• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Reuters의 국제 IT 보안 책임자인 Simon Riggs 2008.01.15

Real-Time Security - SIMON RIGGS

Reuters Operations 국제 IT 보안 책임자로서 Financial 서비스를 담당하고 있으며, 런던에 거주하고 있다.

 


Reuters는 실시간 가격정보, 시장소식 그리고 거래 서비스 등을 금융업계에 제공하고 있다. 보통주, 일용품, 환율과 다른 분야에서 30만 명 이상의 전문가들이 Reuters가 제공하는 정보의 가능성과 신뢰성에 의존한다. 그것은 정보보안 서비스가 단순히 사업으로만 운영되어서는 안된다는 것을 보여 주는 좋은 예이다.


Reuters의 국제 IT 보안 책임자인 Simon Riggs는 내부 감사와 자문을 했던 경력을 가지고 있으며, 그의 보안에 관한 의견은 Reuters의 서비스 관리철학과 뜻을 같이 한다. 기본적으로 Riggs는 그의 보안팀이 보안상의 문제나 네트워크의 변화에 의해서 위험을 결정하는 것이 아니라 최첨단 모형을 사용해 IT 시스템과 비즈니스 과정에서 발견되는 위협요소들에 대해 미리 대책을 강구하기를 원한다.


Riggs는“나는 우리가 보안을 위한 보안을 해서는 안된다고 믿는 사람이다. 우리는 비즈니스를 운영하고 있기 때문에 보안을 해야 한다”고 말한다. Reuters 서비스 관리는 영국 ITIL의 기준에 근거한 엄격하고 최상의 업무처리 방법으로 진행하고 있다. Riggs는 또한 IT 보안의 국제적인 질서를 ITIL 최상의 업무처리 방법과 통합하려고 애쓰고 있다.


그는 “우리는 기술적인 부분에서 고객 서비스를 대대적으로 강조해 온 회사로서 서비스 과정들을 조직적이고 숙련된 방법으로 개선하여 운영하기 위해 열심히 노력하고 있다”고 Riggs가 말한다. Reuters의 고객들이 수백 번 또는 수천 번씩 검색을 해도 자료를 찾지 못하는 일이 벌어져서는 안된다. 그러므로 3만 개의 스위치와 라우터, 1300개의 이상의 방화벽으로 이루어진 기반시설이 복잡하게 연계되어 있는 시스템에서 실시간으로 자료를 제공하고 오래된 데이터베이스를 추적하는 작업을 안전하게 운영하고 있다.


표준화된 서비스 관리접근은 그런 통제하의 복합성 유지의 논리적인 수단일 뿐이다. 게다가 회사는 운영과 보안에 대한 우발적 사건, 문제, 구성, 관리과정의 변화 및 완화 등을 통합해왔다.


예를 들면 Reuters의 보안분석가들은 모든 보안관련 문제에 대해서 그것이 서비스의 장애가 있든지 없든지, 문제가 발생한 경우 서비스 중단과 왜 서비스가 회복되지 못하는지에 대한 관리행동의 근본 원인을 이해하기 위해 검사를 실시한다.


그의 팀이 근본 원인을 찾는 것은 그 정보를 향후에 발생할 수 있는 사건에 적용하고 완화시키기 위해서이다. Riggs의 팀은 이같은 모델링 테스트를 통해서 향후 주당 수백 건씩 발생할 수 있는 문제나 계획된 네트워크 변화로 인한 문제를 미연에 방지할 수 있도록 한다.


여러분은 방화벽이 항상 외부로부터의 침입을 막아주길 바란다. 만약, 방화벽이 그 기능을 못한다면 그건 방화벽 장비의 문제일까? 아니면 방화벽 프로그램의 문제일까? 또는 방화벽의 시스템 구성이 잘못되어 발생한 문제일까? Riggs는 “우리는 어떤 문제가 발생했을 때 그 상황을 확인하고 상황에 대해서 이해하며 나아가 문제가 발생할 수 있는 곳을 확인해 문제가 발생하기 전에 그 문제들을 해결해 나가고자 한다”고 말한다.


※4단계 계획

Simon Riggs는 통합된 운영과 보안에 새로운 방식과 분석기술, 보안과 위험평가에 대해 미리 예상하고 대책을 적용하기 위해 다음과 같이 4단계 접근을 제시한다.

1. 기반시설과 장치 및 자산들의 속성, 위치, 기능, 그리고 그런 자산들의 관리를 위한 카탈로그 리스트

2. 문제를 해결하기 위해서 미리 예상하고 대책을 세워라. 보안문제에 대한 자세한 근본 원인을 통해 회사 전체에 공통적으로 적용할 수 있는 전략적인 개선방법을 찾는다. 정교한 형식은 문제가 발생할 수 있는 부분을 잘 확인해 미리 대책을 강구할 수 있도록 한다.

3. 관리변화의 통제. 모델 네트워크를 통해서 네트워크의 변경을 적용하기 전에 이를 통해서 발생할 수 있는 위험의 영향을 입증할 수 있다.

4. ITIL 최상 수행의 통합으로 우발적 사건, 문제, 구성, 변화, 완화 관리를 위한 Reuters의 공정을 보안과 연계한다.

- Michael S. Mimoso

 

<글: Michael S. Mimoso>

 Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제87호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>