컴플라이언스와 보안은 비즈니스 솔루션을 요구하는 비즈니스 이슈

보안 커뮤니티에서는 흔히 컴플라이언스를 보안과 다른 존재라 비난한다. 그러나 문제는 컴플라이언스가 아니라 인증 받는다는 것의 의미에 대해 ‘추측’만하는 사업체에 있다. 현실 세계에서는 컴플라이언스와 보안 프로그램은 끊임없는, 지속적인 노력이다.

우리는 원하는 만큼 컴플라이언스에 대해 불평할 수 있다. 그러나 컴플라이언스는 자리를 잡았으며 더욱 복잡해질 것이다. 우리가 할 수 있는 최선은 그것을 받아들이고 우리의 컴플라이언스 및 보안이 최대한 서로, 그리고 사업 목표도 보완할 수 있는  프로그램을 설계하는 것이다. 이러한 노력을 위한 중요한 두 가지 단계가 있다.

첫 째는 감사원들을 교육하는데 더 많은 노력을 기울이는 것으로, 이로써 그들이 프로그램을 평가하는데 있어 그 역할을 더 잘 할 수 있도록 해야 한다. 수많은 감사원들은 통제가 효과적인지, 심지어 어디에 통제가 필요한지 규명할 수 있을 만큼 보안을 충분히 이해하지 못 한다. 이것은 심각한 문제다.

또 하나는 보안과 마찬가지로 컴플라이언스는 기술 문제가 아니라는 것을 이해하는 것이다. 이것은 비즈니스 솔루션을 필요로 하는 비즈니스 문제다. 지속할 수 있는 비즈니스 프로세스를 확립하라. 그렇게 되도록 사람과 기술을 적절히 이용할 수 있다면 당신은 컴플라이언스와 보안을 성취하게 된다. 일관적인 프로세스들이 오늘날의 거의 모든 컴플라이언스 틀의 기초다. 사실 컴플라이언스와 보안은 거의 모두 프로세스에 관한 것으로 기술은 그 다음 문제다. 다행스럽게도 프로세스를 수정하는 것은 전혀 복잡하지 않다. 세 가지 기본 원리만 유념하면 된다.

1. 역할 분리 : 예를 들어 지출 승인 권한과 체크 작성 권한을 두 개의 각기 다른 엔티티(entity), 또는 개인으로 조사함으로써 간소한 체크 및 밸런스 시스템을 만들어라. 고위험 환경에서 기업은 결탁을 방지하기 위해 역할을 로테이션 할 수도 있다.

2. 이해 필요 : 중요 정보에 대한 접근을 제한하라. 액세스 리스트의 정기적인 검토에 관한 프로세스를 확립하라. 민감한 애플리케이션에 대한 리뷰는 분기별, 또는 반년마다의 검토가 가장 무난하며, 어떤 직원이 직무를 변경했을 때 실제 업무 필요성과의 관련 이상으로 권한들이 기본값으로 보존되지 않는 것을 확실히 하기 위해 추가적인 리뷰 실시로 보강해야 한다.

3. 변경 관리(Change management) : 존재하는 시스템을 완전히 표시해 변경-과 비즈니스 연속성-에 관한 틀을 확립하라. 종종 고된 문서작업이 필요한 지겨운 것으로 인식되기도 하지만 변경 관리는 금융 시스템의 관리와 보호를 위한 핵심 통제 메커니즘이다. 감사원들은 견고한 변경 관리 실재의 가치를 높이 평가한다. 그것이 보다 매끄러운 감사의 결과를 가져오기 때문이다.

효과적인 변경 관리 프로세스는 질서정연하며 단순하다. 모든 시스템을 문서로 기록하고 변경에 필요한 단계들을 구체적으로 하며 감사 추적을 확립하라. 문서화는 비즈니스 시스템 탄력성 또는 재해 복구 방안을 위한 토대를 형성하는 추가적인 성과에 도움이 된다. 또한 위험을 식별하기 위한 리뷰 보드(review board : 검토 기구)를 생성하고 세부 내용을 결정하며 설명하라.

사업적 요구는 프로세스의 변화를 가져오며 컴플라이언스는 중요한 비즈니스 동기 요인이다. 비즈니스 프로세스를 변경할 필요가 있다면 변경하라. 컴플라이언스를 포용함으로써 보안 실무자들은 두 마리 새를 잡을 수 있다. 그로 인해 보다 적은 비용과 보다 신뢰할 수 있는 운영, 감사에 대한 소모시간과 비용 감소, 단체의 보다 커다란 심리적 여유 등의 이익을 얻게 된다.

<글·데이빗 모트맨(David Mortman) 에셜런 원(Echelon One) CSO>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 95호(info@boannews.com)]

        <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>