급성장하는 글로벌 보험사는 최근 인수합병(M&A)을 통해 빠르게 확장하고 있습니다.
M&A 전략은 성공적인 비즈니스 모델로 입증되었지만, 이로 인해 조직 보안의 복잡도 역시 증가했습니다.
각 사업 부문은 IT 보안에서 상당한 독립성을 유지하고 있어 보안 관리를 통합하는 데 어려움이 있었습니다. 정보 보안 책임자는 "우리 비즈니스는 여러 회사로 구성되어 있으며, 각기 다른 보안 솔루션을 운영하고 있습니다. 경우에 따라 이러한 솔루션들의 일관성이 부족한 상황도 존재합니다. 예를 들어, 제가 이 역할을 맡았을 때 회사는 8개의 다른 안티바이러스 솔루션을 사용하고 있었고, 각 솔루션마다 정책이 달랐습니다.
제 주요 목표 중 하나는 모든 부서가 일관성 있게 동기화된 방어 가능한 아키텍처를 구축하는 것이었습니다."라고 말했습니다.
보안 솔루션의 불투명성
각 사업 부문은 자체적인 정보 보안팀을 두고 있으며, 각 부문의 CISO는 글로벌 CISO에게 보고합니다. 각 부서의 CISO는 보안 준수, 감사, 사이버 보안 리스크 관리 등을 담당하고 있습니다. 정보 보안 책임자의 팀은 회사 전반에 걸쳐 위협 탐지와 사건 대응을 책임지고 있습니다. "저희 팀은 회사 내에서 관리형 보안 서비스 제공자(MSSP)처럼 활동하고 있습니다."라고 그는 설명합니다.
글로벌 보험사는 또한 레드팀 테스트를 외부에 아웃소싱하고 있으며, 정보 보안 책임자의 팀이 이를 조정합니다. 그러나 보안 솔루션의 효과에 대한 피드백을 자주 받을 필요가 있었습니다. 이를 위해 회사는 침해 및 공격 시뮬레이션(BAS) 소프트웨어 솔루션을 도입하기 시작했습니다.
여러 솔루션을 수동으로 테스트를 진행하는 것은 작은 팀에게는 비효율적이었습니다.
이들은 실시간 공격을 시뮬레이션할 수 있는 BAS 시스템을 평가했으며, AttackIQ Security Optimization Platform이 보안 솔루션에 대한 정확한 평가를 제공한다고 판단했습니다.
"AttackIQ는 에이전트를 배포하고 필요 시 다시 배포할 수 있어 매우 효율적이었습니다."라고 정보 보안 책임자는 설명합니다. 이 시스템을 통해, 회사는 공격 시나리오를 정기적으로 실행하고, 보안 시스템의 취약점을 파악할 수 있었습니다. 특히, MITRE ATT&CK 프레임워크에 맞춰 보안 인프라를 평가하고 테스트하였습니다.
위협으로부터의 방어 및 대응 전략
정보 보안 팀은 AttackIQ 플랫폼을 통해 매주 다양한 시나리오에 대한 테스트를 진행하며, 취약점을 실시간으로 파악하고 있습니다. 이 시스템은 공격을 막지 못하거나 알림을 보내지 않는 경우, 즉각적으로 개선 조치를 취할 수 있게 도와줍니다.
"우리는 이 BAS 덕분에 보안 솔루션의 취약점을 식별하고, 이를 개선할 수 있습니다."라고 정보 보안 책임자는 덧붙였습니다. 또한 AttackIQ는 새로운 보안 솔루션 도입이 필요한 경우 그 근거 자료로 활용되며, 비즈니스 부문들이 솔루션마다의 차이를 메우도록 검증하는 데 중요한 역할을 합니다.
보안 표준화 및 M&A 자동화된 평가 결과는 위협으로부터의 대응 능력을 크게 향상시켰습니다. 위협이 발생할 경우, Security Optimization Platform을 통해 위협의 진위를 파악하고, 보안 정책이 어떻게 적용되고 있는지 알 수 있습니다. "우리는 외부 위협 인텔리전스와 각 부서 CISO의 지침을 바탕으로 보안 솔루션이 어떻게 반응해야 하는지에 대한 표준을 설정합니다."라고 그는 말합니다.
회사는 또한 M&A 전략을 고려하여 인수한 회사의 보안 시스템을 점검하고, 새로운 표준을 적용합니다. "M&A를 진행하는 회사라면 AttackIQ와 같은 기술을 활용하지 않는 것은 말이 되지 않습니다."라고 강조했습니다.
이 보험사의 사례는 침해 및 공격 시뮬레이션을 통한 보안 검증이 얼마나 중요한지를 보여줍니다.
특히, 여러 사업 부문이 각기 다른 보안 통제를 운영하고 있는 경우, 이러한 기술을 통해 각 부문이 어떻게 대응하고 있는지를 정확히 파악할 수 있습니다.
보안 통제 검증은 단순히 공격을 막는 것을 넘어, 실제 공격에 대응할 수 있는 상태를 평가하고, 필요한 개선점을 찾아내는 중요한 작업입니다. AttackIQ와 같은 시스템을 활용한 정기적인 검증은 조직의 사이버 보안 준비 상태를 강화하고, 인수합병을 통한 복잡도가 증가한 보안 환경에서도 효과적으로 대응할 수 있게 합니다.
AttackIQ 및 BAS(Breach and Attack Simulation) 제품군에 대한 문의사항은
소프트와이드시큐리티로 연락 부탁드립니다.
▶ AttackIQ BAS(Breach and Attack Simulation) as-a-Service
https://www.softwidesec.com/AttackIQ
급성장하는 글로벌 보험사는 최근 인수합병(M&A)을 통해 빠르게 확장하고 있습니다.
M&A 전략은 성공적인 비즈니스 모델로 입증되었지만, 이로 인해 조직 보안의 복잡도 역시 증가했습니다.
각 사업 부문은 IT 보안에서 상당한 독립성을 유지하고 있어 보안 관리를 통합하는 데 어려움이 있었습니다. 정보 보안 책임자는 "우리 비즈니스는 여러 회사로 구성되어 있으며, 각기 다른 보안 솔루션을 운영하고 있습니다. 경우에 따라 이러한 솔루션들의 일관성이 부족한 상황도 존재합니다. 예를 들어, 제가 이 역할을 맡았을 때 회사는 8개의 다른 안티바이러스 솔루션을 사용하고 있었고, 각 솔루션마다 정책이 달랐습니다.
제 주요 목표 중 하나는 모든 부서가 일관성 있게 동기화된 방어 가능한 아키텍처를 구축하는 것이었습니다."라고 말했습니다.
보안 솔루션의 불투명성
각 사업 부문은 자체적인 정보 보안팀을 두고 있으며, 각 부문의 CISO는 글로벌 CISO에게 보고합니다. 각 부서의 CISO는 보안 준수, 감사, 사이버 보안 리스크 관리 등을 담당하고 있습니다. 정보 보안 책임자의 팀은 회사 전반에 걸쳐 위협 탐지와 사건 대응을 책임지고 있습니다. "저희 팀은 회사 내에서 관리형 보안 서비스 제공자(MSSP)처럼 활동하고 있습니다."라고 그는 설명합니다.
글로벌 보험사는 또한 레드팀 테스트를 외부에 아웃소싱하고 있으며, 정보 보안 책임자의 팀이 이를 조정합니다. 그러나 보안 솔루션의 효과에 대한 피드백을 자주 받을 필요가 있었습니다. 이를 위해 회사는 침해 및 공격 시뮬레이션(BAS) 소프트웨어 솔루션을 도입하기 시작했습니다.
여러 솔루션을 수동으로 테스트를 진행하는 것은 작은 팀에게는 비효율적이었습니다.
이들은 실시간 공격을 시뮬레이션할 수 있는 BAS 시스템을 평가했으며, AttackIQ Security Optimization Platform이 보안 솔루션에 대한 정확한 평가를 제공한다고 판단했습니다.
"AttackIQ는 에이전트를 배포하고 필요 시 다시 배포할 수 있어 매우 효율적이었습니다."라고 정보 보안 책임자는 설명합니다. 이 시스템을 통해, 회사는 공격 시나리오를 정기적으로 실행하고, 보안 시스템의 취약점을 파악할 수 있었습니다. 특히, MITRE ATT&CK 프레임워크에 맞춰 보안 인프라를 평가하고 테스트하였습니다.
위협으로부터의 방어 및 대응 전략
정보 보안 팀은 AttackIQ 플랫폼을 통해 매주 다양한 시나리오에 대한 테스트를 진행하며, 취약점을 실시간으로 파악하고 있습니다. 이 시스템은 공격을 막지 못하거나 알림을 보내지 않는 경우, 즉각적으로 개선 조치를 취할 수 있게 도와줍니다.
"우리는 이 BAS 덕분에 보안 솔루션의 취약점을 식별하고, 이를 개선할 수 있습니다."라고 정보 보안 책임자는 덧붙였습니다. 또한 AttackIQ는 새로운 보안 솔루션 도입이 필요한 경우 그 근거 자료로 활용되며, 비즈니스 부문들이 솔루션마다의 차이를 메우도록 검증하는 데 중요한 역할을 합니다.
보안 표준화 및 M&A 자동화된 평가 결과는 위협으로부터의 대응 능력을 크게 향상시켰습니다. 위협이 발생할 경우, Security Optimization Platform을 통해 위협의 진위를 파악하고, 보안 정책이 어떻게 적용되고 있는지 알 수 있습니다. "우리는 외부 위협 인텔리전스와 각 부서 CISO의 지침을 바탕으로 보안 솔루션이 어떻게 반응해야 하는지에 대한 표준을 설정합니다."라고 그는 말합니다.
회사는 또한 M&A 전략을 고려하여 인수한 회사의 보안 시스템을 점검하고, 새로운 표준을 적용합니다. "M&A를 진행하는 회사라면 AttackIQ와 같은 기술을 활용하지 않는 것은 말이 되지 않습니다."라고 강조했습니다.
이 보험사의 사례는 침해 및 공격 시뮬레이션을 통한 보안 검증이 얼마나 중요한지를 보여줍니다.
특히, 여러 사업 부문이 각기 다른 보안 통제를 운영하고 있는 경우, 이러한 기술을 통해 각 부문이 어떻게 대응하고 있는지를 정확히 파악할 수 있습니다.
보안 통제 검증은 단순히 공격을 막는 것을 넘어, 실제 공격에 대응할 수 있는 상태를 평가하고, 필요한 개선점을 찾아내는 중요한 작업입니다. AttackIQ와 같은 시스템을 활용한 정기적인 검증은 조직의 사이버 보안 준비 상태를 강화하고, 인수합병을 통한 복잡도가 증가한 보안 환경에서도 효과적으로 대응할 수 있게 합니다.
AttackIQ 및 BAS(Breach and Attack Simulation) 제품군에 대한 문의사항은
소프트와이드시큐리티로 연락 부탁드립니다.
▶ AttackIQ BAS(Breach and Attack Simulation) as-a-Service
https://www.softwidesec.com/AttackIQ