CIS 벤치마크란 무엇인가요?
인터넷 보안 센터(CIS)의 CIS 벤치마크는 세계적으로 인정받는 일련의 합의 기반 모범 사례로, 보안 전문가가 사이버 보안 방어를 구현하고 관리하도록 지원합니다. 보안 전문가로 구성된 글로벌 커뮤니티가 참여를 통해 개발한 이 지침은 새로운 위험으로부터 조직을 사전 예방적으로 보호할 수 있도록 지원합니다. 기업들은 디지털 자산에서 구성 기반 보안 취약성을 최소화하기 위해 CIS 벤치마크 지침을 구현합니다.
CIS 벤치마크가 중요한 이유는 무엇인가요?
CIS 벤치마크와 같은 도구는 25개 이상의 공급업체 제품을 배포하기 위해 보안 전문가와 분야별 전문가가 개발한 보안 모범 사례를 개괄적으로 설명하기 때문에 중요합니다. 이러한 모범 사례는 새로운 제품 또는 서비스의 배포 계획을 수립하거나 기존 배포가 안전한지 확인하기 위한 좋은 출발점이 됩니다.
CIS 벤치마크를 구현할 때, 다음과 같은 단계를 수행하여 일반 리스크와 새롭게 등장하는 리스크로부터 레거시 시스템을 보다 효과적으로 보호할 수 있습니다.
- 사용되지 않는 포트 비활성화
- 불필요한 앱 권한 제거
- 관리 권한 제한
또한 IT 시스템과 애플리케이션은 불필요한 서비스를 사용하지 않도록 설정할 때 더 나은 성능을 발휘합니다.
CIS 벤치마크 예
예를 들어 관리자는 단계별 CIS AWS Foundations 벤치마크 지침에 따라 AWS Identity and Access Management (IAM)에 대한 강력한 암호 정책을 설정할 수 있습니다. 암호 정책 시행, 다중 인증(MFA) 사용, 루트 비활성화, 90일마다 액세스 키 교체 보장, 기타 전략은 서로 뚜렷이 구분되면서도 연관되어 있는, AWS 계정의 보안 향상을 위한 ID 지침입니다.
CIS 벤치마크를 도입하면 다음과 같은 몇 가지 사이버 보안 관련 이점을 얻을 수 있습니다.
전문가 사이버 보안 지침
CIS 벤치마크는 전문가의 검증을 통해 입증된 보안 구성 프레임워크를 조직에 제공합니다. 기업은 보안의 위험을 초래하는 시행착오 시나리오를 피하면서 다양한 IT 및 사이버 보안 커뮤니티의 전문 지식을 활용할 수 있습니다.
세계적으로 인정받는 보안 표준
CIS 벤치마크는 전 세계의 정부, 기업, 연구 및 학술 기관 모두가 인정하고 수용하는 유일한 모범 사례 가이드입니다. 합의 기반 의사 결정 모델을 기반으로 하는, 글로벌하고 다양한 커뮤니티 덕분에 CIS 벤치마크는 리전별 법률 및 보안 표준보다 훨씬 폭넓은 적용 범위와 수용 범위를 자랑합니다.
비용 효율적인 위협 예방
CIS 벤치마크 문서는 누구나 무료로 다운로드하여 구현할 수 있습니다. 기업이 모든 종류의 IT 시스템에 대한 최신 단계별 지침을 무료로 얻을 수 있습니다. IT 거버넌스를 실현하고 예방 가능한 사이버 위협으로 인한 재정적 피해와 평판의 손상을 방지할 수 있습니다.
규제 준수
CIS 벤치마크는 다음과 같은 주요 보안 및 데이터 프라이버시 프레임워크에 부합합니다.
- 미국 국립 표준 기술 연구소(NIST) 사이버 보안 프레임워크
- Health Insurance Portability and Accountability Act(HIPAA)
- Payment Card Industry Data Security Standard(PCI DSS)
CIS 벤치마크를 구현하는 것은 규제가 심한 업종에서 비즈니스를 운영하는 조직의 규정 준수 실현을 위한 중요한 조치입니다. 잘못 구성된 IT 시스템으로 인한 규정 준수 실패 문제를 방지할 수 있습니다.
CIS 벤치마크에서는 어떤 IT 시스템 유형을 다루나요?
CIS는 25개 이상의 공급업체 제품군에 걸쳐 100개 이상의 벤치마크를 발표했습니다. 모든 유형의 IT 시스템에 CIS 벤치마크를 적용하고 모니터링하면 본질적으로 안전할 뿐만 아니라 보안 솔루션으로 방어를 더욱 강화할 수 있는 IT 환경을 구축할 수 있습니다. CIS 벤치마크에서 다루는 기술은 크게 다음 7가지 범주로 나눌 수 있습니다.
운영 체제
운영 체제용 CIS 벤치마크는 Amazon Linux를 비롯하여 널리 사용되는 운영 체제에 대한 표준 보안 구성을 제공합니다. 이러한 벤치마크에는 다음과 같은 기능에 대한 모범 사례가 포함됩니다.
- 운영 체제 액세스 제어
- 그룹 정책
- 웹 브라우저 설정
- 패치 관리
클라우드 인프라 및 서비스
클라우드 인프라에 대한 CIS 벤치마크는 기업이 AWS에서 제공하는 것과 같은 클라우드 환경을 안전하게 구성하는 데 사용할 수 있는 보안 표준을 제공합니다. 이 지침에는 가상 네트워크 설정에 대한 모범 사례 지침, AWS Identity and Access Management(IAM) 구성, 규정 준수 및 보안 통제 등이 포함됩니다.
서버 소프트웨어
서버 소프트웨어의 CIS 벤치마크는 서버 설정, 서버 관리 제어, 스토리지 설정 및 주요 공급업체의 서버 소프트웨어에 대한 구성 기준 및 권장 사항을 제공합니다.
데스크톱 소프트웨어
CIS 벤치마크는 조직에서 일반적으로 사용하는 대부분의 데스크톱 소프트웨어를 포함합니다. 이 지침에는 다음과 같은 데스크톱 소프트웨어 기능을 관리하기 위한 모범 사례가 포함되어 있습니다.
- 서드 파티 데스크톱 소프트웨어
- 브라우저 설정
- 액세스 권한
- 사용자 계정
- 클라이언트 디바이스 관리
모바일 디바이스
모바일 디바이스에 대한 CIS 벤치마크는 휴대폰, 태블릿 및 기타 휴대용 디바이스에서 실행되는 운영 체제의 보안 구성을 포함합니다. 모바일 브라우저 설정, 애플리케이션 권한, 프라이버시 설정 등에 대한 권장 사항을 제공합니다.
네트워크 디바이스
CIS 벤치마크는 방화벽, 라우터, 스위치 및 가상 프라이빗 네트워크(VPN)와 같은 네트워크 디바이스에 대한 보안 구성도 제공합니다. 이러한 네트워크 디바이스의 보안 설정 및 관리를 보장하기 위한, 모든 공급업체에 적용되는 일반 권장 사항과 공급업체별 권장 사항이 모두 포함되어 있습니다.
다기능 인쇄 디바이스
다기능 프린터, 스캐너 및 복사기와 같은 네트워크 주변 장치에 대한 CIS 벤치마크에서는 파일 공유 설정, 액세스 제한, 펌웨어 업데이트 등의 보안 구성 모범 사례를 다룹니다.
CIS 벤치마크 수준이란 무엇인가요?
조직이 고유한 보안 목표를 달성할 수 있도록 CIS는 각 CIS 벤치마크 지침에 프로필 레벨을 할당합니다. 각 CIS 프로필에는 서로 다른 레벨의 보안을 제공하는 권장 사항이 포함되어 있습니다. 조직은 보안 및 규정 준수 요구 사항에 따라 프로필을 선택할 수 있습니다.
레벨 1 프로필
레벨 1 프로필의 구성 권장 사항은 IT 시스템을 구성하기 위한 기본 보안 권장 사항입니다. 이러한 권장 사항은 따르기 쉽고 비즈니스 기능이나 가동 시간에 영향을 미치지 않습니다. 이 권장 사항은 IT 시스템의 진입점 수를 줄여 사이버 보안 위험을 최소화합니다.
레벨 2 프로필
레벨 2 프로필 구성 권장 사항은 보안이 최우선인 매우 민감한 데이터에 가장 적합합니다. 이 권장 사항을 구현하려면 최소한의 운영 중단으로 포괄적인 보안을 실현하기 위한 실무 전문 지식과 사전 계획이 필요합니다. 레벨 2 프로필 권장 사항을 구현하면 규정 준수 실현에도 도움이 됩니다.
STIG 프로필
Security Technical Implementation Guide(STIG)는 Defense Information Systems Agency(DISA)가 제시하는 일련의 구성 기준입니다. 이 보안 표준은 미 국방부에서 게시하고 유지 관리합니다. STIG는 미국 정부의 요건을 충족할 수 있도록 특별히 작성되었습니다.
CIS 벤치마크에서는 조직이 STIG를 준수하는 데 도움이 되도록 고안된 레벨 3 STIG 프로필도 명시합니다. STIG 프로필에는 STIG별 레벨 1 및 레벨 2 프로필 권장 사항이 포함되어 있으며, 다른 두 프로필에서는 다루지 않지만 DISA의 STIG에서 요구하는 권장 사항을 더 많이 제시합니다.
CIS STIG 벤치마크에 따라 시스템을 구성하면 IT 환경이 CIS와 STIG를 모두 준수하게 됩니다.
CIS 벤치마크는 어떻게 개발되나요?
CIS 커뮤니티는 고유한 합의 기반 프로세스에 따라 다양한 대상 시스템에 대한 CIS 벤치마크를 개발, 승인 및 유지 관리합니다. 전반적으로 CIS 벤치마크 개발 프로세스는 다음과 같습니다.
- 커뮤니티가 특정 벤치마크의 필요성을 인식합니다.
- 벤치마크의 범위를 설정합니다.
- 사용자들이 자발적으로 CIS WorkBench 커뮤니티 웹 사이트에 토론 스레드를 만듭니다.
- 특정 IT 시스템의 CIS 커뮤니티에서 참여한 전문가들이 시간을 할애해 작업 초안을 검토하고 논의합니다.
- 전문가들이 합의를 도출할 때까지 권장 사항을 만들고, 논의하고, 테스트합니다.
- 벤치마크를 확정하고 CIS 웹 사이트에 게시합니다.
- 커뮤니티의 더 많은 사용자들이 자발적으로 CIS 벤치마크 토론에 참여합니다.
- 합의 팀이 벤치마크를 구현하는 사람들의 피드백을 고려합니다.
- CIS 벤치마크의 새 버전을 수정하고 업데이트합니다.
해당 IT 시스템이 변경 또는 업그레이드됨에 따라 CIS 벤치마크의 새 버전 릴리스도 달라집니다.
CIS 벤치마크를 구현하려면 어떻게 해야 하나요?
각 CIS 벤치마크에는 권장 사항에 대한 설명, 권장 사항의 이유 및 시스템 관리자가 권장 사항을 올바르게 구현하기 위해 따를 수 있는 지침이 포함되어 있습니다. 각 벤치마크는 대상 IT 시스템의 각 영역을 다루기 때문에 수백 페이지에 이를 수 있습니다.
CIS 벤치마크를 구현하고 모든 버전 릴리스를 관리하는 작업은 수동으로 수행하기에 너무 복잡합니다. 이러한 이유로 많은 조직이 자동화된 도구를 사용하여 CIS 규정 준수를 모니터링합니다. 또한 CIS는 IT 시스템을 검사하고 CIS 규정 준수 보고서를 생성하는 데 사용할 수 있는 무료 프리미엄 도구도 제공합니다. 이러한 도구는 기존 구성이 CIS 벤치마크 권장 사항을 충족하지 못할 경우 시스템 관리자에게 경고합니다.
CIS 벤치마크에 포함된 다른 보안 리소스는 무엇인가요?
CIS는 다음 2가지 주요 리소스를 포함하여 조직의 인터넷 보안을 개선하기 위한 다른 리소스도 게시합니다.
CIS 컨트롤
CIS 컨트롤(이전 CIS 중요 보안 컨트롤)은 CIS가 시스템 및 네트워크 보안을 위한 포괄적인 모범 사례 가이드로 게시하는 또 다른 리소스입니다. 이 가이드에는 우선 순위가 높고 IT 시스템에서 가장 광범위하고 파괴적인 사이버 보안 위협에 효과적인 것으로 입증된 20가지 안전 수단 및 조치의 체크리스트가 포함되어 있습니다.
CIS 컨트롤은 다음과 같은 대부분의 주요 표준 및 규제 프레임워크에 매핑됩니다.
- 미국 국립 표준 기술 연구소(NIST) 사이버 보안 프레임워크
- NIST 800-53
- Health Insurance Portability and Accountability Act(HIPAA), Payment Card Industry Data Security Standard(PCI DSS), Federal Information Security Management Act(FISMA) 및 ISO 27000 표준 시리즈의 기타 표준
CIS 컨트롤은 다음과 같은 규정 준수 프레임워크를 따르기 위한 출발점을 제공합니다.
CIS 벤치마크 vs. CIS 컨트롤
CIS 컨트롤은 전체 시스템과 네트워크를 보호하기 위한 일반적인 지침이지만, CIS 벤치마크는 보안 시스템 구성에 대한 매우 구체적인 권장 사항입니다. 각 CIS 벤치마크 권장 사항은 하나 이상의 CIS 컨트롤을 참조하므로, CIS 벤치마크는 CIS 컨트롤을 구현하는 데 있어서 중요한 단계입니다.
예를 들어 CIS 컨트롤 3은 컴퓨터 시스템을 위한 보안 하드웨어 및 소프트웨어 구성을 제안합니다. CIS 벤치마크는 관리자가 CIS 컨트롤 3을 구현하기 위해 따를 수 있는 세부 지침과 함께 공급업체에 구애받지 않는 일반 지침과 공급업체별 지침을 제공합니다.
CIS 강화 이미지
가상 머신(VM)은 전용 컴퓨터 하드웨어를 에뮬레이트하는 가상 컴퓨팅 환경입니다. VM 이미지는 시스템 관리자가 유사한 운영 체제 구성을 가진 여러 VM을 신속하게 생성하는 데 사용하는 템플릿입니다. 하지만 VM 이미지가 잘못 구성되면 이 이미지를 바탕으로 생성된 VM 인스턴스도 잘못 구성되고 취약해집니다.
CIS는 CIS 벤치마크 표준에 따라 사전 구성된 VM 이미지인 CIS 강화 이미지를 제공합니다.
CIS 강화 이미지를 사용하는 데 따른 이점
CIS 강화 이미지는 다음과 같은 기능을 제공하므로 유용합니다.
- CIS 벤치마크 기준으로 사전 구성됨
- 간편한 배포 및 관리
- CIS에 의해 업데이트 및 패치됨
보안 및 규정 준수 요구 사항에 따라 레벨 1 또는 레벨 2 프로필로 구성된 CIS 강화 이미지를 선택할 수 있습니다.
AWS에서 CIS 벤치마크는 어떻게 사용하나요?
CIS는 AWS 독립 소프트웨어 개발 판매 회사(ISV) 파트너이며 AWS는 CIS 보안 벤치마크 회원사입니다. CIS 벤치마크에는 AWS 클라우드 서비스 및 계정 수준 설정의 하위 집합에 대한 보안 구성 지침이 포함되어 있습니다.
예를 들어 CIS는 다음과 같은 CIS 벤치마크의 AWS에 대한 모범 사례 구성 설정을 간략히 설명합니다.
- CIS AWS Foundations 벤치마크
- CIS Amazon Linux 2 벤치마크
- CIS Amazon Elastic Kubernetes Service(EKS) 벤치마크
- AWS 최종 사용자 컴퓨팅 벤치마크
또한 AWS Marketplace에서 CIS 강화 Amazon Elastic Compute Cloud(EC2) 이미지에 액세스하여 Amazon EC2 이미지가 CIS 벤치마크를 충족한다는 것을 확인할 수 있습니다.
마찬가지로, AWS 배포가 CIS AWS Foundations 벤치마크 표준에 설정된 권장 사항을 충족하는지 확인하는 검사를 자동화할 수 있습니다. AWS Security Hub는 14개의 AWS 서비스에 걸쳐 43개의 컨트롤과 32개의 Payment Card Industry Data Security Standard(PCI DSS) 요구 사항으로 구성된 CIS AWS Foundations Benchmark 표준을 지원합니다. 활성화되는 즉시, AWS Security Hub가 각 컨트롤 및 컨트롤과 연결된 각 관련 리소스에 대해 지속적인 자동 보안 검사를 실행하기 시작합니다.
지금 무료 AWS 계정을 생성하여 클라우드 인프라의 CIS 규정 준수를 보장하고 AWS 사용을 시작하세요.