니터링 범위에는 네트워크 경계뿐만 아니라 내부 및 호스트 기반 모니터링도 포함됩니다.

LPM과 NIS-D 모두에서 Illumio가 도움이 될 수 있음을 알 수 있습니다.

마이크로세분화를 통해 규정을 준수하는 방법

이러한 의무를 이해했다면, 현장에서 마이크로 세분화를 사용하여 이러한 (및 기타) 규제를 충족하려면 어떻게 해야 할까요? 다음은 몇 가지 예입니다:

1. IT/OT 경계를 중요하게 통합하여 OT 환경과 IT 환경의 애플리케이션 종속성 매핑을 수행합니다. 이는 워크로드 수준에서 데이터 수집을 통해 달성할 수도 있고, OT 측면의 네트워크 인프라에서 흐름을 수집하여 풍부하고 충실도가 높은 맵을 제공할 수도 있습니다.
2. 중요한 모니터링, 로깅 및 제어 채널을 유지하면서 OT 및 IT 환경을 환경 세분화합니다. 네트워크 보안 개념으로서의 제로 트러스트는 이 시나리오에서 그 어느 때보다 적용성이 높습니다.
3. IT에서 OT 환경으로 유입되는 새로운 흐름/연결에 대한 알림 또는 OT 환경 자체에서 유입되는 알림. 새 연결의 시작은 두 가지 이유로 모니터링하는 것이 중요합니다. 첫째, OT는 대화가 많고 동적인 IT 쪽에 비해 정적인 환경인 경향이 있습니다. 둘째, 고의적이든(ICS/SCADA 시스템에 액세스하기 위한 표적 악성 활동), 우발적이든(많은 유명 OT 침해 사고가 실제로는 중요 시스템 측에 액세스하는 상용 멀웨어에 의한 부수적 피해에 가까웠음) 네트워크의 중요 측으로 무단으로 성공적으로 액세스하는 것은 근본적으로 마이크로 세분화 솔루션이 방지할 수 있습니다.
4. OT 인프라에 대한 취약성 평가. NIS-D에서 볼 수 있듯이 취약점 관리가 핵심입니다. 예를 들어 Illumio는 취약점을 스캔하지는 않지만 관찰된 그룹화 및 애플리케이션 흐름에 매핑하여 중요한 경로를 표시하고 마이크로세그멘테이션 정책 및 패치의 우선순위를 정하는 데 도움을 줍니다.

끊임없이 진화하는 환경

중요 시스템의 민첩성과 모니터링이 변화함에 따라 중요도가 낮은 네트워크와 애플리케이션, 때로는 인터넷에 연결되는 경우가 점점 더 많아지고 있습니다. shodan.io에서 OT 프로토콜을 빠르게 검색해 보면 놀랄만한 정보를 얻을 수 있습니다! 동시에 이러한 시스템의 연결성과 보안에 대한 조사도 증가하고 있으며, 이는 당연한 일입니다. 이러한 병치는 마이크로세분화 정책을 명확하게 정의하고 유지하기 전에도 가시성이 매우 중요하다는 것을 의미합니다.

첫 번째 게시물에서 언급했듯이, 다양한 권한은 엄격한 위임 법률(LPM의 경우)에서부터 현재 지침에 가까운 입장(NIS-D의 경우)에 이르기까지 다양한 집행 스펙트럼을 제공합니다. 여기서 차이점 중 일부는 성숙도와 존재 기간에 따라 달라집니다.

지침의 해석이 중요해지는 것은 더 광범위하고 잘 정의되지 않은 경우이며, GDPR과 마찬가지로 NIS-D는 기술적 구현 및 구체적인 구성뿐만 아니라 의도를 고려합니다.

어느 쪽이든, 점점 더 연결성이 높아지는 중요 시스템에 대한 가시성과 세분화가 이를 보호할 수 있는 근본적인 통제 수단이라는 점은 분명하다고 생각합니다.

다음 포스팅에서는 EU의 금융 산업 의무에 대해 살펴볼 예정이니 기대해 주세요.

Illumio ASP에 대한 자세한 내용은 솔루션 아키텍처 페이지에서 확인하세요.