금융IT
[2013 금융IT 혁신] “금융권 IT보안, 시스템 가시성과 운영 효율성 높여야”
디지털데일리
발행일 2012-12-04 17:13:37
[디지털데일리 이민형기자] 기업들은 GRC(가버넌스, 리스크, 컴플라이언스)에 대한 이슈를 해결하기 위해 많은 고민에 하게 된다. 관리해야하는 환경이 점차 복잡해지고 광범위해지며, 여러 규제와 조건을 만족시켜야하기 때문이다.
그러나 이러한 이슈들은 쉽게 해결하기가 쉽지 않다. 보안관리자의 역할과 업무가 너무 많기 때문이다. 이러한 시장의 수요에 맞춰 GRC 솔루션이 등장하게 됐다.
GRC 솔루션은 전사적 보안 정책을 설정하고, 설정된 보안정책에 따라 운영될 수 있도록 보안관리자를 보조해준다. 또 직원들이 핵심 업무에 집중할 수 있도록 도와주고, 작업시간을 단축시켜주기도 한다.
4일 서울 프라자호텔에서 <디지털데일리> 주최로 열린 ‘2013, 금융IT 이노베이션’ 컨퍼런스에서 박정수 시만텍코리아 부장<사진>은 “기업 보안관리자들은 가시성 확보, 리스크 우선순위 책정, 자동화 등으로 보안위협에 적극적으로 대응할 수 있어야 한다”며 “특히 이(異)기종 시스템에 대한 감사와 연동, 반복적인 작업에 대한 자동화, 시스템을 모니터링할 수 있는 보고서(대시보드) 등이 필수적으로 필요하다”고 강조했다.
시만텍의 위험분석방법론(컨트롤 컴플라이언스 스위트, CCS)은 크게 4단계로, 요구사항에 따른 정책을 먼저 수립하고, 정책에 따른 점검을 실제로 수행한다. 이후 자산에 대한 위험 점수를 분석하고, 발견된 리스크에 대해 대응하는 단계를 거친다.
박 부장은 “기업들은 자동화된 컴플라이언스 관리를 필요로 한다”며 “시만텍 CCS는 정책(정책생성 및 관리, 조치상태 추적), 감사결과 수집(에이전트/에이전트리스 기반 수집), 콘텐츠 분석, 정보공유 등의 기능을 갖춰, 위기대응과 가시성확보에 최적의 성능을 갖췄다”고 설명했다.
시만텍 CCS에는 ‘리스크 매니저’ 모듈이 탑재돼 있다. 이 모듈을 통해 IT보안담당 직원들은 특정 비즈니스 프로세스나 그룹 또는 기능을 IT리스크 관점에서 정리할 수 있다.
박 부장은 “최근 IT보안 관리자는 기술 전문가 역할 뿐 아니라 비즈니스 리스크 조언자로서 역할수행도 필요하다”면서 “GRC 솔루션은 기업이 직면하는 다양한 IT리스크 및 컴플라이언스 이슈를 비즈니스 리스크 관점으로 해석해 정보보안 관리자들이 보안 위협에 나은 의사결정을 할 수 있도록 지원할 수 있어야 한다”고 재차 강조했다.
끝으로 박 부장은 시만텍의 APT(지능형지속가능위협) 공격 대응전략을 설명했다. 그는 “시스템과 사용자PC에 대한 정기적인 보안점검과 보안교육, 암호화, 로그분석, 상관분석 등으로 사고를 미연에 방지하는 등의 노력이 필요하다”고 전했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지