Offcanvas

CSO / How To / 보안

보안전문가들이 전하는 SOC 2 인증 준비 팁 10가지

2022.11.08 Mary K. Pratt  |  CSO
사이버 보안에서 가장 까다로운 인증 절차 중 하나를 준비하는 과정은 힘들 수 있다. 하지만 전문가들은 SOC 2 인증을 잘 준비하면 보안 프로그램이 일 년 내내 잘 굴러갈 수 있다고 조언했다. 
 
ⓒAICPA


회사의 사이버 보안 및 데이터 개인 정보 보호 프로그램이 견고하다고 인증받을 수 있는 공식적인 방법 중 하나는 SOC 2 인증이다. 그런 만큼 SOC 2 인증은 큰 일이고, 그만큼 요구가 많고, 어느 정도 진지한 준비가 필요하다.

SOC 인증은 SOC 1, SOC 2 및 SOC 3으로 구성된 여러 평가 및 보고 프레임워크에 따라 미국 CPA(AICPA)가 주관한다. 각각의 평가 및 보고 프레임워크는 가치가 있지만, 많은 기업이 자사의 벤더와 비즈니스 파트너에게 SOC 2 인증의 결과를 구체적으로 제공해 줄 것을 요청한다.

AICPA는 SOC 2 프레임워크와 AICPA의 5가지 신뢰 서비스 기준(보안성(Security), 가용성(Availability), 처리무결성(Process Integrity), 기밀성(Confidentiality), 개인정보보호(Privacy))을 기준으로 기업을 평가한다. 기업은 SOC 2 인증 보고서를 신뢰할 수 있는 표준으로 사용해 이들 5개 영역의 데이터를 얼마나 잘 보호하고 있는지 자세히 입증한다. 

보스턴 칼리지의 사이버 보안 정책 및 거버넌스 석사 과정 설립자 겸 이사 케빈 R. 파워스는 SOC 2 인증이 "기업이 사이버보안 분야에서 예방 조치를 취했고, 신뢰에 필요한 모든 작업을 수행했다는 것을 보여주는 것"이라고 말했다. 

다음은 SOC 2 사전 작업에서 다루어야 할 사항에 대한 주요 팁이다.
 

1. 어떤 SOC 2 Trust Service 기준을 충족할지 정해라 

모든 기업은 지정된 보안 기준에 따라 평가되지만, 다른 네 가지 신뢰 서비스 기준 중 어떤 것이 인증에 포함될지 선택할 수 있다. SANS 인스티튜트(SANS Institute)의 'SOC 2 보고서 검토 전문가 가이드'의 저자인 AJ 얀은 기업이 고객이 중요하게 생각하는 사항에 따라 어떤 원칙을 포함할지 결정하라고 조언했다.

얀은 "감독관에게 좌지우지 되지 않으려면 제출한 보고서를 읽는 독자들의 렌즈를 통해 회사가 하는 모든 것을 생각하고 그들이 무엇을 신경 쓰고 있는지 확실히 전달해야 한다"라고 말했다.

예를 들어, 고객이 미션 크리티컬하다고 간주하지 않는 애플리케이션을 제공하는 기업은 가용성 평가에서 벗어나 고객에게 더 큰 의미가 있는 다른 영역에 집중할 수 있다.
 

2. 도움 받기를 꺼리지 마라 

SOC 2 인증은 수만 달러가 든다. 보스턴대 로스쿨과 캐롤경영대학원(Carroll School of Management)의 조교수이기도 한 파워스는 경영진이 실제 인증에 적절히 대비할 수 있는 기술과 시간을 가진 직원을 보유하고 있는지 고려하는 것이 중요하다고 강조했다. 외부 팀을 고용할 필요가 있는지도 고려해야 한다. 

메릴랜드 대학의 사이버 보안 정보 보증 부교수 겸 강좌장인 리차드 화이트는 "단독으로 진행하는 것은 가능하지만, 어려울 수 있으므로, 적어도 처음에는 업체를 고용하는 것이 좋다"라고 말했다.
 

3. 회사 정책을 검토하라 

리차드 화이트는 인증관이 모든 SOC 2 인증의 일부로 기업 정책을 검토한다고 언급했다. 따라서 프로세스가 시작되기 전에 해당 정책을 정리하는 것이 가장 좋다. "정책은 다 적었는가? 워크플로를 구상해 놓았는가? 또한 구현도 있다. 올바르게 구현했는가? 성공에 영향을 미칠 수 있기 때문에 이 모든 것을 살펴봐야 한다"라고 그는 말했다. 

전문가들은 허용되는 사용 및 액세스 제어 정책부터 공급업체 관리 및 워크스테이션 보안 정책까지 검토할 수 있는 많은 정책 목록이 있다고 말한다. 이러한 작업들은 잘 문서화되어야 하고 최신 상태여야 하며, 이는 많은 사람들에게 어려운 작업이다.

거버넌스 그룹 ISACA와 회계 및 자문 회사인 워렌 에이버리의 '보안, 위험 및 통제 실무 리더'이자 신흥 트렌드 워킹 그룹의 멤버인 파울 페리는 "기업들은 통제권을 기록하고 다시는 보지 않는 경향이 있으므로 인증을 준비하는 것이 적절한 시기다. 사용자의 작업이 반영되지 않을 경우 업데이트하는 게 좋다"라고 말했다. 
 

4. 작업이 정책과 일치하는지 확인하라 

감독관은 물론 잘 문서화된 정책을 보고 싶어한다. 동시에 기업이 해당 정책이 수행해야 할 작업을 일상적으로 수행하고 있는지도 확인하려 한다. 

예를 들어 소프트웨어 엔지니어는 코드를 테스트할 수 있지만 기업의 정책에 설명된 프로세스 및 문서 요구 사항을 따르는 방식으로 테스트해야 한다. 얀은 그것이 인증관들이 보고 싶어할 종류의 행동이라고 말했다.
 

5. 보안 및 개인 정보 보호 컨트롤을 재고하라

기업은 보안 및 개인 정보 보호 컨를 검토해 규제 요건 및 업계 모범 사례뿐만 아니라 기업의 자체 보안 및 개인 정보 보호 정책과 일치하는지 확인해야 한다. 즉, 액세스 제어에서 암호화, 취약점 검색(온페미스 및 클라우드 내)에 이르기까지 모든 것을 살펴보고, 엔터프라이즈 제어가 SOC 2 기준에 부합하는지 확인하거나 그렇지 않은 경우 차이를 일으키는 이유를 문서화하는 것을 의미한다.

파워스는 "액세스 제어, 암호화, 계층형 방어 등 제어 기능을 검토하는 것이 좋다. SOC 2 인증관을 영입하기 전에 실패를 자초하지 않도록 해야 한다"라고 말했다. 
 

6. 실전처럼 연습하라 

복수의 SOC 2 당국에 따르면 실습은 실제 인증에 앞서 실천해야 할 또 다른 핵심 단계다. 매스 뮤추얼의(Mass Mutual) 전 CISO인 짐 러스는 "긍정적인 결과를 얻을 수 있도록 돕는 한 가지 방법"이라고 설명했다. 

루스는 연습 실행을 하는 것은 처음으로 인증을 계획하는 기업에 특히 더 필요하다고 강조했다. 이러한 기업은 일반적으로 인증인이 무엇을 어떻게 평가하는지에 대한 통찰력이 떨어진다. 그러나 그는 성숙한 보안 프로그램을 가진 기업조차도 실습으로 이익을 얻을 것이라고 말했다. 

자체 인증은 직원이나 컨설턴트에 의해 이루어지든 문제가 될 수 있다. 필요한 데이터를 생성하지 않는 보고 도구, 위험을 유발하는 잘못 구성된 소프트웨어 등이 있다. 이러한 문제들 하나라도 일어난다면 실제 인증에서 긍정적인 결과를 위태롭게 할 수 있다.
 

7. 수정할 사항의 우선순위를 정하라 

현재 여러 회사의 이사회 멤버이자 자문위원이자 뉴욕대 탄든공대(Tandon School of Engineering) 자문위원회 위원인 루스는 "자체 증명은 단지 첫 단계일 뿐"이라고 말했다. 다음 단계는 부족한 점을 하나씩 채워나가는 것이다. 

얀은 한 분야의 변화가 종종 계단식 영향을 미치기 때문에 확인된 단점을 어떻게 우선시하는지를 신중하게 고려하라고 조언했다. 예를 들어, 격차 분석(gap analysis)에 따라 기술 인프라뿐만 아니라 서면 정책에서도 문제가 발견되었을 수 있다. 그리고 빠르고 쉽게 정책을 업데이트하려는 유혹이 있을 수 있지만, 얀은 더 크고 복잡한 문제인 아키텍처를 수정하는 것이 정책을 다시 수립해야 하는 방법이나 심지어 정책에 영향을 미칠 수 있다고 말했다.
 

8. 증거를 수집하라 

전문가들에 따르면, 성숙한 보안 및 개인 정보 보호 프로그램을 갖는 것이 SOC 2 인증에서 반드시 성공하는 것은 아니라고 한다. 감독관은 대한 증거를 원한다. 필요한 자료 목록은 관리 보안 정책 및 클라우드 인프라 계약에서 위험 평가 및 공급업체 계약에 이르기까지 광범위할 수 있다.

화이트는 "SOC 2는 매우 엄격하다. 회사가 확실한 보안 프로세스를 보유하고 있으며, 이 프로세스를 따르고 있으며 예상대로 작동하고 있음을 증명할 수 있는 증거를 확보해야 한다"라며 "프로세스, 정책 및 절차를 검토해 조정되고, 잘 문서화되어 있으며, 정확한지 확인하라”라고 조언했다. 
 

9. 체크리스트를 버려라 

보안 리더들은 SOC 2 인증을 실시하는 것이 상당한 가치가 있다는 데 동의하지만, 각 기업이 SOC 2 기준에 반드시 부합할 필요는 없으며 자체 고유한 요구 사항에 맞게 보안 및 개인 정보 보호 프로그램을 조정하는 것이 중요하다고 지적했다. "한발 물러서서 형식적인 정책과 절차를 받지 않도록 해야 한다. 모든 것이 회사에 맞게 조정되어야 한다"라고 파워스는 강조했다.

루스는 예를 들어 인증 기준이 현재 시장에 나와 있는 새로운 안티 랜섬웨어 기술을 구현하도록 특별히 요구하는 것은 아니지만 인증 결과에 영향을 미치지는 않을지라도 여전히 가치가 있다고 언급하면서 이에 동의했다. 
 

10. 목표는 더 나은 보안 및 데이터 개인 정보 보호 프로그램임을 잊지 마라 

엔터프라이즈 보안 책임자와 임원진 동료들은 언제든지 인증에 대비할 수 있는 보안 및 데이터 개인 정보 보호 프로그램을 갖추는 것을 목표로 해야 한다. 일관되게 최신 정책, 항상 규제 요건과 모범 사례를 충족하는 정책과 절차, 그리고 그들의 정책과 완벽하게 일치하는 통제와 운영을 목표로 해야 한다.

보안 지도자들은 이런 노력이 인증에 대비해서만 일어나서는 안 된다고 강조한다. 이들은 실제로 SOC 2 인증은 평가를 위해 정해진 12개월 동안 기업이 이러한 업무를 지속적으로 수행하는지 여부를 살펴본다고 강조했다.

동시에, 어떤 보안 및 개인 정보 보호 프로그램도 이 모든 것을 완벽하게 수행할 수 없다. 결국 보안에는 완벽함이 없다. 페리는 "최고의 기업들은 인증을 1년 내내 준비하는데, 이는 인증을 그들의 문화의 일부이기 때문이며, 위험 관리는 그들이 일상적으로 하는 것이다"라고 설명했다. 그는 “그 회사들은 항상 준비가 되어 있기 때문에 인증 준비를 위해 2주나 2개월 동안 누군가를 고용할 필요가 없다"라고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.