GRC, 컴플라이언스 컨트롤러

세 개의 GRC 제품을 통해 이러한 툴이 어떤 뚜렷한 방법으로 기업들이 복잡한 규제 게임을 헤쳐 나갈 수 있게 해주는지 살펴본다.

Archer

Archer의 강점

정책 관리가 정말 강력한 스위트다. 스마트스위트(SmartSuite)가 실제 단체 내에서 어떻게 사용될지 테스트하기 위해 우리가 가상으로 만든 회사의 규제 요건 사항에 제휴할 수 있는 정책을 생성하고자 했다.

그러나 그럴 필요가 없었다. Archer는 수많은 규제 프레임워크에 대해 사전에 만들어진 표준 정책을 갖추고 있다. Archer는 금융 서비스 분야에 뿌리를 두고 있기 때문에 FTC 16 CFR Part 314(GLBA)나 FFIEC 정보보호 가이드(Information Security Booklet)와 같은 관련 특정한 요건사항들에 대해서 당황할 일이 없었다.

심지어 COBIT이나 ISO 17799(여전히 숫자 작업이 필요하기는 하지만)와 같은 보다 많은 일반적인 가이드뿐만 아니라 의료에 관한 HIPAA나 소매업에 관한 PCI와 같은 기타 업계 규제들에 관한 특정한 가이드도 반가울 정도였다.

주요 정책들을 이해하는 것이 상당히 쉽기는 하지만 대부분의 회사들은 그들의 요건 사항을 반영하기 위해 그 정책들을 수정할 필요가 있을 것이다. 에디트 기능으로 Archer가 제공하는 정책을 직접 수정할 수도 있지만 그보다는 Archer의 약간 복잡한 대안을 사용하는 것이 바람직하다.

문제는 주요 정책에 대한 Archer의 주기적인 업데이트(및 규제 프레임워크에 대한 매핑)가 당신이 주요 정책에 대해 직접 변경했던 모든 커스텀과 중복될 것이라는 점이다. Archer는 정책을 수정하는 대신 커스터마이즈된 텍스트로 새로운 정책 명령문을 만들고 그것을 주요 정책에 링크시켜 새로운 명령문을 나타내기 위해 당신 회사의 뷰를 업데이트 할 것을 권장한다.

커스텀 정책이 규제 요건사항에 대한 변경과 같은 업데이트들을 반영하고 있는지 확인하기 위해 주기적으로 재방문할 필요가 있을 것이라는 것이 결론이다. 그럼에도 불구하고 예외 사항을 생성하기가 쉽고 비교적 간단하다.

그저 예외와 관련된 컨트롤을 선택하고 그 이슈를 처리하기 위해 보완 통제와 함께 정보를 입력하기만하면 된다. 워크플로우는 사용자 엔트리부터 정보보호 리뷰에 이르기까지 예외를 허용하며 만료에 관한 승인과 타임프레임을 지속적으로 추적한다.

리스크 관리 기능이 간단하다. 에셋 모듈을 통해 들어온 엔티티에 대해 리스크를 지정하고 수많은 다양한 리스크 벡터를 따라 그 엔티티를 평가하면 된다. 일례로 우리는 새로운 애플리케이션을 생성하기 위해 에셋 모듈을 사용했고 초기 비즈니스 임계량뿐만 아니라 리스크 프로파일(높음, 중간, 또는 낮음)을 지정했다. 이로써 우리는 암호기법을 채택했는지의 여부와 같은 관심사들이 어떻게 실행되었는지 판단하기 위해 에셋에 대한 질의를 적용할 수 있었다.

이러한 질의의 대상이 된 특정한 통제들은 애플리케이션의 전반적인 리스크에 영향을 끼치며 취약성, 암호화 통제, 접근 통제 등과 같은 요소들을 포함한다. 질의에 대한 반응은 애플리케이션에 속한 전반적인 리스크와 정확히 일치한다. 워크플로우는 적합한 직원들이 서브미션을 검토하며 그것이 전혀 적합하지 않을 경우 경고를 받는다는 것을 보장한다.

SmartSuite를 사용함에 있어 일반적으로 업체 지식 기반이나 기타 서포트 포털로 얻을 수 있는 것보다 Archer 커뮤니티가 훨씬 뛰어나다는 것을 알게 되었다. 이 커뮤니티에서 사용자들은 서로 상호작용 할 수 있고 Archer 엔지니어링 팀에 문의할 수도 있으며 제품의 사용과 설정에 관해 광범위한 교육을 받을 수도 있다.

Archer의 약점

이 제품은 정책과 리스크 관리 면에서 뛰어난 반면 보다 기술 중심적인 부분들은 다른 제품들만큼 자동화되어있지 않다. 자동발견 기능이 없어 스프레드시트를 서브밋(submit)함으로써 에셋을 추가할 수 있다. 이것은 많은 단체의 요구를 만족시킬 수는 있겠지만 광범위한 자산 인벤토리를 갖고 있는 보다 대규모의 회사들은 이 프로세스가 에러가 발생하기 쉬우며 유지하기 어렵다고 느끼게 될 수 있다.

기술 통제 모니터링도 또한 다른 경쟁자들만큼 자동화되어있지 않다. Archer는 자동 취약성 평가 툴(예 : Qualys) 간의 링크를 생성하는 방법에 관한 지침을 제공하지만 자동 취약성 평가가 전반적인 그림을 보여주지는 않을 것이다. 기타 취약성 평가 스캐너, IPS, SIEM 등과 같은 추가 툴의 통합도 뛰어나지는 않지만 유연한 API을 사용함으로써 파일과 데이터베이스 등의 피드를 사용해 커스텀 데이터 소모 애플리케이션을 만들 수 있다.

따라서 하나의 훌륭한 기능으로 위협 데이터의 커스텀 엔트리와 더불어 iDefense나 DeepSight와 같은 수많은 위협 공개 소스로부터 정보를 관련시킬 수 있을 것이다.

Archer가 정책관리에 무게를 둔 반면 시만텍의 Control Compliance Suite 8.60(CCS)은 기술 통제의 관리와 모니터링에 깊은 관심을 기울이며 네트워크 발견, 호스트 기술 설정의 자동 확인 등과 같은 다양한 기능을 제공한다.

데이터베이스를 정보 서버로 동일한 박스에 호스트할 것인지, 혹은 데이터베이스를 위해 각기 다른 박스를 사용할 것인지에 따라 이 소프트웨어를 독립적, 또는 엔터프라이즈 모드로 설치할 수 있다. 또한 웹 포털을 마이크로소프트 IIS와 통합하여 사용하고자 한다면 엔터프라이즈 모드가 적합하다. 우리는 이 제품을 엔터프라이즈모드로 설치했고 이것은 웹 포털에 엑세스할 수 있도록 해주었으며 원격 데이터베이스와 원격 데이터 수집을 지원했다.

시만텍

시만텍의 강점

정책 생성 인터페이스에 관해 처음에는 회의적이었지만 정책을 작성하기 위해 이것을 사용하는 것은 초반의 어려움에도 불구하고 간단했다.

우리는 정책을 생성하고 기존의 정책을 마이크로소프트 워드 문서에서 가져와 CCS 웹 포털에 공개할 수 있었다. 이 툴은 Archer와 상당히 유사한 방식으로 정책 생성 워크플로우를 지원해 승인 전까지 공개를 연기하고 새 버전이 생성될 때까지 기록된 아카이브를 유지할 수 있게 해준다.

Archer가 제공하는 주요 정책의 종류를 잊어버릴 정도였다. 시만텍은 다수의 샘플 정책들(템플릿)을 가지고 있었으나, 우리 자체의 정책을 가져오거나 정책 임포트 및 생성 툴을 사용해 스크래치로부터 새로운 정책을 생성하는 것이 템플릿을 커스터마이징하는 것 보다 시간이 절약된다는 것을 알게 되었다.

정말 뛰어난 기능 하나는 컴플라이언스 프레임워크와 CCS가 제공하는 규제들에 대한 정책을 매핑하기 위해 제공되는 유연성(flexibility)이었다. 이 메커니즘은 매핑 에디터로, 마이크로소프트 액세스의 관련 매니저 기능을 연상시킨다. 어떻게 사용하는지 이해하는데 시간이 좀 걸리기는 했지만 매핑 에디터는 정책, 프레임워크, 규제 항목들을 연결시키는데 있어 상당한 유연성을 제공한다. 이러한 연결을 시각적으로 보여주는 기능은 분명 “멋진 요소”이다. 물론 이것이 유연한 접근법이긴 하지만 이것은 유지하기 위해 어느 정도의 수동 작동을 필요로 한다. 이 툴의 정책부의 중용을 추구하는 기업이라면 완전 도입을 준비하는데 더욱 시간을 쓰게 될 것이다.

CCS는 기술 통제에 매우 강력하다. 이 제품은 수많은 기술 표준 팩을 갖추고 있어 경쟁 장치들을 비교하는데 벤치마크로 사용될 수 있다. 표준 팩은 NSA 설정 가이드나 CIS 설정 벤치마크와 같은 친근한 소스 자료들을 이용한다.

기술 정보 수집은 원격 프로파일링을 위해 수많은 장치들을 지원한다. CCS는 다양한 윈도우 버전이나 유닉스와 리눅스의 다수의 특징들과 같은 다양한 종류의 플랫폼에 걸쳐 에이전트, 또는 에이전트 리스 복구 데이터를 사용할 수 있다.

이 제품은 또한 상대적으로 평가하고 적절한 패치들이 적용되어있는지, 적절한 설정 단계를 밟았는지 보장하기 위한 벤치마크 표준을 상당수 갖추고 있다. 이와 더불어 CCS의 네트워크 매핑 성능으로 장치 자동 발견이 가능하다.

CCS가 매우 강력하게 기술 통제 허가를 수행할 것으로 기대했으나 정책과 리스크 관리에서 동등하게 잘 수행하는 제품에 대해 준비되어있지 않았다. 그러나 이 제품이 다양한 버전의 COBIT, FDA 규정, FISMA, HIPAA, NERC(북미신뢰도위원회, North American Electric Reliability Corp.)의 가이드, NIST SP 800-53이 모두 포함된 기술 표준과 규제 프레임워크를 갖추고 있다는 것은 만족스러웠다.

시만텍의 약점

CCS가 주력하는 분야가 가버넌스와 기술 컴플라이언스이기는 하지만 리스크 부분이 사용하기 어렵다는 것이 확인되었다. 기술적 리스크는 기술 보안 통제 평가를 통해 CCS 콘솔 내에서 직접 평가된다.

CCS로 컨텐트 팩을 사용하는 시만텍의 질의를 나타내거나 자체적인 질의를 생성할 수 있다. 우리는 애드 혹(ad hoc) 업체 평가를 생성하기 위해 툴을 사용했고 그 프로세스가 힘들다는 것을 확인했다.

각각의 질의는 어떤 질문이 첨부되는지에 대한 트리 뷰로 표현된다. 질문들은 단일, 또는 다중 선택 답변 등을 필요로 할 수 있다. 질의를 생성하는 것은 수많은 커스터마이즈된 답변(예스/노 질문에 적합한 템플릿이 드물게 우리가 필요한 답변을 주었다)의 수동 입력을 요구했다.

질의가 완료된 후 각각의 질문과 답변 선택에 중요도를 지정하기 위해 마법사를 사용했다. 전부 합하여 이 프로세스로 20 문항을 생성하는데 한 시간 가량 소요됐다. 만일 이 기능을 확대 사용할 계획이라면 스크래치로부터 커스터마이즈된 질의를 생성하기보다는 주요 질의를 제공하는 컨텐트 팩 사용을 권하고 싶다.

Modulo

GRC 분야의 많은 업체들은 모든 이들에 대한 모든 것이 됨으로써 “일을 벌이는” 접근법을 취하려고 하고 있다. 그러나 Modulo는 그렇지 않다. 이것은 Archer의 컴플라이언스 프레임워크 생성이나 정책 중심 기능을 갖고 있지 않으며 Symantec의 기술 통제 확인 성능도 갖고 있지 않다.

그 대신 이름에 걸맞게 Modulo의 Risk Manager는 거의 오로지 GRC 오차의 리스크 측면에 초점을 맞춘다. 기타 GRC 분야의 기능은 오직 리스크 관리 임무를 지원하기 위해 작동한다.

Risk Manager는 웹 프런트 엔드를 갖고 있지 않으며(그러나 웹을 통해 질의를 제출할 수 있다) 다양한 기능을 구현하기 위해 다수의 클라이언트 사이드 애플리케이션에 의존하고 있다.

인스톨 프로세스는 처음부터 상당한 문제를 안겨주었다. 연구실 기계 중 우리가 설치를 하려고 했던 처음 몇몇 기계들의 불충분한 RAM으로 설치 실패가 유발되었다(테스트 기계는 수동으로 지정되는 더블 메모리를 갖고 있었다). 그러나 Modulo 엔지니어의 도움-및 권장 사항 이상으로 업그레이드 된 하드웨어-으로 설치를 완료할 수 있었다.

Modulo의 강점

Risk Manager로 기업들은 스스로를 트리 뷰로 표시되는 하나 혹은 그 이상의 “단체”로 분류할 수 있다. 이것은 액티브 디렉토리, 자산 스프레드시트/데이터베이스로부터, 그리고 수동 엔트리로 정보를 가져옴으로써 이 뷰를 자동으로 차지한다.

이것의 실제적인 힘은 단체 내-프로세스, 애플리케이션, 기술 구성, 시설-의 모든 자산을 분류하고 각각 리스크 레벨로 연관시키며 자산 별로 구현된 통제를 지속적으로 추적하는 능력에 있다.

또한 증거와 특정한 답을 연결시킬 수 있다. 예를 들어 인증에 관한 질의에 대한 대응을 지원하기 위해 정책의 형태, 패스워드 글자를 제어하는 적절한 그룹 정책 대상의 익스포트 등으로 증거를 첨부할 수 있다.

질의와 증거를 연관짓는 이러한 기능은 제어 정책의 존재만 확인하는 것이 아니라 특정한 통제에 관한 증거를 요구하는 감사원들을 만족시킬 것이다.

감사원들은 질의 결과를 토대로 특정한 자산에 관해 치료 계획을 생성하는 기능을 높이 평가하게 될 것이다. 범위 내의 모든 자산을 위해 제공되는 치료 가이드는 간결하지만 면밀하다.

Risk Manager는 여타 제품들과 다른 방식으로 업체들의 가버넌스와 대외 관계들 용이하게 한다. 예를 들어 Risk Manager는 FISAP(Financial Institution Shared Assessments Program Standardized Information Gathering) 질의를 이용해 리스크 평가를 수행하는 기능을 갖추고 있다. 또한 이것으로 업체와 제 3자에 관한 “경계”(조직 트리의 노드)를 생성할 수 있다. 여타 제품들이 비슷한 하도록 설정될 수 있는 반면 FISAP 아웃오브박스를 위한 고유의 지원은 컨텍스트를 감사하는데 Risk Manager를 사용하는 단체에 실질적인 도움이 된다.

업체 경계 내의 자산에 대해 그 외의 질의들을 지정할 수 있다. 이것으로 특정한 업체에 관해 수행된 평가, 평가 중에 수집된 증거, 해당 업체의 보완 통제 등을 기록할 수 있다.

Modulo의 약점

Risk Manager에는 다소 조잡한 면도 있다. 무엇보다 완전 기능 웹 인터페이스의 부족이 중대한 약점이다. 질의가 웹 전반에서 등록될 수 있는 반면 애플리케이션의 포털 뷰(웹 강화 대시보드 포함)는 상당한 편의를 제공할 수도 있었을법한 몹시 아쉬운 기능이었다.

또한 설치가 까다롭다. 애플리케이션은 매우 특정한 인스톨 조건을 갖고 있으며 인스톨 프로세스 중의 모든 실패-예를 들어 필요조건의 결여, 불충문한 메모리, 또는 과밀한 데이터베이스 단계로 인한-는 해석하기 위해 기술적인 지원이 요구되는 에러 메시지로 귀착된다.

더 나아가 이 제품은 커스터마이즈하기가 어려운 것으로 드러났다. 예를 들어 일부 빌트인 데이터베이스(위협 데이터베이스와 같은)는 고정적이며 사용자의 커스터마이즈가 배제되었다.

<글·에드 모일(Ed Moyle)/다이애나 켈리(Diana Kelley)>

[정보보호21c 통권 96호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)

GRC, 컴플라이언스 컨트롤러 - Chapter 2