10년 전, 산업이 규제되는 것은 상당히 예외적인 일이었다. 그러나 오늘날에는 규제되지 않는 산업이 예외적이다. 사실 대부분의 회사들은 처리해야하는 다수의 규제 요건 사항 세트를 갖고 있는 형편이다.

규제의 부담이 늘어남에 따라 사업체들은 점점 더 복잡해지는 가버넌스의 생태계 속에 놓인 자신들을 깨닫게 되었다. 즉, 업체는 업체의 보안 요건 사항과 관련해 계약자들과 고객들의 컴플라이언스를 보장하기 위해 그들을 감사하고 해당 업체의 서비스를 이용하는 회사들이 그 업체를 감사한다는 것이다.

업체들이 그들의 고객들과 관련된 계약상의 통제들뿐만 아니라 컴플라이언스와 관련된 보안 통제를 구현함에 따라 업체들은 관리해야 할 보안 통제의 영구적인 복잡한 리스트를 제품에 끼워 넣었다. 그러나 이러한 통제와 규제, 계약상의 책임의 생태계 속에서의 리스크를 결정한다는 것은 불가능에 가깝다.

하지만 IT 가버넌스·리스크·컴플라이언스(GRC:Governance, Risk and Compliance) 툴은 기업이 이러한 과제들을 충족시킬 수 있도록 돕는다고 장담한다. 또한 기업이 더욱 현명한 리스크 결정을 하고 기업의 컴플라이언스 노력을 관리하며 보안 인지에서부터 기술적인 통제에 이르기까지 기업의 보안 프로그램에 관한 모든 것을 제어하는데 도움을 준다고 공언한다.

GRC가 최신의 정보 보안 용어임에도 불구하고 이러한 제품들 상당수가 기업의 정책 거버넌스,  리스크 관리, 컴플라이언스 요구를 처리한다며 과도한 선전을 하고 있다.

그러나 대부분은 공언한 것의 일부만 수행하고 있으며 이 시장의 모든 툴은 동일한 사업 과제를 해결하기 위해 자체적으로 집중하고 있는 부분, 발달 분야, 전략을 갖고 있다. 이에 어떤 접근 방법이 당신의 단체에게 적합한지 파악하는데 도움이 될 수 있도록 세 개의 GRC 제품을 자세히 살펴보고자 한다.

아처 테크놀로지(Archer Technologies)의 SmartSuite Framework 4.1, 시만텍(Symantec)의 Control Compliance Suite 8.60, Modulo의 Risk Manager 5.0은 집중 분야, 적용 범위, 기술면에서 전혀 다른 제품들이다.

우리의 목표는 목적을 달성하기 위한 그 어떠한 특별한 기술적 전략에도 치우치지 않으면서 GRC의 약속에 초점을 맞추는 테스트를 생성하는 것이었다. 우리는 GRC의 중심, 즉 제품의 성능을 다음과 같이 테스트하고자 했다.

●가버넌스(Governance) - 적절한 기술적, 비기술적 통제 운영을 평가하여 통제가 부족하거나 적절히 운영되지 않는 분야를 완화/치료

●리스크(Risk) - 회사 내 리스크의 수량화, 분석, 완화 촉진

●컴플라이언스(Compliance) - 맵 정책 생성 및 배포, 관리 규제에 대한 통제뿐만 아니라 그러한 정책 및 규제에 대한 예외를 추적

GRC 제품을 구매하는 것은 어렵다. 때문에 우리는 기업의 요구 사항 범위, 제품 특성상 불가피한 고비용, 제품의 달라지는 발달 수준을 충분히 예상하기 위해 실제 도입 시나리오에 의존한 유연한 테스트 접근 방법을 고안했다. 이를 위해 가장 먼저 대부분의 단체들이 전형적으로 GRC 제품을 사용하고 도입하는 방법을 모사하는 가상 시나리오를 만들고자 했다.

우리는 어떠한 단체라도 직면하게 되는 규정, 감독, 기술적 과제들과 해당 제품이 전형적인 도입 컨텍스트 내에서 어떻게 이러한 과제들을 해결하는 방법을 만들어내기 위해 실생활 경험과 페인 포인트(pain point)를 이용했다. 특히, 우리의 목표는 GRC의 “약속”을 테스트하는 것이었다.

<글·에드 모일(Ed Moyle)/다이애나 켈리(Diana Kelley)>

Copyright ⓒ 2006 Information Security and TechTarget

[정보보호21c 통권 96호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>