계층형 보안 조치로 규제 컴플라이언스 강화

존 나탈레(John Natale)

에 의해 작성

John Natale

May 02, 2025

존 나탈레(John Natale)

에 의해 작성

John Natale

존 나탈레는 Akamai의 글로벌 콘텐츠 마케팅 매니저입니다.

규제 당국은 공격자로 인한 데이터와 인프라 손상을 막기 위해 기업 내에서 모든 조치를 취하고 있다는 증거를 요구합니다.
규제 당국은 공격자로 인한 데이터와 인프라 손상을 막기 위해 기업 내에서 모든 조치를 취하고 있다는 증거를 요구합니다.

사이버 위협으로부터 기업을 보호하는 것이 본인의 업무라면 규제 컴플라이언스 역시 부가적인 업무로 담당하고 있을 것입니다. 130개 이상의 국가가 데이터 개인정보 보호법을 제정했으며, 156개국(전 세계 80%)이 사이버 범죄 관련 법률을 제정했습니다. 

또한 각 개인정보 보호 규정은 아래 내용에 상응하는 요구사항과 의무를 규정하고 있습니다.

  • 리스크 평가 수행
  • 보안 정책 및 계획 입증
  • 감사 보고(필요 시 데이터 유출 보고)

많은 CISO는 팀의 제한된 시간을 보안 핵심 분야와 연계된 컴플라이언스를 위해 노력하는 데 집중하고 있습니다. 예를 들어 EU의  Network and Information Security Directive 2 (NIS2) 규정을 살펴보겠습니다. EU 국가의 서비스 공급업체는 NIS2의 민감한 데이터 보호를 위한 요구사항을 충족하기 위해 “최소 권한” 접속 제어를 구축하고 있습니다. 

일반적인 관행에서는 특권 IT 사용자 인증정보를 금고에 보관하고, 규제 기관에 누가 어떤 리소스에 접속했는지 보고서를 작성하는 것이 포함됩니다. 헬스케어 업계에서도 이와 유사한 부분에 초점을 맞추는 모습을 찾아볼 수 있습니다.  미국 시민의 PHI(Protected Health Information)를 처리하는 기업은 HIPAA(Healthcare Information Portability and Accountability Act)에 따라 환자 기록을 보호해야 합니다. 

공통적인 보안 관행에 집중하는 편이 데이터 보호에 좋으며, 결과적으로 데이터 컴플라이언스 규정에도 좋습니다. 하지만 문만 지키고 열쇠를 숨기는 것은 공격 표면의 일부 레이어만 보호하는 것에 불과합니다. 

더 깊이 파고들려면, 공격자가 취약점을 탐지하고 침투할 최악의 경우 기업이 리소스를 어떻게 보호하고 있는지 알아야 합니다. 그리고 “유출을 가정할 경우” 기업이 공격자의 이동을 제한해 측면 이동, 권한 상승, 심각한 피해를 입히는 것을 방지하기 위해 모든 조치를 취하고 있는지 확인해야 합니다.

이번 블로그 게시물 시리즈에서는 오늘날 규제 기관에서 기업이 보호하고 있는지 확인해야 하는 공격 표면의 레이어에 대해 논의할 것입니다. 또한 이를 구축하기 위한 최선의 관행을 제시하겠습니다.

보안 원칙에 매핑하여 컴플라이언스를 개선하는 방법

업계 전문가들은 기업의 컴플라이언스 노력을 NIST(National Institute for Standards in Technology) 프레임워크ISO(International Organization for Standardization) 표준과 같은 단체의 신뢰할 수 있는 보안 지침 세트에 매핑하는 것을 권장합니다. 이는 다음을 위한 실용적인 방법을 제시합니다.

  • 신뢰할 수 있는 기관의 최선의 관행을 도입하고 신뢰를 얻습니다
  • 다양한 규정에 따라 컴플라이언스를 향한 노력을 일치시키고 효율성을 높입니다 

그러나 공격 표면과 규정이 진화함에 따라 다음과 같은 질문을 던져 봐야 합니다. 어째서 기업은 데이터 컴플라이언스를 향한 노력을 장기적인 사이버 보안 원칙에 매핑하지 않을까요? 이를 심층적 방어라고도 하지만 Akamai는 계층형 보안이라고 합니다. 어느 경우든 이 계층형 보안 접근 방식의 원칙은 잘 이해되고 있습니다.

계층형 접근 방식에 의존하기

단일 종류의 보안 툴이나 제어 수단에 과도하게 의존하는 대신, 공격자의 옵션, 접속, 가시성을 제한하여 방해하도록 설계된 상호 연결 장애물, 함정, 공격자에게 불리한 요소로 구성된 다중 보안 레이어를 생성할 수 있습니다. 계층형 접근 방식을 통해 특정 리스크에 대한 보안 제어 수단은 서로의 강점을 보완할 수 있습니다. 하나의 보안 제어가 실패하면 대기 중인 또 다른 보안 제어가 즉시 대응합니다. 제어가 공격 신호를 탐지하면 또 다른 제어가 인사이트를 활용해 공격자의 움직임을 차단할 수 있습니다. 하나의 툴이 인간 접속을 보호한다면, 다른 툴은 비인간 접속을 보호하며, 이처럼 상호 보완적인 구조가 형성됩니다.

기업은 이러한 접근 방식을 컴플라이언스에 적용할 수 있습니다. 규제 당국은 공격자로 인한 데이터와 인프라 손상을 막기 위해 기업 내에서 모든 조치를 취하고 있다는 증거를 요구합니다. 이는 수백만 소비자의 개인 정보를 공개하는 공격이나 물 처리 시설과 같은 핵심 인프라 분야의 운영을 방해하는 공격을 포함합니다. 

이에 따른 리스크는 높습니다. 규제 준수 위반으로 데이터 유출의 평균 비용이 US $488만에서 2024년에 거의 US $512만까지 증가했습니다.

더 포괄적인 계획을 입증하는 것부터 보고 기능을 강화하는 것까지, 일반적인 격차와 이를 해결하는 방법을 탐구해 보겠습니다.

컴플라이언스 기준에 적용된 계층형 보안의 주요 예시

많은 기업이 IT 사용자의 인증정보를 보호하는 데 성과를 거두었습니다. 해당 정보를 공격자가 확보할 경우 네트워크를 제어하고 민감한 데이터에 접근할 수 있게 됩니다. 규제 당국은 PCI-DSS(Payment Card Industry Data Security Standard) v4.0부터 GDPR(General Data Protection Regulation)까지 강력한 특권 접속 기능을 요구합니다. 

그러나 데이터 세그먼트로 분리하고 보호하는 제어 메커니즘을 갖추는 것도 중요합니다. 각 데이터 종류는 고유한 속성에 맞게 조정된 권한 제어 메커니즘으로 보호되며, 이는 데이터 민감도와 지역별 규제 요구사항을 포함합니다. 

네트워크를 작은 분리된 세그먼트로 나누고 각 세그먼트에 자체 정보 보안 정책을 적용하면, 보안팀은 데이터 접속과 측면 이동에 대한 더 정밀한 통제권을 확보할 수 있습니다. 

적절한  마이크로세그멘테이션 툴은 다음과 같은 세밀한 접근 방식을 선보입니다.

  • 공격 표면을 줄입니다
  • 유출 또는 랜섬웨어 공격 시 잠재적 피해를 제한합니다 
  • 전체 계획 및 반복적인 감사에서 보안팀이 데이터, 시스템, 운영을 보호하는 방법을 입증할 수 있습니다

보안팀은 계층형 보안 사고를 규제 컴플라이언스에 어떤 방식으로 적용할 수 있을까요? 데이터 보호가 항상 선보이는 필수적인 역할을 살펴보겠습니다.

API 보안 요구사항 대응

2025년 Verizon DBIR 보고서에 따르면 유출의 60%는 “인간으로 인해 발생하는 요소”(피싱 공격에 속아 데이터를 유출하는 직원 등)에서 비롯됩니다. 따라서 기업은 비용이 많이 드는 벌금과 평판 손실을 방지하기 위해 ID 및 접속 관리 통제를 구축합니다. 많은 규제 기관과 프레임워크에서 이를 요구합니다. 

기업은 비밀번호 의존도를 줄이고 사용자에게 2중 인증 방법을 강제 적용하는 방법을 규제 기관에 보여줄 수 있을 것입니다. 하지만 인간으로 인해 발생하는 요소가 아닌 부분은 어떻게 될까요? 

하나의 기업 내에서 수천 개의 API(Application Programming Interface)가 배후에서 데이터를 신속하게 교환합니다. 공격자는 API가 자주 잘못 설정되어 있고, 인증 관리가 부족하고, 민감한 정보를 반환하게 조작하기 쉽다는 점을 알고 있습니다. 

실제로 지난 12개월 동안  84%의 기업이 API 보안 인시던트를 경험했으며 IT 및 보안 리더가 언급한 평균 비용은 US $94만 3162였습니다.

보안팀은 컴플라이언스 요구사항에 계층형 보안 접근 방식을 적용함으로써 직원 접속 제어와 함께 API 환경을 모니터링하고 보호하는 툴을 보완할 수 있습니다. 여기에는 다음과 같은  API 보안 체계 관리 기능이 포함됩니다.

  • 표준 활동 기준을 바탕으로 API의 행동을 분석해 비정상을 탐지

  • 실시간으로 악성 활동을 식별하고 다른 툴과 연동해 알림을 전송해 무단 접속 차단 등의 제어 조치를 적용

  • 컴플라이언스 프레임워크에 매핑된 잠재적 API 보안 인시던트에 대해 지속적인 가시성을 제공

데이터 보안 컴플라이언스 모범 사례: 네 가지 핵심 보안 레이어 살펴보기

이번 시리즈의 향후 블로그 게시물을 기대해 주세요. 기업 보안팀이 컴플라이언스 격차와 과제를 해결하는 방법을 소개하겠습니다. Akamai는 기업이 공격 표면의 모든 영역을 보호하기 위해 계층형 전략을 구축하는 방식과 크게 다르지 않은 전략적 접근이 데이터 보호 법규에 필요하다고 생각합니다. 

IT 환경 전반에서 포괄적인 가시성을 확보하는 것을 포함하여 오늘날 규제 기관이 요구하는 사항과 직접 연결된 모범 사례를 다룰 것입니다.

자세히 알아보기

Akamai가 어떤 도움을 드릴 수 있는지 알아보려면  사이버 보안 컴플라이언스 페이지를 방문하세요.



존 나탈레(John Natale)

에 의해 작성

John Natale

May 02, 2025

존 나탈레(John Natale)

에 의해 작성

John Natale

존 나탈레는 Akamai의 글로벌 콘텐츠 마케팅 매니저입니다.