보안 제어는 조직에 중요한 다양한 형태의 데이터와 인프라를 보호하기 위해 구현되는 매개변수입니다. 물리적 재산, 정보, 컴퓨터 시스템 또는 기타 자산에 대한 보안 위험을 방지, 감지, 대응 또는 최소화하기 위해 사용되는 모든 유형의 안전 장치 또는 대책은 보안 제어로 간주됩니다.

사이버 공격의 증가율을 고려할 때 오늘날 데이터 보안 제어는 그 어느 때보다 중요합니다. 메릴랜드 대학의 Clark School 연구에 따르면 현재 미국에서는 평균 39초마다 사이버 보안 공격이 발생하여 매년 미국인 3명 중 1명이 영향을 받고 있으며, 이러한 공격의 43%가 소규모 기업을 대상으로 합니다. 2021년 3월부터 2022년 3월까지 미국에서 발생한 데이터 유출 사고의 평균 비용은 944만 달러였습니다.

동시에 데이터 개인정보 보호 규정이 강화되고 있어 기업은 데이터 보호 정책을 강화하지 않으면 잠재적인 벌금에 직면할 수 있습니다. 유럽연합은 지난해 엄격한 일반 데이터 보호 규정(GDPR) 법률을 시행했습니다. 미국에서는 캘리포니아의 소비자 개인정보 보호법이 2020년 1월 1일부터 시행될 예정이며, 현재 다른 여러 주에서도 유사한 조치를 고려하고 있습니다.

이러한 규정에는 일반적으로 요구 사항을 충족하지 않는 회사에 대한 엄격한 처벌이 포함됩니다. 예를 들어, 최근 Facebook은 데이터 보호 정책의 미비로 인해 여러 건의 데이터 유출이 발생하여 미국 연방거래위원회로부터 30억 달러 이상의 벌금을 부과받을 것으로 예상한다고 발표했습니다.

하드웨어, 소프트웨어, 네트워크 및 데이터의 손실 또는 손상을 유발할 수 있는 작업 및 이벤트로부터 보호하기 위해 구현할 수 있는 몇 가지 유형의 보안 제어가 있습니다. 예:

• 물리적 보안 제어에는 데이터 센터 경계 울타리, 잠금 장치, 경비원, 출입 제어 카드, 생체 인식 출입 제어 시스템, 감시 카메라, 침입 감지 센서 등이 포함됩니다.
  
  
• 디지털 보안 제어에는 사용자 이름 및 암호, 2단계 인증, 바이러스 백신 소프트웨어, 방화벽 등이 포함됩니다.
  
  
• 사이버 보안 제어에는 DDoS 완화, 침입 방지 시스템 등 데이터에 대한 공격을 방지하기 위해 특별히 설계된 모든 것이 포함됩니다.
  
  
• 클라우드 보안 제어에는 데이터 및 워크로드에 필요한 보호를 보장하기 위해 클라우드 서비스 공급자와 협력하여 취하는 조치가 포함됩니다. 조직이 클라우드에서 워크로드를 실행하는 경우 기업 또는 비즈니스 정책 보안 요구 사항 및 업계 규정을 충족해야 합니다.

이러한 통제의 구현과 지속적인 관리를 정의하는 프로세스와 문서를 포함한 보안 제어 시스템을 프레임워크 또는 표준이라고 합니다.

프레임워크를 사용하면 조직은 일반적으로 인정되고 테스트된 방법론에 따라 다양한 유형의 자산에 대한 보안 제어를 일관되게 관리할 수 있습니다. 가장 잘 알려진 프레임워크 및 표준은 다음과 같습니다.

미국 국립표준기술연구소(National Institute of Standards and Technology) 사이버 보안 프레임워크

미국 국립표준기술연구소(National Institute of Standards and Technology)는 사이버 공격을 예방, 탐지 및 대응하는 방법에 대한 지침을 조직에 제공하기 위해 2014년에 자발적 프레임워크를 만들었습니다. 평가 방법 및 절차는 조직의 보안 제어가 올바르게 구현되고, 의도한 대로 작동하고, 원하는 결과(조직의 보안 요구 사항 충족)를 산출하는지 판단하는 데 사용됩니다. NIST 프레임워크는 사이버 보안의 발전에 발맞춰 지속적으로 업데이트됩니다.

인터넷 보안 제어 센터

인터넷 보안 센터(CIS)는 사이버 공격을 방지하고자 하는 모든 기업에 “반드시 해야 하고 먼저 해야 하는” 출발점을 제공하는 우선순위가 높은 방어 조치 목록을 개발했습니다. CIS 제어를 개발한 SANS Institute에 따르면 "CIS 제어는 주요 위협 보고서에서 강조된 가장 일반적인 공격 패턴에서 파생되고 매우 광범위한 정부 및 업계 실무자 커뮤니티에서 검증되었기 때문에 효과적입니다."라고 말합니다.

조직은 이러한 프레임워크 및 기타 프레임워크를 참조하여 자체 보안 프레임워크 및 IT 보안 정책을 개발할 수 있습니다. 잘 개발된 프레임워크는 조직이 다음을 수행하도록 보장합니다.

• 보안 제어를 통해 IT 보안 정책 시행
• 직원과 사용자에게 보안 지침 교육
• 업계 및 규정 준수 충족
• 보안 제어 전반에 걸쳐 운영 효율성 달성
• 지속적으로 위험을 평가하고 보안 제어를 통해 이를 해결합니다.

보안 솔루션의 성능은 가장 취약한 링크에 기반합니다.따라서 ID 및 액세스 관리, 데이터, 애플리케이션, 네트워크 또는 서버 인프라, 물리적 보안, 보안 인텔리전스 전반에 걸쳐 보안 제어를 구현하려면 여러 계층의 보안 제어(심층 방어 전략이라고도 함)를 고려해야 합니다.

보안 제어 평가는 취약점이 존재하는 위치를 파악하기 위한 훌륭한 첫 번째 단계입니다. 보안 제어 평가를 통해 현재 시행 중인 제어를 평가하고 해당 제어가 올바르게 구현되었는지, 의도한 대로 작동하는지, 보안 요구 사항을 충족하는지 확인할 수 있습니다. NIST Special Publication 800-53은 NIST에서 성공적인 보안 제어 평가를 위한 벤치마크로 작성되었습니다. NIST 지침은 적용 시 조직의 보안 손상 위험을 완화하는 데 도움이 될 수 있는 모범 사례 접근 방식이라고 할 수 있습니다. 또는 조직에서 자체 보안 평가를 생성할 수도 있습니다.

보안 평가를 작성하기 위한 몇 가지 주요 단계는 다음과 같습니다.

• 대상 시스템 결정: 네트워크에서 스캔하는 데 필요한 IP 주소 목록을 만듭니다. 목록에는 조직의 네트워크에 연결된 모든 시스템과 장치의 IP 주소가 포함되어야 합니다.
  
  
• 대상 애플리케이션 결정: 검사할 웹 애플리케이션 및 서비스를 나열합니다. 웹 애플리케이션 서버, 웹 서버, 데이터베이스, 타사 구성 요소 및 기존 애플리케이션을 구축하는 데 사용되는 기술의 유형을 결정합니다.
  
  
• 취약점 스캔 및 보고: 취약성 평가로 인해 대상 서버에 요청을 로드할 때 네트워크 트래픽이 폭증할 수 있으므로 네트워크 팀과 IT 팀에 모든 평가 활동에 대한 정보를 제공하세요. 또한 조직 네트워크에서 스캐너 IP에 대한 인증되지 않은 패스스루를 확보하고 해당 IP가 IPS/IDS에서 화이트리스트에 있는지 확인하세요. 그렇지 않으면 스캐너가 악성 트래픽 경고를 트리거하여 IP가 차단될 수 있습니다.

자체 보안 평가를 작성하여 기업의 애플리케이션과 네트워크의 취약성을 평가하는 방법에 대해 자세히 알아보세요.