[CIOCISO매거진=홍상수 기자] RSA가 기업의 오퍼레이션부터 보안까지 모든 리스크를 통합, 관리, 해결하면서 IT 솔루션 시장의 이목을 끌고 있다. 보안과 리스크를 ‘통합’해 제시하는 GRC 전략으로 탄생한 솔루션 ‘아처(Archer)’는 CIO와 CISO에게 IT 리스크에 대한 통찰력을 제공한다. 

종전의 정성적으로만 평가했던 리스크 현황의 맹점을 해결한 아처는 분야별 국내외 컴플라이언스를 반영해 정량적 수치로 전환, 누구나 납득할 수 있는 기준으로 기업의 리스크를 직관적으로 제시, 해결한다.

이정범 RSA코리아 대표는 “아처는 CEO의 “우리는 보안이 잘되고 있나?”라는 질문에 CISO가 기업의 보안 현황을 명쾌하게 대답할 수 있는 정량적 근거가 될 것”이라고 말했다. 지난해  아처는 RSA 매출의 70%를 차지하고 있던 보안 솔루션 ‘넷위트니스(NetWitness)’과 동등한 매출 수준으로 성장했다. 우리나라 금융사 중에는 BNK 부산은행이 처음으로 구축했다. 

 

이 대표는 12년간 RSA에서 몸담으면서 우리나라 글로벌 전자 대기업 등 굵직한 수주를 성공시켜 지사를 설립한 인물이다. 그와 아처 솔루션과 GRC 전략에 대해 이야기를 나눴다.

A. 아처는 어떤 솔루션인가

아처는 GRC 플랫폼으로 탄생한 솔루션이다. 아처의 탁월한 기능은 GRC 전략으로 조성된 것이다. 

 

GRC란 거버넌스(governance), 리스크(risk), 컴플라이언스(compliance)의 약자다. GRC의 체계적인 전략이 조직에게 안겨주는 가치는 매우 다양하다. 기업의 자산과 인사정보를 기반으로 컴플라이언스를 관리하며 이를 통해 기업의 리스크를 통제해 지배구조를 개선한다. 경영진의 원활한 의사 결정, 투자 최적화, 사일로 제거, 부서간의 협업 등이 GRC가 제공하는 대표적 가치다. 

 

GRC는 한마디로 기업의 의사결정을 위해 ‘테크니컬한 용어를 경영용어로 바꿔주는 것’이다. 최근 금융 기업의 운영리스크, 제조업의 안전보건 분야 등 여러 영역으로 확장되고 있다. 

A. GRC 플랫폼의 전략을 구체적으로 설명하면

먼저 GRC의 거버넌스란 기업의 활동이 비즈니스 목표를 온전히 지원할 수 있는 방향으로 구성돼 있는지 확인하는 과정이다. 

두 번째 리스크는 기업의 활동이 비즈니스 목표에 지장을 주는 일이 없도록 대비되어 있는지 확인하고 관리하는 과정을 의미한다. 

한 예로, 오늘날 다수의 기업이 협력사와의 협업으로 리스크를 회피하는 전략을 선택해왔으나 이 전략은 협력사로 인한 리스크로 되돌아올 수 있다. 협력사로 인해 발생할 수 있는 리스크를 관리해 비즈니스의 지속력을 높이는 노력이 필요한 상황이다. 

마지막으로 컴플라이언스란 조직의 활동이 각 시스템과 관련한 규제, 법규를 준수하며 운영되고 있는지를 확인하는 과정이다. 디지털 경제체제에서 데이터 관리 규정은 ISMS, ISO, GDPR 등 범위가 늘어나고 종류도 다양해지고 있다. 이 규제들을 안전하고 적절한 방식으로 이용되고 있는지 보장하는 노력이 필요함과 동시에 IT 통제 시스템이 규제에 따라 제대로 작동하는지를 확인하는 감사 프로세스가 필요하다.  

 

기업은 준수해야하는 컴플라이언스에 대한 중복성 관리, 평가전후 버전관리, 증적 관리 등에 많은 시간을 소요하고 있다. GRC 플랫폼은 통합적 능력으로 컴플라이언스 자체의 목표와 이를 통해 파악된 리스크까지 관리하고 개선한다. 

A. GRC 플랫폼이 기업의 IT에 어떤 이익을 줄 수 있나

GRC플랫폼은 기업의 IT를 비즈니스 목표에 맞춰 방향을 설정하고, 리스크를 효율적으로 관리하며, 규제 요구를 충족할 수 있도록 구조적으로 접근한다.

GRC는 IT 리스크와 규정 준수 정보를 한 곳으로 통합하여 기업의 IT 리스크 상태를 신속하게 확인하는데 필요한 가시성을 경영진과 이사회에 제공한다. 이를 통해 보다 나은 의사결정과 신속하고 결단력 있는 조치를 취할 수 있다.

A. 기업이 아처에 관심을 가져야할 이유는

기업의 연속성을 위해서는 업계 평판, 사회 평판, 탄소제한지수, 안전지수, 상생지수, 환경지수 등을 만족시키면서 다양한 산업표준을 준수해야 한다. 이러한 표준들을 해석하고 설계해야 한다. 

 

RSA코리아는 다양한 산업군에서 IT 리스크 분야, 글로벌 컴플라이언스 분야, 협력사 관리 분야 등에대한 아처 구축 경험을 보유하고 있다. 

우리나라 금융권에서는 지난해 부산은행에서 최초로 도입했다. 거버넌스와 리스크, 컴플라이언스에 대한 총체적인 정량적 합산 결과를 통해 프로세스의 시간적 효율을 기할 수 있어 만족도가 높다. 

아처는 가트너 매직쿼더런트 GRC 부문에서 수년간 리더 그룹으로 선정된 솔루션이다. 아처에 대한 IT임원들의 많은 관심을 바란다. 

 

아처의 주요 기능

• 보안 프로세스와 데이터를 기업 전체의 리스크와 규정 준수 기능과 연결할 수 있다. IT 보안팀은 비즈니스 중요도 측면에서 비즈니스 리스크와 IT 리스크 간의 관계를 고려하여 소유권과 책임을 설정하고 IT 보안 리스크를 거버넌스, 리스크 및 규정 준수 프로그램에 연결할 수 있다.

• IT 리스크를 효과적으로 관리하려면 정책, 표준, 컴플라이언스에서 위협, 취약성 및 공격에 이르기까지 모든 리스크를 관리 할 수 있는 방식으로 보안 프로그램을 구성해야 한다. 아처를 통해 보안팀은 중앙에서 프로세스를 관리하고 사이버 위협의 우선순위를 지정해 최신 위협을 파악할 수 있다.

• 보안 리스크를 관리하기 위해서는 IT 리스크를 비즈니스 용어로 이해할 수 있어야 한다. Archer사람과 기술 사이에 발생하는 이해도의 차이를 해소한다. 

• 보안사고, 실패하거나 결함이 있는 내부 컨트롤과 예외 사항을 포함한 모든 문제를 캡처하고 통합할 수 있다. 이사회와 경영진은 미해결 문제, 우선순위, 수정 일정 등을 전체적으로 쉽게 이해할 수 있다.

• 규제 정책을 관리하고 규정 준수 의무를 준수할 수 있는 프레임 워크를 제공한다. 

 

• 모든 IT 자산에 대한 성능 평가, 모니터링을 자동화 할 수 있다. 중앙 집중식 시스템을 구현하여 규정 준수 상황보고를 위해 IT 자산을 분류하고 문서화를 위한 기록 시스템을 설정할 수 있다.

• 사이버 보안 이벤트에 대한 파이낸셜 리스크 노출을 정량화할 수 있다. 이 데이터를 통해 기업은 리스크와 보안 투자에 관해 신뢰할 수 있는 정보에 입각한 결정을 내릴 수 있다.

• 오퍼레이션 팀과 IT 담당, 비즈니스 간의 격차를 해소하고 보안 관리자가 가장 시급한 문제를 해결할 수 있도록 설계됐다.

• 빅 데이터 접근 방식을 사용하여 보안 팀이 고위험 위협을 식별하고 우선순위를 지정할 수 있도록 지원한다. 비즈니스 연관정보, 실행 가능한 위협 인텔리전스, 취약성 평가 결과 등과 결합하여 IT 보안 리스크를 사전에 관리할 수 있다.

• IT와 민감한 데이터 환경에 영향을 미치는 규제 의무를 문서화하는데 필요한 툴과 기능을 제공, 기업이 변화하는 IT 규정 준수 리스크에 대응할 수 있도록 지원한다.