호주의 새로운 이사회 기준: 5가지 새로운 ASD 및 AICD 보안 우선순위

지난 2년 동안 호주에서는 이사회실을 뒤흔든 사이버 공격이 잇달아 발생했습니다.

의료 서비스 제공업체, 거대 통신사, 보험사, 심지어 정부 기관까지 계속해서 정교한 침해 사고의 표적이 되고 있으며, 그 중 상당수가 뉴스의 첫 페이지를 장식하고 있습니다.  

사고가 발생할 때마다 사이버 보안은 IT 문제만큼이나 거버넌스 문제라는 메시지가 점점 더 커지고 있습니다.

이러한 시급성 때문에 호주 신호 감독국(ASD)과 호주 기업 이사 협회(AICD)는 2025-26년 이사회를 위한 사이버 보안 우선순위를발표하게 되었습니다.  

이 지침은 호주 조직을 염두에 두고 작성되었지만, 그 관련성은 호주 국경을 훨씬 넘어서는 것입니다. 사이버 위협, 규제 압력, 거버넌스에 대한 기대는 전 세계적인 문제입니다. 이 보고서에서 설명하는 지침은 모든 곳에서 사이버 복원력을 위한 기준선을 제시합니다.

보고서의 내용, 이 보고서가 중요한 이유, 그리고 일루미오가 조직이 이 지침을 준수하는 데 어떻게 도움을 줄 수 있는지 살펴보세요.

이사회를 위한 사이버 보안 우선순위 지침이 지금 중요한 이유

호주의 위협 환경은 그 어느 때보다 불안정합니다.  

이 지침에 따르면 23~24 회계연도에 스파이 활동으로 인한 경제 손실만 125억 달러에 달했으며, 사이버 범죄는 산업 전반, 특히 대기업을 대상으로 계속 급증하고 있습니다.

달라진 점은 최상위에서 위험을 인식하는 방식입니다. 이제 디렉터는 조직의 노출을 이해하고, 날카로운 질문을 던지며, 예방을 넘어서는 전략에 투자해야 합니다.  

새로운 기준은 침해를 가정하고 침해 차단에 집중하는 것입니다.

양자 컴퓨팅에 대한 준비와 같은 일부 지침은 미래 지향적으로 느껴집니다. 하지만 핵심 메시지는 지금 기본을 익히라는 것입니다.

사이버 복원력은 가시성 개선, 레거시 시스템 보호, 측면 이동 억제, 가장 취약한 진입 지점인 공급망 관리를 통해 현재 위험을 제어하는 것입니다.

보고서의 주요 사이버 보안 우선순위

다음은 ASD 및 AICD 지침의 다섯 가지 이사회 수준의 중점 영역에 대한 개요입니다:

1. 설계상 보안 및 기본 보안 기술

보안은 나중에 추가하는 것이 아니라 처음부터 내장해야 합니다. 이사회는 자신이 사용하고 고객에게 제공하는 기술이 이 표준을 충족하는지 확인해야 합니다.

2. 중요 자산 방어 및 타협을 가정하는 사고방식

오늘날의 위협 환경에서 모든 공격자를 막을 수 있는 조직은 없습니다. 대신 공격자가 침입할 것이라는 가정 하에 가장 중요한 시스템, 애플리케이션, 데이터 등 중요 자산을 보호하는 데 집중하는 것이 더 중요합니다.

3. 강력한 이벤트 로깅 및 위협 탐지

조직은 전사적인 가시성과 실시간 탐지를 기본으로 삼아야 합니다. 하지만 더 중요한 것은 탐지된 내용을 신속하게 조치로 전환할 수 있어야 한다는 점입니다. 이는 정교한 침해 속도를 따라잡을 수 있는 더 많은 자동화 및 AI 기반 솔루션이 필요하다는 것을 의미합니다.

4. 레거시 IT 위험 관리

지원되지 않고 패치되지 않은 시스템은 소프트 타깃이며 다른 중요 자산에 도달할 수 있는 피벗 포인트를 제공합니다. 이 보고서는 이사회가 가능한 경우 레거시 IT를 교체하거나 강력한 보상 제어를 배포할 것을 촉구합니다.

5. 사이버 공급망 리스크 감독

타사 액세스는 대부분의 조직에서 가장 위험이 높은 영역 중 하나입니다. 이사회는 어떤 사람과 시스템에 액세스 권한이 있는지, 어디에서 액세스 권한이 있는지, 세그먼트화되어 모니터링되는지 파악해야 합니다.

이 보고서는 양자 위협을 강조하지만, 대부분의 조직은 아직 기존의 비대칭 암호화를 대체할 준비가 되어 있지 않습니다.  

그럼에도 불구하고 이 지침은 이사회가 양자 암호화 이후의 전환을 준비할 것을 촉구합니다. 이는 오늘 수집된 데이터가 내일 해독되는 사이버 보안 위험의 미래를 반영한 것입니다.

좋은 사이버 거버넌스의 모습

이 지침에는 5가지 중점 영역 외에도 다음과 같이 게시판에서 질문해야 할 수십 가지의 실용적인 질문이 포함되어 있습니다:

• "아직 폐기할 수 없는 레거시 시스템에 대한 보완 제어 기능이 있나요?"
• "위험에 따라 타사 공급업체 액세스를 세분화하고 있나요?"
• "우리의 탐지 시스템은 가장 중요한 것에 우선순위를 두고 있나요?"
• "가시성 및 침해 차단과 같은 기본을 강화하면서 포스트 양자 암호화와 같은 새로운 위협에 대비하고 있나요?"

이러한 질문은 사이버 보안은 이제 이사회 차원의 책임이며 거버넌스도 그에 따라 진화해야 한다는 기대의 변화를 반영합니다.

일루미오가 이사회를 위한 사이버 보안 우선순위 지침에 부합하는 방법

Illumio는 호주 및 APJ 지역의 조직이 AI 기반 세분화 및 보안 가시성을 제공함으로써 이러한 우선순위를 자신 있게 충족할 수 있도록 지원합니다.

다음은 일루미오가 보고서의 이사회 수준 지침에 직접 매핑하는 방법입니다:

1. 설계를 통한 보안: 마이크로세그멘테이션 및 최소 권한 액세스

일루미오 세분화는 데이터센터와 클라우드 전반에서 최소 권한 액세스를 시행합니다. 이렇게 하면 아키텍처를 안전하게 설계할 수 있습니다.  

침해가 확산되기 전에 차단하고, 중요 자산을 보호하며, ASD의 정보 보안 매뉴얼(ISM), 에센셜 에잇, 제로 트러스트와 같은 프레임워크의 원칙을 준수할 수 있습니다.

2. '침해 가정'을 핵심으로 하는 중요 자산 보호

Illumio를 사용하면 워크로드가 통신하는 방식을 시각화하고, 고위험 위협 경로를 식별하고, 가장 중요한 시스템을 다른 모든 시스템과 분리하는 시행 정책을 적용할 수 있습니다. 이를 통해 공격을 신속하게 차단하고 '침해 가정'을 두려움이 아닌 전략으로 삼을 수 있습니다.

3. AI 기반 조치 가능성을 통한 이벤트 탐지

너무 많은 도구가 너무 많은 알림을 생성하면 알림에 대한 피로도가 높아지고 집중력이 떨어집니다.  

일루미오 인사이트를 사용하면 이상 징후를 감지할 뿐만 아니라 유해한 조합을 강조 표시하고 단계별 해결 조치를 제공하는 AI 기반 가시성을 확보할 수 있습니다.

즉, 위협 탐지는 경고로만 끝나는 것이 아닙니다. 이는 네트워크를 통해 위협이 확산되는 것을 자동으로 차단할 수 있는 실용적인 AI 기반 인사이트로 이어집니다.

4. 가상 에어 갭을 통한 레거시 IT 격리

레거시 시스템은 종종 가장 취약한 연결 고리이자 폐기하기 가장 어려운 시스템입니다.  

Illumio는 아키텍처를 다시 설계하지 않고도 레거시 IT를 빠르고 효과적으로 격리할 수 있는 방법을 제공합니다. 애플리케이션이나 네트워크를 건드리지 않고도 액세스를 엄격하게 제어하고, 행동을 모니터링하고, 세분화를 시행할 수 있습니다.

이는 일루미오가 조직이 즉각적인 위험 감소 효과를 볼 수 있도록 도와줄 수 있는 많은 곳 중 하나입니다.

5. 공급망 액세스 세분화 및 모니터링

이사회는 제3자 위험이 사각지대라는 것을 알고 있습니다. Illumio를 사용하면 공급업체의 액세스를 필요한 경우에만 제한하여 정책 제어를 시행하고 공급업체와 내부 시스템 간의 모든 커뮤니케이션을 모니터링할 수 있습니다.

공급업체가 침해된 경우 세분화를 통해 공급업체가 공격자의 게이트웨이가 되는 것을 방지할 수 있습니다.

호주 사이버 거버넌스의 새로운 표준

ASD와 AICD는 실제 침해 사고, 증가하는 위협 수준, 사이버 보안 전략이 사전 예방적이고 효과적이라는 것을 입증해야 한다는 이사들의 압박이 증가함에 따라 이 지침을 발표했습니다.

이 보고서는 사이버 보안의 기본이 그 어느 때보다 중요하다는 것을 증명합니다:

• 환경 전반에서 어떤 일이 일어나고 있는지 확인할 수 있나요?
• 중요한 시스템을 격리할 수 있나요?
• 침해가 확산되기 전에 막을 수 있나요?

Illumio는 규정 준수를 넘어 실행 가능한 결과를 제공하는 세분화 및 가시성을 통해 "예"라고 대답할 수 있도록 지원합니다.

최신 지침에 따라 사이버 보안 전략을 조정할 준비가 되셨나요? 일루미오 인사이트 무료 체험 오늘.