사이버 공격이 급증하는 시대에는 강력하고 적극적인 보안 체계가 필수적입니다. 랜섬웨어와 피싱 등의 사이버 위협은 모든 부문, 모든 규모의 기업에 문제를 일으키고 있습니다. 응답자의 90%가 써드파티의 사이버 복원력에 대해 우려하고 있는 세계경제포럼의 설문조사에서도 공급망에 대한 공격은 심각한 문제로 대두되고 있습니다. 이에 기업이 강력한 보안 체계를 구축하는 데 도움이 되도록 설계된 프레임워크 중 하나인 SOC 2(System and Organization Controls 2)는 리스크를 확립하고 운영 효율성을 개선하는 데 활용됩니다.
SOC 2는 AICPA(American Institute of Certified Public Accountants)에서 시작되었으며, 서비스 기업에서 정보 보안 통제에 대한 감사와 보고를 용이하게 하는 AICPA의 신뢰 서비스 기준으로부터 영향을 받았습니다. SOC 2 보고서는 데이터 보안, 가용성, 처리 무결성, 기밀성, 개인정보 보호에 대한 내용을 담고 있습니다. 또한 서비스 기업의 컨트롤 방식이 다섯 가지 SOC 2 기준의 일부나 전부를 충족할 수 있는지 확인합니다.
리스크 관리는 써드파티까지 확장되어야 합니다. SOC 2는 서비스 기업이 강력한 정보 보안을 달성하고 유지할 수 있는지, 그리고 보안 인시던트를 방어할 수 있는지 확인하는 데 필요한 프레임워크를 제공합니다. SOC 2는 써드파티 벤더사의 보안 체계를 감사해 기업이 기대하는 보호 수준을 충족하는지 확인하는 데 사용됩니다.
Akamai 보안 솔루션은 인텔리전스 및 엔드투엔드 보호 기능을 제공해 유출과 우발적 노출로부터 데이터를 보호하고 강력한 접속 제어 정책 시행을 통해 무단 접속을 방지합니다. Akamai는 기존의 엔드포인트 탐지를 넘어 데이터 보호와 프라이버시를 위한 강력한 제로 트러스트 솔루션을 제공함으로써 보안 팀이 보안 투자의 효과와 ROI를 극대화할 수 있도록 지원합니다.
Akamai에서는 다음을 제공합니다.
SOC 2 감사는 데이터 처리의 다섯 가지 측면을 다루며, 이를 올바르게 구축할 경우 일관되고 강력한 사이버 보안 체계를 형성할 수 있습니다. ASEC Trust Information Integrity Task Force는 TSC(Trust Services Criteria)의 기술적 정확성을 도모합니다. AICPA의 보증 서비스 집행 위원회는 TSC를 담당하며 SOC 2의 다섯 가지 신뢰 서비스 기준을 다음과 같이 설명합니다.
서비스 공급업체는 다섯 가지 신뢰 서비스 원칙 중 일부나 전부를 준수한다는 점을 보여줌으로써 정보 보안을 위한 노력을 입증할 수 있습니다.
SOC 2는 고객 데이터를 저장, 처리 또는 취급하는 기술 서비스 공급업체나 SaaS 회사에 적용됩니다. SOC 2는 데이터와 앱을 처리/제공하는 기타 써드파티 벤더사로 확장되며 데이터 무결성을 보장하기 위해 마련된 시스템과 보호 장치를 입증하는 데 사용됩니다. SOC 2 컴플라이언스는 벤더사 관리와 관련된 리스크의 일부로서 구매 결정을 내리는 데 도움을 줄 수 있습니다.
Thales와 451 Research에 따르면, 66%의 기업이 민감한 데이터의 최대 60%를 클라우드에 저장하고 있습니다. 클라우드 애플리케이션과 관련하여 데이터 유출을 경험한 기업의 수는 2021년 35%에서 2022년 45%로 증가했습니다. 기술 벤더사는 SOC 2 컴플라이언스를 입증함으로써 2단계 인증과 같은 보안 제어를 사용하고 있음을 증명할 수 있습니다. 이는 클라우드와 IT 보안 서비스 영역의 리스크가 높아질 수 있는 현 시대에 더욱 필수적인 경쟁 차별화 요소입니다. 가치 사슬 전체에 영향을 미치는 클라우드 보안 유출은 점점 빈번해지고 있는 만큼, 클라우드 및 IT 서비스 공급업체는 SOC 2 컴플라이언스를 입증함으로써 정보 보안을 핵심 가치로 여기고 있음을 증명할 수 있습니다.
기업은 SOC 2 컴플라이언스가 입증된 벤더사를 선택함으로써 써드파티 벤더사의 리스크와 컨트롤을 정의하는 SOC 보고서를 통해 감사의 투명성으르 톺일 수 있습니다. 이러한 표준과 정보 보안 조치는 기업에 스며들어 내부 표준 및 규제 요건에 필요한 데이터 보안을 보장합니다.
공급망 공격 은 2021년과 2022년에 600% 이상 증가했습니다. 제로데이 MOVEit Transfer 같은 공격은 이러한 공격의 범위와 영향력이 얼마나 커졌는지 잘 보여줍니다. Akamai는 MOVEit 공격에 대한 보안 리서치를 통해 취약한 인터넷 기반 서버가 놀라울 정도로 많다는 사실을 발견했습니다. 이러한 종류의 취약점은 공급망 벤더사를 이용해 수익성 높은 상위 네트워크에 접속하는 사이버 범죄자들의 표적이 됩니다. 공급망 벤더사는 SOC 2 컴플라이언스를 증명해 데이터 보안에 대한 노력을 입증할 수 있습니다.
Akamai는 제로 트러스트 보안을 제공하는 포괄적인 솔루션 제품군을 제공해 SOC 2 신뢰 서비스 기준을 달성할 수 있는 수단을 제공함으로써 SOC 2 컴플라이언스를 지원합니다. Akamai의 선도적인 보안 솔루션은 고객으로부터 업계 최고의 솔루션으로 인정받고 있으며, 고객은 Akamai 솔루션을 활용해 확장된 최신 IT 환경 전체의 민감한 데이터를 보호하고 있습니다. Akamai의 보안 포트폴리오는 포인트 솔루션 모음에서 포괄적이고 강력한 제로 트러스트 플랫폼으로 성장했습니다. Akamai의 세계적 수준의 솔루션은 데이터 보안, 가용성, 무결성, 기밀성, 프라이버시에 대한 SOC 2 요구 사항을 충족하는 데 필요한 보안 제어 기능을 제공합니다. Akamai는 공급업체를 포함한 확장된 인프라 전반에서 IT 환경, 중요 자산, 접속 요구 사항, 네트워크 흐름에 대한 심층적인 가시성을 제공합니다.
데이터 사용에 대한 접속과 권한 제어는 SOC 2에 따른 정보 보안의 핵심 요소입니다. 데이터 보안에 대한 제로 트러스트 접근 방식을 개발하는 과정은 다섯 가지 신뢰 서비스 기준을 강력한 보안 조치에 매핑하는 것과 같습니다.
제로 트러스트 보안 접근 방식을 구축하는 데 사용되는 SOC 2 보안 조치는 다음과 같습니다.
SOC 2는 보안, 가용성, 처리 무결성, 기밀성, 프라이버시와 관련된 서비스 기업의 제어의 효과를 증명하는 감사 보고서입니다.
SOC1과 SOC 2는 목적과 범위에서 근본적인 차이가 있습니다. SOC 1은 고객 재무 관리의 무결성과 재무 데이터의 정확성에 중점을 둡니다. SOC 1은 다섯 가지 신뢰 서비스 기준을 사용해 데이터를 보호하는 내부 통제에 중점을 두는 반면, SOC 2는 클라우드 서비스를 포함한 모든 서비스 공급업체를 포괄하는 더 넓은 범위를 가지고 있습니다.
고객 데이터를 클라우드에 저장하는 서비스 공급업체는 SOC 2 보고서가 필요합니다. 이는 기술 및 클라우드 컴퓨팅 기업에 매우 중요합니다. SOC 2 인증은 독립적인 공인 SOC 2 감사자인 AICPA 소속 CPA (Certified Public Accountant)가 수행합니다. 감사는 TSC(Trust Services Criteria)의 일부나 전체에 대해 수행됩니다. 감사 대상 TSC는 회사 종류에 따라 다릅니다. 예를 들어 SaaS 벤더사는 보안, 가용성, 기밀성 기준을 감사할 가능성이 높습니다.
감사 범위도 기업 종류에 따라 다릅니다. 대기업은 회사나 제품의 특정 섹션을 감사하도록 선택할 수 있습니다. 감사자는 보안 모델을 입증하는 완전한 문서와 정책을 요구합니다. 문서화된 제로 트러스트 모델을 마련하면 이 프로세스에 도움이 됩니다.
SOC 2 컴플라이언스를 달성하려면 매년 감사를 받아 다섯 가지 신뢰 서비스 기준을 준수해야 합니다.
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.
