블로그

정부 기술 현대화법을 사용하여 사이버 보안을 개선합니다(지금)

마이클 콜먼 썸네일
마이클 콜먼
2020년 9월 10일 게시

2017년에 정부기술현대화법 (MGT법)이 법으로 제정되었을 때, 그 목적은 각 기관이 사이버보안을 포함한 IT 현대화 노력에 적용할 수 있는 자금을 제공하는 것이었습니다. 기관들은 기술 현대화 기금에서 자금 지원을 신청할 수 있습니다. 이 기금은 기관들이 기존 시스템에서 벗어나 민첩하고 혁신적인 기술에 투자할 수 있도록 돕기 위해 고안되었습니다.

결론적으로, MGT법의 제정은 누구의 상상보다도 훨씬 더 선견지명이 있는 것으로 드러났습니다.

COVID-19로 인해 기존 사이버 보안 시스템을 현대화하고 클라우드로 전환해야 할 필요성이 크게 높아졌습니다. 이번 팬데믹으로 인해 교활한 해커들이 랜섬웨어부터 DDoS/DoS 공격까지 다양한 전술을 통해 취약점을 악용할 수 있는 길이 열렸습니다. 실제로 올해 초 미국 국토안보부와 영국 국가 사이버 보안 센터는 맬웨어와 랜섬웨어의 증가에 대해 심각한 경고를 발표했습니다.

물론, 보안 위협은 COVID-19보다 훨씬 이전부터 증가하고 있었습니다. 베라이즌이 팬데믹 초기 단계에 발행한 보고서에 따르면, 랜섬웨어는 공공 부문 맬웨어 기반 사고의 61%를 차지했고, 침해의 33%는 내부자에 의해 발생했습니다. 그리고 사이버 보안 및 인프라 보안 기관(CISA)의 2020년 초 보고서는 "외국 사이버 공격자들은 공공 및 민간 부문 조직을 포함한 광범위한 대상 집단을 대상으로 공개적으로 알려지고 종종 오래된 소프트웨어 취약성을 계속 악용하고 있다"고 언급했습니다.

경계가 없습니다

하지만 COVID-19로 인해 공격 표면이 확장되었습니다. 이제 원격 작업이 표준이 되었으며, 사용자는 클라우드 기반 애플리케이션에 점점 더 의존하고 있습니다. 재택근무하는 정부 직원이 늘어나면서 수용 능력과 보안 요구로 인해 시스템과 프로세스가 과부하 상태에 빠졌습니다.

이러한 요소들은 점점 더 분산되는 네트워크와 잠재적으로 취약한 다양한 애플리케이션을 보호하는 임무를 맡은 IT 보안 팀에 과제를 안겨줍니다. 예전에는 네트워크 경계를 방어하기 위해 기존 보안 솔루션에 의존했지만, 오늘날에는 사실상 경계가 없습니다.

따라서 기업은 다양한 측면에서 안전을 확보하기 위해 MGT법 자금을 여러 형태의 동적 보호에 투자하는 것을 고려해야 합니다. 예를 들어, 권한이 있는 사용자의 접근을 모니터링하고 ID 관리 프로토콜을 구현하면 적합한 사람만이 네트워크와 매우 민감한 정보에 접근할 수 있도록 할 수 있습니다. 한편, 애플리케이션 보안 도구는 API 취약점, 주입, 크로스 사이트 스크립팅 공격 등으로부터 보호 기능을 제공합니다.

조직에서는 여러 클라우드 플랫폼이나 하이브리드 클라우드 플랫폼에서 보안 정책이 일관되도록 해야 합니다. 이를 통해 큰 유연성과 비용 이점을 얻을 수 있지만, 엄청난 복잡성을 초래할 수도 있습니다. 다양한 클라우드 제공업체는 다양한 정책을 준수합니다. 여기에는 고객이 데이터 보안에 대한 책임을 져야 한다는 것을 명시한 공유 책임 모델이 포함됩니다. 따라서 여러 클라우드에서 애플리케이션 보안에 대한 명확한 그림을 얻는 것은 어려울 수 있습니다. 온프레미스와 다양한 클라우드 환경에서 보안을 자동화하면 애플리케이션에 동일한 정책이 적용되고 애플리케이션이 어디에 있든 보안을 유지할 수 있습니다.

성공을 위한 프레임워크

기관들이 사용 가능한 자금을 새로운 사이버보안 기술에 투자하는 것을 고려할 때, 해당 기술을 사용하는 데 도움이 되는 사이버보안 프레임워크를 구축해야 합니다. 미국 국립표준기술원(NIST) 사이버보안 프레임워크가 이상적인 시작점입니다.

NIST 사이버보안 프레임워크는 위험 관리에 대한 전체적인 수명주기 접근 방식을 취함으로써 기관이 더 나은 위험 관리 관행을 확립하는 데 도움을 줍니다. NIST가 제시한 가이드라인을 사용하여 기관은 식별, 보호, 탐지, 대응 및 복구라는 5가지 핵심 기능을 통해 위험을 지속적으로 평가하고 완화합니다. 앞서 언급한 기술은 침해가 발생한 경우 잠재적인 취약점과 해결 방법을 파악할 수 있도록 하므로 이러한 모든 범주에 적합합니다.

NIST 사이버보안 프레임워크는 조직이 고도로 적응성 있는 보안 프로그램을 만들 수 있는 표준화된 구조를 제공하기 때문에 유용한 도구입니다. 조직이 각자의 고유한 요구 사항에 맞춰 사용자 정의할 수 있는 유연성을 제공하는 동시에 위험 관리 및 취약성 해결을 위한 공통 청사진을 제공합니다. 조직은 NIST의 권장 표준 및 모범 사례를 활용하면서 자체 보안 정책을 프레임워크에 통합할 수 있습니다.

가격을 지불하지 마세요

최근 Ponemon 보고서에 따르면, 데이터 침해로 인한 평균 비용은 무려 386만 달러에 달합니다. 특히, 많은 조직(정부 기관 포함)이 팬데믹으로 인해 예산이 계속 줄어들면서 더 적은 비용으로 더 많은 일을 해내라는 요구를 받고 있다는 점을 고려하면 이는 놀라운 일입니다.

분명히 기관들은 문자적, 비유적으로나 경계를 늦출 여유가 없습니다. 지금은 MGT법을 통해 제공된 예산 중 일부를 진화하는 위협으로부터 보호하고 데이터와 수백만 달러를 절감할 수 있는 현대적이고 자동화된 사이버 보안 솔루션에 투자할 때입니다. F5 솔루션이 연방 기관의 네트워크 보안, 비용 절감, 임무 달성에 어떻게 도움이 되는지 자세히 알아보세요.


F5의 연방 솔루션 엔지니어링 리더 Michael Coleman 작성