- 클라우드 컴퓨팅이란 무엇인가요?›
- 클라우드 컴퓨팅 개념 허브›
- 보안, 자격 증명 및 규정 준수›
- 정보 보안이란 무엇인가요?
정보 보안이란 무엇인가요?
정보 보안이란 무엇인가요?
정보 보안은 디지털 형태이든 물리적 형태이든 기업의 모든 정보를 보호하는 과정입니다. 조직은 브랜드 평판, 고객 신뢰, 규제 준수를 유지하기 위해 자사의 운영 및 고객과 관련된 정보를 보호합니다. 정보 보안은 적절한 승인 이후에만 모든 정보가 조회, 복사, 변경 또는 파기되도록 지원하는 프로세스, 도구 및 기술을 정의합니다.
정보 보안이 왜 중요할까요?
정보 보안은 조직의 기밀 데이터와 비즈니스 시스템의 무결성, 가용성, 기밀성을 보장함으로써 조직을 지원합니다. 정보 보안이 중요한 데에는 몇 가지 이유가 있습니다.
비즈니스 연속성 지원
효과적인 정보 시스템은 예기치 않은 보안 사고가 발생하더라도 비즈니스가 데이터와 시스템에 중단 없이 액세스할 수 있도록 합니다. 비즈니스 연속성 계획에는 다양한 보안 소프트웨어를 활용하고, 사고 발생 시 따를 정책을 수립하며, 조직을 보호하는 데 도움이 되는 기술적 보호 조치를 구현하는 것이 포함됩니다.
고객 신뢰 구축
정보 보안은 예기치 않은 보안 이벤트의 발생 가능성을 줄여 비즈니스가 고객에게 중단 없는 서비스를 제공할 수 있도록 합니다. 조직이 거버넌스를 지속적으로 준수하고 모범 사례를 따르며 보안 개발 관행을 구현해 온 이력은, 고객에게 사용자 데이터를 중요하게 여기고 이를 보호하겠다는 의지를 보여줍니다.
보안 위험 완화
비즈니스가 운영되는 산업에 따라 고려해야 할 여러 잠재적 위험이 존재할 수 있습니다. 정보 보안은 위험 관리 및 완화를 위한 기술 및 절차적 통제를 구현하는 데 도움이 됩니다.
조직은 예기치 않은 보안 이벤트의 발생 가능성을 줄이고 기업의 위험 관리 역량을 강화하는 새로운 보안 관리 기술을 통합할 수 있습니다.
브랜드 평판 보호
정보 보안은 안정적인 서비스 제공 역량을 강화하고 고객의 개인 정보를 보호하며 운영상의 요구 사항을 충족함으로써 브랜드의 평판을 보호합니다. 의도치 않은 보안 이벤트가 발생하면 브랜드의 평판이 훼손될 수 있으나, 효과적인 정보 보안 관행은 이러한 발생 가능성을 낮춥니다.
정보 보안의 핵심 원칙은 무엇인가요?
모든 비즈니스가 준수하는 몇 가지 주요 정보 보안 원칙이 있습니다.
기밀성
기밀성은 승인을 받은 사람만 개인 비즈니스 데이터에 액세스할 수 있도록 하는 데 도움이 됩니다. 이 원칙은 디지털 파일에 대한 액세스 통제를 구현할 수 있을 뿐만 아니라 권한 없는 인원이 사무실에 접근하는 것을 물리적으로도 방지할 수 있으므로, 기술적 측면과 물리적 측면을 모두 포함합니다. 기밀성은 암호화 사용, 전송 중 데이터 및 저장 데이터 보호, 모든 회사 데이터 보호 등으로도 확장됩니다.
무결성
무결성이란 회사 내 전체 수명 주기 동안 데이터의 정확성, 신뢰성 및 일관성을 의미합니다. 이 원칙은 데이터가 정확하고 소유자 모르게 변경되지 않았는지 확인하여 데이터를 보호하는 것을 목표로 합니다. 정보 시스템에서 데이터 무결성을 강화하는 것은 디지털 데이터 서명을 포함하고, 암호화 해싱을 사용하고, 변경 불가능한 원장에 데이터를 저장하고, 수명 주기 전반에 걸쳐 데이터를 검증하는 것입니다.
가용성
가용성은 인증된 사용자가 지연이나 중단 없이 필요한 모든 데이터에 액세스할 수 있도록 도와줍니다. 이 원칙은 데이터에 항상 액세스할 수 있도록 백업 및 복구 전략을 구현하는 것을 목표로 합니다. 또한 가용성에는 타사 장애로부터 보호하고, 데이터 센터의 스토리지 상태를 모니터링하고, 데이터 아키텍처에 내결함성을 설계하는 것이 포함됩니다.
부인 방지
부인 방지는 데이터와 관련하여 취해진 모든 조치를 추적, 모니터링 및 기록하는 데 도움이 됩니다. 정보 보안 시스템에 부인 방지 기능을 내장함으로써 기업은 모든 데이터에 대해 감사 가능한 추적 기록을 구축할 수 있습니다. 사용자가 정보와 상호 작용하거나 정보에 대해 변경 또는 액세스하거나 정보의 이동 또는 변경을 승인할 때마다 이러한 요소는 모두 변경 불가능한 원장에 기록됩니다.
정보 보증
정보 보증은 임무 수행에 핵심적인 운영이 지속적으로 지원되도록 함으로써 정보 시스템을 보호하는 활동입니다. 이는 ISO 27001과 같은 보안 프레임워크를 평가하고 준수하며, 새롭게 발생하는 위험을 적극적으로 관리하고, 보안 시스템을 정기적으로 테스트하며, 잠재적인 위협을 지속적으로 모니터링하는 것을 포함하는 보다 포괄적인 원칙입니다.
정보 보안 관리 시스템이란 무엇인가요?
정보 보안 관리 시스템(ISMS)은 조직이 전체 데이터 수명 주기에서 정보 보안을 관리하는 방법을 정의합니다. 이 시스템은 일반적으로 기업 내 모든 정보 시스템에 포괄적인 보안 통제를 제공하기 위해 사람, 프로세스 및 기술이 작동하는 방식을 정의합니다.
정보 보안 표준 및 프레임워크에는 무엇이 있나요?
국제 표준 및 프레임워크는 규정 준수 프로그램의 일환으로 조직의 정보 및 데이터 보안을 지원하기 위한 설명적 지침과 규범적 지침을 제공합니다. 아래에는 조직에서 따를 수 있는 몇 가지 표준 및 프레임워크의 예가 나와 있습니다.
ISO-27001
ISO-27001은 조직, 사람, 물리적, 기술적 보안 개선이라는 네 가지 주요 주제를 중심으로 진행됩니다. 각 범주는 다음과 같은 다양한 방식으로 보안을 강화하고자 합니다.
- 사람 주제하에 직원을 대상으로 보안 교육을 실시합니다.
- 물리적 테마의 사무실에 대한 엄격한 액세스 제어 정책을 구현합니다.
- 기술 테마에서 저장 데이터 및 전송 중 데이터에 대한 암호화를 구현합니다.
각각은 더 높은 수준의 정보 보안에 기여합니다.
- AWS는 ISO/IEC 27001:2022를 준수한다는 인증을 받았습니다. 이는 위협 및 취약성에 대한 영향을 고려하여 정보 보안 위험을 체계적으로 평가함을 의미합니다.
- 당사는 고객 및 아키텍처 보안 위험을 해결할 수 있는 정보 보안 통제 및 기타 위험 관리 형식을 포괄적으로 설계 및 구현합니다.
- 정보 보안 통제가 지속적으로 당사의 요구 사항을 충족하도록 지원하기 위한 전반적인 관리 프로세스를 운영하고 있습니다.
PCI-DSS
PCI-DSS는 금융 데이터의 저장, 전송 및 처리를 포함한 모든 카드 결제가 안전한 방식으로 이루어지도록 지원하는 널리 사용되는 또 다른 표준입니다. PCI DSS는 가맹점, 처리자, 인수자, 발행자 및 서비스 제공업체를 포함하여 카드 소지자 데이터(CHD) 또는 민감한 인증 데이터(SAD)를 저장, 처리 또는 전송하는 모든 엔터티가 해당 표준에 따라 인증을 받아야 합니다.
PCI DSS의 현재 적용 범위에 포함된 AWS 서비스 목록을 확인할 수 있습니다..
HIPAA/HITECH
HIPAA(Health Insurance Portability and Accountability Act)는 개인 건강 정보(PHI)의 보호를 통해 데이터의 기밀성을 유지하고 무단 공개를 방지하는 데 목적을 둔 미국 연방법입니다. HIPAA는 ‘보험 적용 대상 기관’(건강 보험, 의료 정보 센터, 그리고 건강 정보를 전자적으로 전송하는 의료 서비스 제공자)과 해당 기관의 비즈니스 제휴사에 적용됩니다.
HIPAA의 현재 범위에 있는 AWS 서비스 목록을 볼 수 있습니다.
FedRAMP
미국 연방 위험 및 승인 관리 프로그램(FedRAMP)은 연방 기관들이 사용하는 클라우드 제품 및 서비스의 보안 평가, 승인, 지속적 모니터링을 표준화하기 위한 미국 정부 차원의 프로그램입니다.
FedRAMP의 현재 범위에 있는 AWS 서비스 목록을 볼 수 있습니다.
GDPR
GDPR(일반 데이터 보호 규정)은 EU 거주자의 데이터를 보호하는 EU 법률 체계입니다. 어떤 식으로든 EU 고객과 소통하려는 모든 비즈니스는 GDPR을 준수해야 하기 때문에 이는 글로벌 표준입니다. GDPR은 데이터 최소화를 촉진하고 데이터 수집의 합법적인 근거를 보장하며, 사용자에게 자신의 데이터 삭제를 요청할 수 있는 권리를 제공하는 것을 목표로 합니다.
AWS 고객은 GDPR을 준수하는 범위 내에서, AWS 계정하에서 AWS 서비스에 업로드된 개인 데이터(GDPR에서 정의한 바에 따른 고객 데이터)를 모든 AWS 서비스를 통해 처리할 수 있습니다.
FIPS 140-3
FIPS 140-3은 연방 영역에서 활동하는 모든 미국 기관이 활용해야 하는 암호화 모듈입니다. 이 표준은 FedRAMP의 일부이며 기업은 광범위한 보호 및 예방 보안 조치를 취해야 합니다.
AWS는 서비스별로 광범위한 FIPS 엔드포인트를 제공합니다.
정보 보안 기술에는 무엇이 있나요?
워크로드와 애플리케이션을 보호하기 위해 함께 작동하는 정보 보안 프로그램에는 몇 가지 주요 범주가 있습니다.
데이터 보호
데이터 보호란 민감한 정보, 계정 및 워크로드를 무단 액세스로부터 보호하는 데 도움이 되는 모든 서비스를 말합니다. 핵심 데이터 보호 서비스에는 전송 중 데이터와 저장 중 데이터의 암호화, 키 관리, 민감한 데이터 복구가 포함됩니다.
네트워크 및 애플리케이션 보호
네트워크 및 애플리케이션 보호 기술은 비즈니스가 네트워크 보안 제어 지점에 배포하는 모든 전략 및 정책과 관련이 있습니다. 이러한 기술은 들어오는 트래픽을 식별하고 필터링하며 무단 연결이 네트워크에 액세스하지 못하도록 방지하는 데 도움이 됩니다. 핵심 기술에는 방화벽, VPN, 엔드포인트 탐지 및 네트워크 보안을 강화하는 기타 애플리케이션 수준 경계가 포함됩니다.
ID 및 액세스 관리
Identity and Access Management(IAM) 보안 도구를 사용하면 비즈니스에서 액세스 통제를 관리하고, 권한 수준을 할당하고, 민감한 데이터에 액세스할 수 있는 계정을 결정할 수 있습니다. ID 통제는 특정 계정의 액세스 수준과 해당 액세스 수준에서 보고 상호 작용할 수 있는 수준을 결정하는 데 도움이 됩니다. 이는 데이터 수준 통제 및 계정 권한 시스템 모두에 해당됩니다.
규정 준수 및 감사
규정 준수 및 감사는 모범 사례를 따르고 환경을 모니터링하며, 조직 전반에서 규정 준수 표준이 충족되고 있는지를 확인할 수 있는 역량을 의미합니다. 비즈니스를 영위하는 산업에 따라 감사를 수행하고 준수해야 하는 정확한 표준이 달라집니다.
물리적 보안 통제
물리적 보안 통제는 물리적 사무실, 서버 및 비즈니스 공간과 관련된 또 다른 형태의 액세스 통제입니다. 여기에는 보안 사이트 설계, 가용성 계획, 물리적 액세스 정책 구현이 포함됩니다. 물리적 및 환경적 보안은 액세스 모니터링, 이동 기록, 비즈니스가 감사할 수 있는 데이터 추적 유지까지 확장됩니다.
정보 보안은 클라우드에서 어떻게 작동하나요?
기업이 클라우드 서비스를 사용하는 경우 보안 및 규정 준수는 클라우드 제공업체와 기업 간의 공동 책임이 됩니다. 이러한 이중 책임은 공동 책임 모델이라고 하며, 클라우드 보안을 보장하기 위해 각 당사자가 수행해야 하는 각 작업을 말합니다.
고객은 고객 데이터, 플랫폼, 애플리케이션, ID 및 액세스 관리, 클라이언트 데이터 암호화, 네트워크 구성 등 다양한 항목의 관리를 책임집니다. 클라우드 제공업체는 클라우드 제공업체가 운영하는 하드웨어, 소프트웨어 또는 네트워킹과 같이 클라우드 내에서 서비스를 실행하는 모든 인프라를 책임집니다.
공동 책임의 구체적인 범위와 내용은 기업이 협력 파트너로 선택하는 클라우드 제공업체에 따라 달라집니다. 이러한 책임의 분담은 일반적으로 클라우드 ’자체의’ 보안과 클라우드 ‘내부의’ 보안으로 이해됩니다.
AWS는 정보 보안 요구 사항을 어떻게 지원할 수 있나요?
AWS는 보안을 가장 중요하게 생각합니다. AWS는 애플리케이션과 워크로드를 구축, 마이그레이션 및 관리할 수 있는 가장 안전한 글로벌 클라우드 인프라로 설계되었습니다. 정부, 의료, 금융 서비스 등 보안에 가장 민감한 조직을 포함하는 수백만 고객의 신뢰가 이를 뒷받침합니다.
보안은 AWS와 고객의 공동 책임입니다. 이 공동 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 통제하므로 고객의 운영 부담을 경감할 수 있습니다. 당사는 PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR 및 FIPS 140-3을 비롯한 광범위한 보안 표준 및 규정 준수 인증을 지원하여 고객이 전 세계 규정 준수 요구 사항을 충족할 수 있도록 지원합니다. 또한 사용자 데이터에 대한 완전한 제어 기능을 제공하므로 데이터가 사용되는 방식, 데이터에 액세스할 수 있는 사람, 암호화 방법을 결정할 수 있습니다.
AWS 보안 서비스는 클라우드에서의 정보 보안 활동을 추가로 지원할 수 있습니다. 예를 들면 다음과 같습니다.
- AWS 감사 및 구성 서비스는 규정 준수 상태를 종합적으로 파악할 수 있는 가시성을 제공하고 환경을 지속적으로 모니터링합니다.
- AWS Identity and Access Management(IAM)와 같은 서비스를 사용하면 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. AWS CloudTrail 및 Amazon Macie는 규정 준수, 탐지 및 감사를 지원하며 AWS CloudHSM 및 AWS Key Management Service(KMS)는 암호화 키를 안전하게 생성하고 관리할 수 있는 기능을 제공합니다. AWS Control Tower는 데이터 레지던시에 대한 거버넌스 및 통제 기능을 제공합니다.
- AWS 탐지 및 대응 서비스는 전체 AWS 환경에서 보안 태세를 강화하고 보안 운영을 간소화하는 데 도움이 됩니다.
- AWS Identity 서비스는 ID, 리소스 및 권한을 대규모로 안전하게 관리하는 데 도움이 됩니다.
- AWS 네트워크 및 애플리케이션 보호 서비스는 조직 전반의 네트워크 제어 지점에서 세분화된 보안 정책을 적용하는 데 도움이 됩니다.
지금 무료 계정을 만들어 AWS에서 정보 보안을 시작하세요.