InfoGrab Docs

CMMC 컴플라이언스

요약

사이버 보안 성숙도 모델 인증(CMMC) 2.0 은 연방 계약 정보(FCI) 또는 통제 미분류 정보(CUI)를 처리하는 모든 계약자, 하청업자 및 공급업체가 인증을 취득하도록 요구하는 미국 국방부(DoD) 프로그램입니다.

개요#

사이버 보안 성숙도 모델 인증(CMMC) 2.0 은 연방 계약 정보(FCI) 또는 통제 미분류 정보(CUI)를 처리하는 모든 계약자, 하청업자 및 공급업체가 인증을 취득하도록 요구하는 미국 국방부(DoD) 프로그램입니다. 귀 조직이 DoD와 직접 협력하거나 방위산업기반(DIB) 공급망의 일환으로 운영되는 경우, 계약 자격을 유지하기 위해 규정 준수를 입증하는 것이 의무적입니다.

CMMC 규정 준수 달성은 소프트웨어 범위 외의 적절한 구성, 정책 및 광범위한 조직적 관행에 달려 있으므로 보장되지 않습니다. 그러나 이 문서는 Mattermost의 기능이 미국 국방부 계약자 및 하청업자가 특정 Level 2 요건 을 충족하는 데 어떻게 도움이 될 수 있는지 설명합니다.

접근 제어 및 신원 관리#

Mattermost는 인가된 사용자만 시스템에 접근하고 역할에 허용된 데이터만 볼 수 있도록 강력한 신원 및 접근 관리를 지원합니다. 주요 기능은 다음과 같습니다:

싱글 사인온(SSO) 통합: Mattermost는 SAML 2.0, OpenID ConnectAD/LDAP 를 통해 엔터프라이즈 아이덴티티 제공자와 통합됩니다. 이를 통해 사용자 계정을 중앙에서 관리하고 엔터프라이즈 인증 정책을 적용할 수 있습니다. 디렉터리에 프로비저닝된(그리고 Mattermost 서비스에 할당된) 사용자만 로그인할 수 있습니다. 이는 검증된 기업 신원을 사용하여 "인가된 사용자에 대한 시스템 접근 제한"(AC 3.1.1) 요건을 충족하는 데 도움이 됩니다.

역할 기반 접근 제어(RBAC): Mattermost의 세분화된 권한은 사용자가 역할에 허용된 작업만 수행할 수 있도록 합니다. 예를 들어, 일반 사용자는 관리 기능을 수행할 수 없으며, 게스트 계정 은 특정 채널로 제한된 접근을 가집니다. 관리자는 팀 전체채널별 역할/권한 을 구성하여 사용자가 직무에 필요한 데이터와 기능에만 접근할 수 있도록 합니다. 이는 최소 권한 원칙(AC 3.1.5)을 지원하고 사용자의 행동을 인가된 기능으로 제한합니다(AC 3.1.2, AC 3.1.7).

그룹 기반 접근 관리: Mattermost AD/LDAP 그룹 동기화 는 사용자 프로비저닝 및 프로비저닝 해제를 자동화합니다. 사용자는 디렉터리 그룹 구성원 자격에 따라 Mattermost 팀/채널에 추가되거나 제거될 수 있습니다. 이는 인사 변경 또는 퇴사 시 적시에 접근 권한을 제거하고(AC 3.1.1의 계정 관리 측면 처리) 채널 접근을 조직 역할에 맞춤으로써 직무 분리를 적용하는 데 도움이 됩니다(AC 3.1.4).

세션 관리 및 타임아웃: Mattermost 관리자는 세션 유휴 타임아웃 및 세션 수명을 포함한 세션 보안 설정을 정의할 수 있습니다. 세션은 비활성 기간 후 또는 요청 시 자동으로 무효화될 수 있습니다. 세션 기간을 제한하고 재인증을 요구함으로써 Mattermost는 방치된 세션을 통한 무단 접근 위험을 줄입니다(세션 잠금에 대한 AC 3.1.6 및 세션 제어에 대한 IA 3.5.2 충족에 도움). 실패한 로그인 시도 임계값도 설정할 수 있어(예: X번 실패 후 잠금) 무차별 대입 공격을 완화하여 AC 3.1.8에 부합합니다.

사용자 동의 및 접근 승인: Mattermost Enterprise는 사용자가 최초 로그인 시 수락해야 하는 맞춤형 서비스 약관 배너를 지원합니다. 이는 사용자에게 허용 가능한 사용 정책을 상기시키거나 모니터링 동의를 위해 사용할 수 있으며, 교육/인식 요건을 간접적으로 지원하고 CUI 접근 전에 사용자가 보안 약관을 인지하도록 합니다.

인증 및 다중 인증(MFA)#

안전한 인증은 통제 미분류 정보(CUI) 보호에 중요합니다. Mattermost는 CMMC 요건에 맞게 사용자 인증을 강화하는 여러 기능을 제공합니다:

고유 사용자 식별: 각 Mattermost 사용자는 고유한 계정(사용자 이름/이메일)을 가지며 고유한 ID 필요성을 충족합니다(IA 3.5.1). 관리자는 일반적이거나 공유된 계정으로 발견된 계정을 비활성화 할 수 있으며, 엔터프라이즈 SSO 또는 LDAP와 통합 시 조직 정책이 공유 계정 사용을 방지할 수 있습니다.

비밀번호 정책 적용: 기본 제공 인증의 경우 Mattermost 관리자는 강력한 비밀번호 요건 (최소 길이, 복잡도)을 적용할 수 있습니다. 이는 강력한 비밀번호를 요구하고 자격 증명 침해 위험을 줄임으로써 IA 3.5.2를 충족하는 데 도움이 됩니다.

다중 인증: Mattermost는 모든 사용자 계정에 대해 MFA를 지원합니다. 자체 호스팅 배포에서 관리자는 TOTP 기반 MFA를 활성화하고 적용할 수 있습니다(예: 로그인 시 Google Authenticator의 일회용 코드 요구). Mattermost가 SSO(SAML/OIDC)와 통합된 경우 Mattermost 로그인에 IdP의 MFA 정책(예: CAC/PIV 또는 OTP)을 활용할 수 있습니다. 인증에 두 가지 요소를 요구하는 것은 CMMC 관행 IA 3.5.3에 부합하며 비밀번호가 침해되더라도 계정을 보호하기 위한 추가 검증 계층을 추가합니다.

계정 잠금 및 복구: Mattermost는 실패한 로그인 시도를 제한하고 지정된 횟수의 실패 후 계정을 잠글 수 있어 무차별 대입 공격을 방지하는 데 도움이 됩니다(IA 3.5.3, 추가 측면). 보안 통제를 유지하면서 계정 복구를 지원하기 위해 안전한 비밀번호 재설정 또는 관리자 발급 비밀번호 재설정 옵션도 제공합니다.

감사 로깅 및 책임#

CMMC Level 2(NIST 800-171)는 감사 로깅과 시스템 활동 추적 및 모니터링 능력에 큰 비중을 둡니다(감사 및 책임, AU 3.3.x 통제). Mattermost는 이러한 요건을 충족하는 데 도움이 되는 내장 로깅 및 모니터링 기능을 제공합니다:

시스템 및 애플리케이션 감사 로그: Mattermost는 감사 로그 (JSON 형식)에 서버 및 애플리케이션 이벤트를 기록합니다. 여기에는 로그인, 계정 생성, 권한 변경, 서버 구성 변경 등의 보안 관련 이벤트가 포함됩니다. Enterprise 버전은 실시간으로 외부 syslog 또는 모니터링 시스템 에 로그를 전송할 수 있습니다. 이러한 로그는 AU.3.3.1("사용자/활동에 대한 감사 레코드 생성")에 필요한 증거를 제공하고 사고 분석을 지원합니다.

메시지 기록 보존: 기본적으로 Mattermost는 모든 메시지(편집 및 삭제 포함) 및 파일 업로드의 완전한 기록을 데이터베이스에 보존합니다. 사용자가 애플리케이션에서 메시지를 삭제하더라도 데이터는 백엔드에 여전히 보존됩니다(보존 정책이 없는 경우). 이는 작업이 개인에게 추적 가능하도록 보장하고(AU 3.3.2) 감사 데이터 보존 및 보관 요건을 충족합니다. 관리자는 또한 사용자의 메시지 편집 또는 삭제 기능을 비활성화 할 수 있어 규정 준수 목적(조사 및 감사 보존 요건 충족에 유용)을 위한 변경 불가능한 대화 내용 기록을 보장합니다.

규정 준수 내보내기전자 검색: Mattermost의 규정 준수 내보내기 기능은 일정에 따라 메시지 기록 및 메타데이터를 자동으로 내보낼 수 있습니다. 이는 조직이 감사, e-discovery 또는 애플리케이션 외부의 장기 보관을 위한 채팅 기록을 제공하는 데 도움이 됩니다(AU 3.3.3의 감사 레코드 보존 및 검토 관련). 또한 타사 아카이빙 및 e-discovery 도구(예: Smarsh/Global Relay)와의 통합을 지원하여 규정 준수를 위한 커뮤니케이션의 중앙화된 분석이 가능합니다.

자동화된 모니터링 및 알림: 관리자는 Mattermost 활동의 일별 규정 준수 보고서를 생성하거나 이상 탐지를 위해 감사 데이터를 사용할 수 있습니다. Mattermost는 syslog 에 로그를 전송하거나 API 를 통해 보안 정보 및 이벤트 관리(SIEM) 시스템과의 통합을 지원합니다. 이를 통해 조직은 Mattermost 이벤트를 다른 보안 데이터와 연관시키고 의심스러운 동작(예: 여러 번의 로그인 실패, 예기치 않은 사용자 계정 변경)에 대한 알림을 받을 수 있어 AU 3.3.4 및 RA 3.11.2(지속적 모니터링 및 위험 평가)를 지원합니다. Mattermost의 감사 로그는 문제의 신속한 탐지를 위해 사고 모니터링 프로세스에 공급될 수 있습니다.

감사 정보 보호: Mattermost 로그에 대한 접근은 시스템 관리자로 제한되며 일반 사용자는 감사 레코드를 보거나 변조할 수 없습니다. 서버의 파일에 기록된 로그는 OS 수준의 접근 제어로 추가 보호할 수 있습니다. 이는 AU 3.3.5(감사 레코드에 대한 무단 접근/수정 방지)에 부합합니다. 또한 Mattermost Cloud 또는 외부 로그 집계기를 사용하는 경우 로그를 보호하기 위해 해당 환경에 적절한 통제를 적용해야 합니다.

사고 대응 및 사고 협업#

CMMC Level 2에서 기업은 효과적인 사고 대응(IR) 능력을 수립하고 유지해야 합니다(IR 3.6.1–3.6.3). Mattermost는 사고 대응 계획, 실행 및 문서화에 있어 귀중한 도구입니다:

사고 플레이북: Mattermost Playbooks를 통해 관리되는 협업 워크플로우를 통해 팀은 플랫폼에 직접 사고 대응 계획과 체크리스트를 코드화할 수 있습니다. 예를 들어 사고 선언 시 전용 사고 채널을 자동으로 생성하고, 대응자에게 작업을 할당하고, 이해 관계자에게 알리고, 조사 단계를 추적하는 "사이버 사고 대응" 플레이북을 만들 수 있습니다. 이는 표준화된 대응 프로세스를 보장하여 정의된 준비, 탐지, 봉쇄 및 복구 단계를 갖춘 운영적 사고 처리 능력 수립(IR 3.6.1) 요건을 충족합니다.

전용 사고 채널: Mattermost는 사고 대응자를 위한 프라이빗, 초대 전용 채널 생성을 가능하게 합니다. 사고(예: 네트워크 침해 또는 시스템 중단) 중에 팀은 잠재적으로 침해된 시스템과 격리된 안전한 Mattermost 채널에서 조율할 수 있습니다. Mattermost의 자체 호스팅 또는 에어갭 배포 옵션은 기본 시스템 또는 네트워크가 영향을 받는 경우 대역 외 통신 플랫폼으로 사용할 수 있습니다. 이 접근 방식은 적대자가 사고 통신을 모니터링하거나 방해하는 것을 방지하여 사고를 봉쇄하는 데 도움이 되며, 사고 중 효과적인 조율을 위한 IR 3.6.1 요건을 지원합니다.

실시간 알림 및 통합: Mattermost는 탐지 및 대응을 간소화하기 위해 모니터링 도구 및 보안 시스템과 통합할 수 있습니다. 예를 들어 SIEM 또는 IDS는 (웹훅이나 통합을 통해) Mattermost 채널에 알림을 게시하여 팀에 잠재적 사고를 알릴 수 있습니다. Mattermost 플레이북자동화된 사고 알림 을 지원하여 특정 조건이 충족되면 대응자에게 알림을 트리거합니다. 이 실시간 알림 및 사고 통신 중앙화는 신속한 사고 탐지 및 보고를 지원합니다(IR 3.6.2). 팀원들은 Mattermost에서 위협을 논의하고 분석하여 분류를 가속화할 수 있습니다.

작업 추적 및 문서화: Mattermost 플레이북Boards 를 통해 각 사고 대응 실행에는 작업 체크리스트 (예: 영향받은 시스템 식별, 로그 수집, 악성 코드 제거 등)와 각 작업에 대한 담당자가 있을 수 있습니다. 대응자는 작업을 완료하면 체크하고 모든 작업에 타임스탬프가 붙습니다. 이는 사고의 감사 가능한 타임라인을 만듭니다. 사고 채널에서의 모든 토론, 파일 첨부(예: 법의학적 스크린샷) 및 작업 타임라인이 보존됩니다. 이 포괄적인 사고 문서화는 관련 기관에 사고를 추적하고 보고하는 IR 3.6.2 요건을 충족하고 사후 분석에 도움이 됩니다. Mattermost는 또한 팀이 해결 후 채널 또는 플레이북 실행에 회고 노트 를 추가할 수 있도록 하여 사후 검토를 용이하게 합니다. 이러한 기록은 DoD 또는 기타 기관에 보고하기 위해 필요에 따라 내보낼 수 있습니다.

사고 대응 테스트: Mattermost는 사고 대응 훈련이나 테이블톱 연습을 수행하는 데 사용할 수 있습니다. 팀은 Mattermost에서 플레이북 실행 으로 사고를 시뮬레이션하여(예: 계획된 훈련) 모든 사람이 알림을 받고 절차를 따르는지 확인할 수 있습니다. 이는 사고 대응 능력 테스트를 위한 플랫폼을 제공함으로써 IR 3.6.3(사고 대응 능력 테스트)을 충족하는 데 도움이 됩니다. 시간이 지남에 따라 플레이북 분석 및 지표(예: 평균 해결 시간)를 통해 IR 성능의 개선을 측정할 수 있습니다.

사고 대응에 Mattermost를 활용함으로써 조직은 초기 알림에서 사후 분석까지 사고를 관리하는 중앙 허브를 만듭니다. 이는 확립되고 테스트된 사고 대응 프로세스를 갖추고 사고를 적시에 문서화하고 보고하기 위한 CMMC Level 2 요건을 직접 지원합니다.

통신 보호 및 데이터 보안#

CMMC Level 2에는 저장 및 전송 중 정보 보호(시스템 및 통신 보호, SC 3.13.x)와 무단 정보 흐름 제한을 위한 통제가 포함됩니다. Mattermost는 데이터를 보호하고 통신을 통제하는 여러 기능을 제공합니다:

전송 중 암호화: 모든 Mattermost 클라이언트-서버 통신은 TLS(전송 계층 보안)를 사용하여 암호화 될 수 있습니다. HTTPS로 구성된 경우 Mattermost는 서버와 클라이언트(웹, 데스크톱, 모바일) 간 전송 중 데이터를 암호화하여 논의되거나 전송되는 CUI 도청을 방지합니다. 이는 네트워크에서 CUI를 전송 중 암호화하여 보호하는 요건을 충족합니다(SC 3.13.8). Mattermost는 최신 TLS 프로토콜과 암호화 방법을 지원하며, 관리자는 이 통제를 완전히 충족하기 위해 DoD 지침(예: 해당하는 경우 FIPS 140-2 검증 암호화 모듈)에 따라 TLS를 구성해야 합니다.

저장 중 암호화: Mattermost는 엔터프라이즈 데이터베이스 및 스토리지 구성을 통해 저장 데이터 암호화를 지원합니다. 애플리케이션은 암호화된 파일 시스템에 배포하거나 암호화된 스토리지 백엔드를 사용할 수 있습니다. 예를 들어 파일 스토리지에 Amazon S3를 사용하는 경우 Mattermost Enterprise는 S3 관리 키를 사용한 서버 측 암호화 를 활성화할 수 있습니다. 자체 호스팅 데이터베이스를 사용하는 경우 관리자는 데이터베이스 서버에서 디스크 암호화 또는 TDE를 활성화할 수 있습니다. Mattermost 데이터베이스와 스토리지 드라이브를 암호화함으로써 조직은 채팅 메시지 및 파일에 저장된 CUI에 대한 보호 계층을 추가하여 저장 중 CUI 기밀성 보호(SC 3.13.16) 및 디스크 폐기 시 미디어 위생처리(MP 3.8.3)를 충족하는 데 도움이 됩니다. Mattermost 문서는 저장 중 암호화를 위해 정기적인 키 순환 및 안전한 키 관리를 권장합니다.

네트워크 접근 제어 및 분할: Mattermost는 시스템에 대한 네트워크 접근을 통제하는 방식으로 배포할 수 있습니다. 자체 호스팅 배포에서 조직은 종종 인바운드/아웃바운드 트래픽을 통제하는 방화벽을 갖춘 안전한 엔클레이브 또는 DMZ에 Mattermost 서버를 배치합니다. 클라우드 배포의 경우 Mattermost Cloud는 알려진 IP 범위로의 접근을 제한하기 위해 IP 허용 목록 (Enterprise 플랜)을 제공합니다. 이러한 구성은 Mattermost가 보호된 네트워크 세그먼트 내에 위치하고 신뢰할 수 있는 네트워크 또는 VPN 사용자만 접근할 수 있도록 하여 SC 3.13.1 및 SC 3.13.2를 처리합니다. 또한 Mattermost 내에서 데이터는 채널 로 분할됩니다—다양한 프로젝트나 보안 수준에 대해 별도의 팀을 만들고 채널을 프라이빗으로 표시하여 구성원을 제한할 수 있습니다. 이 대화의 "마이크로 분할"은 민감한 논의(예: 특정 CUI 프로그램에 대해)가 인가된 개인으로 제한되어 의도치 않은 정보 노출을 줄입니다.

자체 호스팅에어갭 배포: 많은 협업 도구와 달리 Mattermost는 온프레미스 또는 주권 클라우드에서 완전히 자체 호스팅될 수 있어 조직이 데이터 위치에 대한 완전한 통제를 가질 수 있습니다. DoD 계약자는 필요한 경우 외부 인터넷 연결 없이 에어갭 환경에 Mattermost를 배포 할 수 있습니다. 이는 외부 시스템에 노출될 수 없는 CUI를 처리할 때 규정 준수를 지원합니다. Mattermost를 다른 CUI 시스템과 동일한 보안 IT 경계 내에 유지함으로써 계약자는 SC 3.13.5(외부 접근으로부터 시스템 구성 요소 격리) 문제를 처리합니다. Mattermost의 배포 유연성(온프레미스, GovCloud 등)을 통해 DoD 요건(예: 민감한 데이터를 위한 IL4/IL5 호스팅, 클라우드 인프라 사용 시)에 맞게 조정할 수 있습니다. 모든 사용자 데이터는 귀하가 통제하는 인프라에 있어 CMMC 외에 적용될 수 있는 FedRAMP 또는 ITAR 제한에 대한 데이터 주권 및 규정 준수를 지원합니다.

데이터 손실 방지 조치: Mattermost는 기본적으로 완전한 DLP 제품군을 포함하지 않지만, 관리자는 데이터의 무단 공유 또는 보존을 방지하기 위해 특정 제한을 적용할 수 있습니다. 예를 들어 공개 링크 공유 (파일용)를 비활성화하거나 제한하여 공유 파일이 신뢰할 수 없는 사용자에게 노출되지 않도록 할 수 있습니다. 파일 업로드 설정플러그인 허용 목록 을 통해 공유할 수 있는 파일 유형이나 허용되는 통합을 통제하여 정보 흐름 통제를 지원합니다(SC 3.13.4). 또한 푸시 알림 내용 을 메시지 텍스트를 생략하도록 구성할 수 있어 모바일 푸시 알림 사용 시 장치 잠금 화면이나 외부 서비스에 민감한 메시지 내용이 누출되지 않도록 할 수 있습니다. 더 고급 DLP의 경우 Mattermost의 개방형 API웹훅 을 통해 외부 DLP 솔루션이나 콘텐츠 필터링 시스템과의 통합이 가능합니다(예: 스크립트가 특정 키워드나 PII가 포함된 메시지를 탐지하고 제거할 수 있음). 이러한 조치는 AC 3.1.3 / SC 3.13.4에 따라 CUI의 흐름을 통제하고 인가된 채널에서 벗어나는 것을 방지하는 데 도움이 됩니다.

민감한 정보 통제: 시스템 전체 배너 는 "⚠️ 이 시스템에는 CUI가 포함되어 있습니다. 인가된 계정만 사용하세요. 모든 활동이 모니터링됩니다."와 같은 CUI 처리 공지를 표시할 수 있습니다. AC.L2-3.1.9, AT.L2-3.2.1, IR.L2-3.6.2 및 MP.L2-3.8.2를 지원합니다. 또한 채널별 배너 를 사용하여 CUI 또는 사고 대응 데이터가 포함된 채널에 플래그를 표시하고, 워크플로우 무결성을 강화하거나 데이터 공유를 제한할 수 있습니다. AC.L2-3.1.3, MP.L2-3.8.2, AU.L2-3.3.1/3.3.2 및 SC.L2-3.13.4를 지원합니다.

바이러스 백신 스캔: 시스템 무결성 요건(파일 악성 코드 스캔을 위한 SI 3.14.5)을 충족하기 위해 Mattermost는 바이러스 백신 도구와 통합할 수 있습니다. Mattermost에 업로드된 파일을 바이러스와 악성 코드로 스캔하는 ClamAV 플러그인 이 제공됩니다. 활성화되면 악성 파일을 탐지하고 격리하는 데 도움이 되어 사용자를 보호하고 악성 코드 탐지 및 보호에 관한 통제 의도를 충족합니다(SI 3.14.4 및 SI 3.14.5). 관리자는 또한 전체 시스템 무결성 유지의 일환으로 Mattermost 서버 호스트의 최신 보안 패치 유지 및 취약점 모니터링(SI 3.14.1/3.14.2)을 수행해야 합니다.

Mattermost 기능에 매핑된 모든 통제의 전체 목록을 보려면 트러스트 사이트 에 등록하세요.

라이브 데모 예약 또는 Mattermost 전문가와 상담 을 통해 귀 조직의 안전한 협업 요구에 맞는 맞춤형 솔루션을 알아보세요. 또는 1시간 미리보기 로 라이브 샌드박스 환경에 즉시 접근하여 직접 Mattermost를 사용해 보세요.

CMMC 컴플라이언스

원문 보기
요약

사이버 보안 성숙도 모델 인증(CMMC) 2.0 은 연방 계약 정보(FCI) 또는 통제 미분류 정보(CUI)를 처리하는 모든 계약자, 하청업자 및 공급업체가 인증을 취득하도록 요구하는 미국 국방부(DoD) 프로그램입니다.

개요#

사이버 보안 성숙도 모델 인증(CMMC) 2.0 은 연방 계약 정보(FCI) 또는 통제 미분류 정보(CUI)를 처리하는 모든 계약자, 하청업자 및 공급업체가 인증을 취득하도록 요구하는 미국 국방부(DoD) 프로그램입니다. 귀 조직이 DoD와 직접 협력하거나 방위산업기반(DIB) 공급망의 일환으로 운영되는 경우, 계약 자격을 유지하기 위해 규정 준수를 입증하는 것이 의무적입니다.

CMMC 규정 준수 달성은 소프트웨어 범위 외의 적절한 구성, 정책 및 광범위한 조직적 관행에 달려 있으므로 보장되지 않습니다. 그러나 이 문서는 Mattermost의 기능이 미국 국방부 계약자 및 하청업자가 특정 Level 2 요건 을 충족하는 데 어떻게 도움이 될 수 있는지 설명합니다.

접근 제어 및 신원 관리#

Mattermost는 인가된 사용자만 시스템에 접근하고 역할에 허용된 데이터만 볼 수 있도록 강력한 신원 및 접근 관리를 지원합니다. 주요 기능은 다음과 같습니다:

싱글 사인온(SSO) 통합: Mattermost는 SAML 2.0, OpenID ConnectAD/LDAP 를 통해 엔터프라이즈 아이덴티티 제공자와 통합됩니다. 이를 통해 사용자 계정을 중앙에서 관리하고 엔터프라이즈 인증 정책을 적용할 수 있습니다. 디렉터리에 프로비저닝된(그리고 Mattermost 서비스에 할당된) 사용자만 로그인할 수 있습니다. 이는 검증된 기업 신원을 사용하여 "인가된 사용자에 대한 시스템 접근 제한"(AC 3.1.1) 요건을 충족하는 데 도움이 됩니다.

역할 기반 접근 제어(RBAC): Mattermost의 세분화된 권한은 사용자가 역할에 허용된 작업만 수행할 수 있도록 합니다. 예를 들어, 일반 사용자는 관리 기능을 수행할 수 없으며, 게스트 계정 은 특정 채널로 제한된 접근을 가집니다. 관리자는 팀 전체채널별 역할/권한 을 구성하여 사용자가 직무에 필요한 데이터와 기능에만 접근할 수 있도록 합니다. 이는 최소 권한 원칙(AC 3.1.5)을 지원하고 사용자의 행동을 인가된 기능으로 제한합니다(AC 3.1.2, AC 3.1.7).

그룹 기반 접근 관리: Mattermost AD/LDAP 그룹 동기화 는 사용자 프로비저닝 및 프로비저닝 해제를 자동화합니다. 사용자는 디렉터리 그룹 구성원 자격에 따라 Mattermost 팀/채널에 추가되거나 제거될 수 있습니다. 이는 인사 변경 또는 퇴사 시 적시에 접근 권한을 제거하고(AC 3.1.1의 계정 관리 측면 처리) 채널 접근을 조직 역할에 맞춤으로써 직무 분리를 적용하는 데 도움이 됩니다(AC 3.1.4).

세션 관리 및 타임아웃: Mattermost 관리자는 세션 유휴 타임아웃 및 세션 수명을 포함한 세션 보안 설정을 정의할 수 있습니다. 세션은 비활성 기간 후 또는 요청 시 자동으로 무효화될 수 있습니다. 세션 기간을 제한하고 재인증을 요구함으로써 Mattermost는 방치된 세션을 통한 무단 접근 위험을 줄입니다(세션 잠금에 대한 AC 3.1.6 및 세션 제어에 대한 IA 3.5.2 충족에 도움). 실패한 로그인 시도 임계값도 설정할 수 있어(예: X번 실패 후 잠금) 무차별 대입 공격을 완화하여 AC 3.1.8에 부합합니다.

사용자 동의 및 접근 승인: Mattermost Enterprise는 사용자가 최초 로그인 시 수락해야 하는 맞춤형 서비스 약관 배너를 지원합니다. 이는 사용자에게 허용 가능한 사용 정책을 상기시키거나 모니터링 동의를 위해 사용할 수 있으며, 교육/인식 요건을 간접적으로 지원하고 CUI 접근 전에 사용자가 보안 약관을 인지하도록 합니다.

인증 및 다중 인증(MFA)#

안전한 인증은 통제 미분류 정보(CUI) 보호에 중요합니다. Mattermost는 CMMC 요건에 맞게 사용자 인증을 강화하는 여러 기능을 제공합니다:

고유 사용자 식별: 각 Mattermost 사용자는 고유한 계정(사용자 이름/이메일)을 가지며 고유한 ID 필요성을 충족합니다(IA 3.5.1). 관리자는 일반적이거나 공유된 계정으로 발견된 계정을 비활성화 할 수 있으며, 엔터프라이즈 SSO 또는 LDAP와 통합 시 조직 정책이 공유 계정 사용을 방지할 수 있습니다.

비밀번호 정책 적용: 기본 제공 인증의 경우 Mattermost 관리자는 강력한 비밀번호 요건 (최소 길이, 복잡도)을 적용할 수 있습니다. 이는 강력한 비밀번호를 요구하고 자격 증명 침해 위험을 줄임으로써 IA 3.5.2를 충족하는 데 도움이 됩니다.

다중 인증: Mattermost는 모든 사용자 계정에 대해 MFA를 지원합니다. 자체 호스팅 배포에서 관리자는 TOTP 기반 MFA를 활성화하고 적용할 수 있습니다(예: 로그인 시 Google Authenticator의 일회용 코드 요구). Mattermost가 SSO(SAML/OIDC)와 통합된 경우 Mattermost 로그인에 IdP의 MFA 정책(예: CAC/PIV 또는 OTP)을 활용할 수 있습니다. 인증에 두 가지 요소를 요구하는 것은 CMMC 관행 IA 3.5.3에 부합하며 비밀번호가 침해되더라도 계정을 보호하기 위한 추가 검증 계층을 추가합니다.

계정 잠금 및 복구: Mattermost는 실패한 로그인 시도를 제한하고 지정된 횟수의 실패 후 계정을 잠글 수 있어 무차별 대입 공격을 방지하는 데 도움이 됩니다(IA 3.5.3, 추가 측면). 보안 통제를 유지하면서 계정 복구를 지원하기 위해 안전한 비밀번호 재설정 또는 관리자 발급 비밀번호 재설정 옵션도 제공합니다.

감사 로깅 및 책임#

CMMC Level 2(NIST 800-171)는 감사 로깅과 시스템 활동 추적 및 모니터링 능력에 큰 비중을 둡니다(감사 및 책임, AU 3.3.x 통제). Mattermost는 이러한 요건을 충족하는 데 도움이 되는 내장 로깅 및 모니터링 기능을 제공합니다:

시스템 및 애플리케이션 감사 로그: Mattermost는 감사 로그 (JSON 형식)에 서버 및 애플리케이션 이벤트를 기록합니다. 여기에는 로그인, 계정 생성, 권한 변경, 서버 구성 변경 등의 보안 관련 이벤트가 포함됩니다. Enterprise 버전은 실시간으로 외부 syslog 또는 모니터링 시스템 에 로그를 전송할 수 있습니다. 이러한 로그는 AU.3.3.1("사용자/활동에 대한 감사 레코드 생성")에 필요한 증거를 제공하고 사고 분석을 지원합니다.

메시지 기록 보존: 기본적으로 Mattermost는 모든 메시지(편집 및 삭제 포함) 및 파일 업로드의 완전한 기록을 데이터베이스에 보존합니다. 사용자가 애플리케이션에서 메시지를 삭제하더라도 데이터는 백엔드에 여전히 보존됩니다(보존 정책이 없는 경우). 이는 작업이 개인에게 추적 가능하도록 보장하고(AU 3.3.2) 감사 데이터 보존 및 보관 요건을 충족합니다. 관리자는 또한 사용자의 메시지 편집 또는 삭제 기능을 비활성화 할 수 있어 규정 준수 목적(조사 및 감사 보존 요건 충족에 유용)을 위한 변경 불가능한 대화 내용 기록을 보장합니다.

규정 준수 내보내기전자 검색: Mattermost의 규정 준수 내보내기 기능은 일정에 따라 메시지 기록 및 메타데이터를 자동으로 내보낼 수 있습니다. 이는 조직이 감사, e-discovery 또는 애플리케이션 외부의 장기 보관을 위한 채팅 기록을 제공하는 데 도움이 됩니다(AU 3.3.3의 감사 레코드 보존 및 검토 관련). 또한 타사 아카이빙 및 e-discovery 도구(예: Smarsh/Global Relay)와의 통합을 지원하여 규정 준수를 위한 커뮤니케이션의 중앙화된 분석이 가능합니다.

자동화된 모니터링 및 알림: 관리자는 Mattermost 활동의 일별 규정 준수 보고서를 생성하거나 이상 탐지를 위해 감사 데이터를 사용할 수 있습니다. Mattermost는 syslog 에 로그를 전송하거나 API 를 통해 보안 정보 및 이벤트 관리(SIEM) 시스템과의 통합을 지원합니다. 이를 통해 조직은 Mattermost 이벤트를 다른 보안 데이터와 연관시키고 의심스러운 동작(예: 여러 번의 로그인 실패, 예기치 않은 사용자 계정 변경)에 대한 알림을 받을 수 있어 AU 3.3.4 및 RA 3.11.2(지속적 모니터링 및 위험 평가)를 지원합니다. Mattermost의 감사 로그는 문제의 신속한 탐지를 위해 사고 모니터링 프로세스에 공급될 수 있습니다.

감사 정보 보호: Mattermost 로그에 대한 접근은 시스템 관리자로 제한되며 일반 사용자는 감사 레코드를 보거나 변조할 수 없습니다. 서버의 파일에 기록된 로그는 OS 수준의 접근 제어로 추가 보호할 수 있습니다. 이는 AU 3.3.5(감사 레코드에 대한 무단 접근/수정 방지)에 부합합니다. 또한 Mattermost Cloud 또는 외부 로그 집계기를 사용하는 경우 로그를 보호하기 위해 해당 환경에 적절한 통제를 적용해야 합니다.

사고 대응 및 사고 협업#

CMMC Level 2에서 기업은 효과적인 사고 대응(IR) 능력을 수립하고 유지해야 합니다(IR 3.6.1–3.6.3). Mattermost는 사고 대응 계획, 실행 및 문서화에 있어 귀중한 도구입니다:

사고 플레이북: Mattermost Playbooks를 통해 관리되는 협업 워크플로우를 통해 팀은 플랫폼에 직접 사고 대응 계획과 체크리스트를 코드화할 수 있습니다. 예를 들어 사고 선언 시 전용 사고 채널을 자동으로 생성하고, 대응자에게 작업을 할당하고, 이해 관계자에게 알리고, 조사 단계를 추적하는 "사이버 사고 대응" 플레이북을 만들 수 있습니다. 이는 표준화된 대응 프로세스를 보장하여 정의된 준비, 탐지, 봉쇄 및 복구 단계를 갖춘 운영적 사고 처리 능력 수립(IR 3.6.1) 요건을 충족합니다.

전용 사고 채널: Mattermost는 사고 대응자를 위한 프라이빗, 초대 전용 채널 생성을 가능하게 합니다. 사고(예: 네트워크 침해 또는 시스템 중단) 중에 팀은 잠재적으로 침해된 시스템과 격리된 안전한 Mattermost 채널에서 조율할 수 있습니다. Mattermost의 자체 호스팅 또는 에어갭 배포 옵션은 기본 시스템 또는 네트워크가 영향을 받는 경우 대역 외 통신 플랫폼으로 사용할 수 있습니다. 이 접근 방식은 적대자가 사고 통신을 모니터링하거나 방해하는 것을 방지하여 사고를 봉쇄하는 데 도움이 되며, 사고 중 효과적인 조율을 위한 IR 3.6.1 요건을 지원합니다.

실시간 알림 및 통합: Mattermost는 탐지 및 대응을 간소화하기 위해 모니터링 도구 및 보안 시스템과 통합할 수 있습니다. 예를 들어 SIEM 또는 IDS는 (웹훅이나 통합을 통해) Mattermost 채널에 알림을 게시하여 팀에 잠재적 사고를 알릴 수 있습니다. Mattermost 플레이북자동화된 사고 알림 을 지원하여 특정 조건이 충족되면 대응자에게 알림을 트리거합니다. 이 실시간 알림 및 사고 통신 중앙화는 신속한 사고 탐지 및 보고를 지원합니다(IR 3.6.2). 팀원들은 Mattermost에서 위협을 논의하고 분석하여 분류를 가속화할 수 있습니다.

작업 추적 및 문서화: Mattermost 플레이북Boards 를 통해 각 사고 대응 실행에는 작업 체크리스트 (예: 영향받은 시스템 식별, 로그 수집, 악성 코드 제거 등)와 각 작업에 대한 담당자가 있을 수 있습니다. 대응자는 작업을 완료하면 체크하고 모든 작업에 타임스탬프가 붙습니다. 이는 사고의 감사 가능한 타임라인을 만듭니다. 사고 채널에서의 모든 토론, 파일 첨부(예: 법의학적 스크린샷) 및 작업 타임라인이 보존됩니다. 이 포괄적인 사고 문서화는 관련 기관에 사고를 추적하고 보고하는 IR 3.6.2 요건을 충족하고 사후 분석에 도움이 됩니다. Mattermost는 또한 팀이 해결 후 채널 또는 플레이북 실행에 회고 노트 를 추가할 수 있도록 하여 사후 검토를 용이하게 합니다. 이러한 기록은 DoD 또는 기타 기관에 보고하기 위해 필요에 따라 내보낼 수 있습니다.

사고 대응 테스트: Mattermost는 사고 대응 훈련이나 테이블톱 연습을 수행하는 데 사용할 수 있습니다. 팀은 Mattermost에서 플레이북 실행 으로 사고를 시뮬레이션하여(예: 계획된 훈련) 모든 사람이 알림을 받고 절차를 따르는지 확인할 수 있습니다. 이는 사고 대응 능력 테스트를 위한 플랫폼을 제공함으로써 IR 3.6.3(사고 대응 능력 테스트)을 충족하는 데 도움이 됩니다. 시간이 지남에 따라 플레이북 분석 및 지표(예: 평균 해결 시간)를 통해 IR 성능의 개선을 측정할 수 있습니다.

사고 대응에 Mattermost를 활용함으로써 조직은 초기 알림에서 사후 분석까지 사고를 관리하는 중앙 허브를 만듭니다. 이는 확립되고 테스트된 사고 대응 프로세스를 갖추고 사고를 적시에 문서화하고 보고하기 위한 CMMC Level 2 요건을 직접 지원합니다.

통신 보호 및 데이터 보안#

CMMC Level 2에는 저장 및 전송 중 정보 보호(시스템 및 통신 보호, SC 3.13.x)와 무단 정보 흐름 제한을 위한 통제가 포함됩니다. Mattermost는 데이터를 보호하고 통신을 통제하는 여러 기능을 제공합니다:

전송 중 암호화: 모든 Mattermost 클라이언트-서버 통신은 TLS(전송 계층 보안)를 사용하여 암호화 될 수 있습니다. HTTPS로 구성된 경우 Mattermost는 서버와 클라이언트(웹, 데스크톱, 모바일) 간 전송 중 데이터를 암호화하여 논의되거나 전송되는 CUI 도청을 방지합니다. 이는 네트워크에서 CUI를 전송 중 암호화하여 보호하는 요건을 충족합니다(SC 3.13.8). Mattermost는 최신 TLS 프로토콜과 암호화 방법을 지원하며, 관리자는 이 통제를 완전히 충족하기 위해 DoD 지침(예: 해당하는 경우 FIPS 140-2 검증 암호화 모듈)에 따라 TLS를 구성해야 합니다.

저장 중 암호화: Mattermost는 엔터프라이즈 데이터베이스 및 스토리지 구성을 통해 저장 데이터 암호화를 지원합니다. 애플리케이션은 암호화된 파일 시스템에 배포하거나 암호화된 스토리지 백엔드를 사용할 수 있습니다. 예를 들어 파일 스토리지에 Amazon S3를 사용하는 경우 Mattermost Enterprise는 S3 관리 키를 사용한 서버 측 암호화 를 활성화할 수 있습니다. 자체 호스팅 데이터베이스를 사용하는 경우 관리자는 데이터베이스 서버에서 디스크 암호화 또는 TDE를 활성화할 수 있습니다. Mattermost 데이터베이스와 스토리지 드라이브를 암호화함으로써 조직은 채팅 메시지 및 파일에 저장된 CUI에 대한 보호 계층을 추가하여 저장 중 CUI 기밀성 보호(SC 3.13.16) 및 디스크 폐기 시 미디어 위생처리(MP 3.8.3)를 충족하는 데 도움이 됩니다. Mattermost 문서는 저장 중 암호화를 위해 정기적인 키 순환 및 안전한 키 관리를 권장합니다.

네트워크 접근 제어 및 분할: Mattermost는 시스템에 대한 네트워크 접근을 통제하는 방식으로 배포할 수 있습니다. 자체 호스팅 배포에서 조직은 종종 인바운드/아웃바운드 트래픽을 통제하는 방화벽을 갖춘 안전한 엔클레이브 또는 DMZ에 Mattermost 서버를 배치합니다. 클라우드 배포의 경우 Mattermost Cloud는 알려진 IP 범위로의 접근을 제한하기 위해 IP 허용 목록 (Enterprise 플랜)을 제공합니다. 이러한 구성은 Mattermost가 보호된 네트워크 세그먼트 내에 위치하고 신뢰할 수 있는 네트워크 또는 VPN 사용자만 접근할 수 있도록 하여 SC 3.13.1 및 SC 3.13.2를 처리합니다. 또한 Mattermost 내에서 데이터는 채널 로 분할됩니다—다양한 프로젝트나 보안 수준에 대해 별도의 팀을 만들고 채널을 프라이빗으로 표시하여 구성원을 제한할 수 있습니다. 이 대화의 "마이크로 분할"은 민감한 논의(예: 특정 CUI 프로그램에 대해)가 인가된 개인으로 제한되어 의도치 않은 정보 노출을 줄입니다.

자체 호스팅에어갭 배포: 많은 협업 도구와 달리 Mattermost는 온프레미스 또는 주권 클라우드에서 완전히 자체 호스팅될 수 있어 조직이 데이터 위치에 대한 완전한 통제를 가질 수 있습니다. DoD 계약자는 필요한 경우 외부 인터넷 연결 없이 에어갭 환경에 Mattermost를 배포 할 수 있습니다. 이는 외부 시스템에 노출될 수 없는 CUI를 처리할 때 규정 준수를 지원합니다. Mattermost를 다른 CUI 시스템과 동일한 보안 IT 경계 내에 유지함으로써 계약자는 SC 3.13.5(외부 접근으로부터 시스템 구성 요소 격리) 문제를 처리합니다. Mattermost의 배포 유연성(온프레미스, GovCloud 등)을 통해 DoD 요건(예: 민감한 데이터를 위한 IL4/IL5 호스팅, 클라우드 인프라 사용 시)에 맞게 조정할 수 있습니다. 모든 사용자 데이터는 귀하가 통제하는 인프라에 있어 CMMC 외에 적용될 수 있는 FedRAMP 또는 ITAR 제한에 대한 데이터 주권 및 규정 준수를 지원합니다.

데이터 손실 방지 조치: Mattermost는 기본적으로 완전한 DLP 제품군을 포함하지 않지만, 관리자는 데이터의 무단 공유 또는 보존을 방지하기 위해 특정 제한을 적용할 수 있습니다. 예를 들어 공개 링크 공유 (파일용)를 비활성화하거나 제한하여 공유 파일이 신뢰할 수 없는 사용자에게 노출되지 않도록 할 수 있습니다. 파일 업로드 설정플러그인 허용 목록 을 통해 공유할 수 있는 파일 유형이나 허용되는 통합을 통제하여 정보 흐름 통제를 지원합니다(SC 3.13.4). 또한 푸시 알림 내용 을 메시지 텍스트를 생략하도록 구성할 수 있어 모바일 푸시 알림 사용 시 장치 잠금 화면이나 외부 서비스에 민감한 메시지 내용이 누출되지 않도록 할 수 있습니다. 더 고급 DLP의 경우 Mattermost의 개방형 API웹훅 을 통해 외부 DLP 솔루션이나 콘텐츠 필터링 시스템과의 통합이 가능합니다(예: 스크립트가 특정 키워드나 PII가 포함된 메시지를 탐지하고 제거할 수 있음). 이러한 조치는 AC 3.1.3 / SC 3.13.4에 따라 CUI의 흐름을 통제하고 인가된 채널에서 벗어나는 것을 방지하는 데 도움이 됩니다.

민감한 정보 통제: 시스템 전체 배너 는 "⚠️ 이 시스템에는 CUI가 포함되어 있습니다. 인가된 계정만 사용하세요. 모든 활동이 모니터링됩니다."와 같은 CUI 처리 공지를 표시할 수 있습니다. AC.L2-3.1.9, AT.L2-3.2.1, IR.L2-3.6.2 및 MP.L2-3.8.2를 지원합니다. 또한 채널별 배너 를 사용하여 CUI 또는 사고 대응 데이터가 포함된 채널에 플래그를 표시하고, 워크플로우 무결성을 강화하거나 데이터 공유를 제한할 수 있습니다. AC.L2-3.1.3, MP.L2-3.8.2, AU.L2-3.3.1/3.3.2 및 SC.L2-3.13.4를 지원합니다.

바이러스 백신 스캔: 시스템 무결성 요건(파일 악성 코드 스캔을 위한 SI 3.14.5)을 충족하기 위해 Mattermost는 바이러스 백신 도구와 통합할 수 있습니다. Mattermost에 업로드된 파일을 바이러스와 악성 코드로 스캔하는 ClamAV 플러그인 이 제공됩니다. 활성화되면 악성 파일을 탐지하고 격리하는 데 도움이 되어 사용자를 보호하고 악성 코드 탐지 및 보호에 관한 통제 의도를 충족합니다(SI 3.14.4 및 SI 3.14.5). 관리자는 또한 전체 시스템 무결성 유지의 일환으로 Mattermost 서버 호스트의 최신 보안 패치 유지 및 취약점 모니터링(SI 3.14.1/3.14.2)을 수행해야 합니다.

Mattermost 기능에 매핑된 모든 통제의 전체 목록을 보려면 트러스트 사이트 에 등록하세요.

라이브 데모 예약 또는 Mattermost 전문가와 상담 을 통해 귀 조직의 안전한 협업 요구에 맞는 맞춤형 솔루션을 알아보세요. 또는 1시간 미리보기 로 라이브 샌드박스 환경에 즉시 접근하여 직접 Mattermost를 사용해 보세요.