Cappuccino sapiens

지난해 투명한 내부회계관리를 위한 “주식회사 등의 외부감사에 관한 법률(약칭, 외부감사법)“ 개정이 시행됨에 따라, 대상기업은 내부회계관리제도 운영을 통해 운영실태보고서를 작성하고, 기존 내부 감사가 아닌 외부 감사를 통해 평가보고서를 작성해야 합니다. 또한, 평가보고서를 공시하고 금융감독원에 제출해야 합니다.

 ※ 대상: : 주권상장법인, 상장 준비사, 대통령령 기준 해당사(자산, 부채, 종업원수, 또는 매출액), 유한회사로 자산규모에 따라 적용 시기는 2022년도부터 2024년까지 상이

외부감사를 통한 투명한 내부회계관리를 위한 법률상 요구사항은 다음과 같습니다.

  - 회계정보를 기록·보관하는 장부(자기테이프, 디스크 등 정보보존장치)의 관리 방법과 위·변조·훼손 및 파기를 방지하기 위한 통제 절차 (외부감사법 제8조 제1항 제4호)

  - 회계정보를 위조·변조·훼손 및 파기해서는 안됨 (외부감사법 제8조 제2항)

  - 신뢰할 수 있는 회계정보의 작성과 공시를 저해하는 위험을 예방·조치 가능한 점검체계 운영 (규정 제6조)

  - 회계정보 작성·공시과정에서 부당하게 개입할 수 없도록 설계·운영되는지 평가 (규정 제6조)

법률상 요구사항에 따른, 보안요구사항은 다음과 같습니다.

  - 권한남용 관리·감독            

  - 통제 모니터링 및 개선      

  - 회계정보 위·변조 방지                

  - 데이터 파기 방지

최근에 KG동부제철은 접근통제, 프로그램 변경, 운영 등 IT 일반통제 요건에 대해 IBM Guardium Data Protection(GDP)을 도입하여, 개정 외부감사법의 컴플라이언스 요건을 신속하게 대응하고 체계적인 전사 데이터 보호 전략을 구축하였습니다. 개정 외부감사법에 따른 동부제철의 고민은 다음과 같습니다.

  - MES(제조실행시스템) 데이터에 대한 내부통제 관련 내부 감사 요건

  - 시스템으로 직접 접근 가능한 개발자 접근에 대한 모니터링 필요

  - 애플리케이션 및 배치 사용자 계정에 대한 모니터링이 어려움

KG동부제철은 IBM Guardium의 뛰어난 확장성으로 SAP, Oracle, IBM I Series 등 전사의 다양한 플랫폼에 유연하게 적용할 수 있었습니다. 또한, 우회 없는 실시간 모니터링을 제공함으로써 개발자 및 특권사용자에 대한 내부 통제 환경을 구성하여, 개인정보보호법 및 외부감사법의 컴플라이언스 요건을 준수할 수 있었습니다.

기존 제조업계는 고객과 임직원의 개인정보를 포함하고 있는 일부 기간계 시스템에 대해 개인정보보호법 대응을 위해 암호화 및 개인정보접속기록 시스템을 도입하여 규제를 대응해 왔으나, 2019년 외부감사법의 개정과 더불어 내부통제요건이 강화되어, MES 등 내부시스템에 대해서도 규제 대응이 필요하게 되었습니다. 또한, 단순 개인정보접속기록의 저장 뿐 아니라 접근통제, 프로그램 변경 및 운영에 대한 상세 데이터 접근관리 정책이 필요해 졌습니다. 2022년 이내 도입을 완료해야 하는 자산총액 1000억원 이상의 주권상장법인의 제조사들에게 적용 가능한 좋은 모범사례 입니다.

동부제철 데이터 보안 솔루션 도입사례에 대한 보다 자세한 내용은 다음 영상과 자료를 통해 확인하실 수 있습니다.

- 영상: https://mediacenter.ibm.com/media/1_ts5wqm6k

- 브로셔:  https://www.ibm.com/account/reg/kr-ko/signup?formid=urx-47281

클라우드는 기업의 디지털 트랜스포메이션을 위한 가장 합리적인 방안으로 고려되고 있으며, 다양한 형태의 클라우드 서비스가 활용되고 있습니다. Flexera 2020 State of the Cloud Report에 따르면 이미 93%의 기업이 멀티클라우드를 사용하고 있는 것으로 조사하였으며, 가트너 또한 2020년 멀티클라우드 시장이 $266억 달러를 상회할 것으로 예상하고 있습니다.  

퍼블릭 클라우드를 사용하는 10개의 기업 중 8개는 민감한 데이터를 클라우드에 보관하고 있으며, 이 들 중 52%는 데이터 침해사고를 경험한 것으로 조사되었습니다. 멀티클라우드 환경은 단일 클라우드 환경과는 다른 보안대책이 필요합니다. 특히, 흩어져 있는 데이터를 안전하게 보호하기 위한 적합한 보안전략이 고려되어야 합니다. 멀티클라우드 환경에서 데이터 보호를 위한 보안대책에 대해 알아 보겠습니다.

  1. CSP의 보안정책 이해 및 적합한 보안대책 강구

CSP (Cloud Service Provider)는 자신들의 인프라 보호를 위한 보안정책을 수립하여 운용하고 있으며, 고객과는 보안 상호 책임제 (Shared Responsibility Environment)를 통해 보호영역에 대한 책임성을 구분하고 있습니다. PaaS, IaaS 등 서비스 형태에 따라 책임성이 달라지므로, CSP와의 책임영역을 분명히 인식하여야 합니다. 따라서, 기업은 CSP의 보호영역에 대한 충분한 이해를 바탕으로 CSP와 함께 데이터와 어플리케이션 보호를 위한 적합한 솔루션을 논의합니다.

  2. 보안 컴플라이언스 준수

개인정보, 신용정보, 의료정보 등 데이터의 종류 및 사업영역에 따라, 데이터 보안을 위한 요건을 검토합니다. 특히, 클라우드에서 민감한 정보를 다룰 때에는 어느 나라에서나 신중한 결정이 요구됩니다. 따라서, 모든 멀티클라우드의 민감한 정보에 대해서는 데이터의 성격을 분석하고 그에 합당한 컴플라이언스 요건을 만족시키는지 검토하며, 내부 컨트롤이 가능한 서버에 저장하여 관리 합니다.

  3. 접근권한 관리 및 통제

데이터에 대한 접근계정이 많으면 많을 수록 그 만큼 오용 가능성과 보안 위험성은 증가하게 됩니다. 따라서, 최소한의 접근계정을 발급하고 IAM (Identity and Access Management)를 통해 적절한 권한관리 및 모니터링을 수행합니다.

  4. 가시성 확보

클라우드 속성상 제한 없는 서비스 플랫폼의 확장은 전체 운영환경에 대한 가시성을 확보하기에 어렵게 합니다. 가시성은 전체 네트워크 환경을 파악하고 관찰하여, 즉각적인 문제해결을 위해 반드시 필요합니다. 따라서, 멀티클라우드 환경에 적합한 고도화된 모니터링 솔루션을 도입하고 자동화된 대응기법을 통해, 신속한 침해사고 예방 및 대응을 수행합니다.

  5. 취약점 관리

응용프로그램과 소프트웨어는 해킹기술의 발전 및 운영환경에 따른 잠재적인 취약점을 가지고 있습니다. 따라서, 주기적으로 보안 취약점을 진단하고 제거할 필요가 있습니다. 취약점 스캐너와 더블어 위협 인텔리전스 솔루션을 이용할 경우, 최신의 보안위협 정보를 활용해 효과적인 데이터 보호를 수행할 수 있습니다.

  6. 지난 데이터 보호

대부분의 보안 솔루션은 실시간으로 거래되는 데이터를 보호하기 위한 용도에 사용되고 있습니다. 지난 데이터의 경우, 데이터 레이블 등 관리 소홀로 인해 상대적으로 보안위협에 노출될 가능성이 높습니다. 따라서, 기존 데이터라 할지라도 데이터 파악 및 레이블링을 통해 관리하고, DLP (Data Loss Prevention), 암호화 솔루션 등을 통해 데이터 유출에 대비합니다.

※ 원문: Securing Data in a Multicloud Environment

※ 세미나 사전등록: Containers and Data Security Webinar

일반적으로 의료정보에는 환자의 진료정보는 물론, 주민번호, 은행계정, 신용카드 정보 등 거의 모든 개인정보를 포함하고 있어, 해커의 입장에서는 일반정보 보다 훨씬 가치가 있으며, 공격 대상이 되기도 합니다. 보안업체인Trustwave에 따르면, 다크웹에서 은행계정 및 신용정보가 레코드당 5.40달러인데 비해, 의료정보는 레코드당 250달러에 거래되고 있다고 밝혔습니다.

2020 Verizon 보고서에 의하면, 의료시스템에 대한 피싱 및 소셜 엔지니어링 공격은 지속적으로 증가하고 있는 추세이며, 의료정보 침해사고는 피싱 공격과 크리덴셜 정보 탈취를 위한 악성코드 감염으로 2019년 대비 두배나 증가한 것으로 나타났습니다.  

 - 데이터 침해사고는 2016년 대비 2019년에 3배 증가

 - 2020년, 의료정보 침해사고는 71% 증가, 이중 43%는 피싱 및 악성코드 감염에 기인

 - 컴퓨터 해킹 중 70%는 외부자에 의한 소행, 55%는 범죄조직에 의한 소행

 - 밝혀진 침해사고 중 86%는 금전적인 목적

 - 약 90%는 취약한 패스워드 또는 훔친 크리덴셜 정보를 이용한 무작위 대입공격(Brute-force attack)

해커는 금전적인 이득을 취하기 위해 보안에 취약한 부분을 공략하여 성공할 때까지 끊임없이 공격을 시도할 것입니다. 의료정보를 보호하기 위한 기업의 보안대책에 대해 알아보겠습니다.

균형 있는 침해사고 예방 및 대응 시스템 구축
조직은 언제든지 침해사고를 당할 수 있으며, 이때 무엇을 준비해야 할 것인지에 대한 대책이 필요합니다. 침해사고는 실시간으로 발생하게 되며, 초기에 이를 탐지하고 적절하게 대응하지 못할 경우, 30%의 추가 대응비용이 발생합니다. 따라서, 침해사고 분석, 탐지 및 대응, 사후관리 기능이 균형 있게 다루어 지고 있는지 검토가 필요가 있습니다.    

 - 의료분야의 침해사고 탐지와 대응은 전체적으로 향상되었으나, 수개월 동안 파악되지 않은 침해사고가 25% 이상 (Verizon 2020 Report)

보안 컴플라이언스 준수 이상의 보안강화
의료보안을 위한 컴플라이언스에는 HIPAA (Health Insurance Portability and Accountability Act), HITRUST (Health Information Trust)  등이 있습니다. 고객들은 의료정보를 다루는 기관이 정확하게 보안 컴플라이언스를 준수하는지에 따라, 해당 기관에 대한 신뢰성을 판단하려 할 것입니다. 하지만, 컴플라언스는 최소의 보안 요구사항을 제시하는 것으로, 각 기관의 운영환경에 적합한 보안대책을 강구하고, 지속적인 보안역량(인력, 기술, 재정)을 키워야 합니다.

사이버 침해사고 대응 모의 훈련을 통한 보안인식 제고
보안인식이 결여된 직원들로 인해, 침해사고가 발생하기도 합니다. 최근에 발생하고 있는 피싱공격은 아주 간단한 보안인식 문제로 인해 발생하고 있습니다. COVID-19 보조금 지원 등과 같은 피싱메일은 아주 매력적인 아이템 입니다. 이러한 직원들을 위해, 피싱메일 모의훈련과 같은 침해사고 대응 훈련을 통해 직원들의 보안인식을 일깨워 줄 필요가 있습니다.

원격근무로 업무환경이 전환되고, 직원들 또한 개인정보는 물론 환자정보를 다루게 됨에 따라, 직원들의 재택근무환경에 대한 보안과 직원들의 보안인식에 대한 비중이 커지고 있습니다. 업무환경 변화에 따른, 조직의 변화된 운영환경을 정확히 진단하고, 적절한 보안대책을 강구할 필요가 있습니다.

※ 원문: 3 Ways to Flatten the Health Data Hacking Curve