CMMC는 Cybersecurity Maturity Model Certification의 약자로, 사이버 보안 성숙도 모델 인증이라고 해요. 이 인증은 미국 국방부(DOD)가 국방 관련 정보와 시스템을 안전하게 보호하기 위해 만든 거예요. 미국 국방부와 계약을 맺은 회사들은 이 인증을 받아야 해요.
https://dodcio.defense.gov/CMMC/
왜 필요한가요?
요즘 사이버 공격이 많이 일어나고 있어요. 해커들이 중요 정보를 훔치거나 시스템을 망가뜨리려고 해요. 그래서 미국 국방부는 자신들과 계약을 맺은 모든 회사가 사이버 보안을 잘하고 있는지 확인하고 싶어 해요. CMMC는 그런 회사를 인증해주는 시스템이에요.
- 사이버 공격으로부터 보호: 현대 사회에서는 사이버 공격이 증가하고 있어요. 해커들이 중요한 정보를 훔치거나 시스템을 망가뜨리려는 시도가 많아요. 특히 국방 관련 정보는 국가 안보와 직결되기 때문에 철저한 보호가 필요해요.
- 정보 기밀성 유지: 미국 국방부와 관련된 정보는 매우 기밀성이 높아요. 이러한 정보가 유출되면 국가 안보에 큰 위협이 될 수 있어요. CMMC 2.0은 이러한 기밀 정보를 보호하기 위해 고안된 시스템이에요.
- 신뢰성 확보: 미국 국방부는 자신들과 계약을 맺은 회사들이 신뢰할 수 있는 사이버 보안 시스템을 갖추고 있기를 원해요. CMMC 2.0을 통해 이러한 회사들이 일정 수준 이상의 보안 능력을 갖추고 있음을 인증받을 수 있어요.
CMMC 2.0은 어떻게 작동하나요?
CMMC 2.0은 세 가지 수준(Level)으로 나눠져 있어요. 각 수준마다 요구되는 사이버 보안 조치가 달라요.
- Level 1: 기본 사이버 위생(Basic Cyber Hygiene)
- 아주 기본적인 보안 조치를 취하는 수준이에요.
- 예: 비밀번호를 잘 관리하고, 불필요한 사람은 시스템에 접근하지 못하게 하는 것.
- Level 2: 중급 사이버 위생(Intermediate Cyber Hygiene)
- 중급 수준의 보안 조치를 취해야 해요. 주로 기밀 정보 보호를 위해 필요한 조치들이에요.
- 예: 더 강력한 비밀번호 관리, 주기적인 보안 점검, 보안 사고 대응 계획 수립.
- Level 3: 고급 사이버 위생(Advanced Cyber Hygiene)
- 아주 높은 수준의 보안 조치를 취해야 해요. 국가 기밀을 다루는 회사들이 해당돼요.
- 예: 실시간 보안 감시, 침투 테스트, 고급 위협 탐지 및 대응 시스템 사용.
어떻게 인증을 받나요?
- 자체 평가(Self-Assessment):
- 회사는 먼저 자체 평가를 통해 현재 보안 상태를 점검해야 해요. 이를 통해 어떤 부분이 부족한지 파악할 수 있어요.
- 갭 분석(Gap Analysis):
- 현재 상태와 CMMC 2.0 요구사항 간의 갭을 분석해요. 이 단계에서 회사는 부족한 부분을 찾아내고 개선 계획을 세워야 해요.
- 보안 조치 적용(Implement Security Controls):
- 갭 분석 결과를 바탕으로 필요한 보안 조치를 실제로 적용해야 해요. 예를 들어, 더 강력한 비밀번호 정책을 도입하거나, 보안 사고 대응 계획을 수립하는 등의 조치를 취해요.
- 직원 교육 및 훈련(Employee Training and Awareness):
- 모든 직원들이 새로운 보안 정책과 절차를 잘 이해하고 따를 수 있도록 교육과 훈련을 실시해요.
- 문서화 및 기록 유지(Document and Maintain Records):
- 모든 보안 조치와 절차를 문서화하고, 이를 체계적으로 관리해야 해요. 인증 과정에서 필요한 증거 자료가 될 수 있어요.
- 공식 평가(Official Assessment):
- 공인된 평가 기관(Third-Party Assessor)에게 공식 평가를 받아야 해요. 평가 기관은 회사의 보안 상태를 점검하고, CMMC 2.0 요구사항을 충족하는지 확인해요.
- 인증 획득 및 유지(Maintain Certification):
- 공식 평가를 통과하면 CMMC 2.0 인증을 받을 수 있어요. 하지만 인증을 유지하려면 정기적인 보안 점검과 갱신이 필요해요.
CMMC 2.0은 이렇게 단계적으로 회사의 보안 수준을 확인하고, 필요한 조치를 취하게 해서 사이버 공격으로부터 중요한 정보를 안전하게 보호하는 데 목적이 있어요.
https://www.keysight.com/blogs/en/tech/nwvs/2024/03/06/defense-cmmc-security
Keysight Technologies는 미국 국방부(DoD)와의 계약에서 요구되는 CMMC 2.0 요구사항을 충족하는 데 도움이 되는 여러 솔루션을 제공합니다. 다음은 Keysight의 주요 솔루션들입니다:
Keysight의 CMMC 2.0 준수 솔루션
- Threat Simulator (위협 시뮬레이터):
- Network Packet Brokers (네트워크 패킷 브로커):
- 향상된 데이터 가시성: Keysight의 NPB는 네트워크 트래픽을 가시화하고 모든 관련 데이터를 정확하게 캡처하여 분석 도구로 전송합니다. 이러한 장치는 Common Criteria, FIPS 140-2와 같은 높은 보안 기준을 충족하며 DoDIN APL에 등재되어 있어 NIST SP 800-171 Rev.2 및 800-172 요구사항을 준수합니다 (Keysight).
- Cyber Training Simulator (사이버 훈련 시뮬레이터):
- 인력 준비: 이 플랫폼은 보안 팀을 훈련시키기 위한 현실적인 사이버 훈련장을 제공합니다. 이는 사고 대응, 위험 평가 및 보안 평가와 관련된 CMMC 요구사항을 충족하는 데 도움이 됩니다 (Keysight).
- Network Security Test Solutions (네트워크 보안 테스트 솔루션):
- 테스트 및 검증: 이러한 솔루션은 다양한 사이버 위협을 시뮬레이션하고 보안 방어의 강도를 테스트하여 네트워크의 보안 상태를 검증하는 데 도움을 줍니다. 이는 CMMC 준수에 필요한 성숙도 수준을 달성하는 데 중요합니다 (Keysight).
Keysight를 통한 CMMC 2.0 준수 단계
- 갭 분석 수행: Threat Simulator와 같은 도구를 사용하여 현재 보안 상태와 CMMC 요구사항 간의 격차를 파악합니다.
- 필요한 통제 구현: Keysight의 NPB와 보안 테스트 솔루션을 사용하여 보안 통제를 구현하고 검증합니다.
- 지속적인 모니터링 및 개선: 지속적인 모니터링과 자동화된 테스트를 통해 준수를 유지하고 보안 상태를 개선합니다.
- 직원 교육: Cyber Training Simulator를 사용하여 보안 팀이 잠재적인 사이버 위협에 대비할 수 있도록 훈련합니다.
이러한 도구를 활용하면 아시아 태평양 지역의 회사들도 CMMC 2.0 요구사항을 효과적으로 준비하고 준수할 수 있어 미국 국방부와의 향후 계약 자격을 유지할 수 있습니다.
더 자세한 정보는 Keysight Technologies CMMC 2.0 준수 페이지에서 확인할 수 있습니다 (Keysight).
'배움: MBA, English, 운동' 카테고리의 다른 글
한화오션, 미국 함정 정비시장 (MRO) 진출... 새로운 캐시카우 될까? (0) | 2024.07.15 |
---|---|
테슬라 (Tesla) 주식 전망, 지난 1년간 일별 데이터 기반. (0) | 2024.07.14 |
DARPA 프로젝트, AI를 활용해 우주 무기 및 스파이 위성 식별 (0) | 2024.07.14 |
미국 우주군, 56억 달러 규모의 발사 계약 경쟁에 세 개 업체 선정 (0) | 2024.07.14 |
해외주식 양도소득세 - 절세전략 (0) | 2024.07.12 |