핵심 8가지 프레임워크를 실제로 적용하는 방법: 암호 해독하기

Essential 8 프레임워크란 무엇인가요? 

2023년 11월, 호주 국가 사이버 전략이 '방어' 전략에서 '준비' 전략으로의 전환을 반영하여 업데이트되었습니다. 이러한 전략적 변화는 호주의 모든 산업체와 정부 기관에 적용됩니다. 이러한 전환을 지원하기 위해 호주 신호정보국(ASD)은 국가 사이버 보안 전략 변화의 중요한 구성 요소로서 '필수 8(Essential 8)' 준수 프레임워크를 개발했습니다. 이 프레임워크는 조직이 사이버 보안 및 위험 관리 프로그램의 성숙도를 측정하는 데 도움을 주기 위해 설계되었습니다. 필수 8은 8가지 핵심 기술 영역에 걸쳐 148개의 통제 항목으로 구성되어 준수 표준을 정의합니다.

Essential 8 통합 및 가시성 과제

마이크로소프트는 Essential 8에 상당한 영향을 미쳤으며, 명시적으로 언급되지는 않았지만 많은 통제 항목이 마이크로소프트 기술에 매핑되어 있습니다. 이는 마이크로소프트를 비난하거나 깎아내리려는 의도가 아니라, 그들의 영향력을 인정하는 것입니다. 하지만 현실적으로 모든 정부 기관이나 기업이 마이크로소프트 제품을 사용하는 것은 아닙니다. 따라서 이러한 기업들에게는 Essential 8을 구현하는 데 여러 가지 어려움이 있습니다. 

지속적인 규정 준수 보고 

분산 환경에서 이해하기 쉬운 Essential 8 보고 기능을 효율적으로 구현하는 것은 상당히 어려울 수 있습니다. 조직은 Essential 8 프레임워크와 관련하여 특정 시점의 위험 상태와 실시간 상태를 모두 보고할 수 있어야 합니다. Swimlane Turbine과 같은 벤더에 구애받지 않는 보안 자동화 솔루션은 이러한 규정 준수 보고 문제를 해결하는 데 도움이 될 수 있습니다. 

Essential 8용 실시간 대시보드 

규정 준수 문제를 더 자세히 살펴보면, 호주 기업들은 필수 8가지 요소와 관련하여 자사의 보안 상태를 파악하는 데 필요한 기준선을 설정할 수 있는 실시간 대시보드도 필요로 합니다. 이러한 다중 요소 대시보드를 구성하는 기본적인 방법은 두 가지입니다. 

1. 통합 및 수집 – 모든 시스템을 통합하고 필수 8가지 통제 및 성숙도 프레임워크에 따라 보고하는 데 필요한 원격 측정 데이터를 수집합니다. 
2. 평가 - 조직의 8가지 핵심 위험 요소에 대한 환경적 평가 도구 역할을 하는 자동화된 평가 시스템을 구축하세요. 평가 질문에 대한 답변은 대시보드에 자동으로 반영됩니다. 

Swimlane Essential 8 대시보드의 비하인드 스토리 

저희는 호주 고객을 위해 Swimlane의 Essential 8 대시보드를 개발할 때 이 두 가지 방법을 모두 검토했습니다. 여기에서 확인해 보세요. 데모 비디오 제 친구이자 동료인 개빈 쿨타드에게 최종 결과를 보여달라고 부탁했습니다. 더 자세한 내용과 과정에서 얻은 교훈을 알고 싶으시다면 이 블로그를 계속 읽어보세요. 

대시보드 구축을 위한 통합 방식과 평가 방식 모두 장단점이 있습니다. 저희는 Essential 8 기준 보고서를 신속하게 작성하기 위해 평가 방식을 선택했습니다. 이 맞춤형 평가는 내부 도구와 외부 도구를 스캔하여 기존 기술 스택 및 인적 통찰력 기반 질문에서 정보를 수집할 수 있습니다. Turbine의 문서 수집 및 해석 기능 덕분에 이 평가 프로세스는 저희에게 매우 적합했습니다. 이 초기 감사는 며칠이 소요되며, Essential 8 프레임워크 성숙도에 대한 실증적 증거가 포함된 감사 추적 기록을 제공합니다. 

Essential 8부터 다중 규정 준수 프레임워크까지 

규정 준수 자동화 및 가시성 확보의 복잡성은 Essential 8만으로 끝나지 않습니다. 많은 기업과 MSSP(관리형 서비스 제공업체)는 여러 규정 준수 프레임워크를 준수해야 합니다. 자동화 솔루션 제공업체로서 우리의 다음 과제는 고객에게 모든 규정 준수 프레임워크를 위한 중앙 집중식 기록 시스템을 제공하는 것이었습니다. 우리의 목표는 고객이 여러 프레임워크에 걸쳐 모든 제어를 한 곳에서 관리할 수 있는 솔루션을 제공하는 것이었습니다. 이를 위해서는 각 제어 항목을 고유한 프레임워크 수명 주기에 맞춰 이해하고 감사할 수 있는 기능이 필요했습니다. 

그래서 우리는 해결해야 할 과제를 명확히 파악했고, 참고 자료도 확보했으며, 이제 구축을 시작할 준비가 되었습니다. 이 이야기에서 기술 전문가는 제가 아니라 제 아키텍트인 개빈 콜타드입니다. 그는 NIST 규정 준수 관리를 위해 자체 환경을 구축해 놓은 CISO의 사전 구축된 보고 시스템을 활용하여 약 2주 만에 다중 규정 준수 자동화 솔루션을 구축했습니다. 

스윔레인 다중 규정 준수 자동화 솔루션의 차별점은 무엇일까요? 

꽤 괜찮은 아이디어처럼 들리지만, 그렇게 간단하지만은 않습니다. 이 분야에 경험이 풍부한 사람이라면 누구나 당연히 몇 가지 질문을 던질 것입니다. 이미 이런 기능을 하는 제품들이 있지 않나요? 

그 질문에 대한 답은 '예'이기도 하고 '아니오'이기도 합니다. 

• 예 - 특정 산업 분야에 특화된 규정 준수 관리 제품들이 존재합니다. 이러한 제품들은 대부분 특정 산업의 규정 준수를 기반으로 개발되었기 때문에, 제가 보기에 규정 준수에 가장 적합한 제품이라고 할 수 있습니다. 이 제품들은 고도로 전문화되어 있으며, 관련 법규에 따라 규정 준수가 의무화된 산업을 위해 설계되었습니다. 대표적인 예로 금융 서비스 산업이 있는데, 이 산업의 일부는 엄격한 규제를 받고 있으며, 규정 준수는 이러한 법규를 시행하기 위한 도구로 사용됩니다. 
• 아니요 대부분의 솔루션은 모든 규정 준수 프레임워크나 원격 측정 데이터를 통합된 시각으로 제공하는 데 초점을 맞추지 않습니다. 이러한 복잡성을 통합, 연관 분석 및 간소화하는 과제가 바로 스윔레인의 강점입니다. 유연성과 고도로 구성 가능한 사용자 인터페이스는 스윔레인 터빈을 다른 보안 자동화 솔루션과 차별화하는 두 가지 핵심 요소입니다. 이러한 특징 덕분에 터빈은 매우 다양한 사용 사례를 자동화하여 최대의 투자 수익률(ROI)을 제공할 수 있습니다.  

규정 준수는 이제 필수적인 요소가 되었으므로 자동화하는 것이 중요합니다. 

이 움직임은 이제 막 시작 단계에 불과하며, 끊임없이 변화하는 규제 환경은 앞으로 간접비를 더욱 증가시킬 것입니다. 하지만 규정 준수의 놀라운 점은 제대로 수용하고 관리한다면 조직의 효율성과 성공을 위한 핵심 요소가 될 수 있다는 것입니다. 다시 말해, 표면적으로는 필수적인 간접비로 여겨지는 규정 준수가 조직의 효율성과 잠재력을 극대화하는 열쇠가 되는 것입니다.  
이러한 잠재력을 실현하는 핵심은 완벽하게 통합된 방식으로 규정 준수를 관리하는 것입니다. 보안 자동화가 바로 그 해법입니다. 이 모든 것이 어떻게 작동하는지 자세히 알아보려면 데모를 요청하세요. swimlane.com/demo