보안 컴플라이언스 요구사항을 충족하기 위해 리스크에 대한 보다 심층적인 가시성을 확보하세요

리스크나 취약점을 인식하지 못하면 이를 줄이거나 해결하기 위한 조치를 취할 수 없으며 규제 당국에 문제를 관리하고 있다는 것을 입증할 수 없습니다. 그러나 가시성은 사이버 보안팀의 일반적인 과제입니다. 

2024년 Forrester 연구에 따르면 금융 기업의 과반수(52%)가 IT 인프라에 대한 완전한 가시성이 부족하다는 데 동의하거나 강력하게 동의했습니다. 규정 미준수의 리스크는 모든 업계에서 높습니다. 2023년부터 2024년까지 규제 벌금으로 10만 달러 이상을 지불한 기업의 수는 약 20% 증가했습니다.

Akamai의 컴플라이언스 블로그 게시물 시리즈의 첫 번째 글에서 규제 컴플라이언스 노력을 계층형 보안 접근 방식에 매핑하는 것을 제안했습니다. 가시성 격차를 메우는 적극적인 접근 방식은 다음과 같은 보안 컴플라이언스 요구사항을 충족하는 데 도움이 될 수 있습니다.

• 통제 조치 입증
• 리스크 관리 평가 수행
• 감사 보고

이 게시물에서는 기업이 네트워크 보안 및 API 보안 측면에서 직면하는 가시성 문제점을 탐구하고 기업이 컴플라이언스 강화를 위해 추가할 수 있는 레이어를 논의합니다. 결국, 우수한 보안 조치는 규제 요구사항을 충족하는 데 도움을 줄 수 있습니다. 그리고 리스크를 발견하면 이를 방어하는 데 훨씬 더 유리한 위치에 있게 됩니다.

사이버 보안 리더들은 팀이 네트워크 트래픽을 효과적으로 모니터링하는 기능이 부족해 자산 간 통신과 같은 리스크 요소를 식별하지 못한다고 언급합니다. 이는 PCI DSS(Payment Card Industry Data Security Standard) v4.0 및 GDPR(General Data Protection Regulation)과 같은 규제에 필수적입니다. 

이 두 규정은 IT 환경 내에서 범위 내 데이터를 다른 시스템과 분리하고 해당 노력을 보고하도록 요구합니다. 네트워크 가시성은 ISO(International Organization for Standardization) IEC 27001 같은 ISMS(Information Security Management System) 표준에서도 핵심 요소로, 공격자가 네트워크에 침입할 경우 측면 이동을 방지하기 위해 데이터와 데이터 처리 시설을 분리하도록 요구합니다.

기업은 일반적으로 가시성을 위한 기본 레이어를 갖추고 있습니다. 예를 들어 기존 네트워크 방화벽은 얼마의 인사이트를 제공할 수 있습니다. 그러나 이러한 레이어는 클라우드 환경과 마이크로서비스로 구성된 복잡한 IT 인프라로 전환하는 기업의 변화 속도를 따라가지 못해 왔습니다. 결과적으로 보안팀은 다음과 같은 능력을 갖추지 못하고 있습니다.

• 기업이 운영하거나 판매하거나 써드파티를 활용하는 다양한 지역에서 다양한 규정 요구사항의 컴플라이언스를 보장하기

• 네트워크 전반에서 애플리케이션과 최종 사용자가 데이터베이스와 어떻게 통신하고 상호작용하는지 명확히 이해하기

이러한 가시성 격차로 인해 기업은 사이버 위협을 탐지하는 방법, 그리고 데이터 도난, 운영 중단, 멀웨어로 이어질 수 있는 공격으로부터 보호하는 방법을 규제 기관에 입증하는 데 어려움을 겪고 있습니다. 가시성 부족은 PCI DSS v4.0의 요구사항 1과 같은 기술적 요구사항을 충족하는 것도 어렵게 합니다. 그에 따르면 방화벽이 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 연결을 제한하도록 설정되어야 합니다.

네트워크 트래픽의 가시성 격차를 해결하는 한 가지 방법은 소프트웨어 정의 마이크로세그멘테이션 레이어를 추가해 네트워크 내 자산 간의 통신을 시각화하고, 모니터링하고, 식별하는 것입니다. 이 접근 방식에는 다음과 같은 장점이 있습니다.

• 네트워크 상호작용에 대한 정밀한 제어 기능을 제공하며 기업이 특정 데이터 센터 내 디바이스 간(예: 동서 방향 트래픽) 복잡한 네트워크(온프레미스 및 클라우드 간)에서 불법적인 네트워크 트래픽을 이해하고, 격리하고, 방지하는 데 도움을 줍니다.

• 네트워크를 세그먼트로 나누어 각 세그멘테이션의 리스크 속성에 따라 보안 제어를 정의함으로써 랜섬웨어 공격을 방어하고 차단하는 기능을 제공합니다.

• 동서 가시성 강화로 보안팀은 고객의 신용카드 데이터와 같은 민감한 리소스에 대하여 “누가 무엇에 접속할 수 있는지”를 더 명확히 파악할 수 있습니다.

네트워크 가시성을 개선하기 위해 기업이 사용할 수 있는 마이크로세그멘테이션 레이어를 고려할 때 실시간 및 과거 인사이트를 제공하는 기능을 찾아보세요. 이는 컴플라이언스 감사 시 범위 내 데이터 및 자산이 감염되지 않았음을 증명하는 데 도움이 됩니다.

또한 일부 보안팀은 급속히 성장하는 API 환경에 대한 가시성을 확보하는 데 어려움을 겪고 있습니다. 고객, 파트너, 벤더사가 기업과 전자적으로 상호작용할 때마다 API는 배후에서 데이터를 전송하며 해당 데이터는 종종 민감합니다. 오늘날 공격자는 설정 오류, 취약한 인증 제어, 코딩 오류 등의 요인으로 인해 API가 매우 취약하고 상대적으로 유출되기 쉽다는 점을 알고 있습니다.

많은 기업은 전체 IT 자산의 일부만 확인할 수 있습니다. 명확히 파악되지 않는 API가 많고 이는 기존의 API 보안 툴로 탐지되지 않기 때문입니다. Akamai의 2024년 API 보안 영향 연구에 따르면 전체 API 목록을 보유한 보안 전문가 중 민감한 데이터를 반환하는 API를 실제로 알고 있는 사람은 27%에 불과합니다. 이는 이미 우려스러운 2023년의 수치인 40%에서 더 감소한 것입니다.

업계별로 필터링하면 정상 사용자나 공격자의 요청과 관계없이 요청에 응답해 민감한 데이터를 제공하는 API에 대한 가시성은 더욱 낮아집니다.

• 헬스케어: API의 24.0%
• 보험: API의 20.7%
• 정부/공공 부문: API의 18.5%

헬스케어 업계를 예로 들어 위험성을 살펴보겠습니다. 공격자가 헬스케어 공급업체의 잘못 설정된 API를 쉽게 조작해 환자 기록을 가져오면 HIPAA 규정 위반 조사와 벌금으로 이어질 수 있습니다.

일부 규정에서는 API가 명시적으로 언급됩니다. 예를 들어, PCI DSS v4.0에는 기업의 소프트웨어가 외부 구성요소의 기능을 안전하게 사용한다는 것을 확인하는 가이드가 포함되어 있습니다. 이 지침은 모바일 앱에서 은행 시스템으로 신용카드 데이터와 같은 결제 정보를 전송하는 API를 포함합니다. 

다른 경우 API는 명시적으로 언급되지 않지만 요구사항은 API에 의존해 작동하는 기술을 보호하는 데 명확히 초점을 맞춥니다. 예를 들어, EU의 DORA(Digital Operational Resiliency Act)는 EU 회원국의 금융 서비스 기업이 사이버 공격을 견디고 복구하는 것을 돕기 위해 설계되었습니다.

DORA 제3조에 따라 기업은 ICT(Information and Communication Technology) 솔루션 및 프로세스를 사용해 다음을 충족해야 합니다.

• 데이터 관련 보안 리스크, 무단 접속, 기술적 취약점 최소화

• 데이터 불용성, 데이터 손실, 무결성, 기밀 데이터 유출 방지

• 데이터 전송 보안 보장

API의 주요 기능은 빠르고 안전하고 안정적인 데이터 전송을 지원하는 것입니다. 따라서 기업 데이터에 접근하는 모든 API를 식별하고, 리스크 평가를 수행하고, 보안을 강화하는 것은 DORA 요구사항을 충족하는 데 필수적입니다. 

이러한 제어 사항은 PCI DSS, GDPR 컴플라이언스, 그리고 사이버 안정성 및 데이터 보안을 보장하기 위해 설계된 다양한 규정에 대한 컴플라이언스 개선에도 도움이 됩니다. API 및 그 리스크에 대한 가시성을 향상시키기 위해 추가 레이어를 고려 중이라면 다음 기능을 찾아보세요.

• 좀비 및 섀도 API를 포함해 IT 환경 내 모든 관리형 및 비관리형 API를 발견하는 기능

• 각 API의 리스크 요소를 평가하는 기능(예: 교환되는 데이터 종류, 해당 데이터에 접속할 수 있는 주체 또는 시스템)

• 데이터 유출, 의심스러운 행동, 악성 봇, API 공격 등 리스크를 탐지하기 위한 맥락적 인사이트를 시각화하는 기능

• 데이터 흐름을 문서화하는 기능 

• 기업의 API 보안 체계를 규제 기준에 매핑한 컴플라이언스 보고서를 생성하는 기능

결론적으로, 정보 보안 컴플라이언스 프레임워크 및 규정을 준수하려면 공격표면 내 다양한 영역을 보호하는 것을 기반으로 한 계층형 접근 방식이 필요합니다.

이후 게시물에서는 오늘날 규제 기관이 보안 컴플라이언스 관리에 요구하는 사항과 직접적으로 연결된 최고의 보안 관행을 다룰 것입니다. 여기에는 네트워크, 애플리케이션, API 간 측면 이동 방지 등이 포함됩니다.