rsa · 2020. 9. 23. · rsa 솔루션이 역동적인 업무 환경의 위험에 대한 rsa 위험...
TRANSCRIPT
백서
역동적인 업무 환경 위험에 대응하는 RSA 위험 프레임워크
계속 변화하는 복잡한 업무 환경의 위험 관리
백서
2
소개 디지털 혁신이 전 세계 조직에서 이루어지고 있습니다. 조직의 신속한 기술 도입
과 비즈니스 프로세스의 통합으로 정의되는 디지털 혁신은 지속적으로 개선되
고 데이터의 도움을 받는 기술 모델을 제공하여 전략적 효율성과 기능을 확보할
기회를 창출합니다. 그 결과, 스마트하고 유용한 분석 정보를 바탕으로 경쟁업체
보다 더 빠르게 비즈니스를 전개하여 더 우수하고 혁신적인 제품과 서비스를 제
공할 수 있습니다.
디지털 혁신의 중요 요소 중 하나는 업무 환경의 특성이 변한다는 점입니다. 조직
은 원격 근무자 및 외근이 많은 근무자, 여러 세대로 구성된 팀, 정규직 근무자, 계
약직 근무자 및 임시직 근무자 등 인력 구성에서 활용 가능한 각종 옵션과 조합으
로 큰 혜택을 얻을 수 있습니다. 디지털 기술은 이러한 민첩성과 효율성을 제공할
수 있는 중요한 원동력이며, 오늘날의 기업을 이끌 수 있는 커뮤니케이션 및 협업
역량을 지원합니다.
그러나 역동적인 업무 환경은 모든 기능 영역에 영향을 미치므로 조직 전반에 걸
쳐 문제를 야기합니다. 특히 디지털 기술의 경우 인증 및 액세스 제어부터 데이터
프라이버시, 사이버 인시던트 대응에 이르는 중요한 활동의 복잡성이 대폭 증가
하기 때문에 역동적인 업무 환경을 보호하는 일이 더욱 어려워집니다. 이러한 복
잡성으로 인해 디지털 위험이 커지며, 결과적으로 역동적인 업무 환경이 비즈니
스 위험을 초래합니다.
예를 들어 클라우드 솔루션은 조직의 위협 모니터링 프로그램에 맹점을 유
발할 수 있습니다. 가상화된 애플리케이션과 컨테이너화된 애플리케이션을
LOB(Line-of-Business) 역할의 비 IT 직원이 일반적인 IT 프로세스를 무시하고
프로비저닝할 수도 있습니다. 서로 다른 클라우드 및 애플리케이션이 서로 다
른 ID 및 액세스 시스템에 의존하고 기업 시스템 및 기업 표준과 호환되지 않을
수 있습니다. 또한 다른 타사 관계로 인한 대부분의 위험이 동일하게 발생하므
로 개인정보 보호, 회복탄력성, 성능 및 보안(물리적 및 기술적 모두)을 고려해
야 합니다.
따라서 역동적인 업무 환경의 컴퓨팅에서 얻을 수 있는 이점과 발생 가능한 위험
을 반드시 비교하면서 판단해야 합니다.
이점 위험
유연성 – 작업 방식 통합
비용 – 계약직 및 임시직 근무자를
활용한 인력 구성 최적화
다양성 – 다양한 인력으로부터 아이
디어 확보
세계화 – 거주지에 구애받지 않는
채용
이동성 – 장소와 시간의 제약 없이
업무 가능
ID 수명주기 – 생성 및 관리해야 할 ID
수 대폭 증가
액세스 제어 – 여러 위치 및 디바이스에
대한 액세스를 설계하고 유지해야 하므
로 복잡도가 증가함
위협 탐지 및 응답 – 외근이 많은 근무자
의 IT 환경 보호
데이터 프라이버시 – 개인 정보 및 기업
IP를 어디서나 사용 가능
백서
3
모든 위험과 마찬가지로 역동적인 업무 환경의 위험도 이분법적으로 나눌 수 없습
니다. 즉, 역동적인 업무 환경의 컴퓨팅이 제공하는 모든 이점을 포기하지 않고는
이를 완전히 제거할 수 없습니다. 그러므로 역동적인 업무 환경의 위험을 식별하
고, 최소화하고, 지속적으로 관리하고, 역동적인 업무 환경 위험 프로그램의 성숙
도를 지속적으로 개선 및 유지해야 합니다.
이러한 요구를 해결하기 위해 RSA는 역동적인 업무 환경의 위험에 대한 RSA 위험
프레임워크를 구축했습니다. 다른 RSA 위험 프레임워크와 마찬가지로 고객 역량
을 충분히 평가하고 효과적으로 개선할 수 있도록 지원하는 성숙도 모델을 기반으
로 합니다. 자세한 질문을 사용하고 전문적인 분석을 적용하며 역동적인 업무 환
경 위험의 전체 요구 사항을 분석할 수 있는 수단을 제공합니다.
RSA 위험 프레임워크는 널리 통용되는 ISO 31000 및 NIST SP 800-161을 비롯
한 업계 위험 프레임워크와 NIST CSF(Cybersecurity Framework) 1.1 및 NIST
SP 800-61 Rev. 2, 컴퓨터 보안 인시던트 처리 가이드(CSRC)를 비롯한 사이버
보안 프레임워크를 기반으로 합니다. 그러나 역동적인 업무 환경에 대한 RSA 위
험 프레임워크는 널리 사용되는 표준을 능가하는 RSA의 심도 있는 경험(업계별
경험 포함)을 활용하여 고객이 모든 유형의 역동적인 업무 환경 관련 위험을 해결
하고 관리할 수 있도록 지원합니다.
그림 1: 역동적인 업무 환경에 대한 RSA 위험 프레임워크(간소화됨)
역동적인 업무 환경의 위험 과제역동적인 업무 환경은 조직의 운영 부문 및 기술 부문 모두에 근본적인 변화를
가져옵니다. 문화적으로 업무 환경은 세대 및 유형별로 저마다의 특성, 선호도 및
업무 스타일을 지닌 근무자로 구성된 변화하는 혼합체입니다. 베이비붐 세대는 X
세대 및 밀레니엄 세대와 함께 근무합니다. 그룹마다 개인정보 보호와 유연성에
대해 기대하는 바가 다르며, 각자 다른 기술을 활용하여 역량을 발휘합니다. 예를
들어, 전통적인 근무자는 대면적인 상호 작용과 이메일을 중요시하지만, 저연령
층의 근무자는 화상 회의 및 단문 메시지와 같이 “상용화된” 애플리케이션을 통
백서
4
해 작업하는 것을 선호합니다. 이로 인해 ID, 보안 및 위험 기능으로 관리되어야 할
작업 방식과 디바이스 수가 늘어납니다.
또한 근무자 혼합체의 구성 변화도 복잡성을 높입니다. 전통적인 정규직 고용 형태
는 확장되고 있으며, 경우에 따라 조건부(계약직) 인력, 그리고 동시에 또는 순차적
으로 여러 조직에서 근무하여 동적 워크로드 실행 시 탁월한 유연성을 제공하는
“임시직” 근무자로 대체되기도 합니다. 그러나 이로 인해 인증이나 데이터 프라이
버시와 같은 영역에서 고충과 위험이 증가할 수 있습니다.
또한 디지털 혁신 이니셔티브에 의해서도 복잡성과 위험이 늘어납니다.
BYOD(“Bring Your-Own-Device”) 전략은 지원해야 하는 디바이스 유형을 늘리
는 동시에 기업에서 관리하는 기존 디바이스보다 통제하기 어렵게 합니다. SaaS
애플리케이션은 이를 통해 거리 및 시간과 관계없이 협업을 강화할 수 있다는 점
에서 유용하지만, 사이버 보안 프로그램에 사각지대를 형성하고, ID 및 액세스 관
리의 복잡성을 높입니다.
실제로 역동적인 업무 환경의 위험으로 인한 바람직하지 못한 결과가 매일 대서특
필되고 있습니다. 2013년 미 NSA(National Security Agency)에서 근무하는 계약
직 직원 Edward Snowden은 NSA에서 발급한 자격 증명을 이용해 훔친 수천 개의
기밀 문서를 공개했습니다.1 주로 클라우드 애플리케이션용인 이러한 탈취된 자격
증명은 국가 차원의 지원을 받는 해커부터 사이버 범죄자까지 악의적인 공격자가
꾸준히 애용하는 기법입니다.2
다시 말해 기업이 역동적인 업무 환경의 이점을 활용할 수록 이러한 전략으로 인한
위험도 증가합니다. 이러한 위험의 수, 복잡성 및 속도는 이를 효과적으로 추적하
고 대응하기 어렵게 합니다. 또한 제공 제품 및 서비스의 품질이 요구 기준을 지속
적으로 충족할 수 있도록 역동적인 업무 환경을 감독하는 일이 점점 더 중요해지
고 있습니다.
RSA는 다음 세 가지 주요 위험 요인을 “3M”이라고 칭합니다. 이는 Modernization
(현대화, 디지털 혁신), Mandate(의무, GDPR 및 기타 개인정보 보호법 등) 및
Malice(악의, 숙련되고 풍부한 리소스를 보유한 공격자)입니다. 역동적인 업무 환
경의 위험은 이 세 가지 요소 모두의 영향을 받습니다.
추적해야 할 관계가 너무 많기 때문에 역동적인 업무 환경 거버넌스의 복잡성을 이
해하고 관리하기가 어려울 수 있습니다. 대부분의 조직이 이러한 복잡성에 대처하
기 위한 인력 또는 리소스를 유지하는 데 어려움을 겪고 있습니다.
역동적인 업무 환경에서는 책임이 조직 내 여러 팀으로 분산되어 있기도 합니다.
역동적인 업무 환경의 위험이 모든 LOB(Line of Business)에서 일관되게 식별, 진
단, 처리 및 모니터링되지는 않습니다. 팀마다 서로 다른 측정 방식, 제어 수단 및
1 http://www.vanityfair.com/news/politics/2014/05/edward-snowden-politics-interview2 https://www.securityweek.com/compromised-credentials-primary-point-attack-data-breaches
백서
5
보고 방법을 통해 서로 다른 “언어”로 위험에 대해 이야기합니다. 그 결과, 역동적
인 업무 환경의 위험 및 성과의 “실체”를 알 수 있는 단일 소스를 찾기가 어려워집
니다. 역동적인 업무 환경의 위험에 대한 전사적 가시성이 결여되면 경영진 정보
에 입각한 비즈니스 의사 결정을 내리는 데 필요한 제대로 된 정보를 얻을 수 없
습니다.
역동적인 업무 환경의 위험에 대한 RSA 위험 프레임워크역동적인 업무 환경의 위험에 대한 RSA 위험 프레임워크는 RSA RCAP(Risk &
Cybersecurity Advisory Practice)의 Professional Services 오퍼링입니다. 모든
RSA 위험 프레임워크와 마찬가지로 이 서비스는 사이버 인시던트 위험 및 타사 위
험, 역동적인 업무 환경 및 멀티 클라우드 환경의 위험 등 현재 이사회가 직면한 특
정 주요 문제를 해결하는 비즈니스 중심의 컨설팅 모델을 제공합니다.
RSA Advisor는 조직이 현재 위험 관리 준비 상태를 진단하고, 신속하고 지속적인
개선을 위해 맞춤 구성된 전략을 구현할 수 있도록 지원하는 툴 및 환경을 제공합
니다.
그림 2: RSA Professional Services 개요
RSA Advisor는 역동적인 업무 환경의 위험에 대한 RSA 위험 프레임워크를 활용
하여 조직이 프로그램과 프로세스를 발전시켜 역동적인 업무 환경의 위험을 명
확하게 파악하고, 효과적으로 최소화하고, 지속적으로 관리할 수 있도록 지원합
니다. 이 프로세스는 역동적인 업무 환경의 모든 요소와 관련된 위험의 진단과 관
리라는, 어렵지만 중요한 작업을 대상으로 합니다.
이러한 위험은 점점 더 상호 연결되는 환경을 주도하는 디지털 혁신 및 세계화와
함께 커집니다. 최고 수준의 운영 능력을 지닌 뛰어난 조직조차도 규정 준수 위반,
데이터 침해, 부정 행위, 비즈니스 중단 및 평판 훼손 등 역동적인 업무 환경의 문
제로 인해 발생하는 비즈니스 영향에 직면하고 있습니다.
모든 RSA 위험 프레임워크와 마찬가지로 DWRP(Dynamic Workforce Risk
Practice)는 CEO와 이사회 구성원의 관점을 지원하는 성숙도 모델을 사용하여 조
직의 기존 기능적 한계를 능가하는 접근 방식을 통해 위험 관리에 대한 기업의 현재
준비 상태를 진단할 수 있도록 지원합니다.
백서
6
RSA Dynamic Workforce Risk Assessment는 다음을 제공합니다.
• 역동적인 업무 환경 구축과 관련된 비즈니스 목표와 목표를 심층적으로 이해
하기 위해 주요 비즈니스 이해 관계자와의 인터뷰 수행
• 업계 모범 사례와의 비교를 비롯하여 상태 프로그램의 현재 상태와 역동적인
업무 환경의 위험 프로그램에 대해 원하는 상태 간의 격차 분석
• 지속적으로 관리하고 최소화해야 할 위험 유형과 역동적인 업무 환경 제어, 인증
및 위험 관리 프로세스를 추적할 프로세스 식별
• RSA에서 독자적으로 제공하는 역동적인 업무 환경에 대한 위험 관리 프로그램
수치화 모델을 관리하여 역동적인 업무 환경을 공급하는 업체의 문제로 인한
잠재적 결과로부터 발생하는 현재의 위험에 대한 기준 마련
• 고객 산업, 비즈니스 목표 및 위험 허용 범위와 관련된 역동적인 업무 환경에 대
한 위험 관리 프로세스의 장단점 평가
• 원하는 수준으로 역동적인 업무 환경에 대한 위험 관리 프로그램의 성숙도를
높이는 데 활용할 수 있는 로드맵을 개발하고, 이 로드맵을 발판으로 가치 실
현 시간 단축
• 이해 관계자에게 결과 분석 정보 제공
역동적인 업무 환경의 위험에 대한 RSA의 자문 서비스를 통해 고객은 관련 범주
에 대한 위험 관리 성숙도를 명확히 이해하고, 위험을 식별, 최소화 및 관리하는 역
량을 가장 효과적으로 발휘할 수 있습니다. 또한 고객은 진화하거나 증가하는 위
험에 직면한 상황에서도 주요 영역의 성숙도를 높이고 이미 확보한 역량을 유지할
수 있는 전략적 로드맵을 수립할 수 있습니다.
대부분의 조직은 RSA를 통해 역동적인 업무 환경에 대한 위험 프레임워크를 적
용하여 4주에서 12주 이내에 그 영향을 입증할 수 있습니다. 최종 결과물의 인
터뷰 및 프레젠테이션이 포함된 일반적인 진단 및 격차 분석에는 2~3명의 RSA
Professional Services Advisor로 구성된 팀이 필요하며, 환경의 복잡성과 규모,
필요한 인터뷰 및 설문조사 분량에 따라 달라질 수 있습니다. 이 모델은 10~12개
의 인터뷰와 온라인 진단 구성 요소를 가정합니다.
작동 방식역동적인 업무 환경에 대한 RSA 위험 프레임워크를 다르게 표현하여 모델의 다
양한 측면을 강조합니다. 그림 2는 역동적인 업무 환경 위험의 네 가지 주요 영역
(생태계, 거버넌스, ID 및 규정 준수)에 대한 성숙도 지표를 보여 줍니다. 이러한 범
주 및 등급의 이면에 있는 정교한 점수 산정 시스템을 통해 조직은 모든 영역에
대한 성숙도를 진단하고, 기업의 위험 허용 범위를 바탕으로 초기 점수를 산정할
수 있습니다. 그런 다음, 이 점수를 기준점으로 사용하여 투자 우선 순위를 정하
고 전략을 조정하며 역동적인 업무 환경에 대한 위험 관리를 개선하는 기타 조치
를 취할 수 있습니다.
백서
7
그림 3: 역동적인 업무 환경에 대한 RSA 위험 프레임워크의 범주
• 거버넌스 – 정책, 프로세스, 절차 및 툴을 통합하는 지속적인 프로세스
• ID – 모든 사용자 및 작업 방식에 대한 ID 및 액세스 관리(예: 1단계, 다단계, 본
인 인증)
• 개인정보 보호 – 분류 기준 및 데이터 상주 요구 사항의 정의 및 적용
• 데이터 – 데이터 소유에 대한 역할과 책임을 확립하고 취약성 분석 프로세스
및 위협 분석 프로세스를 중앙 집중식으로 적용
• 시스템 – 엔드포인트를 모니터링 및 관리하고 동작 분석을 적용하여 비정상적
인 사용 패턴을 탐지하는 시스템에 대한 역할과 책임 확인
가장 성숙도가 높은 조직에서는 운영 효율성을 실현하여 역동적인 업무 환경의
보안을 최적화하고 비즈니스 위험을 최소화합니다. 이러한 작업은 역동적인 업무
환경에 대한 전체 위험 영역의 IT 및 비즈니스 위험 기능을 조정하고 통합하는 방
식으로 이루어집니다. 성숙도의 다른 특징으로는 주요 프로세스의 자동화, 고급
분석 기능, 그리고 인시던트 관리 수명주기와 같은 요소의 지속적인 개선이 있습
니다.
역동적인 업무 환경에 대한 RSA 위험 프레임워크 서비스는 각 모델 수준에 존재하
는 기능 유형을 진단합니다. 대부분의 경우, 성숙도는 수동 프로세스에서 사일로화
된 디지털 프로세스를 거쳐 고도로 자동화된 통합 프로세스에 이르면서 향상됩니
다. 성숙도가 중간 정도인 조직은 통합되지 않은 포인트 솔루션 및 오픈 소스 또는
무료 툴과 함께 스프레드시트 또는 온라인 툴을 활용하는 경향이 있습니다. 이 접
근 방식의 문제는 위험 환경에 대한 종합적인 가시성을 거의 제공하지 않으며 일반
적으로 느리고 불완전한 대응을 제공한다는 점입니다. 오늘날의 역동적인 업무 환
경에 대한 위험 프로그램 내에서 분석 정보, 가시성 및 플레이북을 활용하지 못하
면 조직은 전략적 불이익을 받게 되고, 이로 인해 위험이 문제를 초래할 가능성이
커지며, 이 문제가 상당한 부정적인 영향을 미칠 수 있습니다.
백서
8
RSA 솔루션이 역동적인 업무 환경의 위험에 대한 RSA 위험 프레임워크에 매핑되는 방식 RSA는 서로 다른 IT 보안 및 비즈니스 위험 기능을 통합하고, 성숙도 모델을 개선
하고, 위험을 줄일 수 있는 다양한 제품 및 Professional Services 포트폴리오를
제공합니다. 그림 4에서 볼 수 있듯이, RSA Risk and Cyber Security Practices
및 RSA 제품군은 거버넌스, ID, 개인정보 보호, 데이터 및 시스템 등 역동적인 업
무 환경에 대한 성숙한 위험 관리의 모든 영역을 다룹니다.
그림 4: RSA 솔루션 매핑
RSA RCAP(Risk & Cybersecurity Advisory Practice)는 디지털 위험 관리의 핵
심 구성 요소에 대한 포괄적인 방침으로, 고객이 위험으로부터 보호하고 규정 준
수를 보장하며 비즈니스 목표를 가속화하는 솔루션을 구현할 수 있도록 지원합
니다. RCAP는 다음으로 구성됩니다.
• RSA Risk Management Practice를 통해 조직은 지속적인 위험 개선에 대한
역량을 발전시키고, 역동적인 업무 환경의 위험을 줄이는 데 도움이 되는 위험
프로그램을 효과적으로 조율하고, 이를 확인된 비즈니스 허용 한도에 맞출 수
있습니다.
• RSA ACD(Advanced Cyber Defense) 및 RSA IR(Incident Response)은 각각
조직이 효과적인 사이버 방어 시스템을 설계 및 구축하고, 공격에 대응할 수 있
도록 지원합니다. 전 세계에 걸친 수천 건의 사전 예방적이고 사후 대응적인 참
여를 통해 축적된 업계 전문 지식입니다.
• RSA Identity & Assurance Practice를 통해 조직은 시스템에 대한 역동적인
업무 환경의 액세스와 관련된 두 가지 큰 문제를 해결할 수 있습니다. 인증은
사용자 또는 리소스의 ID를 지속적으로 검증하는 프로세스이며, ID 거버넌스
는 특정 ID로만 액세스할 수 있도록 제한합니다.
백서
9
RSA 제품 솔루션은 조직이 통합 위험 관리, 위협 탐지 및 대응, ID 및 액세스 관리
의 주요 영역을 다룰 수 있도록 지원하는, 업계를 선도하는 소프트웨어 툴입니다.
여기에는 다음이 포함된다.
• RSA Archer® Suite는 IRM(Integrated Risk Management)을 제공하여 실제 비
즈니스 위험에 대한 가시성과 통찰력을 높이고 조직이 위험 관리 수명주기 동안
더 나은 의사 결정을 내릴 수 있도록 지원합니다.
• RSA NetWitness® Platform은 SIEM(Security Information and Event
Management) 및 위협 방어 솔루션으로, 비즈니스 위험 컨텍스트를 보안 위
험에 맞게 조정하여 보안 팀이 전체 공격 범위와 이와 관련된 위험을 신속하게
탐지하고 파악할 수 있도록 지원합니다.
• RSA SecurID® Suite는 합법적인 사용자가 빠르고 쉽게 자신을 식별할 수 있
도록 하는 동시에 무단 사용자가 네트워크 및 기타 리소스에 액세스할 위험을
최소화하여 비즈니스를 촉진합니다.
결론역동적인 업무 환경의 위험에 대한 RSA 위험 프레임워크는 역동적인 업무 환경
에 대한 위험 영역의 IT 및 비즈니스 위험 기능을 통해 제공된 정보에 입각하여
성숙한 비즈니스 중심 전략을 개발할 수 있는 성숙도 모델을 제공합니다. 조직은
RSA 포트폴리오의 제품 및 솔루션을 적용하여 뛰어난 수준의 성숙도로 모델을
완전히 활용할 수 있습니다. 이를 통해 매출 및 임무, 평판 및 규정 준수에 대한 위
험을 줄이는 동시에 이들의 수준을 높일 기회를 안전하게 추구할 수 있습니다.
위험 프레임워크를 사용하여 조직의 위험 관리 전략을 진단하고 최적화하는 방법
에 대한 자세한 내용은 rsa.com/ko-kr/risk-frameworks를 참조하시기 바랍니다.
RSA 소개RSA® Business-Driven Security™ 솔루션은 통합된 가시성, 자동화된 분석 정보
및 조율된 작업에 따라 디지털 위험을 관리하는 통합된 접근 방식을 조직에 제공
합니다. RSA 고객은 신속한 감지 및 대응, 사용자 액세스 제어, 소비자 부정 행위
방지 및 통합 위험 관리를 위한 솔루션을 통해 혁신적인 변화를 추진하고 이러한
변화에 지속적으로 적응할 수 있습니다. 자세한 내용은 rsa.com/ko-kr을 참조하
시기 바랍니다.
©2020 RSA Security LLC or its affiliates. All rights reserved. RSA 및 RSA 로고는 미국 및 기타 국
가에서 RSA Security LLC 또는 해당 계열사의 등록 상표 또는 상표입니다. 기타 모든 상표는 해당 소
유주의 상표일 수 있습니다. RSA는 본 문서의 정보가 정확한 것으로 간주합니다. 이 정보는 예고 없이
변경될 수 있습니다. 09/20, 백서, H17649-1 W386667.