Threat Stack의 SOC 2 프로세스 진화에 대한 내부 모습

1년차: 기초 구축

1년차(2017년)에 우리는 SOC 2를 선택했습니다. 우리는 고객의 SOC 2 준수를 돕는 보안 회사이고, 스스로 시험을 완료하여 모범을 보이는 것이 중요하다고 믿기 때문입니다. 우리는 유형 1 대신 유형 2를 선택했습니다. 왜냐하면 이는 훨씬 더 엄격한 절차를 보여줄 뿐만 아니라 지속적인 준수를 증명하기 때문입니다. Threat Stack의 CSO인 Sam Bisbee는 다음과 같이 말했습니다. "유형 2를 선택함으로써 우리는 내부적으로 해당 정책으로 운영함으로써 '지속적인 준수'에 대한 우리만의 주장을 지킬 수 있다는 훨씬 더 강력한 신호를 시장에 보냈습니다."

2형 SOC 2 추진을 확정한 후, 우리는 시험 이전 기간을 활용해 통제, 프로세스, 거버넌스의 강력한 기반을 구축했습니다. 구체적으로, 우리는 인프라를 강화하고 제품 개발의 모든 단계에서 보안을 심어주기 위해 새로운 정책과 기술을 구현했습니다. 또한, 우리는 보안팀을 DevOps 관행에 더 잘 통합할 수 있는 기회를 얻었습니다. 마지막으로, 우리는 자동화된 프로세스에 SOC 2 기대치를 내장하는 툴을 만들어 필요한 검사가 개발 프로세스에 기본적으로 내장되어 최종적으로 장애물로 추가되지 않도록 했습니다. 

결과: 예외 없이 시험에 통과함으로써 우리는 Threat Stack Cloud Security Platform®, 이를 뒷받침하는 사람들, 그리고 도입된 프로세스가 엄격한 규정 준수 표준을 지속적으로 준수할 수 있다는 것을 입증했습니다. 

2년차: 전담 GRC 기능 구축 및 프로세스 최적화 

1년차에는 큰 성공을 거두었지만, 앞으로 더욱 엄격하고 효율적인 방식으로 동일하거나 더 나은 결과를 얻을 수 있다는 것이 분명해졌습니다. 이를 염두에 두고 우리는 2년차를 다음과 같은 목적으로 사용했습니다.

• 엔지니어링, 운영 및 플랫폼 보안 팀을 활용하여 보안 팀 내에 전담 거버넌스, 위험 및 규정 준수(GRC) 기능을 구축하여 감사를 지원하는 분산된 회사 차원의 접근 방식을 만듭니다.
• 공식적인 현장 SOC 2 평가 전에 엄격한 내부 감사를 설계하고 실행하여 통제, 정책 및 프로세스의 종단 간 효과성을 평가하고 개선하고, 더 높은 정확성과 효율성을 달성하기 위해 어떤 도구를 구축하거나 활용할 수 있는지 확인합니다. 

그 보상은 상당했습니다. 우리는 거버넌스와 기반을 강화했을 뿐만 아니라, 공식 심사에 앞서 내부 프로세스도 지속적으로 개선했습니다. 내부 심사는 완료하는 데 약 1개월이 걸렸지만, 공식 심사에서는 감사원이 현장에 3일만 있으면 되었습니다. (실제로 감사원이 현장에 있어야 하는 시간을 줄일 수 있었습니다. 내부 감사를 통해 감사원이 요구하는 증거를 신속히 식별하고 끌어낼 수 있게 되었기 때문입니다.)

결과: 간소화된 프로세스, 단축된 현장 방문, 그리고 예외 없는 성공적인 검사!

3년차: 범위 확장 및 새로운 컨트롤 통합

3학년은 흥미롭고도 도전적이었습니다. 두 번의 성공적인 시험이 예외 없이 이루어지면 세 번째 시험도 쉽게 달성할 수 있을 것이라고 생각할 수도 있습니다. 하지만 사이버보안 산업을 전반적으로 특징짓는 끊임없는 변화와 Threat Stack에서 경험한 변화와 성장을 고려하면 이는 분명히 사실이 아니었습니다. 범위의 변화와 새로운 통제의 도입으로 인해 발생한 과제를 해결하기 위해 우리는 세 가지 영역에 노력을 집중했습니다.

• 기존 모니터링 및 제어 검증: 저희는 처음 2년 동안 정책, 절차, 통제에 관한 튼튼한 기반을 구축하고 강화했지만, 그것만으로는 지속적인 규정 준수가 보장되지 않습니다(따라서 매년 재검토가 필요합니다). 이를 예상하고 우리는 기존 프로세스의 효과를 검증하고 감사관에게 쉽게 규정 준수를 입증할 수 있는 내부 점검 및 감사 시스템을 구축했습니다. 간단히 말해, 우리는 시험에 앞서 시스템을 테스트할 수 있는 적극적인 접근 방식을 취했고, 이를 통해 종단 간 효과와 규정 준수를 보장했습니다. 이러한 프로세스를 표준 운영에 통합함으로써 지속적인 규정 준수를 유지하는 것이 시간이 많이 걸리는 추가 작업이 아닌 업무 활성화 요소가 되도록 할 수 있었습니다.
• 새로운 기능을 포함하도록 거버넌스 범위 확장: 조직에서 기능 범위가 변경될 때마다 새로운 기능이 조직의 나머지 부분을 관리하는 동일한 정책 및 절차를 준수하는지 확인하는 것이 필수적입니다. 우리의 경우, Threat Stack은 Threat Stack 클라우드 보안 플랫폼의 필수 부분으로 2019년 중반에 새로운 통합 애플리케이션 보안 모니터링 솔루션을 배포했습니다. 따라서 이것이 적절하게 모니터링되고 통제되는지 확인하는 것과 이를 심사관에게 입증하고 이를 뒷받침할 적절한 증거를 제공하는 것이 필수적이었습니다. 따라서 우리는 모든 정책과 절차, 변경 관리 프로세스를 포함하여 애플리케이션 보안을 담당하는 팀이 이를 처리할 수 있도록 SOC 2 거버넌스 활동 범위에 애플리케이션 보안 기능을 적극적으로 포함시켰습니다.
• 추가 통제 준수에 대한 증거 제공: 2019년 시험의 일환으로, 우리는 여러 가지 추가 통제 규정을 준수했다는 증거를 제시해야 한다는 통보를 받았습니다. 그 중 핵심은 "공급업체 및 비즈니스 파트너와 관련된 위험을 평가하고 관리하는 능력"이었습니다.
  
  기업들은 자격을 갖춘 공급업체에 아웃소싱하는 경우가 점점 늘어나고 있습니다. 물론, 이러한 공급업체에 대한 책임은 아웃소싱되지 않습니다. 책임은 조직 내에서 유지되며 공급업체 관리 프로그램에 공급업체를 포함하고 회사 전반에서 사용하는 것과 동일한 정책, 절차 및 통제로 관리하는 것이 필수적입니다. 다시 말해, Threat Stack이 타사 공급업체 관리에 대해 적극적인 접근 방식을 취했기 때문에 우리는 이미 적절한 공급업체 관리 정책이 마련되어 있음을 입증할 수 있었습니다. 기본적으로 GRC 시스템은 이러한 사태를 예상하고 공급업체 관리 요구 사항을 고려하도록 보장했습니다.

유연성을 유지하면서도 SOC 2 규정 준수를 위한 견고한 프레임워크를 구축함으로써 Threat Stack은 운영의 특성과 범위의 변화에 긍정적으로 적응할 수 있었으며, 지속적인 규정 준수를 보장하는 것이 보람 있는 과제였습니다. 당사는 기반을 지속적으로 검증하고 변화에 적응하면서 운영 정책과 절차를 최적화하는 동시에 보안 태세를 지속적으로 강화하고 있습니다. 이에 따라 규정 준수는 Threat Stack Cloud Security Platform을 통해 고객에게 가치를 전달하고, 고객과 공유하는 학습을 통해 내부적으로도 이익을 얻을 수 있는 순수한 비즈니스 향상 및 지원 요소가 되었습니다.

Threat Stack은 자체적인 Type 2 SOC 2 검사 외에도 클라우드 보안 플랫폼을 통해 고객이 전체 스택 클라우드 보안 관찰, 지속적인 모니터링, 알림, 조사 및 클라우드 인프라 검증을 통해 클라우드 규정 준수 관리를 간소화하도록 지원합니다.