어도비(Adobe)가 자체 개발한 보안 리스크 관리 프레임워크(SRMF)는 경영진이 대응 조치의 우선순위를 정하고 모든 팀원이 최신 사이버 보안 과제 및 리스크 정보를 얻을 수 있도록 지원하고 있다.
디지털 비즈니스는 기업을 구성하는 거의 모든 영역을 변화시켰지만, 이 과정에서 불과 몇 년 전만 해도 상상할 수 없었던 사이버 보안 과제도 새롭게 떠올랐다.
어도비의 CSO인 마르틴 반 호렌벡은 “인터넷은 훨씬 더 통합된 공간이 됐으며, 소프트웨어 제품도 더 이상 독립적으로 작동하지 않고 서로 통합돼 종합적으로 문제를 해결하게 됐다. 어도비에서 사용하는 제품과 고객을 위해 만드는 제품도 마찬가지다”라고 설명했다.
반 호렌벡은 통합이 혁신을 위한 기회를 창출하지만 때로는 예상치 못한 새로운 리스크를 초래할 수 있다고 말했다. 그는 “어도비는 오랫동안 사이버 보안 프로그램의 강력한 기반을 구축하는 데 주력해 왔다. 이런 기반은 새로운 시대에도 여전히 중요하다”라고 진단했다.
그에 따르면 어도비는 새로운 도전과 리스크를 해결하기 위해 협업 문화를 장려하고 유능한 사이버 보안 전문가를 채용하는 데 주력하고 있다. 또한 어떤 기술을 구매하거나 구축할지 신중하게 고려하고 있다.
반 호렌벡은 “새로운 시대에는 리스크에 대해 혁신적으로 사고하고 변화에 빠르게 대응할 수 있어야 한다”라고 덧붙였다.
어도비의 테크GRC(기술 거버넌스, 리스크 및 규정 준수) 전문가 팀은 조직이 사이버 보안 표준과 인증 획득 방법을 더 잘 이해하도록 하는 데 핵심적인 역할을 하고 있다. 반 호렌벡은 “이를 수작업으로 처리하기에는 비용이 많이 들고 신뢰성이 떨어질 수 있다. 테크GRC 팀은 보안 제어를 자동화하고 지속적인 규정 준수를 보장하는 데 집중하고 있다”라고 설명했다.
이런 목적을 위해 테크GRC 팀은 조직 전반의 리스크 및 제어 매트릭스를 구축하는 데 중점을 둔 공통 제어 프레임워크(CCF) 및 보안 리스크 관리 프레임워크(SRMF)를 개발했다. 이를 기반으로 일관된 리스크 관리 체계를 구축함으로써 관련 표준 및 규정의 평가를 더욱 간소화하고 위협 환경을 더 잘 이해할 수 있게 됐다.
SRMF 개발 작업으로 어도비는 탁월한 리더십과 비즈니스 가치를 입증한 보안 프로젝트에 수여하는 ‘2024 CSO 어워드’를 수상했다.
보안 리스크 관리 프레임워크(SRMF)
어도비 테크GRC 디렉터인 라하트 세티는 SRMF가 회사 전체에서 CCF를 확장 및 운영하는 방법을 학습하며 발전했다고 설명했다. 그는 특히 위협 인텔리전스, 사고 대응, 제품 및 소프트웨어 보안 테스트, 감사 및 평가 결과 등 “이 분야에서 데이터를 더 잘 활용할 수 있는 성장 및 개선의 기회를 확인했다”라고 말했다.
세티에 따르면 이런 기회는 리스크 기반 보안 비즈니스 의사 결정과 우선순위 지정을 추진하고 지원하는 데 유용했다. 그는 “이 사실을 깨닫고 테크GRC는 끊임없이 변화하는 보안 위협 환경에서 리스크를 신속히 식별하고 완화 조치를 구현할 수 있는 방법론을 개발하기 시작했다”라고 언급했다.
그렇게 개발된 어도비 SRMF의 주요 목표는 보안의 여러 측면을 중앙 집중식 리스크 목록에 통합하는 애자일 프레임워크를 구축해 리스크 소유자와 의사 결정권자에게 유의미하고 일관된 결정을 제공하는 것이었다.
세티는 “서로 다른 보안 리스크를 동등한 기준으로 비교하는 일관된 방법론을 설계하는 것이 중요했다. 이제 보안 경영진은 SRMF의 결과를 바탕으로 리스크 완화 우선순위와 자원 배분에 있어 더 정보에 기반한 의사 결정을 내릴 수 있게 됐다”라고 설명했다.
어도비는 SRMF를 운영하기 위해 리스크를 발견하고 분석하는 전담 위원회를 구성했다. 여기에는 프로그램의 전반적인 실행을 담당하는 리스크 관리팀과, 보안 위협을 검토하고 리스크를 분석해 그 가능성과 영향은 물론 어도비에 내재된 리스크와 잔존 리스크 등의 리스크 분류를 수행하는 운영 위원회가 포함된다.
또한 어도비는 반 호렌벡이 이끄는 새로운 실무 위원회를 구성했다. 실무 위원회는 중앙 집중식 보안 리스크 프로그램의 감독 및 거버넌스를 담당하고 프로그램의 선별 결과를 계획 및 예산 주기에 통합하는 역할을 맡는다.
세티는 “리스크 관리팀이 이 프레임워크의 핵심이다. 팀은 새로 유입되는 리스크를 분석하고, 비즈니스 전반에 걸쳐 데이터를 수집하고 의미를 이해하며 보안 리스크를 완화할 수 있는 경로를 파악한다”라고 설명했다.
지속적인 투자
반 호렌벡은 어도비가 제품, 서비스, 운영, 기업 전반에 걸쳐 새로운 사이버 보안 관행에 지속적으로 투자하고 있다고 언급했다.
최근 주요 성과로는 규제 및 보안 프레임워크 요구 사항이 진화하는 환경에 대응하는 CCF 버전 5.0이 있다. 최신 버전의 프레임워크는 최근의 보안 모범 사례와 프레임워크를 고려해 고객의 요구와 기대치를 중심에 두고 제작됐다.
반 호렌벡은 어도비의 애플리케이션 보안 전략이 제품 보안 테스트 외에도 개발 수명 주기 초기에 보안 검사를 구현하는 ‘시프트 레프트’ 방식에 중점을 둬 팀이 취약점을 선제적으로 해결할 수 있도록 지원하고 있다고 설명했다.
그는 또한 어도비가 사이버 보안을 강화하는 동시에 정보를 보호하고, 정보를 필요로 하는 사람들이 사용할 수 있도록 하는 것 사이의 균형을 맞추는 과제를 해결하고 있다고 말했다. 그는 “보안 리더와 팀 간의 지속적인 대화를 통해 균형을 맞추고 있다. 보안 담당자가 데이터에 대해 올바른 결정을 내릴 수 있도록 교육하고 지원하는 것이 중요하다고 보고 있다”라고 설명했다.
다양한 분야 간의 협업 노력
또 다른 과제는 모든 팀원이 사이버 보안에 대해 동일한 인식을 갖도록 하는 것이다.
반 호렌벡은 “루마니아, 인도, 미국뿐만 아니라 일부 소규모 사무실에도 보안 팀원이 있는 글로벌 부서이기 때문에 비슷한 프로젝트에 대해 시간과 지역에 관계없이 원활하게 협업하기가 어려울 수 있다. 완벽하지는 않지만 협업을 장려하고, 지역 내 개인에게 특정 문제를 해결할 자율성을 부여하며, 사람들이 직접 연결될 수 있는 기회를 제공해 이 문제를 해결하려고 노력 중이다”라고 설명했다.
다만 팀이 여러 분야의 전문가로 구성됐다는 점은 장점이라고 반 호렌벡은 언급했다. 그는 “프로그램 관리자, 보안 엔지니어, 규정 준수 분석가, 연구원, 커뮤니케이션 전문가가 있다. 또한 법률 파트너와도 매우 긴밀히 협력하고 있다. 이런 모든 기술을 한데 모으면 사일로에서 구축할 때보다 더 나은 솔루션을 개발할 수 있다”라고 말했다.
이와 관련해 어도비는 법률, 보안 및 정책 그룹을 통합하는 ‘신뢰 조직’을 신설했다. 반 호렌벡은 “이 조직은 전 세계 직원과 고객이 신뢰하는 기업이 되기 위해 어도비의 제품, 서비스, 평판을 강화하는 통합 전략의 추진 임무를 맡고 있다. 그 리더십을 바탕으로 비즈니스 전반에서 리스크 관리 프레임워크와 같이 개선에 필요한 동의를 얻을 수 있는 플랫폼을 갖추게 됐다”라고 설명했다.
리스크 관리에 대한 어도비의 접근 방식은 아직 초기 단계지만, 반 호렌벡은 “연간 보안 게획 프로세스를 훨씬 쉽게 만들고, 사이버 보안 리스크에 대해 보다 성숙한 대화를 나누고, 해결해야 할 새로운 과제를 이해하는 데서 그 효과를 보기 시작했다”라고 덧붙였다. dl-ciokorea@foundryco.com
