MPA 및 스튜디오 보안
개요
영화 협회(MPA)는 보호 대상 미디어 및 콘텐츠를 안전하게 저장, 처리 및 전송할 수 있는 모범 사례를 마련했습니다. 미디어 회사는 자사 콘텐츠 및 인프라의 보안과 위험을 평가하는 방법으로 이러한 모범 사례를 활용합니다. MPA와 CDSA(Content Delivery & Security Association)는 TPN(Trusted Partner Network)라는 새로운 파트너십을 공동으로 설립했습니다. TPN 프로그램은 미디어 및 엔터테인먼트 산업 내에서 보안에 대한 인식, 준비 상태 및 역량을 높이기 위해 노력하고 있습니다. AWS는 TPN의 콘텐츠 보안 벤치마크를 지속적으로 모니터링하고 이에 기여하고 있습니다.
또한 AWS는 AWS Artifact를 통해 제공되는 미디어 자산 관리, 디지털 자산 관리 및 VFX/렌더링 서비스를 위한 서드 파티 강화 안내서를 제공합니다.
-
경영진의 보안 의식/관리
모범 사례
정보 보안 프로그램과 위험 평가 결과를 정기적으로 검토하도록 요구하여 경영진/소유자가 정보 보안 기능을 관리할 수 있도록 보장합니다.
AWS 구현
Amazon에서 제어 환경은 회사의 최고 경영진부터 시작됩니다. 경영진 및 고위 임원은 회사의 분위기와 핵심 가치를 확립하는 데 중요한 역할을 합니다. AWS에서는 SOC(System and Organization Control) 프레임워크를 기반으로 정보 보안 프레임워크와 정책을 마련했으며, ISO 27002 제어 항목, PCI DSS v3.2 및 NIST(미국 국립 표준 기술 연구소) Publication 800-53 Rev 3(연방 정보 시스템에 권장되는 보안 제어 항목)을 기반으로 ISO 27001인증 프레임워크를 효율적으로 통합했습니다. AWS 직원은 정기적으로 역할 기반 교육을 이수하며 이 교육에는 AWS 보안 교육이 포함됩니다. 규정 준수 감사는 직원들이 수립된 정책을 이해하고 따르게 하기 위해 수행됩니다.
-
위험 관리
모범 사례
시설과 관련된 콘텐츠 도용 및 유출 위험을 식별하고 우선순위를 지정하기 위해 콘텐츠 워크플로와 민감한 자산에 초점을 맞춘 공식적인 보안 위험 평가 프로세스를 개발합니다.
AWS 구현
AWS는 최소한 일년에 한번 업데이트되고 검토되며 문서화된 공식적인 위험 평가 정책을 구현했습니다. 이 정책은 목적, 범위, 역할, 책임 및 경영진의 헌신을 다룹니다.
이 정책의 하나로, AWS 규정 준수 팀에서 모든 AWS 리전과 비즈니스를 대상으로 한 연간 위험 평가를 수행하고 AWS 고위 경영진에서 이를 검토합니다. 이는 독립적인 감사자가 수행하는 인증, 인가 및 보고서 외에 추가로 진행됩니다. 위험 평가의 목적은 AWS의 위협 및 취약성을 파악하고, 위협 및 취약성에 위험 등급을 지정하고, 평가 내용을 공식적으로 문서화하고, 문제를 해결하기 위한 위험 처리 계획을 수립하는 것입니다. 위험 평가 결과는 AWS 고위 경영진에서 정기적으로 검토하고 더불어 현격한 변화가 발생하여 연간 위험 평가 이전에 새로운 위험 평가를 해야 할 때 검토됩니다.
고객은 자신의 데이터(콘텐츠)에 대한 소유권을 유지하고, 규정 준수 요구를 충족할 수 있도록 데이터 워크플로와 관련된 위험을 평가하고 관리할 책임이 있습니다.
AWS 위험 관리 프레임워크는 SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
보안 조직
모범 사례
보안 1차 담당자를 파악하고 콘텐츠 및 자산 보호에 대한 역할과 책임을 공식적으로 정의합니다.
AWS 구현
AWS는 AWS 보안 팀에서 관리하고 AWS CISO(최고 정보 보안 책임자)가 이끄는 정보 보안 조직을 구성했습니다. AWS는 AWS를 지원하는 모든 정부 시스템 사용자에게 보안 인식 교육을 지속적으로 제공합니다. 매년 진행되는 보안 인식 교육의 주제는 보안 및 인식 교육의 목적, 모든 AWS 정책의 위치, AWS 인시던트 대응 절차(내부/외부 보안 사건을 보고하는 방법에 대한 지침 포함)를 포함합니다.
AWS 내 시스템은 주요 운영 및 보안 지표를 모니터링하기 위해 광범위하게 활용됩니다. 주요 지표가 조기 경보 임계값을 초과하는 경우 운영 및 관리 담당자에게 자동으로 통보하도록 경보가 구성되어 있습니다. 임계값이 초과하면, AWS 인시던트 대응 프로세스가 시작됩니다. Amazon 인시던트 대응 팀은 비즈니스에 영향을 미치는 이벤트 발생 시 해결책을 모색하기 위해 업계 표준의 진단 절차를 사용합니다. 직원들은 연중무휴 24시간 근무하며 인시던트를 감지하고 인시던트의 영향과 해결책을 관리합니다.
AWS 역할 및 책임은 SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
정책 및 절차
모범 사례
자산 및 콘텐츠 보안과 관련된 정책 및 절차 수립 정책은 최소한 다음 주제를 다루어야 합니다.
• 인사 관리 정책
• 이용 제한(예: 소셜 네트워킹, 인터넷, 전화 등)
• 자산 분류
• 자산 취급 정책
• 디지털 기록 디바이스(예: 스마트 폰, 디지털 카메라, 캠코더)
• 예외 정책(예: 정책 편차를 문서화하는 프로세스)
• 암호 제어(예: 암호 최소 길이, 화면 보호기)
• 시설로부터 클라이언트 자산 제거 금지
• 시스템 변경 관리
• 내부 고발자 정책
• 제재 정책(예: 징계 정책)
AWS 구현
AWS에서는 SOC(System and Organization Control) 프레임워크를 기반으로 정보 보안 프레임워크와 정책을 마련했으며, ISO 27002 제어 항목, PCI DSS v3.2 및 NIST(미국 국립 표준 기술 연구소) Publication 800-53 Rev 3(연방 정보 시스템에 권장되는 보안 제어 항목)을 기반으로 ISO 27001 인증 프레임워크를 효율적으로 통합했습니다.
AWS는 AWS를 지원하는 모든 정부 시스템 사용자에게 보안 인식 교육을 지속적으로 제공합니다. 매년 진행되는 보안 인식 교육의 주제는 보안 및 인식 교육의 목적, 모든 AWS 정책의 위치, AWS 인시던트 대응 절차(내부/외부 보안 사건을 보고하는 방법에 대한 지침 포함)를 포함합니다.
AWS 정책, 절차 및 관련 교육 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
인시던트 대응
모범 사례
보안 인시던트가 탐지 및 보고된 경우 취해야 할 조치를 설명하는 공식적인 인시던트 대응 계획을 수립합니다.
AWS 구현
AWS는 문서화된 공식적인 인시던트 대응 정책 및 프로그램을 구현했습니다. 이 정책은 목적, 범위, 역할, 책임 및 경영진의 헌신을 다룹니다.
AWS는 다음과 같은 3단계 접근 방식을 사용하여 인시던트를 관리합니다.
1. 1. 활성화 및 알림 단계: AWS의 인시던트는 이벤트 탐지에서 시작됩니다. 이는 다음과 같은 여러 원본에서 비롯되었을 수 있습니다.
a. 지표 및 경보 – AWS는 탁월한 상황 인지 기능을 유지합니다. 대부분 문제가 연중무휴 24시간 모니터링과 실시간 지표 및 서비스 대시보드의 경보를 통해 신속하게 탐지됩니다. 인시던트 대부분이 이를 통해 탐지됩니다. AWS는 조기 지표 경보를 활용하여 궁극적으로 고객에게 영향을 미칠 수 있는 문제를 사전에 파악합니다.
b. AWS 직원이 입력한 문제 티켓
c. 연중무휴 24시간 기술 지원 핫라인으로 걸려온 전화이벤트가 인시던트 범주에 해당하면, 대기 중인 관련 지원 엔지니어가 AWS 이벤트 관리 도구를 사용하여 조치를 시작하고 관련 프로그램 해결 담당자에게 연락합니다. 해결 담당자는 인시던트 분석을 수행하여 다른 해결 담당자가 추가로 개입해야 하는지를 결정하고 대략적인 근본 원인을 파악합니다.
2. 복구 단계 – 관련 해결 담당자는 오류 수정을 수행하여 인시던트를 해결합니다. 문제 해결, 오류 수정 및 손상된 구성 요소가 해결되면, 해결 책임자는 후속 문서화 작업 및 후속 조치와 관련한 다음 단계를 지정하고 해결 업무를 종료합니다.
3. 복원 단계 – 관련 해결 활동이 완료되면, 해결 책임자는 복구 단계가 완료되었음을 공표합니다. 인시던트의 사후 분석과 근본 원인 분석은 관련 팀에게 지정됩니다. 사후 분석의 결과는 관련 고위 경영진이 검토하며, 설계 변경과 같은 관련 작업은 COE(오류 수정) 문서에 기재되고 완료를 추적하게 됩니다.
위에 설명된 내부 커뮤니게이션 메커니즘에 추가로 AWS에서는 고객 기반 및 커뮤니티를 지원할 수 있도록 다양한 외부 커뮤니케이션 방법을 구현했습니다. 고객 지원 팀이 고객의 경험에 영향을 미치는 운영 문제를 전달받을 수 있도록 메커니즘이 마련되어 있습니다. 고객 지원 팀에서 제공 및 관리하는 "서비스 상태 대시보드"는 고객에게 광범위하게 영향을 미칠 수 있는 모든 문제를 알려줍니다.
AWS 인시던트 관리 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
고객이 자체 게스트 운영 체제, 소프트웨어, 애플리케이션 및 데이터에 대한 소유권 및 제어권을 유지하므로, 콘텐츠(데이터) 워크플로 문서화에 대한 책임은 AWS 고객에게 있습니다.
-
인력 거버넌스
모범 사례
모든 직원과 타사 작업자에 대해 신원 조회를 시행합니다.
AWS 구현
AWS는 준거법에서 허용하는 범위 내에서 채용 전 적격 심사 관행의 하나로 직원의 직위와 AWS 시설에 대한 접근 권한에 따라 범죄 경력 조회를 시행합니다.
AWS 신원 조회 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
기밀 협약
모범 사례
모든 직원과 타사 작업자는 채용 시, 그리고 그 이후로 매년 콘텐츠 취급 및 보호에 대한 요건이 포함된 기밀 협약(예: 비밀 유지)에 서명해야 합니다.
AWS 구현
Amazon 법률 자문 팀이 Amazon NDA(비밀 유지 계약)를 관리하고 AWS 비즈니스 요구를 반영하기 위해 정기적으로 개정합니다.
AWS의 NDA(비밀 유지 계약) 사용은 ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
로깅 및 모니터링
모범 사례
제한 구역에 대한 전자 액세스를 기록하고 검토하여 의심스러운 이벤트가 있는지 확인합니다.
AWS 구현
건물 주변과 진입점에서 비디오 감시, 침입 탐지 시스템 및 기타 전자 수단을 활용하여 전문 보안 직원이 물리적인 액세스를 통제합니다.
정문, 하역장, 지붕의 문/출입구 등을 비롯해 AWS 데이터 센터로 통하는 모든 출입구는 문이 강제로 열리거나 열린 채로 있는 경우, AWS 중앙 물리적 보안 모니터링에서 경보를 울리고 경보를 생성하는 침입 탐지 디바이스로 보안됩니다.
AWS 데이터 센터에서는 전자 메커니즘에 추가 조치로 훈련된 보안 경비원을 연중무휴 24시간 빌딩 내부 및 외부에 배치합니다. 모든 경보는 보안 경비원이 조사하고 모든 인시던트에 대해 근본 원인을 문서화합니다. SLA 시간 내에 대응이 이루어지지 않는 경우, 모든 경보는 자동 에스컬레이션되도록 설정됩니다.
서버 위치에 접근할 수 있는 물리적 액세스 지점은 AWS 데이터 센터 물리적 보안 정책에 정의된 대로 CCTV(폐쇄 회로 TV 카메라)로 녹화됩니다. 법률 또는 계약 의무 조항에서 30일로 제한하지 않는 한, 이미지는 90일간 보관됩니다.
AWS 물리적 보안 메커니즘은 SOC, PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
자산 모니터링
모범 사례
물리적 자산(예: 고객 자산 및 새로 생성된 자산)을 상세하게 추적할 수 있는 콘텐츠 자산 관리 시스템을 구현합니다.
AWS 구현
콘텐츠 자산 관리는 AWS 고객이 소유하고, 구현하며, 운영합니다. 물리적 자산의 인벤토리 추적을 구현할 책임은 고객에게 있습니다.
AWS 데이터 센터 환경의 경우, 데이터 센터에서 발송하고 배송받는 서버, 랙, 네트워크 디바이스, 하드 드라이브 및 시스템 하드웨어 구성 요소를 비롯한(이에 국한되지 않음) 모든 새로운 정보 시스템 구성 요소는 데이터 센터 관리자에게 알려야 하며 사전 승인을 받아야 합니다. 각 AWS 데이터 센터의 하역장으로 배송되는 물품은 AWS 정직원이 패키지의 손상이나 변조를 검사하고 서명합니다. 수송품이 도착하면, AWS 자산 관리 시스템 및 디바이스 인벤토리 추적 시스템으로 물품을 스캔하고 캡처합니다.
물품을 받으면, 데이터 센터 공간에 설치되기 전까지 데이터 센터 내의 장비 창고에 보관됩니다. 이 창고에 액세스하려면 명찰을 판독기에 대고 PIN도 입력해야 합니다. 물품은 데이터 센터를 떠나기 전에 스캔, 추적 및 무결 처리되어야 데이터 센터에서 내보내도록 승인을 받을 수 있습니다.
AWS 자산 관리 프로세스 및 절차는 PCI DSS, ISO 27001 및 FedRAMP 규정 준수 감사 기간에 독립적인 외부 감사자가 검토합니다.
-
인터넷
모범 사례
디지털 콘텐츠를 처리하거나 보관하는 시스템(데스크톱/서버)에 대한 인터넷 액세스를 금지합니다.
AWS 구현
규칙 세트, 액세스 통제 목록(ACL) 및 구성을 적용하는 경계 보안 디바이스는 네트워크 패브릭 간의 정보 흐름을 강제 적용합니다. 이러한 디바이스는 모두 거부 모드로 구성되므로, 승인된 방화벽이 연결을 허용하도록 설정되어야 합니다. AWS 네트워크 방화벽 관리에 대한 자세한 내용은 DS-2.0을 참조하십시오.
AWS 자산에는 내재된 이메일 기능이 없으며 포트 25는 사용되지 않습니다. 고객(예, 스튜디오, 처리 시설 등)은 시스템을 사용하여 이메일 기능을 호스팅할 수 있지만, 이 경우 이메일 진입점과 출구점에 적절한 수준의 스팸 및 맬웨어 탐지 기능을 적용하고 새로운 버전이 출시될 때 스팸과 맬웨어 정의를 업데이트할 책임은 고객에게 있습니다.
Amazon 자산(예: 노트북)은 이메일 필터링과 맬웨어 탐지 기능이 포함된 백신 소프트웨어와 함께 구성됩니다.
AWS 네트워크 방화벽 관리 및 Amazon 백신 프로그램은 SOC, PCI DSS, ISO 27001 및 FedRAMP 에 대한 AWS의 지속적인 규정 준수의 일부로서 독립적인 서드 파티 감사관이 검토합니다.
-
미디어 자산 관리, 디지털 자산 관리 및 그래픽 버스트 렌더링을 위한 서드 파티 강화 안내서
MPA 외에도, 대부분의 콘텐츠 스튜디오(예: Disney/Marvel)는 자체적인 보안 요구 사항을 보유하며 서비스 공급자 및 부가 가치 서비스에게 서드 파티 감사관에 의해 감사를 받은 클라우드 기반 또는 온프레미스 환경 구축을 요구합니다. 개봉 전 작품의 VFX/애니메이션 콘텐츠에 대한 클라우드 기반 버스트 렌더링이 좋은 예입니다.
AWS는 타사 감사관과 협력하여 AWS 플랫폼의 VFX/애니메이션 렌더링 환경 평가를 받도록 합니다. 타사 감사관은 주요 스튜디오의 요구 사항에 따라 AWS 보안 관리를 비롯하여 보안 모범 사례에 대한 템플릿 문서도 작성합니다. 이 문서는 AWS에서 스튜디오의 승인을 받은 VFX/애니메이션 렌더링 환경을 생성할 때 활용할 수 있습니다.
사전 릴리스된 Studios Media/Asset Management Hardening Guide와 Studio Security Controls for VFX/Rendering은 AWS Artifact에서 사용할 수 있습니다.