NIS2 지침이 비즈니스와 API에 미치는 영향
Akamai는 2024년 6월 Noname Security를 인수했습니다. 이 블로그 게시물은 2023년 3월 22일에 처음 게시되었습니다.
최근 몇 년 동안 사이버 보안 위협은 점점 더 일반화되고 정교해져 개인, 기업, 정부에 심각한 리스크를 초래하고 있습니다. 이러한 위협에 대응하기 위해 유럽 연합(EU)은 EU 전역의 사이버 보안을 개선하는 데 중점을 둔 새로운 법안인 NIS2 지침을 도입했습니다.
이 블로그 게시물에서는 NIS2 지침의 배경과 비즈니스에 미치는 영향 그리고 지침을 준수하기 위해 포괄적인 API 보안 프로그램을 구축하는 방법을 설명합니다.
NIS2 지침이 도입된 이유
NIS2 지침은 EU 전역의 사이버 보안을 개선하기 위한 EU의 광범위한 전략의 일환입니다. 사이버 범죄, 사이버 스파이 활동, 중요 인프라에 대한 사이버 공격 등 사이버 보안 위협은 그 빈도와 복잡성이 증가하고 있으며 개인, 기업, 정부에 중대한 결과를 초래할 수 있습니다. EU는 사이버 보안이 경제, 사회, 민주주의의 안정성과 복원력을 보장하는 데 매우 중요하다는 것을 인식하고 있습니다.
NIS2 지침은 EU의 사이버 보안을 위한 포괄적인 법적 프레임워크를 구축해 이러한 사이버 보안 문제를 해결하는 것을 목표로 합니다. 이 지침은 EU에서 운영되는 모든 중요 인프라 공급업체와 디지털 서비스 공급업체에 적절한 기술적 및 조직적 조치를 이행해 네트워크 및 정보 시스템의 보안에 제기되는 리스크를 관리하는 의무를 부과합니다.
NIS2 지침의 의미
EU에서 비즈니스를 운영하며 디지털 서비스 또는 중요 인프라를 제공하는 경우, NIS2 지침의 요구사항을 따라야 합니다. 즉, API를 포함한 네트워크 및 정보 시스템의 보안에 제기되는 리스크를 관리하기 위해 적절한 기술적 및 조직적 조치를 구축해야 합니다.
NIS2 지침을 준수하려면 인증, 권한 부여, 암호화, 모니터링 등의 조치가 포함된 포괄적인 API 보안 프로그램을 구축해야 합니다. 여기에는 권한이 있는 당사자만 API에 접속하고 사용할 수 있도록 추가적인 보안 제어를 구축하는 것이 포함될 수 있습니다. 또한, API와 관련된 인시던트를 포함해 보안 인시던트를 관련 당국에 보고해야 합니다.
포괄적인 API 보안 프로그램 구축
NIS2 지침을 준수하고 API의 보안을 보장하려면 설계부터 배포, 지속적인 관리에 이르기까지 API 보안의 모든 측면을 다루는 포괄적인 API 보안 프로그램을 구축해야 합니다.
다음은 효과적인 API 보안 프로그램을 구축하기 위한 몇 가지 실행 가능한 권장 사항과 가능한 API 보안 프로그램의 개요입니다.
- 포괄적인 사이버 보안 리스크 평가를 실시해 API를 포함한 네트워크 및 정보 시스템의 보안에 제기되는 리스크 파악
- API의 인증, 권한 부여, 암호화, 모니터링 등 식별된 리스크를 관리하기 위한 적절한 기술적 및 조직적 조치 구축
- API와 관련된 인시던트를 포함해 보안 인시던트를 관련 당국에 보고하고, API와 관련된 보안 인시던트를 탐지하고 보고할 수 있는 메커니즘을 갖추고 있는지 확인
- NIS2 지침, GDPR(General Data Protection Regulation) 그리고 기타 해당 데이터 보호 법률 및 규정을 포함한 관련 규정 및 표준 준수
- 직원, 계약업체, 써드파티 공급업체에 보안 코딩 관행, 보안 배포 관행, 인시던트 대응 절차를 포함한 API 보안 모범 사례에 대한 교육 및 인식 프로그램 제공
다음은 가능한 5단계 API 보안 프로그램에 대한 개요입니다.
1. API 설계 및 개발
- API 개발 시 보안 코딩 관행을 사용해 SQL 인젝션(SQLi), 크로스 사이트 스크립팅(XSS), 버퍼 오버플로 공격과 같은 일반적인 취약점 방지
- 인증 및 권한 부여 메커니즘을 구축해 권한이 부여된 사용자만 API에 접속하고 사용하도록 보장
- 전송 계층 보안(TLS)을 사용해 클라이언트와 API 서버 간의 통신을 암호화해 중간자 공격 방지
- 속도 제한 및 스로틀링 메커니즘을 구축해 API의 남용 및 서비스 거부(DoS) 공격 방지
- 오류 처리 및 로깅 메커니즘을 구축해 보안 인시던트를 탐지 및 대응
2. API 테스트
- 모의 해킹, 취약점 스캔, 코드 검토 등 API에 대한 포괄적인 보안 테스트를 수행해 취약점과 약점 파악
- 기능 테스트 및 회귀 테스트를 구축해 API가 의도한 대로 작동하고 보안 문제로 인해 감염되지 않았는지 확인
3. API 배포
- 보안 설정 사용, 공격 표면 최소화, 권한이 있는 직원만 API 서버에 접속할 수 있도록 제한하는 등 안전한 배포 관행 구축
- 침입 탐지 및 방지 시스템, 보안 정보 및 이벤트 관리(SIEM) 툴, 로그 분석 등 보안 인시던트를 실시간으로 탐지하고 대응할 수 있는 보안 모니터링 메커니즘 구축
4. API 관리
- 접속 제어, 사용자 관리, 데이터 거버넌스 등 API 관리를 위한 보안 정책과 절차 구축
- 중요한 API 식별 및 대응 노력의 우선순위 지정을 포함해 보안 인시던트에 대응하기 위한 인시던트 대응 및 재해 복구 계획 구축
- EU NIS2 지침, GDPR, 기타 해당 데이터 보호 법률 및 규정을 포함한 관련 규정 및 표준의 컴플라이언스 보장
5. API 교육 및 인식
- 직원, 계약업체, 써드파티 공급업체에 보안 코딩 관행, 보안 배포 관행, 인시던트 대응 절차를 포함한 API 보안 모범 사례에 대한 교육 및 인식 프로그램 제공
- 정기적인 보안 감사 및 평가를 실시해 잠재적인 취약점을 파악하고 보안 정책 및 절차의 컴플라이언스 확인
결론
NIS2 지침은 EU 전역의 사이버 보안을 개선하는 것을 목표로 하는 포괄적인 법적 프레임워크입니다. 비즈니스가 NIS2 지침의 적용 범위에 해당하는 경우, API를 포함한 네트워크 및 정보 시스템의 보안에 제기되는 리스크를 관리하기 위해 적절한 기술적 및 조직적 조치를 구축해야 합니다.
API 보안의 모든 측면을 다루는 포괄적인 사이버 보안 프로그램을 구축하면 보안 인시던트의 리스크를 줄이고 EU NIS2 지침 및 기타 관련 규정과 표준의 컴플라이언스를 보장할 수 있습니다.