TIC(신뢰할 수 있는 인터넷 연결) 3.0이란 무엇인가요?
개요
TIC(신뢰할 수 있는 인터넷 연결)는 정부의 인터넷 접속 지점 및 외부 네트워크 연결을 개선하기 위해 2007년에 시작된 연방 이니셔티브입니다. TIC 3.0은 이 이니셔티브의 최신 버전으로, 연방 IT를 현대화하고 정부 기관이 클라우드 서비스에 액세스하고 보안을 유지하면서 원격으로 작업할 수 있도록 지원합니다.
그렇다면 신뢰할 수 있는 인터넷 연결이란 무엇인가요? 간단히 말해, 신뢰할 수 있는 인터넷 연결은 정부 네트워크의 게이트웨이 수를 제한하기 위한 미국 관리 예산처의 명령의 일부입니다. TIC는 모든 연방 인터넷 트래픽이 TIC 승인을 받은 기관을 통해 라우팅되도록 요구합니다.
전통적으로 기관들은 경계 기반 보안 솔루션에 의존해 왔습니다. 이러한 방법은 대부분의 직원이 경계 내에서 근무하고 데이터 센터를 통해 애플리케이션과 데이터에 액세스할 때 어느 정도 효과가 있었습니다.
TIC 3.0이 오늘날의 클라우드 기반 IT 환경에서 보안을 크게 개선할 것이라는 기대가 높습니다. 그러나 이러한 이점을 최대한 활용하기 위해서는 네트워크에 연결된 애플리케이션 내의 데이터를 보호하기 위해 제로 트러스트 보안 모델을 도입해야 한다는 점을 기관들은 인식하고 있습니다.
신뢰할 수 있는 인터넷 연결
제로 트러스트란 무엇이며 TIC 3.0과 어떤 관련이 있나요?
제로 트러스트는 2010년에 도입된 이후 점점 더 많은 조직에서 목표로 삼고 있으며, TIC 3.0은 연방 정부의 의무 사항입니다. TIC 1.0과 TIC 2.0은 거의 전적으로 네트워크 액세스 보안에 초점을 맞추었습니다. TIC 3.0은 최신 위협의 진화뿐만 아니라 네트워크 전용 보안에 내재된 취약점을 반영하여 데이터와 사용자 행동에 주로 초점을 맞추고 있습니다.
2020년 8월에 발표된 최신 NIST 지침(제로 트러스트 아키텍처 - nist.go)에 따르면 제로 트러스트(ZT)는 정적인 네트워크 기반 경계에서 사용자, 자산 및 데이터와 같은 리소스에 초점을 맞추도록 방어를 이동하는 진화하는 사이버 보안 패러다임의 집합을 일컫는 용어입니다.
특히 제로 트러스트는 자산(예: 데이터) 또는 사용자 계정의 물리적 또는 네트워크 위치(예: 로컬 영역 네트워크 대 인터넷)만을 기반으로 하거나 자산 소유권(기업 또는 개인 소유)을 기반으로 자산에 암묵적 신뢰가 부여되지 않는다고 가정합니다. 인증 및 권한 부여(주체 및 장치 모두)는 엔터프라이즈 리소스에 대한 세션이 설정되기 전에 수행되는 개별적인 기능입니다. 제로 트러스트는 기업 소유의 네트워크 경계 내에 있지 않은 원격 사용자, BYOD(Bring Your Own Device), 클라우드 기반 자산을 포함하는 엔터프라이즈 네트워크 트렌드에 대한 대응책입니다.
제로 트러스트는 네트워크 요소가 아닌 리소스(자산, 서비스, 워크플로, 네트워크 계정 등)를 보호하는 데 중점을 두며, 이제 네트워크는 더 이상 리소스의 보안 상태를 보장하기에 충분하지 않기 때문입니다. 아래에서는 제로 트러스트의 차원을 간략히 설명하고, 제로 트러스트가 기업의 전반적인 정보 기술 보안 태세를 개선할 수 있는 일반적인 배포 모델과 사용 사례를 소개합니다.
미 국무부의 전략 설계자인 사라 모슬리는 최근 기사에서 TIC 3.0과 제로 트러스트는 팬데믹으로 인해 가속화되고 강조된 새로운 보안 철학의 한 차원이라고 말했습니다.
제로 트러스트에 대해 자세히 알아보세요.
TIC 2.0과 TIC 3.0의 차이점은 무엇인가요?
연방 정부가 신뢰할 수 있는 인터넷 연결(TIC) 정책을 업데이트한 것으로 알고 있는데, 변경이 필요한 이유는 무엇이며 버전 2.0에 비해 어떤 점이 개선되었나요?
TIC 1.0과 TIC 2.0의 유일한 초점인 경계 보안의 불행한 유산은 보안에 대한 잘못된 인식이 만연해 있다는 것입니다. 침입자를 방어벽 바깥으로 차단하는 데 지나치게 집중한 나머지 기업들은 내부 위협에 취약할 수밖에 없었습니다. 보안 침해는 수개월 동안 탐지되지 않는 경우가 많았습니다.
사이버 보안 및 인프라 보안 기관(CISA)에 따르면, TIC 2.0에서는 모든 수신 및 발신 데이터를 하나의 액세스 포인트로 전송하여 기관의 경계를 보호하는 TIC 보안이 적용되었습니다. 3.0에서는 기관이 자체 네트워크와 특정 요구사항에 가장 적합한 보안 계획을 선택할 수 있는 유연성이 더욱 강화되었습니다.
최신 세대의 신뢰할 수 있는 인터넷 연결(TIC 3.0)은 기관이 네트워크 및 데이터 센터 인프라를 업그레이드할 때 현대화를 더 쉽게 할 수 있게 해줍니다. "TIC 3.0은 우리가 앞으로 나아가는 데 필요한 민첩성을 제공합니다."라고 GSA 연방조달청의 통신 서비스 사무국 책임자인 Allen Hill은 11월 중순에 열린 기관의 500억 달러 규모의 15년 EIS(엔터프라이즈 인프라 솔루션) 계약에 관한 공개 회의에서 말했습니다.
연방 웹 트래픽의 보안을 유지하는 것을 목표로 하는 TIC 노력은 10여 년 전 여러 기관이 수많은 전용 데이터 센터, 보안 장치, 가상 사설망으로 트래픽을 보호하면서 시작되었습니다. 그 이후로 연방 기관들은 보다 효율적이고 확장 가능하며 원격으로 데이터를 전송할 수 있는 클라우드 기술로 전환하여 이러한 오래된 보호 방법을 쓸모없게 만들었습니다.
EIS에는 네트워크 매개변수를 대폭 확장하는 소프트웨어 정의 네트워크 서비스도 통합되어 있습니다. TIC 2.0은 소프트웨어 정의 네트워크(SDN)가 네트워크 병목 지점을 중심으로 라우팅을 다양화하고 사용할 수 있는 경로를 제한한다고 그는 설명합니다.
"클라우드가 현대화 노력의 핵심이 되면서" TIC 2.0은 "한계가 되었습니다."라고 CISA의 연방 네트워크 복원력 부서의 사이버 보안 보증 지부 부지부장인 존 심스(John Simms)는 말합니다. 심스는 자신의 기관이 TIC 3.0이 클라우드 환경을 어떻게 보호할 수 있는지 살펴보고 있다고 말했습니다. "우리는 네트워크 경계나 네트워크 트래픽뿐만 아니라 애플리케이션 자체와 이러한 애플리케이션 스택과 데이터 및 모니터링을 보호하기 위한 기술을 어떻게 현명하게 사용할 수 있는지에 대해서도 생각해야 합니다."
CISA, GSA, 최고정보보안책임자협의회는 특정 애플리케이션을 위한 TIC 3.0 파일럿 프로그램과 사용 사례를 개발하고 있다고 CISA의 TIC 프로그램 관리자이자 수석 사이버 보안 아키텍트인 숀 코넬리는 말합니다. 현재 사용 사례는 서비스형 인프라(IaaS), 서비스형 소프트웨어(SaaS), 서비스형 이메일(EaaS), 서비스형 플랫폼과 지사 애플리케이션을 포함하지만, 기관에서 더 많은 것을 제안할 수 있다고 Connelly는 말합니다.
그는 사용 사례에 대해 "TIC 3.0은 기관이 새로운 해석을 시범적으로 적용할 수 있는 여지를 제공합니다."라고 말했습니다. CISA는 파일럿 기간 동안 기관과 협력하여 모범 사례를 개발하고, 애플리케이션 해석을 공급업체에 구애받지 않으며, 연방 정부 전체에서 어떻게 사용될 수 있는지 살펴볼 것입니다."라고 Connelly는 말했습니다.
Connelly는 현재 제로 트러스트 사용 사례와 파트너 협업 사용 사례에 대해 기관들과 논의 중이라고 말했습니다.
TIC 3.0에서 기관은 검사를 위해 데이터를 액세스 지점으로 다시 라우팅하는 대신 데이터에 더 가까운 곳에서 보안 조치를 구현하고 신뢰 영역과 사용 사례를 설정할 수 있습니다. 이러한 유연성은 서비스형 소프트웨어(SaaS) 기술을 다루거나 직원이 원격으로 근무할 때 특히 유용합니다.
TIC 3.0은 경계 기반 보안이 더 이상 충분하지 않다는 것을 인식하고 있습니다. 이는 부분적으로는 많은 사용자 또는 시스템이 경계 외부에서 작업하고 있으며, 악의적인 공격자가 자격 증명을 훔쳐 경계 내부로 침입하는 데 훨씬 더 능숙해졌기 때문입니다.
TIC 3.0에는 무엇이 필요하나요?
TIC 3.0에는 연방 기관이 제로 트러스트 모델로 전환할 수 있도록 하는 5가지 보안 목표가 포함되어 있습니다:
-
트래픽 관리 - 신뢰할 수 있는 인터넷 연결의 유효성을 검사하고 승인된 활동이 안전한지 확인합니다. 특정 데이터에 액세스할 수 있는 사람, 액세스 권한이 부여된 이유, 액세스가 여전히 필요한지 여부를 모니터링합니다.
-
트래픽 기밀성 - 어떤 데이터에 액세스하는지, 누가 데이터를 전송하는지, 누가 수신하는지에 대한 정보를 비공개로 안전하게 유지합니다. 권한이 있는 직원만 트래픽 데이터에 액세스할 수 있는지 확인합니다.
-
트래픽 무결성 - 전송 중 데이터의 무결성을 유지합니다. 데이터 변경 방지 및/또는 변경 감지.
-
서비스 복원력 - 보안 시스템의 지속적인 운영 보장. 위협은 끊임없이 성장하고 진화하고 있으며 새로운 위협과 기술에 직면한 시스템 연속성은 매우 중요합니다.
-
시기적절하고 효과적인 대응 - 위협이 감지되면 대응 시간이 가장 중요합니다. TIC 3.0은 시스템이 침해되었을 때 효과적인 대응, 향후 대응의 조정, 새로운 정책의 시행, 새로운 대응책의 채택을 촉진합니다.
TIC 3.0의 관리형 트래픽이란 무엇인가요?
TIC 3.0의 트래픽 관리는 "승인된 활동, 최소 권한 및 기본 거부에 맞춰 데이터 연결을 관찰, 검증 및 필터링"합니다.
트래픽을 효과적으로 관리하기 위해서는 데이터가 어디에 있는지, 누가 또는 무엇이 데이터에 액세스해야 하는지, 저장 중이거나 전송 중일 때 항상 파악하는 것이 중요합니다. 이러한 지식을 확보하기 위해서는 조직 내부와 외부의 ID에 대한 일관되고 포괄적인 관점을 제공하는 도구가 필요합니다. 효과적인 도구는 ID 거버넌스 데이터를 수집하고 큐레이션하여 액세스 권한이 있는 사람, 액세스 권한이 부여된 이유, 해당 액세스가 여전히 필요한지 여부에 대한 인사이트를 제공합니다. 지속적인 모니터링과 업데이트를 통해 ID 및 액세스에 대한 신뢰할 수 있는 단일 소스를 제공합니다.
대행사는 Identity and Access Management (IAM)을 기준으로 보안 매트릭스에서 자신이 어디에 있는지 평가하는 것으로 시작할 수 있습니다. IAM은 각 보안 수준이 다음 단계의 토대를 제공하는 다계층 모델입니다.
- 레벨 1 보안에는 네 가지 구성 요소가 있습니다. 첫 번째는 싱글 사인온과 부서 수준에서 일정 수준의 페더레이션입니다.
- 레벨 2는 사용자가 사용자 양식을 만들기 위해 종이나 이메일을 받는 것과는 달리 자동화된 감사 가능한 방식으로 사용자 프로비저닝을 수행할 수 있는 기능입니다.
- 레벨 3은 사용자 셀프 서비스로, 사용자가 감사 가능한 방식으로 액세스, 최근 권한, 과거 사용 등에 대해 인증을 받도록 하는 것입니다.
- 레벨 4는 위임 관리입니다.
TIC 3.0에서 트래픽 무결성을 어떻게 보호하나요?
TIC 3.0은 전송 중인 데이터의 내용, 발신자 및 수신자 식별, 집행은 권한이 있는 당사자만 식별할 수 있도록 규정하고 있습니다.
트래픽 기밀성 보호의 과제는 비정형 데이터를 포함한 전송 중인 데이터를 암호화하고 발신자와 수신자의 신원을 확인하는 데 중점을 둡니다. 한 가지 해결책은 Windows 및 타사 시스템의 파일 시스템 스택에 커널 드라이버를 내장하여 최종 사용자에게 투명하게 작동하는 기술입니다. 드라이버는 파일을 가로채서 데이터를 즉시 암호화하고 해독하며 모든 애플리케이션 및 파일 유형에서 작동합니다.
조직은 정책 규칙을 사용하여 워크플로 속도 저하 없이 실시간으로 데이터를 자동으로 암호화할 수 있습니다. 또한 이러한 솔루션을 사용하면 파일을 언제 어디서 열었는지, 어떻게 사용되었는지 등의 정보를 캡처하고 분석하는 등 런타임에 데이터를 모니터링할 수 있습니다.
트래픽 기밀성 보호에는 형식 보존 암호화가 포함되며, 레벨 2의 ID 액세스 관리에는 6가지 정도의 기능이 포함됩니다.
- 첫 번째는 팬데믹 기간 동안 원격 근무의 증가에 대응하여 도입된 새로운 로그인 기능을 포함한 다단계 인증입니다.
- 두 번째는 다양한 자산에 누가 액세스할 수 있는지에 대한 거버넌스에 대한 가시성을 높이는 것입니다.
- 세 번째는 권한 있는 액세스 관리 로, 시스템 관리자가 액세스하고 보호할 수 있는 다양한 수준의 보안을 다룹니다.
- 넷째, 사용자 및 기능의 가상 디렉터리는 정기적으로 업데이트되며 정적이지 않습니다.
- 다섯 번째는 서비스 보안 및 변경 모니터링, 그다음은 데이터 보안 및 암호화입니다.
TIC 3.0은 어떻게 서비스 복원력을 보장하나요?
서비스 복원력은 기술 및 위협 환경이 진화함에 따라 지속적인 운영을 위한 탄력적인 애플리케이션 및 보안 서비스를 촉진합니다. 미션 효율성을 높이려면 시스템 연속성과 안정성이 필요합니다. 시스템 수요가 급증하거나 네트워크가 공격을 받는 경우, 특히 IT 팀의 인력이 부족한 경우 가동 시간을 보장하는 것은 어려운 일이 될 수 있습니다. 일상적이고 반복적인 작업을 자동화하고 워크플로 프로세스를 추가하면 작업자의 업무 부담을 줄이고 운영을 계속 유지할 수 있습니다. 전문 소프트웨어는 사고 대응 작업의 절반 이상을 처리할 수 있는 역량을 갖추고 있습니다. 워크플로 자동화와 AI는 엔드포인트를 조사하고, 방화벽을 구성하고, 네트워크에서 컴퓨터를 격리하고, 사용자 계정을 잠글 수 있습니다.
이러한 기술은 또한 데이터를 수집하여 분석 속도를 높이고 문제 해결을 수행함으로써 인간 분석가를 지원합니다. 사용 사례 연구에서 통합 AI와 머신 러닝은 사고 조사 및 대응 속도를 10배까지 높일 수 있습니다. 위협 탐지 및 대응은 매 순간이 중요합니다. 강력한 보안 정보 및 이벤트 관리(SIEM) 플랫폼은 이러한 위협을 실시간으로 탐지, 분석, 우선순위를 지정합니다. 또한 효과적인 플랫폼은 워크플로, 대응 및 규정 준수 관리를 통해 보안 운영 센터(SOC) 를 지원합니다. 업계 최고의 위협 상관관계 엔진은 SOC에서 효과적인 보안 분석을 촉진합니다.
TIC 3.0은 어떻게 효과적인 사고 대응을 보장하나요?
TIC 3.0은 적시에 대응하고 향후 대응을 조정하여 위협을 발견하고 정책을 정의 및 구현하며 새로운 대응책의 채택을 간소화하는 것이 사고 대응의 핵심 목표입니다.
오늘날 내부 위협은 주로 애플리케이션 코드와 애플리케이션 보안의 형태로 존재합니다. 정부 기관에서 사용하는 애플리케이션은 평균적으로 80%가 사용자 지정 코드 또는 오픈 소스 코드입니다. 이러한 애플리케이션은 엔터프라이즈급 소프트웨어 테스트 기능을 갖춘 공급업체의 것이 아니며 책임도 없습니다. 사이버 사고와 침해의 85%는 커스텀 코드 또는 오픈 소스 코드의 결과입니다. 이러한 코드가 보안 문제가 발생할 수 있는 진정한 기회입니다.
현재 조직은 즉각적인 주의가 필요한 대량의 알림과 위협 데이터에 일상적으로 대응하고 있습니다. 끊임없이 쏟아지는 중요 데이터의 흐름을 관리하기 위해 앞으로 기관들은 더 많은 기계 기반 자동화된 활동을 활용할 것입니다. TIC 3.0으로 전환하는 기관은 경보 및 위협 피드를 수집하는 중앙 집중식 공간을 확보하고 기계의 속도로 인시던트에 대응 및 수정할 수 있도록 지원하는 기술의 이점을 누릴 수 있습니다.
TIC 3.0을 충족하기 위해 어떤 도구와 접근 방식을 사용할 수 있나요?
다단계 인증 (MFA)을 사용하면 인증 및 권한 부여 관리를 중앙 집중화할 수 있습니다. 단일 솔루션의 간소화된 관리로 비용을 절감하고 보안을 강화할 수 있습니다. 개방형 표준을 활용할 수 있는 솔루션은 빠른 통합을 가능하게 하고 보안 침해와 공급업체 종속의 위험을 방지합니다. 고급 인증 프레임워크에 내장된 유연성을 통해 보안 프로토콜과 방법을 사용자 지정할 수 있으며 전반적인 사용자 경험을 개선할 수 있습니다.
FPE(형식 보존 암호화 )는 암호화 커뮤니티에서 광범위하게 검증 및 검증된 NIST 표준(SP 800-38G )에서 설명하는 원래 길이와 형식을 보존하는 일반 텍스트를 암호화하는 데 사용되는 새로운 종류의 암호화로, 유출된 데이터를 사용할 수 없도록 보장합니다. 이러한 유형의 보안 솔루션(예: Voltage)은 기존 애플리케이션에 쉽게 구현할 수 있습니다.
SOAR(보안 오케스트레이션, 자동화 및 대응) 소프트웨어는 기존에는 분석가가 수동으로 실행하던 세 가지 주요 활동 범주를 자동화할 수 있습니다:
- 자동화된 분류: 계층 1 SOC 분석가가 알림을 검토하고 수동으로 분류하는 대신 Arcsight SOAR는 자동 분류를 수행할 수 있습니다. 여기에는 기본적인 오탐을 제거하기 위해 특정 검사를 실행하고, 자산, IP 등을 조회하여 심각도 수준을 조정하고, 여러 가지 경보를 단일 사고 사례로 통합하고, 심지어 SecOps 팀 내에서 적절한 구성원이나 그룹에게 티켓을 자동으로 발송하는 것까지 포함될 수 있습니다. 이러한 종류의 자동화의 목표는 시간이 지남에 따라 가능한 한 티어 1의 업무를 없애는 것입니다.
- 데이터 수집 및 상관관계는 관련 데이터로 인시던트를 색칠하여 인시던트를 더 잘 이해하는 데 도움이 됩니다. Active Directory에서 사용자를 조회하고, 누군가가 배지를 건물 안으로 스와이프했는지 확인하고, 특정 컴퓨터에서 실행 중인 모든 프로그램의 해시를 수집하고, Arcsight Logger에서 사용자의 모든 웹 브라우징 로그를 가져오는 것이 이러한 SIEM 로그 관리 및 데이터 수집 활동의 예입니다. SOAR 전문 용어로 이러한 활동을 보강이라고 하며, 상황을 더 잘 이해하는 데 도움이 되는 데이터입니다. 일반적으로 자동화된 데이터 수집은 놀라운 이점을 제공합니다. 화면에서 인시던트를 보는 즉시 모든 관련 데이터가 이미 수집되어 같은 화면에 표시될 수 있습니다. 여기저기 돌아다니며 수동으로 데이터를 수집할 필요가 없습니다. 일반적으로 ArcSight SOAR( OpenText™ )는 5,000개의 알림을 관리 가능한 250개의 개별 인시던트로 통합할 수 있으므로 작업을 시작하기도 전에 SOC 분석가의 업무량을 줄일 수 있습니다.
- 자동화된 차단: 인프라 및 보안 장치에 조치를 취하여 진행 중인 공격을 차단할 수 있습니다. 방화벽에서 IP 차단, 웹 게이트웨이에서 URL 차단, NAC에서 컴퓨터 격리 등이 이러한 조치의 예입니다.
이러한 유형의 자동화의 장점은 원하는 경우 이러한 모든 카테고리를 혼합하고 조합하여 완전한 자동화 기능을 갖춘 엔드투엔드 플레이북을 구축할 수 있다는 점입니다.
정부에서 TIC 보안은 어떻게 발전할까요?
시스템 복원력과 위험 관리 역시 TIC 3.0의 구현을 통해 이점을 얻을 수 있습니다.
제로 트러스트, Internet of Things (IoT), 기관 간 커뮤니케이션 및 SaaS와 관련된 사용 사례는 모두 TIC가 계속 발전함에 따라 게시될 예정입니다. 이러한 사용 사례는 기관이 플랫폼과 서비스를 3.0에 맞게 구성할 때 지침을 제공할 것입니다.
또한 외부 공급업체에서 제공하는 플랫폼을 사용하여 TIC 보안 기능이 여러 플랫폼에서 완벽하게 작동하도록 오버레이를 만들었습니다.
기관은 아직 사용 사례에 포함되지 않은 시나리오에 대해 TIC 파일럿에 참여할 수 있습니다. 이 협업 프로세스는 CISA 및 OMB와 같은 리더십의 지원을 받으며 연방 정부에서 사용하는 기술에 대한 새로운 사용 사례를 만들 수 있습니다.
OpenText 는 기업, 비즈니스 및 연방 기관의 디지털 혁신 파트너가 되기 위해 최선을 다하고 있습니다. 당사의 개방적이고 유연한 소프트웨어는 TIC 3.0 서비스 및 솔루션 제공을 포함하여 기업이 미래의 기술을 수용하도록 전환하는 데 도움을 줍니다. TIC 3.0 및 제로 트러스트로 네트워크 및 데이터센터 인프라를 현대화하고 보호하는 데 도움이 되는 OpenText 정부 솔루션에 대해 자세히 알아보세요.
