이볼케이노(대표 황재윤 www.evolcano.co.kr)의 ‘SWS(Secure Work System)’은 ISMS, ISO27001 등 정보보호관리체계 컴플라이언스를 지원하는 솔루션이다. 비즈니스 프로세스 관리(BPM) 엔진 기반의 컴플라이언스를 통해 전사 관리적 보안과 관련된 정보보호업무를 지원한다. 취약점 관리 솔루션 기업 테너블(Tenable)의 ‘네서스(Nessus)’와 넷스파커(NetSparker)의 ‘넷스파커’ 연동으로 기술적 보안을 지원해 관리적 보안업무를 실제 현업에 적용시킬 수 있도록 한다.<편집자>
크고 작은 정보보호 관련사고가 발생하고, 그에 따라 정보보호업무에 있어 규정과 매뉴얼이 강조되면서 국제규정인 ISO27001을 비롯해 국내의 ISMS, PIMS, PIPL 등 다양한 컴플라이언스가 도입되고 있다.
그러나 컴플라이언스 기준에 따라 정책서, 지침서, 절차서, 양식서 등의 문서를 관리하고, 업무를 수행하고, 기준에 맞춰 감사를 위한 증거자료를 만들고 분류하는 등 정보보호업무의 절대량도 같이 증가해 정보보호를 담당하고 있는 부서 및 직원들이 오히려 정보보호를 위한 업무보다는 컴플라이언스를 위한 업무에 매달리는 역효과가 발생하는 경우가 많았다.
이러한 문제를 해결하기 위해 다양한 컴플라이언스 관리 솔루션이 제안돼 왔다. 이 솔루션들은 컴플라이언스에 필수적인 증거자료(이하 증적)를 관리하기 위한 기능을 갖췄으며, 정보보호 관리자가 기업의 컴플라이언스 준수율을 체크하고 컴플라이언스에서 요구하는 자료 중 부족한 부분을 채우는 기능을 제공하고 있다.
하지만 이 솔루션이 해결하지 못한 문제들이 남아있다. 그 중 가장 핵심적인 문제는 기업은 계속 변화하는 데 솔루션이 이를 반영하지 못한다는 점, 그리고 정보보호 업무가 관리자에게 집중되어 컴플라이언스들이 추구하는 근본사상인 실질적인 정보보호 수준 제고를 달성하지 못한다는 사실이 지적된다.
업무·컴플라이언스 연결해 업무 흐름 따라 관리
기존 컴플라이언스 솔루션은 끊임없이 변화하는 기업 환경에 빠르게 대응하지 못한다. 기업의 조직과 인원구성이 변화하며, 기업이 하는 일조차도 변화하는 경우가 많다. 하지만 기업의 과거 특정 시점에 맞춰 구축된 솔루션들은 이러한 변화를 반영하기가 힘들었다. 이에 따라 변화를 반영하기 위해 솔루션의 구조나 메뉴를 끊임없이 SI를 통해 수정해야 하는 상황이 발생했으며, 솔루션을 구축해 놓고 사용하지 못하는 상황도 종종 일어났다.
기존 컴플라이언스 솔루션의 또 다른 문제는 정보보호의 요소가 기업의 각개각소에 존재하고 있지만 이를 통합관리하지 못한다는 점이다. 정보보호를 위한 업무는 정보보호 담당부서에만 맡는 경우가 많아 형식상의 정보보호가 되는 경우가 빈번하게 발생했다. 특히 이 문제는 기존 솔루션을 수정한다고 해도 해결되지 못했다.
이볼케이노의 정보보호관리체계 컴플라이언스 솔루션 ‘SWS(Secure Work System)’는 기존 솔루션의 한계를 근본적으로 해결한 제품이다. 기업업무 프로세스를 효율적으로 관리하기 위한 시스템인 비즈니스 프로세스 관리(BPM) 시스템을 정보보호업무 프로세스에 접목시키고, 여기에 컴플라이언스를 연동시키는 방법으로 복잡한 컴플라이언스를 만족시키고 전사 정보보호 체계 관리가 가능하도록 했다.
기존 솔루션처럼 컴플라이언스에 대해 업무를 정의하지 않고, BPM을 도입해 업무에 대해 컴플라이언스를 연결하는 방식으로 설계했으며, 해당 기술에 대해 특허를 출원했다.이 기술을 접목한 ‘SWS v2.0’은 기존의 솔루션이 가지는 장점은 고스란히 유지하면서 기존 컴플라이언스 솔루션의 한계를 극복했다.
드래그 앤 드롭으로 손쉽게 수정 가능
이볼케이노의 ‘SWS v2.0’은 자체 개발한 BPM 엔진을 통해 사용자가 드래그 앤 드롭으로 손쉽게 수정가능한 업무흐름도를 만들 수 있도록 해 SI 필요없이 기업의 변화를 솔루션에 반영할 수 있다. 담당자 변경시 업무인수인계도 업무흐름도에서 담당자를 변경함으로써 간단히 수행할 수 있다.
BPM이 가지는 업무 리딩 및 업무 분장기능을 통해 전사적으로 정보보호 업무를 수행 할 수 있도록 함으로써 실질적으로 전사의 정보보호 수준을 향상시킬 수 있다. SWS의 기본적인 상세 기능은 다음과 같다.
● 컴플라이언스 관리
SWS는 국제 표준인 ISO27001을 비롯해 국내 표준인 K-ISMS, PIMS, PIPL 등 공공 표준 컴플라이언스 뿐만 아니라 기업에서 사용하는 사규 또는 내칙 등과 같은 컴플라이언스 등도 무제한으로 관리할 수 있는 틀을 제공하고 있다.
● 문서 관리
컴플라이언스를 수행하기 위해서는 컴플라이언스의 내용을 기업에 맞게 반영해 만드는 정책서에서부터 지침서, 절차서, 양식서 등 다양한 문서를 관리해야만 한다. SWS는 이러한 문서들을 한 곳에서 이력관리 형태로 관리해 문서 제개정시 변경사항을 한 번에 적용시킬 수 있다.
● 정보보호 업무 관리
기업에 맞게 문서화된 컴플라이언스를 현업에서 실제로 지키기 위한 업무를 관리하는 새로운 방법을 제시한다. SWS는 BPM 엔진을 통해 정보보호 업무를 수행하는 방법론을 업무흐름도 방식으로 구현하고 담당자를 지정해 구현해 놓은 업무흐름도에 따라 업무가 진행되게 한다. 이를 통해 각 기업의 특색에 맞는 정보보호 업무의 DB를 구축하며, 담당자간의 협업 소통을 원활하게 진행할 수 있도록 한다.
컴플라이언스의 통제항목 중심으로 업무를 정의하는 것이 아니라 업무를 먼저 정의하고 해당하는 컴플라이언스를 등록하도록 해 놓은 업무 중심의 구조를 통해 실제 현업에서 수행하는 방법 그대로 업무를 진행할 수 있도록 해주며 산출물 또한 각 컴플라이언스에 맞게 자동으로 분류해준다.
더불어 정보보호 교육, 보안사고 관리, 보안감사와 같은 업무는 좀 더 쉽게 수행할 수 있도록 추가 메뉴를 제공하고 있다.
● 감사 지원
SWS는 업무를 통해 자동으로 분류된 산출물을 감사시에 감사항목에 맞게 일목요연하게 정리해주는 기능을 통해 감사 대비업무를 지원하고 있다. 특히 조건에 맞는 모든 산출물을 PDF 한권의 문서로 출력해주는 기능을 통해 감사 자료를 쉽게 제출할 수 있다.
● 자산관리·취약점 시스템 연동
자산을 중요도에 맞게 정리하고 위험관리 컨설팅 결과를 전산화 할 수 있는 자산관리 메뉴를 제공하며, 각 자산의 담당자들을 이 메뉴를 통해 담당 자산을 항상 최신화 할 수 있다. 취약점 관리 솔루션 기업인 테너블(Tenable)의 ‘네서스(Nessus)’나 넷스파커(NetSparker)의 ‘넷스파커’와 같은 취약점관리 솔루션을 연동해 자산의 취약점을 자동으로 업데이트하고 담당자들이 개선할 수 있도록 지원하는 기능을 제공한다.
