2024년 7월 29일

FedRAMP 101: FedRAMP 인증이란 무엇이며 연방 기관에 중요한 이유는 무엇인가요?

암호화폐 환경이 점점 더 복잡해짐에 따라 정부 기관은 암호화폐를 활용하여 불법 활동을 수행하고 자금을 세탁하는 위협 행위자를 차단하기 위해 신뢰할 수 있는 인텔리전스가 필요합니다. 바로 블록체인 인텔리전스.

블록체인 인텔리전스 는 온체인 활동을 실제 실체와 연결하는 위협 인텔리전스로 원시 블록체인 데이터를 강화하여 법 집행, 국방, 국가 안보, 민간 및 규제 기관을 포함한 연방 기관이 전통적인 통화에서 점점 더 암호화폐로 이동하고 있는 각 대상의 금융 네트워크의 실시간 금융 흐름을 파악할 수 있도록 지원합니다. 2023년 불법 암호화폐 생태계의 규모는 348억 달러에 달했습니다.

기관의 미션을 지원하는 데 적합한 블록체인 인텔리전스 플랫폼을 선택할 때는 여러 가지 고려 사항을 염두에 두어야 합니다. 정부 기관의 경우 보안, 규정 준수, 신뢰가 최우선 순위입니다. 또한 블록체인 인텔리전스 커뮤니티, 경제, 국가를 불안정하게 만들 수 있는 블록체인 상의 악의적인 활동을 추적하고 차단하는 데 필요한 인사이트를 제공하는 등 이러한 팀에게 미션 크리티컬한 요소이기도 합니다.

2021년 백악관은 기관이 미션 크리티컬 데이터를 보호하기 위해 취해야 할 조치를 포함하여 미국의 사이버 보안을 개선하기 위한 의무를 명시한 행정명령 14028 (EO 14028)을 통과시켰습니다. TRM 블록체인 인텔리전스 플랫폼을포함하여 이러한 연방 기관에 미션 크리티컬 데이터를 제공하는 조직은 EO 14028을 준수하고 가장 안전한 솔루션을 구축하기 위한 노력을 입증하는 핵심 신호가 바로 FedRAMP 인증을 획득하는 것입니다.

FedRAMP가 정부 기관을 지원하는 방법

연방 위험 및 승인 관리 프로그램(FedRAMP®) 승인은 소프트웨어 및 클라우드 제품 및 서비스에 대한 보안 평가, 승인, 지속적인 모니터링에 대한 연방 정부의 접근 방식을 표준화하는 미국 정부 차원의 프로그램입니다. FedRAMP는 세 가지 주요 방식으로 정부 기관을 지원합니다:

보안 표준화

FedRAMP 프레임워크 모든 정부 기관이 소프트웨어 도구의 보안 프로토콜을 평가하고, 공급업체(매우 민감한 데이터 및 정보를 처리해야 하는)로서의 실행 가능성을 결정하고, 성능과 안정성을 지속적으로 모니터링할 때 따라야 할 표준화된 접근 방식을 제공합니다.

프로세스 간소화

FedRAMP는 단일 보안 평가를 여러 기관에서 사용할 수 있도록 허용하여 연방 기관의 중복 작업을 줄여줍니다. 이를 통해 여러 정부 기관은 공급업체를 여러 번 심사하여 승인된 공급업체로 등록할 필요 없이 각 기관에서 동일한 소프트웨어를 신뢰하고 사용할 수 있습니다.

보안 강화

FedRAMP 인증은 연방 기관에서 사용하는 소프트웨어가 엄격한 보안 요건을 충족하는지 확인할 수 있는 측정 가능한 방법입니다. 또한 조직은 FedRAMP의 보안 요구 사항을 준수하는지 지속적으로 모니터링하고 증명해야 하므로 연방 기관은 FedRAMP 인증을 받은 기관을 미션 크리티컬 인텔리전스로 신뢰할 수 있다는 것을 알고 있습니다.

FedRAMP 인증 프로세스의 주요 구성 요소

해당 제품이나 서비스의 복잡성에 따라 FedRAMP 승인을 받기까지 수개월에서 수년이 걸릴 수도 있습니다. 그러나 일반적으로 인증 절차에는 세 단계가 있습니다.

1단계: 보안 평가

소프트웨어 제공업체 또는 벤더는 공인된 제3자 평가 기관에서 실시하는 철저한 보안 평가를 받습니다. 이 평가는 FedRAMP의 엄격한 요구 사항에 따라 공급업체의 보안 제어 및 관행을 평가합니다.

2단계: 권한 부여

보안 평가가 완료되면 서비스 제공업체는 FedRAMP 프로그램 관리 사무소에 결과를 제출합니다. 서비스가 필요한 모든 요구 사항을 충족하면 연방 기관 또는 FedRAMP 공동 승인 위원회(JAB)로부터 세 가지 승인 유형 중 하나를 받게 됩니다:

FedRAMP 준비 완료

공급업체가 FedRAMP 인증 절차를 받을 준비가 되었음을 나타냅니다. 이는 공급업체가 기본 요구 사항을 충족했지만 아직 완전히 승인되지 않았음을 나타내는 예비 상태입니다.

FedRAMP 인증

공급업체가 FedRAMP 인증 절차를 성공적으로 거쳤으며 모든 필수 보안 제어를 충족했음을 나타냅니다. FedRAMP 인증을 성공적으로 획득한 조직은 협력하는 기관으로부터 모든 정부 기관에 서비스를 제공할 수 있음을 공식적으로 명시하는 '운영 권한(ATO)'을 발급받습니다.

제공업체가 처리할 데이터의 민감도와 영향 수준에 따라 세 가지 주요 수준의 FedRAMP 보안 승인이 있으며, 각 보안 요구 사항과 의미는 다릅니다: 보통 및 높음.

FedRAMP Low는 FedRAMP 프레임워크 내에서 가장 낮은 수준의 보안 분류입니다 프레임워크 조직 운영, 자산 또는 개인에 대한 위험이 낮고 무단 액세스 또는 중단의 잠재적 영향이 제한적인 서비스를 제공하는 제공업체를 위해 설계되었습니다. 이 인증 수준은 일반적으로 연방 정보 보안 표준에 따라 '영향이 낮음'으로 지정된 데이터를 처리하는 시스템에 부여됩니다.
FedRAMP 보통은 영향 수준이 보통인 데이터를 처리하는 제공업체(예: 유출될 경우 기관의 운영, 자산 또는 개인에게 보통 정도의 악영향을 미칠 수 있는 정보를 처리, 저장 또는 전송하는 플랫폼)를 위해 설계되었습니다. 이 인증 수준은 민감한(그러나 기밀로 분류되지 않은) 데이터와 같은 비공개 정보를 다루는 소프트웨어에 적합합니다. 많은 연방 기관에서 다양한 애플리케이션에 대해 중간 수준의 제어를 사용합니다.
FedRAMP High는 영향 수준이 높은 데이터, 즉 유출될 경우 기관의 운영, 자산 또는 개인에게 심각하거나 치명적인 악영향을 미칠 수 있는 정보를 처리, 저장 또는 전송하는 소프트웨어 및 플랫폼을 취급하는 제공업체를 위한 것입니다. 이 인증 수준은 개인 식별 정보(PII), 건강 기록 또는 기타 유형의 개인 정보와 같은 민감한 데이터를 처리하는 시스템을 위해 설계되었습니다.

FedRAMP JAB 인증

GSA(일반 서비스국), 국방부(DoD), 국토안보부(DHS) 등 연방 기관의 대표자가 포함된 FedRAMP JAB(합동 승인 위원회)에서 부여하는 특별 승인입니다. FedRAMP JAB 승인을 획득하는 것은 매우 엄격한 절차이며 매우 높은 수준의 조사가 필요합니다.

3단계: 지속적인 모니터링

일단 승인을 받으면 공급업체는 최초 승인을 받은 후에도 제품과 서비스가 FedRAMP 규정 준수 요건을 계속 충족하도록 보장함으로써 계속해서 승인을 '획득'해야 합니다. 여기에는 정기적인 보안 업데이트, 취약성 평가 및 사고 보고가 포함됩니다.

TRM이 FedRAMP 승인을 받기까지의 여정

TRM Labs 는 EO 14028을 준수하기 위해 안전한 FedRAMP 준수 환경에 투자해 왔습니다. 현재 3PAO 보안 평가를 진행 중이며, 올해 말 FedRAMP High 인증을 획득하기 위한 여정에서 중요한 이정표가 될 FedRAMP Moderate 승인을 기다리고 있습니다.

엄격한 연방 보안 및 규정 준수 표준을 충족하여 연방 고객에게 더 나은 서비스를 제공하고, 국방, 법 집행, 민간 및 국가 안보 기관의 끊임없이 진화하는 요구사항을 충족하는 미래 지향적인 플랫폼을 제공하며, 미국 정부 고객이 미션 크리티컬 운영에 신뢰할 수 있는 가장 안전하고 안정적인 솔루션을 제공하기 위한 노력을 강조하기 위해 FedRAMP High 인증을 획득하고자 하는 이번 움직임은 Dropbox의 노력을 보여줍니다. 또한, EO 14028에 따라 연방 고객과 사용자는 이번 승인을 통해 다음을 수행할 수 있습니다: