PC 규제준수

PC 규제 준수는 내부 PC가 조직의 보안 및 정책규정에 부합하는지 정기적으로 검사하여 사용자와 관리자에게 알려주는 시스템입니다. 사용자 PC의 보안 수준을 높이고 보안 위협을 줄이고자 하는 것을 목적으로 하고 있습니다. 모든 사용자들은 조직의 규제 정책을 준수해야 하는데, 사용자들이 규제를 준수할 수 있도록 하는 방법에는 두 가지가 있습니다.

강제적 규제 준수

강제적 규제 준수는 조직 또는 관리자가 정한 규정에 부합하도록 PC를 설정하고 강제적으로 동작을 통제하는 방법입니다. 이 방법은 통제하는 즉시 모든 단말이 규정을 만족하는 상태로 변경되므로 일순간 보안 설정을 높일 수 있다는 장점이 있습니다. 반면 자발적으로 규정을 지키기 위한 PC 사용자들의 행위가 수반되지 않기 때문에 보안 인식을 제고하지 못하게 되는 문제점이 있습니다.

자발적 규제 준수

이에 반해 자발적 규제 준수는 사용자에게 규정 위반 목록과 준수를 위한 방법을 설명하여 설정을 변경하는 등 스스로 규정을 지키도록 유도하는 방법입니다. 강제적 규제 준수에 비해 많은 시간이 소요되고 사용자의 불편이 따르지만 사용자 스스로 수행하며 보안 인식을 강화할 수 있습니다. 보안 문제의 궁극적인 원천이라고 할 수 있는 ‘사람’에 대한 보안을 강화할 수 있다는 장점이 있습니다.

자발적 규제 준수가 가장 좋은 방법이지만 실제로 조직 또는 기관에서 적용하기에 많은 어려움이 있는 것이 사실입니다. 규정에 대한 내용을 공지하고 교육하더라도 사용자들의 자발적인 참여를 이끌어내고 만족스러운 수준까지 올리는 것은 매우 어려운 숙제입니다. 따라서 자발적 규제 준수를 도와주는 도구를 활용하여 자동으로 상태를 점검하여 알려주고 각 위반 항목 별로 준수를 위한 방법을 제공하는 도구가 필수적입니다.

규제 정책

각 조직 및 기관별로 다양한 형태의 규제 정책을 스스로 만들어 적용하기도 하지만 산업군이나 직종에 따라 필수적인 규제정책이 다양하게 만들어져서 제공되고 있습니다. 그 중 국내에서 대표적인 것이 공공기관을 대상으로 매달 수행하는 “사이버 보안 진단의 날“입니다. 사이버 보안 진단의 날이 되면 ‘내PC지키미’라는 프로그램을 통하여 사용자 PC에 필요한 필수 설정 및 보안 상태를 점검하여 사용자 및 관리자에게 보고합니다.

이외에도 개인정보보호법, PCI DSS(지불카드산업정보보안표준), HIPPA(건강보험 정보 활용 및 책임에 관한 법) 등 산업별 규제 정책이 존재하고 있습니다.

규제 준수 측정 도구

다양한 규제 정책을 얼마나 잘 지키고 있는지 사용자의 준수 수준을 정량화 하기 위해서는 객관적인 측정 도구가 필요합니다. 측정 도구는 시스템의 상태를 점검하여 결과값을 사용자에게 보여주고 중앙 서버로 전송해 사용자의 준수 상태를 확인할 수 있도록 해줍니다. 이 도구는 사용자가 자발적으로 측정을 수행할 수 있도록 해주며, 취약한 항목에 대해서는 스스로 보완함으로 모든 규제 항목들을 만족시킬 수 있도록 도와줍니다.

조직의 보안 수준 진단

관리자는 측정 도구를 통해 얻은 결과를 사용자 및 내부조직 간에 상호 비교하여 문제점을 파악할 수 있어야 하며, 교육 등의 자료로 활용할 수 있어야 합니다. 때문에 각각의 측정 항목에 대한 결과값은 상대적으로 비교 가능한 점수로 수치화해 관리하는 것이 좋습니다. 더불어 시간의 흐름에 따른 준수 상태의 변화 추이를 파악할 수 있어야 합니다.

PC 규제 준수 제품군

지니네트웍스는 강제적 규제 준수 도구로 Genian NAC Suite를 제공하고 있으며, 조직 및 기관별 요구사항에 부합하도록 자발적 규제 준수 활동을 지원하는 다양한 제품군도 함께 보유하고 있습니다.

Genian NAC Suite

보안 강화를 위해 망분리를 실시할 때, 무엇보다도 최우선적으로 고려해야 하는 사항은 사용자의 보안의식을 바르게 정립하는 것입니다. 망분리의 당위성을 설명하기 위해 “망분리만 하면 업무망 PC가 안전해진다”고 교육하는 것은 오히려, 망분리는 사용자의 보안의식을 저해할 수 있습니다. 보안을 위한 최소한의 조치를 취했으므로 주의해서 업무망 PC를 사용해야 한다는 것을 강조해야 합니다.

Genian GPI

Genian GPI는 내PC지키미3.0이 수행하는 ‘사이버 보안 진단의 날’ 검사항목에 대한 검사 기능에 다양한 부가 기능과 기술지원 서비스를 추가한 제품입니다. 아울러 사용자의 보안 수준에 대한 평가 기능을 제공하는 가장 진보된 제품입니다.

내PC지키미 v3.0

지니네트웍스는  내PC지키미 협의체의 일원으로 내PC지키미 v3.0을 개발하여 무료로 배포하고 있습니다. 국가 기관 및 공공 기관에 한해 사용 가능한 제품으로 내PC지키미 협의체 홈페이지를 통하여 다운로드 받으실 수 있습니다.
‘내PC지키미’에 대한 모든 기술 지원은 협의체를 통해서만 제공되며 당사를 통한 직접적인 지원은 포함되지 않습니다.

This is a unique website which will require a more modern browser to work! Please upgrade today!