계층형 보안 조치로 규제 컴플라이언스 강화

업계 전문가들은 기업의 컴플라이언스 노력을 NIST(National Institute for Standards in Technology) 프레임워크나 ISO(International Organization for Standardization) 표준과 같은 단체의 신뢰할 수 있는 보안 지침 세트에 매핑하는 것을 권장합니다. 이는 다음을 위한 실용적인 방법을 제시합니다.

• 신뢰할 수 있는 기관의 최선의 관행을 도입하고 신뢰를 얻습니다
• 다양한 규정에 따라 컴플라이언스를 향한 노력을 일치시키고 효율성을 높입니다 

그러나 공격 표면과 규정이 진화함에 따라 다음과 같은 질문을 던져 봐야 합니다. 어째서 기업은 데이터 컴플라이언스를 향한 노력을 장기적인 사이버 보안 원칙에 매핑하지 않을까요? 이를 심층적 방어라고도 하지만 Akamai는 계층형 보안이라고 합니다. 어느 경우든 이 계층형 보안 접근 방식의 원칙은 잘 이해되고 있습니다.

단일 종류의 보안 툴이나 제어 수단에 과도하게 의존하는 대신, 공격자의 옵션, 접속, 가시성을 제한하여 방해하도록 설계된 상호 연결 장애물, 함정, 공격자에게 불리한 요소로 구성된 다중 보안 레이어를 생성할 수 있습니다. 계층형 접근 방식을 통해 특정 리스크에 대한 보안 제어 수단은 서로의 강점을 보완할 수 있습니다. 하나의 보안 제어가 실패하면 대기 중인 또 다른 보안 제어가 즉시 대응합니다. 제어가 공격 신호를 탐지하면 또 다른 제어가 인사이트를 활용해 공격자의 움직임을 차단할 수 있습니다. 하나의 툴이 인간 접속을 보호한다면, 다른 툴은 비인간 접속을 보호하며, 이처럼 상호 보완적인 구조가 형성됩니다.

기업은 이러한 접근 방식을 컴플라이언스에 적용할 수 있습니다. 규제 당국은 공격자로 인한 데이터와 인프라 손상을 막기 위해 기업 내에서 모든 조치를 취하고 있다는 증거를 요구합니다. 이는 수백만 소비자의 개인 정보를 공개하는 공격이나 물 처리 시설과 같은 핵심 인프라 분야의 운영을 방해하는 공격을 포함합니다. 

이에 따른 리스크는 높습니다. 규제 준수 위반으로 데이터 유출의 평균 비용이 US $488만에서 2024년에 거의 US $512만까지 증가했습니다.

더 포괄적인 계획을 입증하는 것부터 보고 기능을 강화하는 것까지, 일반적인 격차와 이를 해결하는 방법을 탐구해 보겠습니다.

많은 기업이 IT 사용자의 인증정보를 보호하는 데 성과를 거두었습니다. 해당 정보를 공격자가 확보할 경우 네트워크를 제어하고 민감한 데이터에 접근할 수 있게 됩니다. 규제 당국은 PCI-DSS(Payment Card Industry Data Security Standard) v4.0부터 GDPR(General Data Protection Regulation)까지 강력한 특권 접속 기능을 요구합니다. 

그러나 데이터 세그먼트로 분리하고 보호하는 제어 메커니즘을 갖추는 것도 중요합니다. 각 데이터 종류는 고유한 속성에 맞게 조정된 권한 제어 메커니즘으로 보호되며, 이는 데이터 민감도와 지역별 규제 요구사항을 포함합니다. 

네트워크를 작은 분리된 세그먼트로 나누고 각 세그먼트에 자체 정보 보안 정책을 적용하면, 보안팀은 데이터 접속과 측면 이동에 대한 더 정밀한 통제권을 확보할 수 있습니다. 

적절한  마이크로세그멘테이션 툴은 다음과 같은 세밀한 접근 방식을 선보입니다.

• 공격 표면을 줄입니다
• 유출 또는 랜섬웨어 공격 시 잠재적 피해를 제한합니다 
• 전체 계획 및 반복적인 감사에서 보안팀이 데이터, 시스템, 운영을 보호하는 방법을 입증할 수 있습니다

보안팀은 계층형 보안 사고를 규제 컴플라이언스에 어떤 방식으로 적용할 수 있을까요? 데이터 보호가 항상 선보이는 필수적인 역할을 살펴보겠습니다.

2025년 Verizon DBIR 보고서에 따르면 유출의 60%는 “인간으로 인해 발생하는 요소”(피싱 공격에 속아 데이터를 유출하는 직원 등)에서 비롯됩니다. 따라서 기업은 비용이 많이 드는 벌금과 평판 손실을 방지하기 위해 ID 및 접속 관리 통제를 구축합니다. 많은 규제 기관과 프레임워크에서 이를 요구합니다. 

기업은 비밀번호 의존도를 줄이고 사용자에게 2중 인증 방법을 강제 적용하는 방법을 규제 기관에 보여줄 수 있을 것입니다. 하지만 인간으로 인해 발생하는 요소가 아닌 부분은 어떻게 될까요? 

하나의 기업 내에서 수천 개의 API(Application Programming Interface)가 배후에서 데이터를 신속하게 교환합니다. 공격자는 API가 자주 잘못 설정되어 있고, 인증 관리가 부족하고, 민감한 정보를 반환하게 조작하기 쉽다는 점을 알고 있습니다. 

실제로 지난 12개월 동안  84%의 기업이 API 보안 인시던트를 경험했으며 IT 및 보안 리더가 언급한 평균 비용은 US $94만 3162였습니다.

보안팀은 컴플라이언스 요구사항에 계층형 보안 접근 방식을 적용함으로써 직원 접속 제어와 함께 API 환경을 모니터링하고 보호하는 툴을 보완할 수 있습니다. 여기에는 다음과 같은  API 보안 체계 관리 기능이 포함됩니다.

• 표준 활동 기준을 바탕으로 API의 행동을 분석해 비정상을 탐지

• 실시간으로 악성 활동을 식별하고 다른 툴과 연동해 알림을 전송해 무단 접속 차단 등의 제어 조치를 적용

• 컴플라이언스 프레임워크에 매핑된 잠재적 API 보안 인시던트에 대해 지속적인 가시성을 제공

이번 시리즈의 향후 블로그 게시물을 기대해 주세요. 기업 보안팀이 컴플라이언스 격차와 과제를 해결하는 방법을 소개하겠습니다. Akamai는 기업이 공격 표면의 모든 영역을 보호하기 위해 계층형 전략을 구축하는 방식과 크게 다르지 않은 전략적 접근이 데이터 보호 법규에 필요하다고 생각합니다. 

IT 환경 전반에서 포괄적인 가시성을 확보하는 것을 포함하여 오늘날 규제 기관이 요구하는 사항과 직접 연결된 모범 사례를 다룰 것입니다.