Cloud CISO Perspectives: 비즈니스 리더들에게 도움이 될 새로운 SEC 규정

*본 아티클의 원문은 2024년 1월 23일 Google Cloud 블로그(영문)에 게재되었습니다.

2024년 첫번째 Cloud CISO Perspectives로 1월 뉴스레터 두 편 중 첫 번째 내용으로 소개합니다. 오늘은 미국 증권거래위원회(SEC)가 발표한 사이버보안 위험 관리, 전략, 거버넌스, 및 사고 공개 규정의 중요한 변경 사항에 대해 논의하겠습니다.

모든 Cloud CISO Perspectives와 마찬가지로, 이 뉴스레터의 내용은 Google Cloud 블로그에 게시됩니다. 웹사이트에서 이 내용을 읽고 이메일 버전을 받아보고 싶으신 경우 여기에서 구독하실 수 있습니다.

비즈니스 리더들에게 도움이 될 새로운 SEC 규정

새로운 해는 새로운 기회를 가져옵니다. 때로는 예상치 못한 방식으로 말이죠. 2024년의 새로운 사실 중 하나는 미국 증권거래위원회(SEC)의 새로운 규정이 12월에 시행됨에 따라 미국 거래소에 상장된 공개기업들이 새로운 규제를 따르야 한다는 것입니다. 이 규정은 해당 기업들이 중요한 사이버보안 사고를 언제 어떻게 공개해야 하는지 요구사항을 정의하고, 사이버보안 위협으로 인한 리스크 관리 및 감독에 대한 새로운 연례 공개를 요구합니다. 이러한 요구사항으로 인해 CISO에 대한 감시가 더욱 늘어날 수 있습니다.

이러한 변경 사항은 처음에는 위협적으로 느껴질 수도 있습니다만, 새로운 규정은 침해 공개에 대한 기대치를 명확히 하는 데 도움이 되고, 심지어는 사이버보안 사고 공개, 문서 거버넌스, 준수, 및 위험 관리 프로그램을 개선할 수 있다고 생각합니다.

이는 사고의 중요성을 판단하는 과정에서 조직 내부의 위기 대책에 대한 커뮤니케이션 개선이 필요함을 의미합니다. 법무, 사업, 기술 팀이 함께 판단을 내려야 하기 때문입니다. 이 목표를 달성하기 위해서는 무엇을 SEC에 보고해야 하는지, 기밀 정보 유출 없이 공개 규정을 준수하기 위해 더 많은 사전 준비와 대화가 필요합니다. 만약 귀사에 사고 대응 계획이 없거나 새로운 규정에 따라 검토하지 않았다면, 지금이 바로 좋은 기회입니다.

기업들은 사고 공개 자체가 국가 안보 또는 공공 안전에 심각한 위험을 초래할 경우 사고 보고 시기를 연장해 줄 것을 법무부에 요청할 수도 있습니다. 과거 사례에서도 지연 공개 자격이 될 수 있는 사례들이 있었으므로, 기업들은 기술팀을 활용하여 잠재적으로 자격을 갖춘 사고를 식별하고 관련 법무부(DOJ) 지침을 숙지해야 합니다.

비즈니스 및 보안 담당자 분들은 사건 발생 시 CISA 및 FBI와의 협력을 우선적으로 고려할 것을 권장 드립니다. 특히 이러한 협력은 SEC 보고 요구 사항과 별개로 진행되며 4일 보고 기한을 유발하지 않습니다. 최근 몇몇 사건에서도 볼 수 있듯이 연방 기관과의 협력은 여러분의 사업 복구 과정을 지원하고 미래 피해자 발생을 방지하는 귀중한 정보를 제공할 수 있습니다.

새로운 SEC 보고 프로세스는 조직이 준수해야 하는 많은 미국 사고 대응 규정(예: 중요 인프라에 영향을 미치는 사이버 보안 사고를 CIRCIA 72시간 내 보고) 중 하나일 뿐입니다.

새로운 규정에 대한 요구 사항을 충족시킬 수 있는 비즈니스에 대한 가치는 명확하며, 당사의 모범 사례 지침과 일치합니다. 기업들이 보안 성숙도와 위험 관리를 더욱 중요하게 생각할 경우 심각한 사이버 사고에 대한 취약성이 줄어들고 잠재적으로 투자자들에게 더 매력적인 기업이 될 수 있습니다.

지난 소식

아래 내용은 이번 달 보안팀이 분석한 최신 업데이트, 제품, 서비스, 그리고 자료입니다:

• '섀도우 AI' 집중 조명: 위험한 AI 사용으로부터 보호하는 방법: 기업 환경에서 소비자용(Consumer-grade) AI를 사용하는 "섀도우 AI"의 등장은 기업에 위험을 초래합니다. 따라서 왜 기업용(Enterprise-grade) AI를 사용해야 하는지 알아봅니다. 자세히 보기.
• 유럽의 조직들이 Google Sovereign Cloud 솔루션을 통해 혁신한 방법: Google의 Sovereign Cloud 솔루션이 어떻게 생성형 AI 및 데이터 분석과 같은 획기적인 기술의 채택을 가속화하는 데 도움이 되었는지에 대한 예시를 확인해 보십시오. 자세히 보기.
• 말라가에 새로운 사이버보안 센터 설립: 말라가(Málaga)에 있는 Google 보안 엔지니어링 센터는 사이버 보안 및 멀웨어 분석 분야의 최첨단 기술을 발전시킬 새로운 허브입니다. 자세히 보기.
• 클라우드 환경 보호를 위한 자동 크레덴셜 검색: Google Cloud는 Sensitive Data Protection에서 저장된 일반 텍스트 크레덴셜을 탐색하고 모니터링할 수 있는 비밀 탐색 툴을 출시했습니다. 자세히 보기.

Mandiant 소식

• Ivanti VPN 취약점 노린 새로운 제로데이 공격: VPN 제공업체인 Ivanti는 Mandiant와 협력하여 적극적으로 악용되고 있는 Ivanti 장비의 두 가지 새로운 취약점을 완화하기 위해 노력하고 있습니다. 전 세계 10,000개 이상의 배포 중 수백 개의 조직이 영향을 받은 것으로 확인되었습니다. 조직들은 Ivanti가 권장하는 리스크 완화 체계를 따라야 합니다. 자세히 보기.
• 최근 공격으로 솔라나(Solana) 암호화폐 자산 도난: 2023년 12월부터 다양한 악성세력이 CLINKSINK 드레이너를 사용하여 솔라나 암호화폐 사용자들의 수십억 원 상당의 자금과 토큰을 도난하는 사건이 발생했습니다. 자세히 보기

Now hear this: Google Cloud Security 및 Mandiant 팟캐스트

• 사이버보안, 지정학, 그리고 AI가 만나는 클라우드: 클라우드가 지정학과 실제 전쟁에 미칠 영향이 무엇일까요? 미국 해군참모대학 국가안보학과 교수이자 부장인 Derek Reveron 교수와 브라운 대학 컴퓨터 과학부 명예교수 John Savage 교수가 클라우드 보안 팟캐스트 진행자인 Anton Chuvakin, Tim Peacock과 함께 클라우드가 스파이 활동, 전투, 그리고 글로벌 정치에 미칠 영향을 다룹니다. 팟캐스트 듣기
• 블루박싱에서 네트워크 보안을 거쳐 기초 모델까지: Google 네트워크 보안 엔지니어링 책임자인 Mike Schiffman이 네트워크 보안 업무를 위해 Google에 온 이유, 여기서 발견한 예상치 못한 네트워크 보안 문제, 그리고 Gen AI 기반 모델이 이 모든 것과 정확히 어떤 관련이 있는지에 대해 이야기합니다. 팟캐스트 듣기
• 핵티비스트, 지속적인 DDoS 공격: 2024년 첫 번째 위협 동향 에피소드에서 진행자 Luke McNamara는 Mandiant의 Jose Nazario, Alden Wahlstrom 및 Josh Palatucci와 함께 작년에 추적한 핵티비스트 DDoS 활동에 대해 자세히 설명합니다. 팟캐스트 듣기
• 2023 실제 침해 사례를 통해 알아보는 위협 트렌드: Mandiant Consulting의 지역 책임자인 Doug Bienstock과 Josh Madelay가 Luke와 함께 2023년 실제 침해 대응 과정에서 확인된 몇 가지 공격 추이에 대해 논의합니다. 또한 Josh와 Doug가 비즈니스 이메일 침해(BEC), 일반적인 초기 감염 벡터, 사회 공학 전술 등에 대해서도 알려드립니다. 팟캐스트 듣기

매달 2번 발행되는 Cloud CISO Perspectives 영문 원본 뉴스레터를 이메일로 수신하고 싶은 분은 여기로 등록해 주시면 구글 클라우드에서 전하는 보안 관련 소식을 1월부터 받아보실 수 있습니다.