지능형 사이버 보안 위협과 글로벌 지정학적 불안정성이 증가함에 따라 많은 정부 기관에서 금융 서비스, 에너지, 의료 및 기타 필수 서비스에 대한 주요 법률과 의무적인 사이버 보안 의무를 도입하고 있습니다.
이러한 주요 부문을 보호하기 위해 호주 정부는 2018년 중요 인프라 보안법(SOCI)을 처음 도입했으며, 최근 이 법을 다음과 같이 개정했습니다. 중요 인프라 보안 및 기타 법률 개정안(대응 및 예방 강화) 법안 2024. ERP 2024 법안에는 사이버 보안, 공급망 보안 및 인력 전반에 걸쳐 호주의 CI를 보호하고 신원 보안을 우선시하기 위한 의무 사항이 포함되어 있습니다.
SOCI 법안 2018 및 ERP 법안 2024는 위험을 방지하고 위협을 탐지하며 규정 준수를 유지하기 위해 ID 및 액세스 관리(IAM), ID 거버넌스 및 관리(IGA) 기능 및 규정 준수 제어를 요구합니다. 이러한 필수 의무와 요건을 충족하는 산업, CI가 구현해야 하는 기능, 조직이 취해야 할 몇 가지 즉각적인 조치를 검토해 보겠습니다.
SOCI 법 2018 및 ERP 법안 2024는 다음 부문에 종사하는 조직에 적용됩니다:
- 금융 서비스 및 시장
- 데이터 저장 또는 처리
- 방위 산업
- 고등 교육 및 연구
- 에너지
- 음식 및 식료품
- 건강 관리 및 의료
- 우주 기술
- 항공 및 해상 자산을 포함한 운송
- 상하수도
다음과 더불어 SOCI Act 2018 요구 사항, 호주 정부는 특정 중요 인프라 자산을 국가적으로 중요한 시스템으로 비공개적으로 선언할 수 있습니다(SoNS). SoNS 조직에는 호주의 추가 사이버 보안 요구 사항이 있으며, 이는 호주의 강화된 사이버 보안 의무 프레임워크.
SOCI 법 2018은 중요 인프라 운영자에게 다섯 가지 주요 의무를 규정하고 있습니다:
- 데이터 서비스 제공업체에 대한 통지 의무. (SOCI 법 제12조(F))
- 중요 인프라 자산 등록 (2부)
- 위험 관리 프로그램(RMP) (파트 2A)
- 사이버 인시던트 보고 의무화 (파트 2B)
- 강화된 사이버 보안 의무(ECSO) (파트 2C)
위험 관리 프로그램 요건, 필수 사이버 인시던트 보고, 강화된 사이버 보안 의무를 충족하기 위해서는 IAM과 IGA가 필수적입니다:
이 의무에 따라 모든 CI 자산은 위험 관리 프로그램을 유지해야 합니다. 이 프로그램은 특히 CI 운영자가 사이버 보안, 공급망, 인력 및 물리적 보안 위협으로 인해 발생하는 중대한 위험을 식별하고 완화할 것을 요구합니다. 즉, CI 조직은 신원 및 시스템에 대한 적절한 액세스 제어를 마련해야 합니다.
이러한 의무를 충족하기 위해 CI 운영자는 다음과 같은 통제 권한을 확보해야 합니다:
- 사용자 식별, 인증 및 권한 부여를 통해 권한이 있는 개인만 액세스할 수 있도록 합니다.
- 필요한 경우에만 액세스를 할당하고, 액세스 검토 및 역할 감사를 간소화하고, 업무 분리(SoD)를 시행하기 위한 역할 기반 액세스 제어(RBAC)를 사용합니다.
- 사용자 활동 모니터링을 포함한 감사 기능으로 시스템 침해 또는 오용/남용을 감지합니다.
- 직원 온보딩, 액세스 변경 및 직원 오프보딩 프로세스의 자동화를 통한 ID 수명 주기 관리
- 권한 있는 액세스 제어를 적용하여 고위험 기능을 최소한의 인원으로 제한하기
이 의무는 사이버 보안 사고가 CI 자산의 가용성에 중대한 영향을 미치는 경우 12시간 이내에, 즉시 중단되지 않는 영향을 미치는 사고의 경우 72시간 이내에 보고하도록 규정하고 있습니다.
보고 요건을 충족하고 이러한 의무를 이행하기 위해 CI 운영자는 다음이 필요합니다:
- 실시간 모니터링 및 액세스 제어에 대한 즉각적인 가시성을 확보하여 무단 액세스 또는 의심스러운 로그인 시도를 탐지합니다.
- 운영자가 인시던트 루트 케이스와 ID를 연관시킬 수 있는 기능
- 보고 후 또는 감사 중 추가적인 사고 조사를 위한 입증 가능한 규정 준수
강화된 SoNS 사이버 보안 요구 사항
SoNS 자산으로 지정된 시스템은 추가적인 사이버 보안 의무를 충족해야 합니다. 이러한 의무에 따라 SoNS는 사이버 보안 사고 대응 계획, 정기적인 취약성 평가, 요청 시 모든 신원 및 액세스 로깅 정보를 포함한 시스템 정보에 대한 정부 액세스 권한을 제공할 수 있어야 합니다.
IGA 기능은 실시간 액세스 로그, 권한 있는 액세스에 대한 가시성, 보안 정보 및 이벤트 관리(SIEM) 도구에 통합하는 기능을 포함한 포괄적인 감사 및 보고 기능을 제공함으로써 조직이 이러한 의무를 충족할 수 있도록 지원합니다.
호주 CI 및 SoNS 조직은 SOCI Act 2018 위험 관리 프로그램 요건, 필수 사이버 사고 보고 및 강화된 사이버 보안 의무를 충족하기 위해 다음과 같은 역량과 모범 사례를 구현해야 합니다:
- 액세스 제어 정책을 채택하세요. 역할 기반 액세스 제어(RBAC)를 사용하여 권한을 직무 기능에 매핑하여 최소 권한 액세스 및 제로 트러스트 원칙을 적용하세요.
- 다단계 인증(MFA) 또는 비밀번호 없는 인증으로 모든 ID를 보호하세요.. 중요 인프라 내의 모든 사용자에게 MFA를 사용하도록 요구하거나 비밀번호 없는/패스키 인증을 채택하세요.
- 실시간 행동 분석 모니터링 및 알림 사용 계정 침해를 나타낼 수 있는 비정상적인 액세스 동작을 탐지하고 실시간 알림을 통해 내부자 위협으로부터 보호합니다.
- 업무 분리(SoD) 보장 를 사용하여 역할의 이해 상충을 방지합니다(예: 한 명의 사용자가 거래를 승인하고 실행하는 것을 방지).
위협 행위자들은 점점 더 취약한 ID 제어를 악용하고 있으며, 이에 따라 IAM과 IGA는 호주의 국가 보안 전략의 핵심이 되었습니다. SOCI 법은 호주가 위협으로부터 CI를 보호하는 방식에 있어 중요한 진화를 의미합니다.
규정 준수가 어렵게 느껴질 수 있지만, 통합된 IAM 및 IGA 접근 방식은 CI 조직이 규제 의무를 준수하는 데 도움이 될 뿐만 아니라 운영 보안을 크게 개선하고 위험을 줄이며 장기적인 회복탄력성을 보장합니다.
RSA Security는 중요 인프라 조직이 신원을 보호하고 규정 준수 요건을 충족할 수 있도록 지원합니다:
RSA® ID Plus는 계정 탈취, 랜섬웨어 공격 및 기타 사이버 공격을 방지하는 데 필요한 중요 인프라에 ID 및 액세스 관리(IAM) 보안 기능을 제공합니다. 이 솔루션은 다음과 같은 기능을 제공합니다:
- 자격 증명 기반 공격을 차단하는 피싱 방지 및 비밀번호 없는 인증
- 의심스러운 로그인 시도를 실시간으로 차단하는 적응형 액세스 정책
- 공공 부문 직원을 위한 보안과 액세스 용이성의 균형을 유지하는 안전한 다단계 인증(MFA)
- 비정상적인 접속 시도가 위협이 되기 전에 탐지하고 대응하는 AI 기반 위험 분석
RSA® 거버넌스 및 라이프사이클는 모든 사용자를 위한 ID 수명주기 관리를 용이하고 안전하게 하는 데 필요한 중요 인프라에 IGA 기능을 제공합니다.
디바이스. 솔루션:
- 온보딩, 오프보딩 및 액세스 변경을 자동화하여 사용자가 적시에 적절한 액세스 권한을 갖도록 보장합니다.
- 권한 크리프를 방지하기 위해 역할 기반 액세스 제어(RBAC)를 적용합니다.
- 자동화된 워크플로우로 ID 요청을 간소화하여 수동 승인 제거
- 직원이 퇴사하거나 역할을 변경할 때 즉시 액세스 권한을 제거하여 내부자 위협을 줄입니다.
RSA는 40년 이상 CI 및 보안 우선 조직이 자산을 보호할 수 있도록 지원해 왔습니다. 사이버 위협이 더욱 정교해지고 규정 준수 요건이 더욱 엄격해짐에 따라 CI 조직은 신원을 보호하고 공격을 방지하며 운영 복원력을 유지하기 위해 선제적인 조치를 취해야 합니다. RSA에 문의 에서 RSA가 SOC 법 규정을 충족하고 광범위한 ID 보안 전략에 통합되는 다양한 IAM 솔루션을 제공하는 방법에 대해 자세히 알아보세요.
