차세대 GRC를 위한 통합 및 자동화 중점의 ComplOps 소개
박창현하이퍼커넥트Security Compliance Team Security Compliance Manager저는 회계법인에서 보안 컨설턴트로써 7년간 근무하였으며, 2022년부터 하이퍼커넥트에서 Security Compliance Team에서 근무하고 있습니다. 회사에서는 Security Compliance를 준수하기 위해 효율적인 방법을 항상 고민하고 있으며, 본 발표를 통해 저희가 고민했던 사항과 해결 방법을 공유하고 싶습니다.
김요한하이퍼커넥트Security Compliance Team Security Compliance Analyst저는 블록체인과 결제 플랫폼 기업에서 6년 동안 보안 엔지니어 및 매니저로 근무하였으며, 2023년부터 하이퍼커넥트에서 Security Compliance Analyst로써 ISO 27001, SOX ITGC, K-ISMS 등 Security Framework를 담당하고 있습니다. 최근, 변화하는 IT 환경 및 트랜드에 맞춰 Cloud, Container Orchestration, 그리고 DevOps 환경에서 다양한 Security Compliance 보안 통제를 어떻게 적용할지 많은 고민을 하고 있습니다.
현대 글로벌 애플리케이션에서는 Cloud, DevOps, Container Orchestration과 같은 기술의 사용이 증가하고 있습니다. 이러한 환경에서는 Security Compliance를 준수하기 위해 상당한 인적 자원이 필요하고, 관리의 허점으로 인해 보안 위험이 증가할 수 있습니다.
이 발표에서는 글로벌 영상 채팅 플랫폼을 운영하는 기술 중심 회사의 Security Compliance Team이 복잡한 IT 환경에서 Security Compliance 통제 사항을 준수하기 위한 Operation을 자동화, 통합화하고 커뮤니케이션 및 협업을 지원하는 'ComplOps' 개념을 도입하여 반복적인 Operation의 작업 효율성을 극대화하여 보안 위험을 최소화한 경험과 접근 방식을 공유하려고 합니다.
주요 발표 내용으로는 먼저, 'ComplOps' 개념과 필요성을 자세히 설명하며 이를 도입하기 위해, 필요한 준비 사항(제약, 제반)과 Tool(GRC Tool, CSPM)을 선택할 때 고려해야 할 요소를 소개합니다.
이후 구체적인 'ComplOps'의 구현 방법과 데모를 통해 주요 Security Compliance 통제 사항(Third-party vendor 및 SaaS 관리, 자산 관리, Risk management, 보안 운영 평가, 통제 항목 최신화, 보안 정책 관리, 증적 관리 등)을 어떻게 운영하고 있는지 사례 기반으로 공유합니다.
특히, 자동화를 통해 증적 수집, 자산 관리를 효과적으로 수행한 사례와 이후 SaaS, CSP의 운영 정보를 통합화하여 Shadow IT를 줄이고, 실시간으로 통제 사항 준수 여부를 모니터링하여 신속한 커뮤니케이션 및 협업을 통해 위험 관리하는 사례를 중점으로 설명합니다.
마지막으로, 본 개념을 도입해 2024년 동안 두 개의 Security Compliance(SOX ITGC, K-ISMS)를 운영한 효과(리소스 변화, 개선 효과, 심사 대응, Human Error 감소 등)와 커버리지 영역 및 한계를 설명하고, 앞으로 2025년 준비해야 하는 ISO 27001:2022의 대응 전략을 공유하고자 합니다.
이 발표를 통해 저희의 경험을 공유함으로써 컨퍼런스에 참가해 주신 많은 보안 담당자분과 'ComplOps'의 효과뿐 아니라 어려움과 갈등을 나누어, 더 나은 Security Compliance Operation 문화를 만들고 싶습니다.
