차세대 보안 플랫폼이 GDPR 규정 준수에 기여하는 방식
Palo Alto Networks 플랫폼이 GDPR 규정 준수에 기여하는 방식
사이버 보안은 개인 데이터의 보호와 GDPR 규정 준수를 위한 필수적인 투자입니다.
대부분의 GDPR 요구 사항은 데이터 관리, 즉 데이터 수집 및 처리에 중점을 둡니다. 개인 데이터 수집 시 이를 고지할 의무, 무단 데이터 처리의 금지, 데이터 처리의 기록 보존 요구 사항, 특정 상황에서 데이터 보호 담당자를 임명할 의무, 개인 데이터를 타사 또는 제3국에 전송하는 것과 관련한 규칙 등이 있습니다.
그러나 데이터 보안 또한 GDPR의 핵심 요소라는 사실이 간과되어서는 안 됩니다. GDPR은 자세한 아래 설명과 같이 특정 보안 관련 언어가 있습니다. 또한 개인 데이터 보호의 핵심 구성 요소는 사이버 공격자에 의한 유출 및 내부 유출로부터 이를 안전하게 유지하는 것입니다. 따라서 GDPR을 준비할 때는 규정 준수 활동과 정보 관리 프로세스 및 기술에 대한 조직의 투자와 함께 사이버 보안에 대한 적절한 투자 또한 반드시 보완적으로 이루어져야 합니다.
GDPR의 관련 조항 요약(전체 텍스트는 GDPR에 대한 이 링크 참조):
주제 |
조항 요약 |
데이터 처리의 보안 |
조직은 리스크에 대한 적절한 보안 수준을 보장하기 위해 적절한 기술적, 조직적 조치를 구현해야 합니다. 해당 조치는 최신 기술을 고려해야 합니다. [제32조] 개인 데이터 및 처리에 사용되는 장비에 대한 무단 액세스 또는 사용 방지를 포함하여, 개인 데이터는 데이터의 적절한 보안과 기밀성을 보장하는 방식으로 처리되어야 합니다. [설명, 제39항] 데이터 보안 리스크의 평가 시 개인 데이터 처리에 의해 나타나는 위험을 |
데이터 침해 알림 |
---------------------------------------------------------------------------------------------- 감독 당국은 침해로 인해 개인에게 관련된 리스크가 발생할 가능성이 없는 경우를 제외하고, 개인 데이터의 손실, 도난 또는 침해가 발생할 경우 이를 반드시 통보받아야 합니다. 통보는 과도한 지연 없이, 가능한 경우 침해 사실을 인지한 후 72시간 이내에 이루어져야 합니다. 특정한 경우에는 개인이 반드시 통보받아야 합니다. 통보 시 침해의 특성, 관련된 개인 데이터 기록의 범주 및 수, 예상되는 결과, 침해를 해결하고 그 영향을 완화하기 위해 취한 조치, 기타 항목 등 침해에 대한 다양한 정보를 설명해야 합니다. [제33조 및 제34조] |
과태료 |
---------------------------------------------------------------------------------------------- 감독 당국은 GDPR 침해에 대해 사안별로 과태료를 부과합니다. 과태료의 부과 여부와 금액 결정 시 당국은 제32조에 따라 최첨단 기술을 고려하여 기술 및 조직적 조치를 이행하는 책임의 정도를 포함한 여러 요소를 고려하라는 지시를 받습니다. [제83조] |
Palo Alto Networks®는 다음 사항에 대한 지원을 통해 GDPR 규정 준수와 관련된 조직의 보안 및 데이터 보호 노력에 도움을 줄 수 있습니다.
1. 개인 데이터의 보호. GDPR은 최신 기술을 고려한 데이터 처리의 보안이 필요합니다. 당사의 차세대 보안 플랫폼은 애플리케이션, 네트워크 및 엔드포인트 수준과 다음 사항에 대한 보안을 제공합니다.
2. 데이터 침해 예방. 해킹 또는 우발적 유출 여부에 관계없이 데이터 침해의 예방은 GDPR 준수에 매우 중요합니다. 조직의 개인 및 비즈니스 크리티컬 데이터와 애플리케이션의 보호 유지를 위한 적절한 사이버 보안은 필수적입니다. 당사의 차세대 보안 플랫폼은 다음을 예방할 수 있도록 구축되었습니다.
3. 데이터 침해 알림. 데이터 침해라는 불미스러운 상황 발생 시 반드시 이를 신고해야 합니다. 당사의 차세대 보안 플랫폼은 어떤 개인 데이터가 침해되었는지 판단하고, 해당 침해를 해결하기 위해 취한 조치에 대한 주요 사실을 제공하는 데 도움을 제공할 수 있습니다.
당사 제품 포트폴리오의 많은 부분에는 이러한 요구 사항에 맞는 기능과 특징이 있습니다. 해당 내용은 여기에서 설명합니다.
개인 데이터 보호
GDPR은 최신 기술을 고려한 데이터 처리의 보안이 필요합니다. Palo Alto Networks 플랫폼은 클라우드는 물론 애플리케이션, 네트워크 및 엔드포인트 수준에서 데이터를 보호합니다.
실제 사이버 리스크를 감소시키고 개인 데이터를 포함한 데이터를 보호하려면, 공격 주기의 모든 단계에서 알려진 위협 및 알려지지 않은 위협을 탐지할 수 있는 통합되고 자동화된 효율적 제어가 필요합니다. 예방을 위해 처음부터 구축되었습니다.
조직은 Palo Alto Networks 차세대 보안 플랫폼을 통해 클라우드 내에서 핵심 기술 이니셔티브를 실행하고 점점 더 많은 모바일 네트워크를 통해 사이버 범죄자에 의한 유출과 우발적인 데이터 유출로부터 가장 가치 있는 데이터 자산을 보호하는 디지털 우선 전략을 자신 있게 추구할 수 있습니다.
Palo Alto Networks 차세대 보안 플랫폼은 네트워크 및 엔드포인트 보안과 위협 인텔리전스를 결합하여 자동화된 보호를 제공하고 사이버 공격을 탐지하는 것은 물론 이를 예방합니다. 당사의 플랫폼은 방화벽, URL Filtering, IDS/IPS 및 고급 엔드포인트 보호 및 위협 방지를 포함한 모든 핵심 보안 기능을 기본적으로 통합합니다. 이러한 기능은 사이버위협 예방을 염두에 두고 의도적으로 플랫폼에 구축되어 있고 각 분야 전반에 걸쳐 필수 정보를 기본적으로 공유하기 때문에 당사의 플랫폼은 레거시 방화벽 및 안티바이러스, UTM 또는 포인트 위협 탐지 제품보다 우수한 보안을 보장합니다. 즉, 더 우수한 보안이 더 우수한 데이터 보호를 지원합니다.
최첨단 기술
GDPR은 최첨단 기술을 고려한 기술적이고 조직적인 보안 조치를 요구합니다. 포인트 제품들을 꿰어 맞춘 레거시 보안 시스템은 점점 더 증가하고 자동화되고 정교해지는 사이버 공격을 예방하는 데 부적합한 것으로 입증되었습니다. CISO는 이러한 레거시 제품이 최첨단 기술에 부합하는지 여부를 신중히 검토해야 합니다.
위협 환경은 끊임없이 진화하고 있으며 따라서 최첨단 기술은 새로운 위협을 예방할 수 있도록 진화해야 합니다. Palo Alto Networks 차세대 보안 플랫폼은 네트워크 및 엔드포인트 보안과 위협 인텔리전스를 결합하여 자동화된 보호를 제공하고 사이버 공격을 탐지하는 것은 물론 이를 예방합니다. 레거시 포인트 제품과 달리, 당사의 플랫폼은 위협 정보를 공유하는 수천 곳의 고객, 기술 파트너 및 연구원들의 네트워크 효과를 활용합니다. 당사는 사이버 공격자가 성공하기 위해 조치를 취해야 하는 핵심 전술 및 전략 위치에서 공격을 예방하기 위한 기술을 구축하며, 글로벌 고객 기반을 최신 보호 기능으로 단 5분 만에 업데이트합니다. 범위 측면에서 당사는 새로운 사이버위협, 즉 '제로 데이' 사이버위협을 식별하면서 매주 백만 개가 넘는 새로운 예방 조치를 생성합니다. 조직은 당사의 플랫폼을 통해 비즈니스 운영에 중요한 모든 애플리케이션의 사용을 안전하게 지원하고, 새로운 기술 이니셔티브를 자신 있게 추구하며, 기본적이고 복잡한 다각적 사이버 공격으로부터 조직을 보호할 수 있습니다. 최첨단 기술을 고려하고 있는 CISO에게 Palo Alto Networks는 반드시 고려해야 할 보안 요소 중 하나입니다.
데이터 침해 예방
해킹 또는 우발적 유출 여부에 관계없이 데이터 침해의 예방은 GDPR 준수에 매우 중요합니다. 조직의 개인 및 비즈니스 크리티컬 데이터와 애플리케이션의 보호 유지를 위해 적절한 사이버 보안은 필수적입니다.
Palo Alto Networks의 플랫폼은 데이터 보안을 담당하는 동시에 GDPR 준수에 기여하는 네 가지 핵심 예방 기술을 지원합니다.
- 완전한 가시성. 당사의 플랫폼은 네트워크, 엔드포인트, 클라우드 전반에 걸쳐 애플리케이션, 사용자, 콘텐츠별로 분류된 모든 트래픽에 대한 가시성을 제공합니다. 보이지 않는 것은 차단하거나 보호할 수 없습니다. 완전한 가시성은 동적 보안 정책 강화를 위한 컨텍스트를 제공합니다.
- 공격 표면 감소. 기업들의 애플리케이션과 디바이스(예: SaaS, 클라우드 및 IoT) 사용이 확산됨에 따라 공격 표면 또한 빠르게 확대되고 있습니다. 조직에 침투할 수 있는 경로가 많아질수록 사이버 공격자가 개인 데이터를 유출할 기회도 증가합니다. 당사는 긍정적인 보안 모델을 강화하고 적절한 사용자에 대해 허용된 애플리케이션만 지원하며 다른 모든 것은 거부함으로써 공격 표면을 줄입니다.
- 알려진 위협 방지. 많은 데이터 침해는 상품 정보를 훔치는 트로이 목마, 멀웨어, 애플리케이션 익스플로잇 등 알려진 위협으로 인해 발생합니다. 당사의 플랫폼은 그 경계에서 모든 유형의 애플리케이션에 대한 세부적인 관리를 통해 위협 벡터 자체를 제어합니다. 이는 네트워크의 공격 표면을 즉각적으로 줄이며, 그 후 허용된 모든 트래픽에 익스플로잇, 멀웨어, 악성 URL, 위험하거나 제한된 파일 또는 콘텐츠가 포함되어 있는지 분석합니다. 엔드포인트의 경우 Palo Alto Networks는 고객 글로벌 커뮤니티의 위협 인텔리전스와 고유한 다각적 예방 접근 방식을 결합하여 엔드포인트를 침해하기 전에 알려진 멀웨어와 익스플로잇을 차단합니다.
- 알려지지 않은 위협 예방. 당사의 플랫폼은 알려진 위협을 차단하는 것 이상으로 정교하고 표적화된 공격에 자주 사용되는 알려지지 않은 멀웨어와 익스플로잇을 사전에 식별하고 차단합니다. 새로운 멀웨어나 익스플로잇이 발견되는 즉시 WildFire® 클라우드 기반 위협 분석 서비스는 인력의 개입 없이 차세대 방화벽 및 Traps™ 고급 엔드포인트 보호와 같은 예방 디바이스에 대한 새로운 제어 기능을 자동으로 생성하고 공유합니다. 또한 Traps는 제로데이 익스플로잇에 사용되는 핵심 기술을 차단하는 고유한 다각적 접근 방식을 구축하고 엔드포인트를 침해하는 알려지지 않은 멀웨어를 식별하고 차단합니다.
데이터 전송 및 개인 정보 보호 문제를 더욱 완화할 수 있도록, 현지화된 클라우드 구축인 WildFire EU는 지역 경계에서 데이터를 전송하지 않고도 데이터를 분석할 수 있습니다.
WildFire가 지원하는 이러한 예방 기법은 우회 가능성이 높은 제로데이 멀웨어 및 익스플로잇에 대한 업계에서 가장 발전한 분석 및 방어 엔진입니다. 클라우드 기반 서비스에서는 동적 및 정적 분석, 혁신적인 머신 러닝 기법, 획기적인 완전 복구 분석 환경을 결합하는 다중 기술 접근 방식을 사용하여 가장 우회적인 위협도 감지하고 방지합니다. WildFire는 알려지지 않은 위협 탐지에 사용되는 레거시 접근 방식을 넘어 충실도 높고 회피를 방지하는 검색을 위해 다음 네 가지 독립적인 기법의 이점을 통합합니다.
- 동적 분석: 맞춤형으로 구축된 회피 방지 가상 환경에서 파일이 디토네이션할 때 이를 관찰하여 수백 가지 동작 특성을 사용하여 제로데이 멀웨어 및 익스플로잇을 탐지할 수 있습니다.
- 정적 분석: 동적 분석의 회피를 시도하는 멀웨어와 익스플로잇을 효과적으로 탐지하는 것은 물론, 기존 멀웨어의 변종을 즉시 식별합니다.
- 머신 러닝: 각 파일에서 수천 개의 고유 기능을 추출하여 예측 머신 러닝 분류자를 훈련함으로써 새로운 멀웨어와 익스플로잇을 식별합니다. 이 기능은 정적 또는 동적 분석으로는 이용할 수 없습니다.
- 베어 메탈 분석: 실제 하드웨어 환경에 회피형 위협을 자동으로 전송하여 디토네이션을 일으키고, 안티 VM 분석 기법을 구축하는 공격자의 기능을 완전히 제거합니다.
또한, 이러한 기법을 통해 WildFire는 뛰어난 효과는 물론 거의 0에 가까운 오탐률로 알려지지 않은 멀웨어 및 익스플로잇을 발견하고 방지할 수 있습니다.
보안 프로세스를 중앙에서 관리
GDPR은 조직의 실제 위치에 관계없이 EU 거주자의 개인 데이터를 처리하는 모든 조직에 적용됩니다. 상당수의 대규모 또는 다국적 조직의 경우 개인 데이터 처리는 여러 위치에서 이루어지며 모두 준수해야 합니다. Panorama™ 네트워크 보안 관리를 통해 조직은 구현하기 쉽고 통합된 정책을 수립하고 차세대 방화벽을 관리할 수 있습니다. Panorama를 사용하면 중앙 및 지역 정책을 모두 구현하고 필요 또는 선호에 따라 지역 관리자에게 쉽게 위임할 수 있습니다. 가장 중요한 것은 비즈니스 요구 및 특정 지역 법률에 따라 정책을 구현할 수 있는 유연성입니다. 예를 들어, Panorama 관리자는 싱가포르 또는 브라질의 지사에 위치한 방화벽의 보안 정책을 시행할 수 있으며, 해당 지역의 지역 관리자가 GDPR이 적용되는 데이터를 보호하기 위한 규정 준수의 필요성을 인식하지 못하는 경우에도 가능합니다.
데이터 유출 예방
데이터 침해는 데이터 유출로 인해 발생하며, 당사의 플랫폼은 이를 예방하는 데 기여합니다.
차세대 보안 플랫폼을 사용하면 경계를 침해하려는 공격자의 초기 시도부터 멀웨어 전달 또는 엔드포인트 익스플로잇과 네트워크를 통한 내부망 이동을 거쳐 공격자가 경계 표적에 도달하고 개인 데이터 및 민감한 데이터를 유출하려는 시도를 포함하여 공격 수명 주기 내 각각의 중요한 단계에서 데이터 유출 예방을 위한 방어 모델이 적용됩니다.
GDPR 규정 준수를 유지하려면 전체 인프라 전반에서 내부 및 파트너 사용자 커뮤니티에 의한 우발적인 데이터 유출/공유를 예방하는 것이 매우 중요합니다. 최종 사용자는 특히 SaaS 애플리케이션 사용 시 가장 흔한 리스크 중 하나입니다. 교육을 받지 않고 자신이 유발하는 리스크를 인식하지 못하는 경우가 많아 이들의 행동으로 인해 우발적인 개인 데이터 유출이 발생할 수 있습니다. 당사의 보안 플랫폼은 다음과 같은 몇몇 방법으로 데이터 유출을 예방합니다.
- 네트워크의 보안. 조직 내에서 데이터를 보호하려면 차세대 방화벽의 기본 제공 데이터 필터링 프로파일을 통해 네트워크 계층에서 우발적인 데이터 유출을 방지할 수 있습니다. 시스템 관리자는 신용 카드 번호 등 민감한 데이터의 무단 전송을 제한하기 위해 네트워크를 통과하는 콘텐츠를 검사 및 제어하는 정책을 적용할 수 있습니다.
- SaaS 수준의 보안. 조직은 SaaS 애플리케이션에 대한 액세스를 제어하고, 정보 공유에 대한 정책 제어를 시행하고, 데이터 유출을 막아야 합니다.
- 유럽 내에서 운영되는 조직은 해당 데이터 위치 선호도에 맞는 지역 EU 기반 Prisma™ SaaS 데이터센터를 선택할 수 있습니다.
◦ 해당 기능은 차세대 방화벽(예: User-ID™, App-ID™, Content-ID™ 기술)과 Prisma™ SaaS 보안 서비스를 사용한 당사의 플랫폼을 통해 제공됩니다. 차세대 방화벽은 귀사의 네트워크와 SaaS 애플리케이션을 오가는 모든 트래픽을 분석합니다. 그러나 데이터 공유 권한이나 네트워크 외부에서(VPN 없이) 클라우드 기반 데이터에 액세스하는 등의 특정 클라우드 기반 활동은 인라인 보안 서비스에 보이지 않을 수 있습니다. 이 경우, Prisma SaaS는 SaaS API를 사용하여 SaaS 애플리케이션 자체에 직접 연결하는 차세대 방화벽을 보완합니다. 이를 통해 사용자가 업로드하거나 공유하는 모든 것을 볼 수 있습니다. 사용자는 Prisma SaaS를 사용하여 Box, Microsoft® Office, Dropbox®, Salesforce®, Secure Data Space 등 엔터프라이즈 SaaS 애플리케이션의 모든 자산 전반에 대한 파일 업로드를 보고 모니터링할 수 있습니다. 그 후 정책을 적용하여 자산(개인 데이터 포함)의 책임 있는 사용을 모니터링 및 강화할 수 있으며, 무분별하거나 부주의한 공유, 인터넷에 노출될 수 있는 링크를 이용한 콘텐츠 공유 등 인적 오류에 의한 우발적 데이터 유출로부터 보호할 수 있습니다. 정책 위반이 탐지되면 알림이 생성됩니다. 구성된 경우 Prisma SaaS가 리스크를 복구 업데이트하기 위한 자동 조치를 취합니다.
- 엔드포인트의 보안. Traps 고급 엔드포인트 보호는 제로데이 익스플로잇과 알려지지 않은 멀웨어 등 알려진 위협 및 알려지지 않은 위협을 침해된 엔드포인트로부터 사전에 차단하기 위한 다각적 접근 방식을 사용합니다.
- 자격 증명 도난 방지. 도난된 자격 증명은 비밀번호를 도용하고 원하는 액세스 수준을 얻는 것이 상대적으로 간단하다는 점을 감안할 때 데이터 침해를 위한 흔한 위협 벡터입니다.
◦ 당사의 플랫폼은 공격 수명 주기 전반에서 자격 증명 기반 공격을 차단하는 기능을 제공합니다.
경우에 따라 공격자는 이메일이나 소셜 미디어로 전송된 자격 증명 피싱 시도를 사용해 사용자를 속여 사기의 형태로 회사 자격 증명을 제출하도록 합니다. 당사의 플랫폼은 사용자가 알 수 없거나 인증을 받지 않은 사이트로 자격 증명을 제출하지 못하도록 하여 자격 증명 유출을 방지합니다. 도난된 자격 증명은 일반적으로 조직 내 중요한 시스템에 액세스하는 데 사용되기 때문에 민감한 데이터가 포함된 해당 중요 애플리케이션에 대한 액세스를 관리하는 다단계 인증(MFA) 정책을 적용하여 내부망 이동에 대한 보호를 설정합니다.
또한 당사의 컨텍스트 위협 인텔리전스 서비스인 AutoFocus™는 타사 위협 인텔리전스 소스를 수집하고 MineMeld™ 애플리케이션을 통해 보안 플랫폼 전반에 걸쳐 예방 조치로 전환할 수 있습니다. 침해 지표가 수집되고 나면 MineMeld가 모든 소스의 메타데이터를 필터링, 중복 제거 및 통합합니다. 보안 팀은 이를 통해 다양한 소스에서 강화된 더욱 활용 가능한 데이터 세트를 분석하여 보다 쉽게 시행할 수 있습니다.
데이터 침해 알림
데이처 침해라는 불미스러운 상황 발생 시 반드시 이를 신고해야 합니다.
개인 데이터 침해라는 불미스러운 상황 발생 시 GDPR은 사건으로 인해 개인의 권리나 자유에 리스크를 초래할 가능성이 없는 경우를 제외하고 감독 당국에 이를 알릴 것을 요구합니다. 이와 같은 알림에는 영향을 받은 데이터와 조치를 포함한 다양한 정보가 포함되어야 합니다.
당사의 플랫폼은 침해 발생 시 이러한 GDPR 요구 사항을 유지하는 데 도움이 됩니다. 예를 들어, AutoFocus는 복구 업데이트에 필요한 분석 세부 사항을 제공하여 사용자가 누구인지, 위협이 무엇인지, 영향과 리스크 수준은 무엇인지 이해하는 데 도움이 됩니다. 이 모든 것은 알림을 위한 요구 사항에 도움이 됩니다.
또한 차세대 방화벽은 사용자 지정 알림 페이지를 통해 사용자를 교육하는 데 사용될 수 있습니다. 시스템 관리자는 원하는 교육 메시지를 알림 페이지에 추가하여 우발적인 데이터 유출을 예방할 때마다 최종 사용자가 해당 메시지를 제공받을 수 있습니다. 예를 들어, 메시지에는
회사 데이터 정책 및 모범 사례에 대한 링크를 포함할 수 있습니다. 이를 통해 알림을 지원하는 교육 작업은 물론 전체적인 예방에 도움이 됩니다.
- GDPR 제4조(1): "'개인 데이터'란 식별된 또는 식별 가능한 자연인('데이터 주체')과 관련된 모든 정보를 의미하며, 식별 가능한 자연인이란 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 해당 자연인의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신원에 특정한 하나 이상의 요인을 참조하여 직접 또는 간접적으로 식별될 수 있는 사람입니다."