정부 기관이 사이버 보안 성숙도 모델 인증(CMMC)에 대해 알아야 할 사항
올해 초, 국방부(DoD)는 사이버보안 성숙도 모델 인증(CMMC) 버전 1.0을 출시했습니다. 이는 해당 기관의 방대한 공급망을 보호하기 위한 매우 기대되는 통합 표준입니다. 예를 들어 다른 국가와의 긴장이 고조되면 많은 사람들은 보복이 사이버 공간을 통해서만 이루어지는 것이 아니라 " 잠재적으로 취약한 방위 계약자 "를 통해서도 이루어질 것이라고 우려합니다.
5년에 걸쳐 전개되는 CMMC는 이러한 취약성을 없애지는 못하더라도 최소한 줄이고 중대한 국가 안보 과제를 해결하는 것을 목표로 합니다. 방위 산업 기반(DIB)에는 30만 개가 넘는 기업이 포함되어 있지만, 이전에는 이들에 대한 감독이 현저히 부족했습니다. 이들 기업은 자체 시스템을 통해 민감한 국방 정보에 접근하고 이를 저장합니다. CMMC는 이러한 정보를 보호하기 위한 중요한 조치입니다.
장기적인 이점에도 불구하고 CMMC는 많은 계약자에게 단기적으로 혼란을 초래할 수 있습니다. 계약자는 업무에 따라 5가지 새로운 보안 수준 중 하나를 충족해야 합니다. 하지만 보안 태세를 개선하기 위한 출발점은 거의 같습니다.
CMMC 준비
CMMC 이후 보안 모범 사례에 대한 최신 정보를 얻고자 하는 사람이라면 지속적인 보안을 강조하는 미국 국립표준기술원( NIST ) 사이버보안 프레임워크가 좋은 시작점이 될 것입니다. NIST 프레임워크는 식별, 보호, 탐지, 대응, 복구라는 5가지 부문 또는 기능으로 구분됩니다.
첫 번째 버킷은 물론 기초입니다. 위협을 식별하기 위해 회사는 먼저 자사 시스템의 범위를 파악해야 하는데, 이는 BYOD와 섀도 IT 시대에는 어려울 수 있습니다. 직원, 자산, 데이터를 완벽하게 이해하지 못하면 시스템을 보호할 방법이 없습니다. 이러한 가시성을 현실로 만드는 데 도움이 되는 다양한 도구가 있는데, 앱 중심 시각화 부터 SSL 가시성 까지 있습니다. 후자는 트래픽을 복호화하고 다시 암호화하여 맬웨어가 포함되지 않도록 보장합니다.
지속적인 모니터링
기업은 시스템과 데이터에 대한 완전한 가시성을 확보해야만 일반적인 웹 악용, 악성 IP, 조정된 공격 유형 으로부터 보호하는 등의 필요한 보호 조치를 마련할 수 있습니다. 접근 관리단일 로그인, 보안 VDI, 권한 있는 사용자 액세스와 같은 보안 기술은 악의적인 행위자로부터 보호하는 한 가지 방법을 제공합니다. 간단히 말해서, 연방 정부는 계약자가 자신이 주장한 사람인지 확인할 수 있어야 하며, 그에 따라 적절한 수준의 접근 권한을 부여해야 합니다.
하지만 보안은 문에서만 끝날 수는 없습니다. 사용자가 인증된 후에도 회사에서는 NIST 프레임워크의 세 번째 구성 요소인 신속한 감지를 달성하기 위해 사용자의 활동을 지속적으로 모니터링하고 기록해야 합니다. 이러한 목적을 위해 행동 분석, 인공 지능, 머신 러닝을 활용하여 트래픽을 분석하고 위험하거나 비정상적인 행동을 표시할 수 있습니다.
이 처음 세 단계가 없다면 마지막 두 단계, 즉 대응 계획을 개발하고 영향을 받은 시스템과 자산을 복구하는 계획은 거의 불가능합니다. 물론, CMMC의 목표는 이 마지막 두 단계를 드물게 만드는 것입니다. 지속적인 모니터링을 통해 DoD 계약자와 하청업체가 전혀 손상되지 않도록 방지하는 것이 목표입니다.
결론
단기적으로 DoD 공급망의 기업은 가시성, 보호 및 신속한 감지를 지원하는 기술에 투자해야 합니다. 이를 통해 인증 및 보안에 필요한 기반이 마련됩니다. 많은 계약자들이 CMMC의 전망에 두려움을 느낄지 모르지만, 현실적으로 이는 수년간의 방치에 대한 필요한 대응입니다.
하지만 이 새로운 수준의 보안이 공급망에서 중요한 역할을 하는 소규모 하청업체를 압박하지 않는 것이 중요합니다. 좋은 소식은 국방부에서 대부분 계약자에게는 기본적인 사이버 보안에 중점을 둔 레벨 1 인증만 필요할 것으로 추정했다는 것입니다. 이는 회사가 민감한 정부 데이터에 액세스하지 않는 경우에도 구현해야 할 모범 사례입니다. 방위 산업계에 종사하는 사람들에게 있어서 보호와 탐지의 시기는 어제였습니다.