[기고] 자산 목록은 보안 프로그램의 기본이다 - 아이티데일리
[기고] 자산 목록은 보안 프로그램의 기본이다 - 아이티데일리
[아이티데일리] 기업이 시스템을 효율적으로 운영하기 위해서는 데스크탑 워크스테이션, 모바일 장치, IT/IoT/OT 장치, 가상 시스템, 웹 애플리케이션, 데이터, 클라우드 인프라 등다양한 장비와
www.itdaily.kr
- 자산 목록 관리의 중요성
- 기업 운영에는 다양한 IT 장비와 IoT/OT 장치가 필요하며, 이를 사람이 직접 추적하기 어려움
- 관리되지 않은 자산은 악의적인 공격자들에게 악용될 수 있는 위험 요소가 될 수 있음
- 자산 목록 관리는 NIST, CIS 등 여러 사이버 보안 프레임워크에서 필수적인 보안 활동으로 강됨
- 주요 보안 프레임워크와 규정에서의 자산 목록 요구
- CIS 통제: 시스템 및 데이터 보호를 위한 표준을 제공하며, 첫 번째 통제가 자산 목록화 및 통제
- NIST CSF: 미국 국립 표준 기술 연구소에서 제공하는 사이버 보안 프레임워크로, 자산 목록은 시스템 보안을 위한 필수 요소
- SOC2: 자발적인 보안 인증으로 SaaS 및 B2B 기업에서 자주 요구됨
- HIPAA: 의료 산업에서 환자의 민감한 정보를 보호하기 위해 필수적이며, 자산 목록 관리가 주요한 역할을 함
- PCI DSS: 결제 카드 산업에서 카드 소유자의 데이터를 보호하기 위한 필수 보안 표준
- 자산 목록 관리의 어려움과 문제점
- 네트워크의 변화: 개인 장치의 사용, 클라우드 인프라 확장, IoT 장치 증가로 인해 자산 관리가 복잡해짐
- 스프레드시트와 같은 구식 자산 관리 방식은 자산 가시성을 저해하며, 보안 위험을 증가시킴
- IT 팀과 보안 팀 간의 불일치로 자산 관리에 대한 불확실성이 발생함
- 보안 통제 범위 약화로 보안 위협을 인지하지 못할 수 있음
- 정확한 자산 목록이 없을 때의 위험
- 자산 목록이 없으면 제로데이 취약점과 같은 보안 위협에 신속하게 대응하기 어려움
- 자산 소유권이 명확하지 않으면, 이퀴팩스 침해 사례와 같은 사고가 발생할 수 있음
- 보안 프로그램의 기초 구축
- CAASM(사이버 자산 공격 표면 관리) 솔루션을 통해 자산 가시성을 높이고 보안 프로그램의 기초를 마련해야 함
- 런제로(runZero)와 같은 솔루션을 활용해 자산을 추적하고, 변경 사항을 관리하며, 보안 위험을 평가할 수 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2024 국정감사: 산업보안 및 사이버보안 이슈 (1) | 2024.10.05 |
|---|---|
| 클라우드 보안 오답노트 (0) | 2024.10.05 |
| 보안기능확인서 제도의 문제점과 개선 방안 (0) | 2024.10.05 |
| XDR의 보안 혁신 및 도입 필요성 (1) | 2024.10.05 |
| 로키로커(Lokilocker) 랜섬웨어 주의보 (1) | 2024.10.05 |