디지털 서비스 보호: 유럽 사이버 탄력성법(European Cyber ​​Resilience Act)에 대한 심층 분석

모든 게시물

성공한 하드웨어 및 소프트웨어 제품 모두에 대한 사이버 공격 불안할 정도로 빈번해지고 있습니다. Cybersecurity Ventures에 따르면 7년에 사이버 범죄로 인해 전 세계적으로 발생한 비용은 약 2022조 달러에 달합니다. 이렇게 높은 비용으로 인해 기업과 정부 모두 주목하고 있는 것은 당연합니다. 미국은 다음과 같은 방식으로 선두를 달리고 있다. 12년 2021월 XNUMX일 발표된 국가 사이버 보안 개선에 관한 대통령 행정명령. 그 다음에 NIST의 보안 소프트웨어 개발 프레임워크(SSDF) 이는 모든 소프트웨어 제품에서 당연히 요구되는 확립된 새로운 모범 사례가 되어가고 있습니다. 유럽연합은 가만히 있지 않습니다. 유럽 ​​사이버 복원력법 EU 전역의 중요 인프라에 대한 사이버 보안을 강화하기 위해 고안된 법안입니다. 

법안에 대한 피드백 수집 단계는 2020년 14월에 시작되었지만 법안의 첫 번째 초안은 2022년 XNUMX월 XNUMX일에야 게시되었습니다. 그러한 대규모 법안은 잠재적으로 광범위한 영향을 미칠 수 있기 때문에 우리는 다음과 같은 조치를 취하겠다고 생각했습니다. 이 법안의 내용이 무엇인지, 누가 영향을 받게 될 것인지 자세히 알아보십시오. 제안된 법안에 대한 간략한 개요부터 시작하겠습니다.

법안 분석: 알아야 할 사항

ECRA는 유럽연합(EU) 전역의 중요 인프라에 대한 사이버 보안을 강화하는 것을 목표로 합니다. 이 법은 주로 필수 서비스 운영자와 디지털 서비스 제공업체에 영향을 미칩니다. 이는 네트워크 및 정보 시스템 보안에 관한 EU의 기존 지침(NIS 지침)에 정의되어 있으며 특히 에너지, 운송, 은행, 의료 및 디지털 인프라 부문을 포함합니다.

제안된 법안은 NIS 지침의 적용을 받지 않지만 EU 소비자에게 온라인 서비스를 제공하는 디지털 서비스 제공업체에도 적용됩니다. 여기에는 온라인 마켓플레이스, 클라우드 컴퓨팅 서비스, 검색 엔진이 포함됩니다.

이는 아직 다른 EU 법률이 적용되지 않는 모든 연결된 장치를 포괄하는 것을 목표로 하기 때문에 IoT 및 기타 연결 장치, 특히 이미 시장에 출시된 장치에 영향을 미칠 가능성이 높습니다.

제안된 법안에는 다음과 같은 여러 조치가 포함됩니다.

  • 필수 서비스 운영자와 디지털 서비스 제공자를 위한 사이버보안 인증 제도를 확립합니다.
  • 조직이 사이버 위협 및 사고에 대한 정보를 공유하는 데 도움이 되는 사이버 보안 정보 공유 플랫폼을 만듭니다. 제안된 법안에는 모든 사이버보안 사건에 대해 24시간 이내에 유럽연합 사이버보안청(ENISA)에 보고할 의무가 포함되어 있습니다. 
  • 사이버보안 위험을 평가하기 위한 공통 방법론을 채택하고 위험 관리 지침을 개발합니다.
  • 사이버 공격이 발생할 경우 회원국에 지원을 제공하기 위해 유럽 사이버 탄력성 센터를 설립합니다.

중요한 점은 제안된 법안에 ICT 제품, 서비스 및 프로세스에 대한 인증 제도가 포함되어 있다는 것입니다. 인증 프로세스에는 제품, 서비스 또는 프로세스가 해당 법에 명시된 요구 사항을 충족하는지 여부를 결정하기 위해 지정된 적합성 평가 기관(CAB)의 적합성 평가가 포함됩니다. 이 법은 인증 체계를 유지하고 EU 전체에서 일관성을 보장하는 일을 담당하는 유럽 사이버 복원력 인증 위원회를 설립합니다. 정기적인 테스트 및 감사는 새 위원회가 문제의 제품, 서비스 또는 프로세스 제공업체에 대한 적합성 인증서를 발급한 후에도 계속됩니다. 지속적인 모니터링을 통해 인증서가 부여되면 법안의 요구 사항 준수가 느슨해지지 않도록 보장할 수 있습니다. 준수를 유지하는 것은 지속적으로 이루어져야 합니다.

또한 ECRA는 EU 회원국 간의 협력과 정보 공유를 개선하고 EU의 사이버 보안 역량을 강화하기 위한 다양한 조치를 제안합니다. 여기에는 유럽 사이버보안 역량 센터와 국가 사이버보안 조정 센터 네트워크의 설립은 물론 사이버보안 사고 보고 및 대응을 위한 공통 프레임워크 개발이 포함됩니다. 이 법안은 또한 미국의 취약점에만 의존하지 않기 위해 유럽의 취약성 데이터베이스를 구축할 것을 제안합니다. NVD.

이 법안은 또한 제조 장소에 관계없이 모든 회원국 내에서 그리고 EU 시장 내에서 제공되는 모든 해당 장치 및 서비스에 대해 새로운 표준이 적절하게 준수되는지 확인하기 위한 시장 감시 및 집행을 다루고 있습니다.

최근 미국 모범 사례와 어떤 관련이 있습니까?

위에서 언급한 바와 같이 미국과 EU는 모두 각자의 시장의 사이버 보안 보호를 업그레이드하기 시작했습니다. 따라서 새로운 미국 모범 사례 중 하나라도 ECRA에 적용되었는지 확인하는 것이 합리적입니다.

잘 아시는 분들께 SSDF(NIST 800-218) ECRA의 언어 중 일부는 친숙해 보일 수 있습니다. 법안은 보안이 제품 출시부터 포함되어야 하며 나중에 '추가'되어서는 안 된다고 규정하고 있습니다. ECRA에는 다음 사항의 식별 및 관리에 대한 요구 사항이 포함되어 있습니다. 공급망 위험, 제안된 유럽 사이버보안 인증 제도는 아직 적절하게 정의되지 않았지만 다음을 사용해야 할 가능성이 높습니다. 소프트웨어 재료 명세서 (SBOM) 안전한 소프트웨어 개발 관행.

또한 이 제안에서는 강력한 인증 및 암호화, 모니터링 및 탐지 기능, 사고 대응 계획, 정기적인 보안 테스트 및 감사 등 정보 시스템과 데이터를 보호하기 위한 기술 및 조직적 조치의 구현을 요구합니다. 모든 요소는 규정에 명확하게 정의되어 있습니다. SSDF.

미국에서 장려되는 새로운 모범 사례 중 하나는 SBOM을 사용하여 종속성, 취약성 및 소프트웨어 라이센스를 추적하는 것입니다. 이는 제품 투명성을 높이고 제조업체와 사용자가 제품 내부에 정확히 무엇이 숨겨져 있는지 더 명확하게 볼 수 있도록 하기 위한 것입니다. ECRA가 SBOM을 명시적으로 언급하지는 않지만 SBOM 개념을 포함하는 소프트웨어 투명성 문제가 유럽 연합의 사이버 보안 전략 맥락에서 오랫동안 논의된 주제였다는 점은 주목할 가치가 있습니다. 2021년 XNUMX월, 유럽연합 집행위원회는 다음과 같은 제안을 발표했습니다. 디지털 운영 복원력에 대한 규제 금융 부문에 대해서는 금융 기관이 "ICT 시스템 및 자산에 대한 포괄적이고 최신의 목록"을 사용하고 유지해야 한다는 요구 사항을 포함합니다. 이 목록에는 "ICT 시스템 및 자산, 해당되는 경우 각 소프트웨어 및 하드웨어 구성 요소의 상호 연결 및 상호 의존성에 대한 최신 맵"이 포함되어야 합니다.

이 요구 사항은 금융 부문에만 적용되지만, 이는 유럽 연합이 사이버 보안 탄력성을 보장하는 데 있어 소프트웨어 투명성의 중요성을 고려하고 있음을 시사합니다. 유럽 ​​사이버 복원력법(European Cyber ​​Resilience Act)이나 기타 입법 계획에 향후 SBOM에 대한 보다 명확한 요구 사항이 포함될지는 아직 알 수 없습니다. 

이 법안이 귀하에게 어떤 영향을 미칠까요? 

ECRA는 아직 최종 단계가 아니기 때문에 여기서 단정하기는 어렵습니다. 우리가 할 수 있는 일은 또 다른 포괄적인 EU 법률인 GDPR과 유사점을 도출하는 것입니다. 

일반 데이터 보호 규정(GDPR)은 유럽 연합(EU)이 2016년 25월에 채택하여 2018년 XNUMX월 XNUMX일 발효된 포괄적인 개인 정보 보호 및 데이터 보호 규정입니다. 이 법안은 수집, 처리 또는 저장하는 모든 조직에 적용됩니다. 조직의 위치나 저장된 데이터의 위치에 관계없이 EU에 위치한 개인의 개인 데이터. 이는 데이터 위반 알림, 데이터 보호 영향 평가, 설계 및 기본 개인 정보 보호에 대한 요구 사항을 포함하여 개인 데이터의 보안 및 개인 정보 보호를 보장할 의무를 조직에 부과합니다. GDPR을 준수하지 않는 조직은 상당한 벌금 및 기타 처벌을 받을 수 있습니다.

GDPR 법안이 발효된 이후 몇 년 동안 우리는 이 규정의 '낙수' 효과를 발견했습니다. 처음에는 EU에서 사업을 수행하는 조직만이 규정을 준수해야 한다고 느꼈습니다. 미국 기업들은 법안의 요구 사항을 무시한 이유로 여러 차례 막대한 벌금을 부과 받았습니다. 오늘날에는 EU 시민과 아무런 관련이 없는 기업도 규정을 따릅니다. 유럽에 판매하려는 경우 규정 준수를 위해 애쓰지 않아도 되도록 규정을 준수하는 것이 합리적입니다.  

전반적으로 ECRA는 거의 같은 느낌입니다. 전 세계적으로 여전히 급증하는 사이버 보안 사고에 대응하기 위해 안간힘을 쓰고 있는 가운데, 소프트웨어 제작자의 보안 단점을 완화하기 위해 고안된 포괄적이고 명확한 법안이 채택될 가능성이 높습니다. 다시 말하지만, EU에 판매할 준비가 되었을 때 이미 보장을 받을 수 있도록 사전에 준수하는 것이 합리적입니다. 

이는 '이 법안이 나에게 영향을 미치게 되는가?'라는 질문에 대한 답을 의미합니다. 소프트웨어 제조와 관련이 있다면 당연히 그렇습니다. 처음에는 영향을 미치지 않을 수도 있지만 어느 시점에서는 새로운 일반적인 모범 사례로 인식되더라도 규정을 준수해야 합니다.

다행히도 증거 기반 보안 허브가 도움이 될 수 있습니다

진화하는 보안 문제를 극복하기 위해 우리는 현재 목격하고 있습니다. 애플리케이션 보안이 소프트웨어 공급망 보안으로 진화. 여기에는 이러한 과제를 해결하기 위한 차세대 기술과 새로운 도구가 포함됩니다. 자동화된 도구 및 솔루션은 소프트웨어 개발 수명 주기 및 소프트웨어 구성 요소의 신뢰성을 입증할 수 있는 증거 기반의 지속적인 코드 보안 보증 플랫폼을 제공하여 조직이 새로운 수준의 보안을 달성하도록 돕습니다.

학자 소프트웨어 공급망 보안 허브입니다. CI/CD 파이프라인을 통해 실행되는 각 빌드에 대해 증거를 수집하고 제시합니다. Scribe의 솔루션은 소프트웨어의 투명성과 소프트웨어 공급자와 소프트웨어 사용자 간의 신뢰를 높이는 측면에서 미국 및 EU 규정과 모범 사례를 쉽게 준수하도록 구축되었습니다. 이 플랫폼을 사용하면 자세한 SBOM 생성 및 공유는 물론 기타 보안 통찰력도 가능합니다. 또한 플랫폼은 현재 보고 있는 빌드가 SLSA 레벨 3 및 NIST SSDF 프레임워크를 준수하는지 확인할 수 있습니다. ECRA와 SSDF 사이의 명백한 관계와 유사점을 고려할 때, 귀하의 소프트웨어가 SSDF를 준수한다는 것을 증명할 수 있으면 ECRA 준수를 확립하는 데에도 큰 도움이 될 수 있습니다.

기치

마지막 한마디: 준비되지 않은 채 잡히지 마십시오

유럽 ​​사이버 복원력법(European Cyber ​​Resilience Act)은 현재 제안일 뿐이며 아직 EU에서 채택되지 않았습니다. 제안된 법안은 현재 입법 과정에 있으며 유럽의회와 유럽연합 이사회의 검토를 받고 있습니다. 이 법안은 법으로 채택되기까지 여러 차례의 협상과 수정을 거칠 것으로 예상된다. 제품 보안, 인증, 법안이 다루는 제품 및 부문과 관련된 조항을 포함하여 법안의 최종 버전이 변경될 가능성이 높습니다. 

제품이 사이버 보안 표준을 충족하는지 확인하기 위해 이 법이 제안하는 방법에 대한 세부 사항이 아직 공개된 초안에서 완전히 다루어지지 않았다는 점은 주목할 가치가 있습니다. 이 법안의 최종 버전에는 설명이 필요한 기타 여러 영역 중에서 제품 인증 및 검증에 대한 보다 구체적인 요구 사항이 포함될 수 있습니다. 법안이 아직 완전히 실현되지 않았기 때문에 업계 이해관계자들은 디지털 제품의 생성, 기능 및 사용의 변화를 고려하여 법안에 보다 정확한 정의가 포함되어야 한다고 제안했습니다. 그들은 너무 엄격한 사이버 보안 요구 사항으로 인해 중소기업이 시장에서 배제될 위험이 있다는 점을 분명히 했습니다. 사물이 얼마나 불확실한지 정확하게 보여주기 위해 새로운 최신 정보 2022년 XNUMX월부터 SAAS 제품은 이미 규정 범위에서 명백히 벗어났습니다. 

EU 국가와 관련 제품 개발자 모두에게 조정할 시간을 주기 위해 제안된 규정은 발효 후 24개월 후에 발효됩니다. 단, 제조업체에 대한 보고 요구 사항은 발효일로부터 12개월 후에 발효됩니다. 법안이 법이 됨. XNUMX년은 긴 시간처럼 보일 수 있지만, 중소기업을 운영하다가 갑자기 수많은 새로운 사이버 보안 규정을 따라야 하는 경우에는 그 기간이 너무 짧게 느껴질 수 있습니다.

정확한 세부 사항에 관계없이 ECRA는 사이버 보안을 강화하고 중요한 인프라를 보호하려는 EU의 노력에서 중요한 진전을 나타냅니다. 우리 모두는 대부분의 기업이 고객에게 쿠키 수집에 대해 알리는 것처럼 자연스럽게 ECRA를 준수하는 세상을 기대할 수 있습니다. 정책.  

이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.