eBook
SAP를 위한 전사적 액세스 거버넌스의 5가지 원칙
기술의 발전과 클라우드 애플리케이션의 폭발적인 증가로 인해 기업의 업무 방식은 단순해졌습니다. 하지만 이로인해 디지털 혁신에 기여하고 효율성 제고를 견인하는 여러 비즈니스 시스템의 보안은 더욱 복잡하게 바뀌었습니다.
Zylo Inc.의 보고서에 따르면, 기업은 평균 약 600개의 SaaS 애플리케이션을 사용하고 있습니다. 가장 큰 보안 위협은 중요한 프로세스를 실행하고 민감한 데이터를 포함하며 액세스 관리 수준이 복잡한 SAP와 같은 주요 시스템에 대한 액세스와 관련되며 이러한 액세스 위험은 외부 소스 또는 인증된 내부 사용자로부터 발생할 수 있습니다.
여러 애플리케이션에 걸친 통합된 액세스 관리 기능이 없는 경우 문제는 더욱 복잡합니다. 일부 시스템은 관리 기능이 없는 반면 다른 시스템은 수동 프로세스로 관리될 수도 있습니다. 또한 다양한 응용 프로그램에서 서로 다른 관리 솔루션이 사용될 수도 있습니다. 이러한 차이로 인한 문제점에는 일관성이 없고 규정을 준수하지 않는 액세스, 시간이 많이 걸리고 오류가 발생하기 쉬운 모니터링, 위협 증가, 부정 행위 및 감사 결함 발생 등이 있습니다.
- 부정 행위 발생 빈도는 2016년에서 2021년까지 75% 증가했습니다.1
최근 대규모 기업 부정 행위 사례는 통합 관리 기능의 부재로 인해 발생하는 부정 행위의 피해가 얼마나 클 수 있는지, 얼마나 오랫동안 적발되지 않을 수 있는지 잘 보여 줍니다.
2021년 4월, Alden Shoe Company의 전 재무 담당 최고 책임자는 장기적인 계획을 통해 회사로부터 약 3천만 달러를 횡령한 혐의에 대해 유죄를 인정했습니다. 그의 계획에는 회사 은행 계좌에서 자신에게 수표를 발행하고 회사 계좌로부터 본인 및 다른 개인의 계좌로 송금하는 행위도 포함되었습니다.
SAP를 비롯한 ERP 시스템은 기업의 가장 민감한 데이터와 금융 트랜잭션을 처리하기 때문에 특히 중요합니다. SAP의 2021년 1월 기업 자료에 따르면 전 세계 트랜잭션 수익의 77%가 SAP 시스템에서 처리됩니다. 또한 SAP ECC와 함께 사용되는 수많은 클라우드 애플리케이션으로 인해
액세스 거버넌스는 더욱 복잡해졌으며 S/4HANA가 채택되고 SAP SuccessFactors(HR 관리용)와 같은 애플리케이션이 S/4HANA 비즈니스 코어 외부에 상주하는 클라우드 애플리케이션 에코시스템이 도입되면서 복잡성은 한층 더 가중되었습니다. 여러 개별 애플리케이션으로 구성된 네트워크에서는 액세스 및 모든 잠재적 위험에 대한 실시간 지능형 가시성 확보가 부정 행위, 데이터 도난 및 직원의 실수로 인한 사고로부터 보호하는 데 매우 중요합니다.
클라우드 애플리케이션을 통한 채택 및 확장이 SAP 비즈니스 혁신의 미래를 견인한다면 기업은 이러한 고밀도 네트워크에서 관리 기능을 유지하고 위험을 줄이기 위해 어떤 방식으로 액세스를 관리해야 할까요? 스마트한 기업들이 채택하고 있는 5가지 원칙을 아래에서 확인해 보세요.
1. 자동화된 기술로 관리해야 합니다.
오늘날 기업에서는 작업자가 직접 수행하는 수동 액세스 관리 방식으로는 심각한 위험이 초래될 수 있습니다. 이러한 방식으로는 여러 시스템은 물론 단일 ERP에서도 위험을 식별하는 데 필요한 속도, 가시성 및 정확성을 유지하면서 확장할 수 없기 때문입니다. 예를 들면, 액세스 보고서를 생성하고 액세스 규칙, 역할 및 정책에 따라 검토하는 시간 동안 새로운 위험이 발생하면 탐지하지 못하고 놓칠 수 있습니다. 비즈니스를 위험으로부터 완벽하게 보호하려면 지속적이며 자동화된 실시간 분석이 필요하며 이러한 목표는 수동 방식으로는 달성할 수 없습니다.
또한 위험을 완전히 파악하려면 사용자뿐만 아니라 역할 및 비즈니스 프로세스도 분석해야 합니다. 사용자가 시스템에서 어떤 작업을 수행할 수 있는지 지정하는 것과 실제로 어떻게 사용하고 있는지 파악하는 것은 별개의 작업이며 이는 완벽한 가시성을 확보하는 데 매우 중요합니다. 심층적이고 세분화된 수준의 사용 현황 분석을 자동화할 수 있는 기술 없이는 완벽하게 위험을 파악하는 것은 불가능합니다.
액세스 권한을 수동으로 프로비저닝하거나 권한 상향 조정 또는 단기적인 권한 사용을 위해 긴급 액세스 권한을 부여하는 방식은 비슷한 위험을 초래합니다. 추가로 작업해야 하는 부담이 있을 뿐만 아니라 프로비저닝하기 전에 잠재적인 리스크를 이해하지 못한 채 액세스 권한을 부여하는 경우는 특히 위험할 수 있습니다. 따라서 기업은 새로운 리스크가 시스템에 유입되지 않도록 발생 가능한 리스크를 시뮬레이션할 수 있어야 합니다. 이러한 즉각적인 필수 보안 기능은 자동화를 통해서만 가능합니다. 리스크 예측 및 분석을 통해 기업은 다음과 같은 작업을 수행할 수 있습니다.
- 프로비저닝 전에 리스크를 분석하여 새로운 리스크 방지
- 변경 사항이 각 역할에 미치는 영향 예측
- 리스크 없이 액세스 권한을 상향 조정하거나 긴급 액세스 권한을 부여
또한 수동 긴급 프로비저닝의 경우 액세스 만료일에 액세스가 취소되지 않을 가능성이 높으며 이는 결국 시스템에 또 다른 위협을 초래합니다.
위에서 살펴보았듯이 기술 자체만으로는 충분하지 않습니다. SAP용 자동 액세스 관리 솔루션은 관리 및 리스크 데이터를 통합하여 광범위한 애플리케이션이 사용되는 환경에 필요한 요구사항을 충족하는 등 다른 목표 달성에도 도움이 됩니다.
2. 중앙 집중화된 인사이트가 필요합니다.
가장 정확하고 효율적인 액세스 관리 및 리스크 인사이트를 제공하려면 여러 애플리케이션에 대한 관리 기능이 함께 작동해야 합니다. 애플리케이션 전반에 걸쳐 사용할 수 있는 동일한 액세스 관리 기능이 없다면 기업은 사용자의 전체 리스크 범위를 즉시 파악할 수 없으며 전사적으로 분석, 보고 및 검토 작업을 수행할 수도 없습니다. 서로 다른 시스템의 단편적인 리스크 정보는 실행 가능한 데이터 인텔리전스로 전환하기가 더 어렵습니다. 위험을 발견하고 방지하는 데 걸리는 시간은 매우 중요합니다. 위협이 오래 지속될수록 비용과 피해는 더 증가하기 때문입니다.
예를 들어, 30일 이내에 복구된 내부자 보안 사고의 경우 연평균 710만 달러가 소요된 반면, 해결하는 데 90일 이상이 걸린 보안 사고의 경우 1,370만 달러가 소요됩니다. 사용자가 하나의 애플리케이션에서 권한 및 시스템 정책을 위반한 경우 다른 시스템에서 유사한 활동이 발생했는지 여부를 확인하는 기능은 보안 위협, 내부자 보안 사고 등을 방지하는 데 필수적입니다.
3. 아이덴티티 보안 및 업무 분리(SoD) 액세스 관리를 통합해야 합니다.
모든 요소를 포함하는 포괄적인 액세스 관리 방식에는 강력한 이점이 있지만 SoD 모니터링과 아이덴티티 보안을 하나의 솔루션으로 통합한다면 훨씬 더 큰 이점을 얻을 수 있습니다.
세분화된 액세스 관리를 포함한 통합 아이덴티티 보안은 이중 보안 계층을 제공하여 내부를 보호하는 동시에 보안 경계도 보호합니다. 추가 인증을 거친 자격을 갖춘 사용자만 시스템에 액세스할 수 있으며 이러한 사용자가 내부에서 어떤 작업을 수행하는지 확인할 수 있습니다. 통합 아이덴티티 보안을 여러 애플리케이션에 지속적으로 적용하여 기업은 전사적으로 리스크를 파악하고 안전하게 보호합니다. 즉, 360도 가시성 및 보안을 달성할 수 있습니다.
4. 감사 및 컴플라이언스 복잡성을 줄여야 합니다.
단점이 있는 수동 프로세스를 자동화된 프로세스로 대체하면 과도한 감사 작업 부담을 줄이고, 감사의 완전성과 정확성을 개선하며, 완벽한 컴플라이언스를 유지할 수 있습니다. 또한 리스크와 중요한 취약점을 줄이고 감사 비용, 벌금 및 수수료를 절감할 가능성이 높습니다. 이사회, 투자자 및 고객은 감사를 쉽게 성공적으로 마치는 기업을 더욱 신뢰하게 될 것입니다.
정기적인 액세스 검토 작업은 감사 및 컴플라이언스에서 중요한 요소입니다. 올바르게 수행될 경우 기업은 감사 및 컴플라이언스의 복잡성을 줄일 수 있으며 제대로 수행되지 않은 경우 위험이 감지되지 않고 감사 결함이 발생하며 비용이 급증할 수 있습니다. 액세스 검토는 연간 작업에 그치지 말아야 합니다. 더 자주 수행하여 위험을 최대한 방지해야 하며 이는 모든 애플리케이션에 걸친 자동화된 SoD 모니터링, 보고 및 검토 기능이 없다면 불가능하지는 않지만 매우 어려운 작업입니다.
5. 전사적으로 생각해야 합니다.
진정한 혁신과 완벽한 아이덴티티 보안을 위해서는 개별적으로 분리된 위험 관리 방식에서 벗어나 내부 및 외부 위협을 방지하는 데 동일하게 중점을 두는 전사적 전략이 필요합니다. 또한 이러한 접근 방식을 기업의 이해관계자가 공유하고 이해해야 합니다.
광범위하고 심층적인 보안의 중요성과 이를 달성하는 방법에 대해 이견이 있다면 IT 및 보안 팀을 포함한 전사적인 참여와 교육을 통해 해결되어야 합니다. 감사, 컴플라이언스, 재무 담당 직원과 최고 책임자 임원도 참여하여 경영진의 승인을 얻는 것이 좋습니다.
또한 새로운 애플리케이션을 구현할 때 구현을 담당하는 팀은 전사적으로 생각해야 합니다. 이러한 프로젝트는 단순히 시스템을 구축하는 것을 넘어 처음부터 통합 아이덴티티 및 액세스 관리를 고려해야 합니다. SAP S/4HANA 도입은 좋은 예입니다. KPMG의 추정에 따르면, 마이그레이션을 마친 후 문제를 해결하는 경우 초기 요구사항부터 관리 기능을 포함한 경우보다 비용이 30배 더 많이 소요될 수 있습니다.
결론
업무 효율 제고를 위한 다양한 기술 채택은 SAP 고객뿐만 아니라 모든 비즈니스에서 계속 증가할 것입니다. 이러한 기술 중 클라우드 애플리케이션의 비중 또한 높아질 것입니다. Gartner는 2021년에 클라우드 지출이 23% 증가할 것으로 전망합니다. 클라우드 보안 솔루션의 사용도 증가할 것이라는 예상 또한 매우 타당합니다. 클라우드 툴을 통해 최고의 유연성과 확장성이 제공될 수 있기 때문입니다. 특히 업무 분리(SoD) 모니터링 및 아이덴티티 거버넌스에서는 더욱 그렇습니다.
여러 솔루션에 대한 액세스 관리 기능을 완벽하게 통합된 아이덴티티 보안과 함께 활용하면 하나의 플랫폼에서 리스크 관리 프로세스와 가시성을 확보하여 전사적 액세스 거버넌스 및 보안을 달성할 수 있습니다. 또한 클라우드 액세스 리스크 관리 솔루션을 사용하면 이점을 극대화하고 장기적인 비용과 보안 과제를 줄여 가치 실현 시간을 단축할 수 있습니다.
- 2020년 내부자 위협 비용에 관한 보고서(2020 Cost of Insider Threat Report), Ponemon Institute