미국 및 유럽의 사이버 보안 전략 2023의 핵심 사항

유럽

​

유럽은 사이버 정책을 개발하고 소프트웨어 보안을 개선하며 심각한 침해를 신속하게 보고하는 허브로 부상했습니다. 유럽연합 집행위원회는 우크라이나 전쟁이 EU에서 사업중인 기업에 미친 영향과 범죄 활동이 유럽 영토 밖으로 이동하는 것에 대응하여 몇 가지 최첨단 법률 및 규정을 도입했습니다. 이러한 단계는 유럽의 사이버 보안 정책을 변화하는 위협 환경에 맞게 조정하기 위한 것입니다.

​

분석가들은 EU가 관료적 절차 때문에 자주 비판을 받고 있음에도 불구하고 EU의 조치가 "최근 미국의 정책 결정보다 더 광범위하다"고 지적합니다.

​

2022년 마지막 분기에만 두 가지 중요한 이니셔티브가 실현되는 것을 보았습니다.

​

NIS 지침에 대한 첫 번째 업데이트

​

EU는 2022년 11월 28일 네트워크 및 정보 시스템(NIS) 지침에 대한 첫 번째 개정을 승인했습니다. 이 업데이트는 EU, 공공 및 민간 부문, 사고 대응 역량을 크게 강화하기 위한 것입니다. NIS2로 알려진 새로운 규정은 에너지, 운송, 건강 및 디지털 인프라를 포함하여 해당 규정이 다루는 모든 부문에 걸쳐 사이버 보안 위험 관리 관행 및 보고 요구 사항에 대한 표준을 설정합니다. 업데이트된 규정은 광범위한 원칙을 유지합니다. 그러나 국가 당국이 다른 회사를 포함할지 여부를 선택할 수 있도록 비례성, 보다 뛰어난 위험 관리 및 특정 중요도 기준을 보장하기 위해 새로운 조항을 추가합니다. 여기에는 그러한 조직이 인지하는 즉시 주요 사이버 사고를 공개해야 하는 24시간 기한이 포함됩니다. 정부는 지침의 발효일로부터 21개월 이내에 지침의 요건을 국내법에 통합해야 합니다.

​

사이버 레질리언스법 제안

​

EU는 보안 기능이 부족한 상품으로부터 고객과 기업을 보호하기 위해 2022년 9월 새로운 사이버 복원력 법을 제안했습니다. 2020 EU 사이버 보안 전략을 기반으로 제안된 법안은 소프트웨어, 무선 및 유선 제품을 포함하여 EU 고객을 위한 디지털 상품의 보안을 강화할 것입니다. 발견된 결함을 수정하기 위해 보안 지원 및 소프트웨어 업데이트를 제공하도록 요구함으로써 제조업체에 더 많은 책임을 부여하는 것 외에도, 이는 소비자가 사용하고 구매하는 품목의 사이버 보안에 대한 적절한 지식을 제공할 것입니다.

​

광범위한 영향

​

미국은 유럽이 채택하고 있는 규칙의 영향을 받을 수 있습니다. 유럽에서 GDPR을 발표했을 때 유럽에서 운영되는 사이트는 유럽에 기반을 두고 있지 않더라도 GDPR 규정을 준수해야 했기 때문에 유사한 문제가 발생했습니다.

​

그러나 이러한 규정은 안전한 설계 제품과 탄력성을 가능하게 하는 인센티브와 동기를 제공합니다. Cyber Resilience Act는 가장 중요한 제품이 제3자가 평가한 EU 보안 표준을 준수하도록 규정하고 있습니다. NIS2는 24시간 보고 요구 사항 외에도 공급망 보안, 집행 책임, 벌금 부과와 같은 추가 주제를 다룹니다.

​

사이버 위생 관행은 이러한 규정을 준수하는 데 도움이 될 수 있습니다.

​

이러한 규정(및 그 이상)을 준수하는 것이 번거롭다고 생각되더라도 두려워하지 마십시오! 좋은 사이버 보안 위생을 지속적으로 실천한다면 이미 NIS2 또는 곧 출시될 사이버 탄력성법을 준수하고 있는 것입니다.

​

공격이 점점 더 발전하고 있지만 사실 대부분의 성공적인 공격은 일상적인 실수의 결과입니다.

​

• 어떤 엔드포인트가 네트워크에 연결되고 있는지에 대한 가시성 부족
• 패치 업데이트를 일관되고 신속하게 모니터링 및 배포하지 못함
• 잘못된 구성 또는 열악하고 안전하지 않은 구성
• 강력한 인증 및 권한 부여를 시행하지 않음
• 위반 식별 및 해결 속도가 느려 궁극적으로 핵심 비즈니스 운영에 피해를 줌

​

사이버 범죄자는 이러한 오류로부터 이익을 얻습니다. 사이버 보안은 사기꾼이 조직의 네트워크에 침투할 기회를 줄이거나, 최소한 포기하고 다른 피해자를 찾는 것을 어렵게 만듭니다.

​

규정 준수는 강력한 사이버 보안의 명백한 이점 외에도 우수한 사이버 위생의 주요 이점입니다. 특히 이러한 법률은 기본적인 사이버 위생 모범 사례를 실행하기 위한 인센티브와 요구 사항을 설정하며, 위험으로부터 자신을 방어하고 사이버 공격에 대한 경제의 탄력성을 높이는 것이 기업의 중요한 책임임을 지적합니다. 사이버 위생은 모든 조직의 전반적인 보안 태세 및 규정 준수를 개선하는 가장 좋은 방법 중 하나입니다.

​

지금이 규정 준수 프로그램을 시작하는 데 투자할 최적의 시기입니다. 규제는 점점 더 엄격해지고 숫자와 적용 가능성이 증가하고 있습니다. Thales는 조직이 사이버 보안 기능을 강화하고, 공급망 보안을 해결하고, 보고 의무를 간소화하고, NIS2 및 기타 규정에 대한 보다 엄격한 감독 조치 및 엄격한 시행 요구 사항을 준수할 수 있도록 하는 광범위한 제품 및 서비스 포트폴리오를 제공합니다. 또한 Thales는 파트너와 긴밀히 협력하여 규정 준수 부담 범위를 줄일 수 있는 포괄적인 솔루션을 제공합니다. 자세히 알아보려면 여기에서 전용 NIS2 페이지를 방문하거나 NIS2 규정 준수 개요를 다운로드하십시오.

 

---

​

미국

​

3월 2일, 바이든 행정부는 "모든 미국인을 위한 안전하고 안전한 디지털 생태계의 모든 혜택을 확보하기 위한" 시도인 2023년 국가 사이버 보안 전략을 발표했습니다. 이 전략은 미국 정부가 국가 안보, 공공 안전 및 경제적 번영을 보호하기 위해 조정된 방식으로 국력의 모든 도구를 사용해야 함을 인식합니다.

​

전략 비전 및 주요 골자

​

이 전략은 국가 및 비국가 행위자가 새로운 캠페인을 개발하고 실행하는 복잡한 위협 환경을 해결하기 위한 로드맵을 설정합니다. 전략의 비전은 생태계를 만들어 디지털 미래의 약속을 확보하는 것입니다.

​

• 방어 가능: 사이버 방어가 덜 복잡하고 모두에게 저렴하며 더 효과적입니다.
• 사이버 사고 및 오류의 영향을 최소화하여 탄력적입니다.
• 경제적 안보와 번영, 인권 존중, 민주주의에 대한 신뢰, 공평하고 다양한 사회와 같은 가치가 디지털 세계에 의해 형성되고 강화되는 가치 정렬.

​

바이든 행정부가 설정한 목표를 달성하기 위해 디지털 생태계 전반의 이해관계자 간의 깊고 지속적인 협력이 기반이 될 것입니다. 이 전략은 5가지 기둥을 중심으로 협력을 구축하고 강화하고자 합니다.

​

1. 중요 인프라 방어

​

2. 위협 행위자를 교란 및 해체

​

3. 보안 및 탄력성을 촉진하기 위한 시장 세력 형성

​

4. 회복력 있는 미래에 투자

​

5. 공유 목표를 추구하기 위한 국제 파트너십 구축

​

이 전략을 구성하는 기둥은 이러한 커뮤니티에 대한 공유 목적과 우선 순위의 비전을 명확히 하고, 이 비전을 달성하는 데 직면한 문제를 강조하며, 노력을 조직하기 위한 전략적 목표를 식별합니다.

​

2023 사이버 보안 전략의 핵심 사항

​

이 새로운 국가 사이버 보안 전략을 통해 행정부는 규제 요구 사항을 명확히 하기 위해 연방 및 지방 관리 기관과 협력하면서 중요 부문에 대한 사이버 보안 규정을 강화하여 국가의 중요 인프라를 보호하는 데 중점을 둡니다.

​

이 전략은 또한 정책을 업데이트하면서 연방 네트워크를 현대화하는 이니셔티브를 강화합니다. 공공 및 민간 조직의 협력은 이러한 네트워크 현대화의 핵심이 될 것입니다. Thales와 같은 회사를 포함한 민간 부문의 전문 지식이 이 이니셔티브에서 가장 중요할 것입니다.

​

이러한 현대화에는 구식 온프레미스 네트워크를 클라우드 및 다중 클라우드 환경으로 이전하는 작업이 포함되며 이로 인해 위험이 증가합니다. 그러나 이러한 움직임은 이러한 네트워크에 대한 업데이트된 보안 계층도 추가합니다. 양자 컴퓨팅 준비는 가까운 미래에 더 큰 위험이 될 것이기 때문에 새로운 현대화의 일부가 될 것입니다.

​

이 새로운 전략은 민간 사이버 보안 회사가 연방 정부, 주 및 지방 정부 기관, 유틸리티, 의료 및 교육 기관과 같은 중요한 시장과 협력할 수 있는 기회를 증가시킬 것입니다.

​

협업 외에도 기업과 CISO는 세 번째 기둥의 핵심 메시지인 "개인 데이터 보안"에 주의를 기울여야 합니다. CISO 및 기타 경영진은 자신의 개인 및 중요 데이터가 있는 위치를 완전히 이해하고 가시성을 확보해야 합니다. 이를 위해서는 리더가 미사용, 이동 중 또는 사용 중인 데이터를 포함하여 모든 단계의 데이터에 적용할 수 있는 적절한 보안 제어를 구현해야 합니다. 이러한 수준의 보안을 가능하게 하는 데 도움이 될 수 있는 기술에는 사이버 보안 위협을 최소화하는 데 도움이 되도록 전 세계적으로 허용되는 메커니즘인 데이터 암호화 및 중앙 집중식 암호화 키 관리가 포함됩니다.

​

이를 위해 CISO는 IT 네트워크 및 인프라 내의 데이터 위험을 신속하게 이해해야 합니다. 데이터 위험이 있는 위치를 식별한 후 다음 단계는 이를 보호하는 방법을 식별하는 것입니다. 리더는 데이터를 가장 안전하게 보호하기 위해 검색, 보호 및 제어 방법론을 고려해야 합니다.

​

미국은 선제적 보안 접근 방식을 통해 이익을 얻을 수 있습니까?

​

바이든 정부의 국가 사이버 보안 전략은 국가가 AI/ML, 양자 컴퓨팅 등과 같은 점점 지능화되는 방법을 사용하여 계속해서 미국을 표적으로 삼고 있기 때문에 국가 인프라를 보호하기 위해 보다 공격적인 접근 방식을 취할 것으로 예상됩니다. 빠르게 진화하는 기술 환경에서 공세적인 접근 방식은 제로 트러스트와 같은 방법에 대한 느린 통과 법안보다 더 민첩한 대응을 제공합니다. 제로 트러스트는 필수 조치가 되었으며 이제 기본 보험으로 간주됩니다.

​

새로운 규정을 가장 먼저 준수하는 방법

​

예측이 맞다면 중요 인프라 부문은 국가 사이버 보안 전략에서 파생된 새로운 사이버 규제에 직면하게 될 것입니다. 이로 인해 대행사는 예산, 리소스 및 전략을 찾기 위해 허둥지둥하는 것처럼 느낄 수 있지만 반드시 그럴 필요는 없습니다.

​

Quantum Computing Cybersecurity Preparedness Act가 우리에게 무엇인가를 가르쳐 주었다면 최선의 결정은 기다리지 않는 것입니다. 규정은 이미 존재하지 않는 솔루션의 채택을 요구하지 않으며 앞서 나가고 연방 자금을 받는 가장 좋은 방법은 지금 기술 평가를 시작하고 해당 기술을 구현하는 데 필요한 기술 집합을 결정하기 시작하고 신뢰할 수 있는 조언자를 찾는 것입니다. 신청 절차.

​

사전 준비가 된 사람들은 뒤쳐진 사람들보다 프로젝트 자금을 받을 가능성이 높습니다. Thales는 이러한 투자를 가장 먼저 하는 이점과 솔루션을 요구 사항에 매핑하는 신뢰할 수 있는 파트너와 협력하여 프로세스 속도를 높이는 방법에 대해 추가로 논의할 수 있습니다.

​

선제적 보안 조치의 가치에 대해 자세히 알아보십시오.

 

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

 

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.