KernelCare: SOC 2 ® 호환성 확보하기

KernelCare는 SOC 2에 대해 오래 전부터 알고 있었습니다. 저희의 Linux Kernel 라이브 패치 제품이 규정 준수 인증 노력에 도움이 되었다는 고객들의 이야기를 들었습니다. KernelCare가 고객 데이터를 처리하지는 않지만 SOC 2 인증을 받은 고객들의 좋은 사례를 따라 규정을 준수해야 한다고 생각했습니다. 고객의 사용 사례를 더 잘 알게 되고 회사로서도 발전할 수 있을 것입니다.

이제 SOC 2 규정 준수 여정의 시작을 여러분과 공유하게 되어 기쁘면서도 약간 긴장됩니다. 진행 상황에 따라 더 많은 내용을 공유하겠습니다.

SOC 2에 대한 간략한 소개

데이터 보안은 중요합니다. 서비스 고객은 자신의 데이터가 안전하다는 것을 알고 싶어 하고, 서비스 제공업체는 걱정할 것이 없다는 것을 증명하고 싶어 합니다. 우리는 모두 실제 제품에 부착된 품질 라벨을 보았습니다. 가상 제품 및 서비스에 대한 품질 배지는 덜 일반적이고 눈에 잘 띄지 않습니다. 그중에서도 SOC 2는 가장 눈에 띄는 배지입니다.

SOC 2 인증 보고서는 기업의 절차, 시스템, 데이터 관리 정책 및 통제에 대한 감사를 통해 작성됩니다. 미국에 본사를 둔 빅데이터 회사에서 실시하는 인증 프로그램입니다. 이러한 트렌드가 클라우드 서비스 먹이사슬을 따라 내려오면서 해당 에코시스템의 고객도 이 인증을 받았습니다. SOC 2 인증은 고객에게 다음과 같은 사실을 공개적으로 선언하는 것입니다:

• 데이터는 안전하게 보호됩니다;
• 처리하는 시스템을 사용할 수 있습니다;
• 시스템은 데이터의 무결성과 기밀성을 유지합니다.

강조된 단어는 SOC 2 보고서를 뒷받침하는 원칙인 신뢰 서비스 기준의 다섯 가지 범주입니다. 이러한 그룹화를 통해 감사인의 고객은 감사에서 어떤 요소를 중점적으로 감사할지 선택할 수 있습니다. 이러한 유연성과 실용주의는 SOC 2의 성공과 온라인 서비스 제공업체에 대한 매력의 일부입니다.

감사관 되기

SOC 2를 준수한다는 것은 기술적, 문화적 변화를 일으키고, 필요한 경우 규정을 준수하기 위해 지속적으로 검토하고 변경하는 것을 의미합니다. 얼마나 많은 노력이 필요한지 설명하기 위해 준법감시인이 자신의 배경과 경험에 대해 이야기해 주었습니다.

드미트로 피굴은 비엔나에 본사를 둔 국제 은행인 라이파이센의 키예프 사무소에서 내부 감사관으로 경력을 시작했습니다. 2년간 운영 감사를 수행한 후 영국에 본사를 둔 글락소스미스클라인으로 옮겨 전체 규정 준수 감사를 처음 경험했습니다. 이후 교육, 빅 데이터 분석, 부패 방지 조사 및 금융 포렌식 업무를 수행했습니다. 이제 감사관으로 일한 지 10년째인 그는 자신의 경험을 바탕으로 KernelCare의 SOC 2 규정 준수 프로그램을 운영하고 있습니다. 다음은 그와 나눈 짧은 Q&A입니다.

알렉산드라 미트로쉬키나: SOC 2 감사의 주요 단계는 무엇인가요?

Dmytro Pigul: 너무 많아서 범위, 스캔, 변경, 확인으로 요약하는 것이 가장 좋습니다.

범위는 최고 경영진과의 회의로 시작하여 SOC 2를 원하는 이유를 이해하고 아이디어에 대한 '바이 인'이 있는지 확인하는 것을 의미합니다. 어떤 신뢰 서비스 기준에 초점을 맞출지, 어떤 부서와 시스템에 적용할지 결정합니다. KernelCare는 CloudLinux Inc.의 일부이기 때문에 경영진은 다른 두 제품도 포함하기로 결정했습니다. 범위 설정 작업의 일부는 이해 관계자를 식별하는 것입니다. 누가 무엇을 알고 있으며 그들의 역할이 무엇인지 파악하는 것입니다. 이 사람들이 감사 전반에 걸쳐 저의 접점입니다. 범위 지정 단계가 끝나면 결과물 목록과 감사 의제와 범위를 설정하고 진행 상황을 추적하는 데 도움이 되는 문서가 작성됩니다.

다음은 스캔입니다. 이 단계에서는 COSO 또는 COBIT 프레임워크에 기반한 체크리스트가 매우 유용합니다. 체크리스트는 조직 및 관리, 커뮤니케이션, 위험 관리 등 감사에서 고려해야 할 수많은 사항을 체계적으로 추적할 수 있는 방법입니다. 또한 논리적 및 물리적 액세스, 시스템 운영 및 변경 관리를 위한 제어 모니터링도 있습니다.

다음 단계는 변경으로, 무엇을 어떻게 변경해야 하는지 알아보는 단계입니다. 변화는 규정 준수의 결과입니다. 규정을 바로 준수하는 조직은 거의 없으며, 대부분은 규정을 준수하기 위해 변화해야 합니다. 예를 들어, KernelCare에서는 IT 제어의 3분의 1이 비효율적이었습니다. 그래서 우리는 눈에 띄지 않거나 우선순위가 낮았던 부분을 변경하고 개선했습니다.

마지막으로 확인 단계입니다. 이 단계는 변경 사항을 확인하고, 제어를 검증하며, 모든 제어가 존재하고 효과적인지 확인하는 감사의 진정한 핵심입니다.

SOC 2 규정 준수를 위한 감사:

1. 범위를 정의하고, 목표를 설정하고, 이해관계자를 식별하세요.
2. 조직 스캔: 조직을 분석하고 문서화하세요.
3. 작동하는 컨트롤을 변경하거나 생성합니다.
4. 컨트롤이 존재하고 효과적인지 확인하세요.

AM: SOC 2를 받는 데 얼마나 걸리나요?

DP: 회사마다 상황이 다르죠. KernelCare의 경우 올해 5월에 시작하여 10월 말까지 SOC 2 유형 1을 목표로 하고 있습니다. 유형 1 보고서는 컴플라이언스에 대한 스냅샷으로, 특정 시점에만 유효합니다. 유형 2 보고서는 일정 기간에 대한 것으로, 지금부터 1년 후에 받을 수 있을 것으로 예상합니다.

AM: 받은 후에는 어떻게 되나요?

DP: SOC 2 유형 2 보고서를 받는 것은 정기적인 연례 점검의 시작에 불과합니다. 인증을 받는 것은 일회성 활동이 아닙니다. 인증을 유지하려면 정기적으로 감사를 받아야 합니다.

AM: 마지막으로, 업무에서 가장 중요하게 생각하는 성격 특성은 무엇인가요?

DP: 의심할 여지 없이 외교입니다. 감사관으로서 저는 사람들의 세계와 그들의 확고한 업무 방식에 침입하는 사람입니다. 그래서 직원들은 방어적이고 변화에 저항하게 됩니다. 저는 규정 준수가 자기 계발의 수단이 될 수 있으며, 기업과 고객에게만 이익이 되는 것이 아니라는 점을 보여주기 위해 최선을 다합니다. 두 번째로 중요한 것은 조직 기술입니다. 감사는 복잡합니다. 고려해야 할 측면이 다양하고 이해해야 할 수준도 다양합니다. 저는 최전선에서 최고 경영진에 이르기까지 회사의 모든 부서와 함께 일합니다.

KernelCare의 자동 Linux Kernel 패치 서비스는 기업의 SOC 2 규정 준수 노력을 지원하여 보안과 가용성 신뢰 서비스 기준 사이의 내재된 긴장을 해결합니다.

자체 규정 준수 프로그램을 시작하면 작은 노력으로도 규정 준수에 대한 부담을 크게 줄일 수 있다는 것을 이해할 수 있습니다.