CIS 벤치마크란 무엇인가요?

CIS 벤치마크는 전 세계의 사이버 보안 전문가 커뮤니티가 참여하는 합의 기반 프로세스를 통해 개발됩니다. 이러한 전문가들은 각자의 전문 분야에서 보안 모범 사례를 지속적으로 식별, 개선 및 검증하여 조직이 사이버 위험으로부터 디지털 자산을 보호할 수 있도록 지원합니다.

CIS는 8개 핵심 기술 카테고리와 25개 이상의 공급업체 제품군을 포괄하는 100개 이상의 CIS 벤치마크를 발표했습니다.¹ CIS 벤치마크는 비상업적 용도의 경우 무료 PDF 다운로드를 통해 사용할 수 있습니다.

CIS 벤치마크는 전 세계적으로 인정받는 규범적 보안 표준과 사이버 방어 가이드라인을 준수하여 조직이 보안 태세를 개선할 수 있도록 지원합니다. CIS 벤치마크는 규정 준수, IT 거버넌스 및 보안 정책과 같은 비즈니스 사용 사례도 지원합니다.

2000년 10월에 설립된 CIS는 "사람, 기업, 정부가 만연한 사이버 위협으로부터 스스로를 보호할 수 있도록 지원하는 모범 사례 솔루션을 적시에 개발, 검증, 홍보하여 연결된 세상을 더 안전한 곳으로 만드는 것"을 사명으로 하는 비영리 조직입니다. ²

CIS 벤치마크 커뮤니티는 CIS 벤치마크 모범 사례 개발에 기여하는 12,000명 이상의 IT 보안 전문가 그룹으로, 기여하고자 하는 모든 사람에게 열려 있습니다. 이 커뮤니티는 자원봉사자로 구성되며 전 세계의 주제별 전문가, 공급업체, 기술 작가, 테스터 및 기타 CIS 회원을 포함합니다.

CIS는 또한 미국 주, 지방, 부족 및 영토(SLTT) 정부 기관에 사이버 위협 예방, 보호, 대응 및 복구 리소스를 제공하는 주간 정보 공유 및 분석 센터(MS-ISAC)를 포함하고 있습니다. 또한 미국 선관위의 사이버 보안 요구 사항을 지원하는 선거 인프라 정보 공유 및 분석 센터(EI-ISAC)의 본부이기도 합니다.³

CIS 프로파일 레벨은 서로 다른 보안 권장 사항 계층을 참조하며 서로 다른 제품에 대한 여러 구성을 포함합니다.

레벨 1은 구현하기 쉽고 비즈니스 기능에 미치는 영향을 최소화하는 기본 수준 구성을 다룹니다.

레벨 2는 비즈니스 중단을 최소화하면서 구현하기 위해 더 많은 조정 및 계획이 필요한 높은 보안 환경에 적용됩니다.

STIG는 미국 정부 요구 사항을 충족하기 위해 미국 국방부(DOD)에서 발표하고 유지 관리하는 보안 표준인 보안 기술 구현 가이드(STIG)를 다루는 일련의 구성 기준입니다.

CIS의 STIG 프로파일은 조직이 STIG를 준수하는 데 도움이 됩니다. STIG에 따라 구성된 보안 시스템은 CIS 및 STIG 규정 준수 요구 사항을 모두 충족합니다.

앞서 언급했듯이 다음을 포함하여 8개의 IT 기술 카테고리에 걸쳐 100개 이상의 CIS 벤치마크가 그룹화되어 있습니다.

• 운영 체제

• 서버 소프트웨어

• 클라우드 제공업체

• 모바일 디바이스

• 네트워크 디바이스

• 데스크톱 소프트웨어

• 다기능 인쇄 장치

• DevSecOps 도구

이 카테고리는 Microsoft Windows, Linux 및 Apple의 macOS와 같은 핵심 운영 체제의 보안 구성을 다룹니다. 여기에는 로컬 및 원격 액세스 제한, 사용자 프로필, 인증, 드라이버 설치 프로토콜 및 인터넷 브라우저 구성에 대한 모범 사례 지침이 포함됩니다.

이 카테고리는 Microsoft Windows Server, SQL Server 및 VMware를 포함하여 널리 사용되는 서버 소프트웨어의 보안 구성을 다룹니다. 또한 Docker 및 Kubernetes와 같은 오픈 소스 컨테이너화 플랫폼을 지원합니다.

이 벤치마크에는 Kubernetes PKI(공개 키 인프라) 인증서, 애플리케이션 프로그래밍 인터페이스(API) 서버 설정, 서버 관리자 제어, vNetwork 정책 및 스토리지 제한을 구성하기 위한 권장 사항이 포함됩니다.

이 카테고리에서는 Amazon Web Services(AWS), Microsoft Azure, Google, IBM 및 기타 인기 있는 퍼블릭 클라우드 환경에 대한 보안 구성을 다룹니다. 이 벤치마크에는 ID 및 액세스 관리(IAM), 시스템 로깅 프로토콜, 네트워크 구성 및 규정 준수 보호 장치를 구성하기 위한 클라우드 보안 가이드라인이 포함되어 있습니다.

이 카테고리는 iOS 및 Android를 포함한 모바일 운영 체제를 다루며 개발자 옵션 및 설정, OS 개인정보 보호 구성, 브라우저 설정 및 앱 권한과 같은 영역에 중점을 둡니다.

이 카테고리는 Cisco, Palo Alto Networks, Juniper 등의 네트워크 디바이스 및 해당 하드웨어에 대한 일반 및 공급업체별 보안 구성 가이드라인을 제공합니다.

이 카테고리는 Microsoft Office 및 Exchange Server, Google Chrome, Mozilla Firefox, Safari 브라우저를 포함하여 가장 일반적으로 사용되는 데스크톱 소프트웨어 애플리케이션의 보안 구성이 포함됩니다. 이 벤치마크는 이메일 개인정보 보호 및 서버 설정, 모바일 디바이스 관리, 기본 브라우저 설정 및 타사 소프트웨어 차단에 중점을 둡니다.

이 카테고리에서는 사무실 환경에서 복합기를 구성하기 위한 모범 사례를 간략하게 설명합니다. 펌웨어 업데이트, TCP/IP 구성, 무선 액세스 구성, 사용자 관리, 파일 공유 등을 다룹니다.

이 카테고리는 공급망을 다루며 팀이 DevSecOps 파이프라인을 보호하는 데 도움이 됩니다. 초기 설계부터 통합, 테스트, 제공, 배포에 이르기까지 소프트웨어 개발 라이프사이클 전반에 걸쳐 보안 제어에 대한 모범 사례를 제공합니다.

수년간 CIS는 CIS 벤치마크를 지원하는 다른 무료 도구와 유료 솔루션을 제작하고 배포했습니다. 이러한 리소스는 조직이 사이버 보안 태세를 더욱 강화하는 데 도움이 됩니다.

이전에 SANS 중요 보안 제어(SANS Top 20 Controls)로 알려졌던 CIS 중요 보안 제어(CSC)는 효과적인 사이버 방어를 위한 18가지 보호 장치 및 대책에 대한 종합적인 가이드입니다. CIS 컨트롤이라고도 하는 이 도구는 무료로 사용할 수 있으며 조직에서 사이버 공격 표면을 크게 줄이기 위해 구현할 수 있는 우선순위 체크리스트를 제공합니다.

CIS 벤치마크는 더 안전한 시스템 구성을 위한 권장 사항을 참조할 때 이러한 사이버 보안 모범 사례를 참조합니다.

CIS는 또한 기업이 추가 하드웨어나 소프트웨어에 투자할 필요 없이 컴퓨팅 작업을 비용 효율적으로 수행할 수 있도록 사전 구성된 강화 이미지를 제공합니다. 강화된 이미지는 표준 가상 이미지보다 훨씬 안전하며 사이버 공격으로 이어질 수 있는 보안 취약성을 크게 제한합니다.

CIS 강화 이미지는 CIS 벤치마크 및 CIS 컨트롤에 따라 설계 및 구성되며 다양한 규정 준수 기관의 규정을 완벽하게 준수하는 것으로 인정받고 있습니다. CIS 강화 이미지는 거의 모든 주요 클라우드 컴퓨팅 플랫폼에서 사용할 수 있으며 배포 및 관리가 간편합니다.

CIS SecureSuite 멤버십 프로그램은 조직에 사이버 보안 도구와 리소스를 제공합니다. 미국 SLTT(주, 지방, 부족 및 자치지역) 정부 및 미국 내 학술 기관의 경우 멤버십이 무료이며, 해외의 상업 사용자 및 정부 기관에 따라 결제 옵션이 다릅니다.

CIS WorkBench는 CIS 컨트롤과 CIS 벤치마크 커뮤니티를 통합하는 중앙 집중식 플랫폼으로, CIS 벤치마크의 지속적인 개발을 위한 협업을 가능하게 합니다.

CIS SecureSuite 회원에게 제공되는 CIS SecureSuite Build Kit는 CIS Benchmarks에 대한 보안 자동화 및 시스템 개선 기능을 제공하는 리소스로 구성됩니다.

CIS 구성 평가 도구(CAT)는 CIS 벤치마크에 대한 시스템 구성 설정의 자동 스캔을 제공합니다. CIS SecureSuite 회원에게 제공됩니다.

CIS-CAT Lite는 IT 시스템 평가를 위한 무료 도구입니다. 이 한정 버전은 CIS-Cat Pro와 비교했을 때 더 적은 수의 CIS 벤치마크에 대한 기본 수준의 평가를 제공합니다.

CIS 벤치마크는 거버넌스, 위험 및 규정 준수(GRC) 전략이 있는 조직이 업계 및 정부 규정을 준수하면서 거버넌스와 위험을 관리할 수 있도록 지원합니다.

CIS 벤치마크는 보안 및 데이터 프라이버시 보호 규제 프레임워크와 밀접하게 일치하거나 '매핑'됩니다. 결과적으로 이러한 유형의 규정이 적용되는 업계에서 운영되는 모든 조직은 CIS 벤치마크를 준수함으로써 규정 준수를 향해 상당한 진전을 이룰 수 있습니다. 이러한 규제 기관에는 다음이 포함됩니다.

• 미국 국립표준기술연구소(NIST) 사이버 보안 프레임워크는 민간 부문 조직이 정보 보안(InfoSec) 및 사이버 보안 위험 관리를 개선하기 위해 따를 수 있는 포괄적인 지침과 모범 사례를 제공합니다.

• 지불 카드 산업 데이터 보안 표준(PCI DSS)은 카드 소유자의 기본 계좌 번호 (PAN), 이름, 만료 날짜, 서비스 코드 같은 카드 소유자 데이터와 기타 민감한 카드 소유자 정보를 라이프사이클 전반에 걸쳐 보호하기 위해 마련된 일련의 보안 요구 사항입니다.

• 건강 보험 양도 및 책임에 관한 법률(HIPAA)은 보호되는 건강 정보(PHI)의 사용, 공개 및 안전한 저장에 대한 요구 사항을 규정하고 있습니다.

• ISO/IEC 27001(ISO 27001이라고도 함)은 국제표준화기구(ISO)와 국제 전기기술위원회(IEC)가 공동으로 개발한 세계적으로 인정받는 선도적인 정보 보안 표준입니다. 민감한 정보 자산을 관리하고 보호하기 위한 체계적이고 구조화된 위험 기반 접근 방식을 제공합니다.

• 일반 데이터 보호 규정(GDPR)은 EU 내부 및 외부 조직이 EU 거주자의 개인 데이터를 처리하는 방법을 규정하는 유럽 연합(EU) 법률입니다.

기업은 항상 보안 구성과 관련하여 자유롭게 선택할 수 있지만, CIS 벤치마크는 다음과 같은 다양한 이점을 제공합니다.

• 업계에서 인정하는 표준: IT 및 사이버 보안 전문가로 구성된 글로벌 커뮤니티에서 개발한 CIS 벤치마크는 기업이 사이버 보안에 대한 확고한 의지를 확립하고 고객 및 이해 관계자의 신뢰를 높이는 데 도움이 됩니다.

• 정기적으로 업데이트되는 지침: CIS 벤치마크는 정기적으로 업데이트되는 단계별 지침을 제공하여 조직이 IT 인프라의 모든 측면을 보호할 수 있도록 지원합니다. 예를 들어 Windows 관련 CIS 벤치마크는 릴리스 후 90일 이내에 최신 버전으로 정기적으로 업데이트됩니다. 또한 CIS 강화 이미지는 매달 업데이트되어 최신 보안 CIS 모범 사례를 최신 상태로 유지합니다.

• 조직 거버넌스, 위험 및 규정 준수(GRC) 지원: CIS 벤치마크는 조직이 업계 및 정부 규정을 준수하면서 거버넌스 및 위험을 관리하는 조직 전략인 거버넌스, 위험 및 규정 준수(GRC)를 해결하는 데 도움이 되는 프레임워크를 제공합니다.

• 사용자 지정: CIS 벤치마크는 새로운 클라우드 서비스 및 워크로드를 안전하게 채택하고 디지털 혁신 전략을 실행하기 위한 유연한 템플릿을 제공합니다. 예를 들어, CIS SecureSuite 회원은 CIS WorkBench 플랫폼 내에서 CIS 벤치마크를 특정 비즈니스 및 기술 요구 사항을 충족하도록 조정할 수 있습니다.

• 유연성: CIS 벤치마크는 방화벽, 라우터, 서버를 포함한 보안 설정에 대한 기준 권장 사항을 제공합니다. 또한 시스템 및 디바이스를 설정하고 관리하는 데 도움이 되는 공급업체별 가이드라인을 제공합니다. 중립적인 기능과 공급업체별 기능의 이러한 조합은 시스템이 진화하는 요구 사항에 적응할 수 있도록 유연성을 지원합니다.

• 배포 용이성: DevSecOps 및 기타 팀은 운영 효율성과 지속가능성을 개선할 수 있도록 CIS 벤치마크를 활용하여 배포하기 쉬운 보안 구성을 제공합니다.