Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

EU의 NIS2 및 DORA 보안 지침: 알아야 할 사항

찰리 베델
콘텐츠 마케팅 관리자
Illumio Editorial
2월 13, 2023
23 분 읽기

금융필수 서비스 부문은 2022년 랜섬웨어의 주요 표적이었습니다.

이러한 산업에 속한 조직은 엄청난 압박을 받고 있습니다. 효율성을 높이기 위해 혁신과 디지털화가 필요하며, 가용성과 보안을 유지하면서 신속하게 이를 수행해야 합니다.

동시에 랜섬웨어 공격자들은 의도적으로 금융 기관과 필수 서비스 운영자를 표적으로 삼고 있습니다. 이러한 산업은 다운타임을 감당할 수 없으며, 따라서 몸값을 지불할 가능성이 가장 높다는 것을 알고 있습니다.

지난 한 해 동안 은행 및 금융 서비스, 에너지, 수도, 교통 등 필수 서비스 부문에서 수많은 사이버 보안 사고가 발생했습니다. 이러한 공격은 막대한 금전적 손실과 경제, 기반 인프라, 소비자의 안전에 막대한 피해를 입힐 수 있는 가능성을 야기했습니다.

금융 서비스 및 필수 서비스에 사이버 복원력이 필요한 이유

매년 새로운 비즈니스 유행어가 등장합니다.

올해는? 복원력. 그리고 그럴 만한 이유가 있습니다.

지난 12개월 동안 기업이 사이버 위험을 관리하는 방식에 큰 변화가 있었습니다. 사이버 공격은 단순히 데이터를 훔치는 것에서 비즈니스 가용성에 영향을 미치는 것으로 진화했습니다. 데이터 유출로 인한 평균 비용이 435만 달러에 달하는 상황에서 이제는 단순히 공격에 대응하는 것만으로는 충분하지 않으며, 공격에서 살아남는 것이 중요합니다.

복원력이 현재 은행 업계의 최우선 보안 과제인 이유를 알아보세요.

비즈니스 리더들이 공격이 발생했을 때 조직의 복원력에 대한 확신이 부족하기 때문에 문제는 더욱 악화됩니다. Enterprise Strategy Group의 최근 조사에 따르면, 비즈니스 리더 중 19%(% )만이 자신의 조직이 사이버 공격의 영향에 대처할 준비가 되어 있다고 생각하는 것으로 나타났습니다. 그리고 절반 이상이 공격이 발생하면 비즈니스에 치명적인 결과를 초래할 것이라고 생각합니다.

일루미오 제로 트러스트 세분화가 사이버 복원력을 제공하는 방법을 여기에서 알아보세요.

사이버 복원력에 대한 유럽연합의 대응 - NIS2와 DORA

유럽 전역의 복원력과 사고 대응 역량을 강화하기 위해 유럽연합(EU)은 최근 필수 서비스에 대한 네트워크 및 정보 시스템(NIS) 지침인 NIS2의 업데이트를 승인했으며, 이 지침은 향후 몇 년 내에 시행될 것으로 예상됩니다.

더 이상 EU에 속해 있지 않지만 영국은 국정원 지침을 채택했으며, 영국도 업데이트할 것이라고 밝혔습니다. 이 업데이트는 점점 더 정교해지고 빈번해지는 사이버 공격으로부터 영국의 필수 및 디지털 서비스를 보호하기 위해 기존 지침을 강화할 것입니다.

또한 EU는 은행 및 금융 서비스 조직이 보안 사고를 견디고, 대응하고, 복구할 수 있도록 보장하는 것을 목표로 하는 디지털 운영 복원력 법(DORA)을 만들었습니다.

지침이 발표된 후 조직은 24개월의 이행 기간을 갖게 됩니다. 하지만 사전 예방적인 변화가 사후 대응적인 소방 훈련보다 항상 낫습니다. 비즈니스 리더는 규정 준수를 위해 지금 바로 시작할 것을 권장합니다.

NIS2란 무엇인가요?

새로운 NIS2 지침의 주요 목표는 에너지, 교통, 은행, 의료 등 필수 서비스의 지식 공유를 개선하고 침해 후 대응을 강화하는 것입니다. 이 지침은 네트워크 및 정보 시스템 보안에 대한 법적 조치를 설명한 기존 국정원 지침에서 발전한 것입니다.

여기에서 NIS2 지침 초안에 액세스하세요.

필수 서비스에 NIS2가 중요한 이유

이 지침의 목표는 공공 및 민간 부문은 물론 EU 전체의 복원력과 사고 대응 능력을 향상시키는 것입니다.

그러나 이는 또한 더 광범위한 추세, 즉 침해가 일어날 수 있다는 것을 인정하는 신호이기도 합니다. 이 지침은 중요한 IT 자산을 보호하는 데 도움이 되지만, 필수 서비스 제공업체에게는 새로운 규정 준수 과제를 안겨주기도 합니다.

DORA란 무엇인가요?

NIS2는 은행 및 금융 서비스 기관을 지침의 일부로 포함하지만, DORA는 특히 금융 부문을 위한 지침입니다.

곧 발표될 DORA 지침은 기업이 침해 사고를 견디고, 대응하고, 복구할 수 있도록 하는 것을 목표로 합니다. 은행 부문은 글로벌 경제를 지원하며, 강력한 사이버 보안 조치가 없으면 침해 사고는 금방 재앙으로 이어질 수 있습니다. DORA는 은행이 사이버 복원력을 강화하고 고객 데이터를 보호하며 보안 침해에 대비해 비즈니스 연속성을 보장할 것을 요구합니다.

2023년 초에 발효되어 2025년부터 적용될 예정인 DORA는 금융 서비스 산업의 판도를 바꿀 것입니다.

여기에서 DORA 지시문에 액세스하세요.

은행 및 금융 서비스에 DORA가 중요한 이유

수년 동안 업계에서는 비즈니스와 보안의 성과를 연결하기 위해 많은 노력을 기울여 왔습니다. DORA는 금융 조직의 복원력을 향상시킬 뿐만 아니라 보안 역량과 운영 복원력 간의 연관성을 더욱 명확하게 해줄 것입니다.

범위 내 기업은 위험을 신속하게 관리하고 해결할 수 있어야 합니다. 실제로 DORA의 제2장 제2절에서는 조직이 보안 위험을 신속하고 효율적이며 포괄적으로 해결하고 높은 수준의 디지털 운영 복원력을 보장하기 위해 적절한 위험 관리 프레임워크를 개발할 것을 의무화하고 있습니다.

하지만 이는 결코 쉬운 일이 아니며, 조직은 지금부터 기반을 마련하지 않으면 뒤처질 위험이 있습니다.

일루미오 제로 트러스트 세분화가 NIS2 및 DORA 규정 준수에 도움이 되는 3가지 방법

복원력을 구축하고 NIS2 및 DORA를 준수하기 위해 조직이 즉시 해야 할 일은 무엇인가요? 제로 트러스트 세분화(ZTS)로 시작하세요.

1. 애플리케이션 및 워크로드 통신에 대한 가시성 확보

첫 번째 단계로, 조직의 현재 보안 이니셔티브 및 위험과 NIS2 및 DORA 요구 사항을 비교하는 갭 분석을 수행하는 것이 중요합니다.

이 과정에서 중요한 도구는 Illumio ZTS 플랫폼에서 제공하는 애플리케이션 종속성 매핑입니다. 전체 하이브리드 공격 표면에서 애플리케이션 및 워크로드 트래픽과 통신에 대한 빠르고 이해하기 쉬운 가시성을 확보하세요. 예를 들어, 어떤 서버가 비즈니스 크리티컬 자산과 통신하고 있는지 또는 어떤 애플리케이션이 인터넷에 개방된 회선을 가지고 있는지 확인하여 악의적인 공격자가 조직의 네트워크에 쉽게 액세스할 수 있도록 합니다.

이러한 가시성을 통해 보안팀은 NIS2 및 DORA 규정 준수를 위한 작업의 우선순위를 정할 수 있습니다. 조직이 이미 규정을 준수하고 있는 부분과 더 나은 보안 제어가 필요한 부분을 확인할 수 있습니다.

2. 유연하고 세분화된 세분화 정책 설정

하이브리드 네트워크에 대한 가시성을 확보한 후에는 사이버 복원력을 높이고 NIS2 및 DORA 규정 준수를 달성하는 데 도움이 되는 정보에 기반한 보안 정책을 우선적으로 설정할 준비가 된 것입니다.

Illumio ZTS를 사용하면 워크로드와 디바이스 간의 통신을 제어하는 유연하고 세분화된 세분화 정책을 자동으로 설정할 수 있습니다. 이것은 필요하고 원하는 것만 허용합니다. 예를 들어 서버에서 앱으로, 개발팀에서 프로덕션으로, 또는 IT팀에서 OT팀으로 통신을 제한할 수 있습니다.

세분화 정책을 설정하는 것은 제로 트러스트 아키텍처를 구축하기 위한 필수 단계로, NIS2 및 DORA 지침에 내재된 보안 모델입니다.

3. 자산을 선제적으로 격리하거나 침해 확산을 사후적으로 억제합니다.

일루미오 ZTS로 네트워크를 세분화하면 불가피한 침해에 대한 사전 예방 및 사후 대응 보안을 모두 제공하여 NIS2 및 DORA 지침의 공격 복원력이라는 핵심 목표를 달성할 수 있습니다.

고가치 자산을 사전에 격리하여 중요하고 필요한 자산에 대한 접근만 제한하세요. 즉, 랜섬웨어나 기타 침해가 이러한 자산으로 확산되어 비즈니스를 중단시키고 치명적인 피해를 입힐 수 없음을 보장합니다.

공격이 진행 중인 경우, 침해가 확산되는 것을 즉각적으로 차단하고 몇 분 안에 네트워크의 일부로만 제한하세요. 실제로 최근 비숍 폭스의 사이버 공격 에뮬레이션에 따르면 일루미오 ZTS는 10분 이내에 침해 확산을 막을 수 있는 것으로 나타났습니다. 이는 엔드포인트 탐지 및 대응(EDR) 솔루션만 사용하는 것보다 4배 빠른 속도입니다.

관련 주제

Compliance
고가치 자산 보호

관련 문서

하이브리드 클라우드 환경을 어떻게 보호할 수 있나요?
Cyber Resilience

하이브리드 클라우드 환경을 어떻게 보호할 수 있나요?

일루미오의 선임 제품 마케팅 매니저인 에리카 배비가 하이브리드 클라우드 환경의 보안에 대해 설명합니다.

Read more
오늘날의 분산 시스템에서 정책 과부하를 탐색하기 위한 가이드
Cyber Resilience

오늘날의 분산 시스템에서 정책 과부하를 탐색하기 위한 가이드

8가지 유형의 분산 시스템 정책을 살펴보고 인프라, 보안 및 자동화를 이해하기 위한 명확한 로드맵을 알아보세요.

Read more
정부 기관을 위한 존 킨더백의 제로 트러스트 진실 3가지
Cyber Resilience

정부 기관을 위한 존 킨더백의 제로 트러스트 진실 3가지

정부 기관이 제로 트러스트 의무를 준수할 때 알아야 할 주요 제로 트러스트 진실에 대해 John Kindervag의 인사이트를 알아보세요.

Read more
은행 부문에서 Illumio 제로 트러스트 세분화를 사용해야 하는 8가지 이유
제로 트러스트 세분화

은행 부문에서 Illumio 제로 트러스트 세분화를 사용해야 하는 8가지 이유

지난 5년간 사이버 공격의 가장 큰 표적이었던 은행 및 금융 서비스 업계에 Illumio 제로 트러스트 세분화가 필요한 이유를 알아보세요.

Read more
S&P 글로벌: 중요 인프라의 랜섬웨어 위협을 해결하는 3가지 방법
Ransomware Containment

S&P 글로벌: 중요 인프라의 랜섬웨어 위협을 해결하는 3가지 방법

일루미오 솔루션 마케팅 디렉터 트레버 디어링과 글로벌 시장 인텔리전스 수석 애널리스트 에릭 한셀만이 랜섬웨어에 대한 우려에 대해 설명합니다.&P 글로벌.

Read more
2023년 가트너® 마이크로세분화를 위한 시장 가이드의 4가지 주요 인사이트
제로 트러스트 세분화

2023년 가트너® 마이크로세분화를 위한 시장 가이드의 4가지 주요 인사이트

하이브리드 환경을 보호하고 측면 이동을 차단하며 제로 트러스트를 구축하기 위해 제로 트러스트 세분화(ZTS)라고도 하는 마이크로세분화를 구현하는 방법에 대한 Gartner 마켓 가이드의 인사이트를 확인하세요.

Read more

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more