EU 규정 준수 의무에 대한 이해 통신-5G 및 그 이상

이 블로그 시리즈의 1부에서는 규정 준수 환경과 다양한 산업에서 각각 사이버 보안에 대한 자체 규정 또는 지침이 어떻게 적용되는지에 대해 설명했습니다. 이어서 제가 직접 경험한 분야인 중요 시스템 및 운영 기술 부문의 규제 및 보안 제어에 관한 포스팅을 올렸 습니다. 거기서부터 EU에 존재하는 금융 서비스 규제에 대해 논의했습니다. 마지막으로, 사이버 보안에 관한 NCSC(영국 국가사이버보안센터)의 가이드라인인 GDPR과 사이버 에센셜/사이버 에센셜 플러스입니다.

오늘은 보안 분야에서 빠르게 발전하고 있는 분야인 통신사와 그들이 구축하는 통신 플랫폼에 대해 집중적으로 설명하겠습니다. 물론 5G가 현재 초점이기는 하지만, 오늘 제정되는 보안 지침과 법률은 5G 이후의 미래도 염두에 두고 있습니다.

통신 산업

최근 몇 년 동안 업계와 정부에서는 점점 더 중요해지는 통신 비즈니스에서 보안 취약성이 미치는 영향을 살펴보는 데 초점을 맞추는 데 큰 변화가 있었습니다. 이 중 일부는 높은 수준의 국가 유형에 대한 영향과 관련이 있습니다. 예를 들어 통화 및 데이터가 라우팅되는 기본 플랫폼인 '패킷 코어'에 특정 공급업체 또는 국가의 네트워킹 장비를 사용하는 경우입니다. 이는 이러한 네트워크가 세계의 미래를 위해 얼마나 중요한지 보여줍니다. 조금이라도 존재할 가능성이 있는 잠재적 손상이나 백도어는 광범위한 파급 효과를 가져옵니다.

이는 또한 주변 시스템, 조직 및 공급업체에 대한 집중으로 이어집니다. 예를 들어 영국의 NCSC는 5G 네트워크 자체에 대한 지침과 법률로 이동하기 전에 먼저 통신 업계에 대한 공급망에 집중했습니다.

2018년 최초 검토를 거쳐 2019년 7월에 발표된 영국 통신 공급망 검토 보고서는"영국 통신 부문에 대한 가장 심각한 사이버 위협은 국가로부터 비롯된다"고 말하며 모든 지원 시스템을 단일 공급업체에 의존하지 말 것을 권고하고 있습니다. 보안 위험은 다음과 같습니다:

• 특정 공급업체에 대한 국가적 의존도, 특히 위험성이 높은 것으로 간주되는 공급업체에 대한 의존도;
• 네트워크 장비의 결함 또는 취약성;
• '백도어' 위협 - 공급업체 장비에 악성 기능을 심는 행위, 그리고
• 장비 지원을 제공하거나 관리형 서비스 계약의 일부로 공급업체의 관리 액세스 권한이 제공됩니다.

그런 다음 NCSC는 다양한 네트워크 유형과 기능의 다양한 보안 민감도에 대해 설명합니다:

5G 인프라

5G와 같은 새로운 네트워크 기술이 발전함에 따라 디바이스를 연결하고 이러한 연결된 시스템을 관리하는 방식이 근본적으로 변화하고 있습니다. 5G는 지연 시간이 대폭 감소하고 안정성과 가동 시간이 크게 향상되며 특정 영역에서 최대 100배의 연결 장치 수를 지원하는 등 단순히 속도가 빨라지는 것 이상의 의미를 지닙니다. 5G를 사용하면 IoT 디바이스를 직접 제어하고, 이전 기술과 관련된 지연 문제 없이 드론과 같은 기술을 실시간으로 원격 제어하고, 차량 간 통신이 가능하며, 중요한 시스템을 기존의 유선/와이파이 연결에 훨씬 덜 의존할 수 있습니다.

이를 통해 가능한 사용 사례는 결과적으로 보안 모델을 크게 변화시킵니다.

5G에는 에릭슨이 여기에서 설명한 것과 같은 여러 가지 기본 제공 보안 개선 사항이 통합되어 있습니다. 개선된 기능에는 5G 용어로 SUPI(가입 영구 식별자)라고도 하는 IMSI(국제 모바일 가입자)를 사용한 종단 간 암호화가 포함됩니다.

하지만 5G는 이전의 데이터 전용 통신 네트워크보다 더 확실한 '핵심 인프라'입니다. 자동차 등 중요 시스템의 안정성, 가동 시간, 제어가 강조되면서 엔터테인먼트/데이터에 특화된 4G 대신 5G가 필수 인프라로 자리 잡았습니다. 이는 에릭슨의 아래 다이어그램에 깔끔하게 설명되어 있습니다:

스마트폰 데이터 연결을 포함한 향상된 모바일 광대역 섹션은 가장 명백한 5G 사용 사례를 강조하지만, 그 아래에는 기계 간 통신의 전체 뗏목을 보여줍니다.

아래쪽에는 중요한 산업 시스템, 교통 안전 등이 각 목적에 맞는 맞춤형 네트워크가 아닌 직접 통신을 위해 5G를 활용하는 것을 볼 수 있습니다.

지침 - 그 다음에는 법률

영국의 NCSC는 초기 공급망 검토에서 영국 통신 부문의 보안을 검토하기 위해 먼저 움직였습니다.

그 결과 "가장 높은 점수를 받은 공격 벡터의 대부분은 다음 다섯 가지 범주 중 하나에 속하는 것으로 나타났습니다:

• 운영자의 관리 플레인을 통한 익스플로잇
• 국제 신호 비행기를 통한 착취
• 가상화된 네트워크의 활용
• 공급망을 통한 착취
• 네트워크 운영 및 보안을 위한 국가적 역량 상실(종속성)"

이후 급속도로 발전한 것은 이전의 통신 보증 제도인 CAS(T) 를 폐지하고 다른 송금 방식으로 통신 보안 요구사항(TSR) 지침 초안을 작성하는 것이었습니다.

아직 초안 단계이지만 다음과 같은 영역에서 구체적인 요구 사항을 포함하고 있는 것으로 알려져 있습니다:

• 범위 내 시스템의 공격 표면 이해하기
• 연결성 및 측면 이동 감소를 통해 공격의 영향을 최소화합니다.
• 관리 및 핵심 영역의 강력한 세분화

최근 관련 요건이 새로 제정된 법안인 통신 보안 법안에 반영되었습니다.

다룰 내용이 너무 많습니다! 이 글 전체에서 언급했듯이 영국에서는 기본 검토부터 실제 법률까지 2년 이내에 새로운 지침, 법률 및 검토의 개발이 매우 빠르게 진행되고 있습니다.

더 넓은 유럽 연합에서는 훨씬 더 오래된 지침 2009/140EC의 13a조에 따라 작업하고 있으며, 이는 더 넓은 ENISA 텔레콤 패키지의 일부입니다. 2009년에 작성된 이 문서에는 아직 4G 및 5G와 관련된 많은 추가 사용 사례와 시나리오가 고려되지 않았지만, 다음과 같은 (상대적으로 모호한) 사항이 포함되어 있습니다:

"회원국은 공공 통신 네트워크 또는 공개적으로 이용 가능한 전자 통신 서비스를 제공하는 사업자가 네트워크 및 서비스 보안에 제기되는 위험을 적절히 관리하기 위해 적절한 기술적 및 조직적 조치를 취하도록 보장해야 합니다. 이러한 조치는 최신 기술을 고려하여 제시된 위험에 적합한 수준의 보안을 보장해야 합니다. 특히 보안 사고가 사용자와 상호 연결된 네트워크에 미치는 영향을 예방하고 최소화하기 위한 조치를 취해야 합니다."

NCSC의 지침과 같은 지침에 부합하도록 이에 대한 중요한 업데이트가 있을 것으로 예상됩니다.

결론적으로

영국에서 NCSC 프로세스가 제시하는 분석, 지침 및 후속 법률의 급속한 확대는 5G 기반 통신으로의 전환이 가져올 수 있는 엄청난 잠재적 공격 표면과 영향, 그리고 여러 생활 영역에서 분명한 이점을 보여줍니다. 빠르게 개선되고 구체적인 지침이 제공됨에 따라 업계에서 관련 프로젝트가 점점 더 많아지고 있습니다.

Illumio는 수많은 통신 프로젝트에 참여하여 복잡하고 중요한 인프라 환경에 필요한 가시성 및 세분화 요구 사항을 지원했습니다.

마이크로 세분화에 대한 Illumio의 접근 방식에 대해 자세히 알아보려면 여기를 확인하세요:

• 일루미오 코어에 대한 간략한 개요: https://www.illumio.com/resource-center/video/illumio-core
• 사용 방법: https://www.illumio.com/products/core/architecture