안전하고 규정을 준수하는 클라우드 자동화 환경을 위한 5단계

기업은 팬데믹 기간 동안 비용을 절감하고 리소스 문제를 완화하기 위해 일상적인 프로세스를 자동화하기 시작하면서, 원격 근무로 인한 새로운 보안 문제와 더불어 말 그대로 언제 어디서나 민감한 데이터에 액세스할 수 있기 때문에 발생하는 새로운 보안 문제도 처리해야 했습니다.

Gartner에 따르면 "현재 지식 근로자의 60%가 원격 근무를 하고 있으며 최소 18%는 사무실로 복귀하지 않을 예정입니다." 원격 근무로 인해 노출이 증가하여 사이버 위험도 증가할 수 있습니다. 사이버 공격자는 민첩하고 빠르며 끈질기게 공격합니다. 이들은 항상 기업의 민감한 데이터에 액세스하기 위해 악용할 수 있는 취약점을 찾고 있습니다. 불행히도, 그들은 꽤 성공적이었습니다.

“미국 기업의 80% 이상이 중요한 데이터를 도용, 변경 또는 공개하려는 시도로 시스템이 해킹당한 적이 있다고 답했습니다. [...] 아시아, 유럽, 아프리카, 라틴 아메리카에 있는 기업은 85% 이상이 해킹을 당한 적이 있다고 답했습니다." 이러한 결과는 막대한 비용을 초래할 수 있습니다. 한 번의 보안 침해만으로도 기업은 수백만 달러의 복구 비용을 부담하고 비즈니스 및 평판을 잃게 될 수 있습니다.

자동화를 클라우드 네이티브 아키텍처로 마이그레이션하면 더 빠른 확장, 더 높은 가용성, 세분화된 보안 및 혁신을 실현할 수 있습니다. 비즈니스의 속도에 맞춰 움직이려면 자동화 플랫폼이 다음과 같은 기능을 지원해야 합니다.

• 노출 및 보안 사고의 위험을 최소화해야 합니다.
• 강력한 사전 예방적 위험 완화 및 재해 복구 정책을 제공해야 합니다.
• 주요 업계 표준을 준수해야 합니다.
• 강력한 중앙 집중식 인증 및 액세스 제어는 물론 통합을 통한 확장 기능을 제공해야 합니다.

플랫폼에 대한 이러한 고려 사항 외에도 다음과 같이 자동화 플랫폼, 개발 수명주기 및 데이터를 보호하기 위해 취할 수 있는 5가지 단계가 있습니다.

1단계: 인증 및 액세스가 정의되고 제어되는지 확인

우선 시스템에 액세스하는 모든 사람이 인증을 받았는지 확인하려면 엄격하게 통제되는 환경에서 다중 계층 인증과 세분화된 액세스 제어가 필수입니다. 다음은 올바른 인증 및 액세스를 구축하기 위해 고려해야 할 몇 가지 모범 사례입니다.

• 자동화 플랫폼의 기본 아키텍처 및 주요 기능 내에서 RPA 관리자, Bot 빌더, Bot 테스터, RPA 운영자 등 고유한 역할을 생성합니다. 지원 및 문제 해결 업무 수행을 위한 권한에 따라 콘텐츠에 대해 제한된 액세스 권한을 사용자에게 부여합니다. 이러한 유형의 제어를 통해 가장 엄격하고 안전하며 규정 준수가 요구되는 환경의 요구 사항을 충족하기에 충분한 세분화된 액세스 제어로 업무를 분리하고 충실도 높은 역할을 설정할 수 있습니다.
• 자동화 플랫폼이 내장된 자격증명 저장소를 제공하거나 자격증명 저장소와 통합할 수 있는 기능을 제공하는지 확인하십시오. 자격증명 저장소는 모든 시스템과 사용자 자격증명뿐만 아니라 런타임 시 자동화에 필요한 자격증명도 저장합니다. 결과적으로 Bot 빌더는 자동화 내에서 직접 자격증명 및 기타 민감한 데이터/인수를 하드 코딩하는 안전하지 않은 관행을 피할 수 있습니다.
• 사용자 인증 관리를 위한 다양한 옵션을 구축합니다. 예를 들어 LDAP를 사용하는 Active Directory, Kerberos를 사용하는 Active Directory, SAML2.0, 내장된 자격증명 저장소를 사용하는 로컬 인증과 같은 역할과 권한을 사용할 수 있어야 합니다.

2단계: 강력한 소프트웨어 개발 수명주기 관리 지원으로 고가용성을 갖춘 개발 환경 구축

안전한 액세스가 확보되면 다른 영역으로 이동하여 잠재적인 취약점을 제거할 수 있습니다. 예를 들어 다음과 같은 모범 사례를 통해 자동화 소프트웨어 Bot을 성공적이고 안전하게 개발할 수 있습니다.

• 소프트웨어 취약성을 감지하고 제거하기 위해 지속적인 다중 도구, 다중 계층 검사를 필요로 하는 코드 개발용 보안 계획/프로토콜을 고려합니다.
• 플랫폼 제공업체가 코드 스캔을 통해 취약점을 사전에 펜 테스트할 수 있는지 확인합니다.
• 엔드포인트 탐지 및 대응(EDR) 및 데이터 손실 방지(DLP) 솔루션을 활용하여 정책을 시행하고, 이상 징후를 탐지하고, 위협을 사전에 해결함으로써 자동화를 실행하는 기기의 보안 태세를 확인합니다.
• 컴포넌트 아키텍처를 평가합니다. 이는 기존 고가용성/재해 복구(HA/DR) 인프라 및 프로세스에 원활하게 맞출 수 있어야 합니다.

3단계: 미사용, 사용 중, 전송 중인 데이터 보호

엔드투엔드 데이터 보호 기능을 갖추고 계십니까? 비즈니스에 중요한 프로세스와 민감한 데이터의 기밀성과 무결성을 유지하는 것은 중요합니다. 자동화 플랫폼은 미사용 및 전송 중인 데이터뿐만 아니라 개별 시스템에서 사용 중인 데이터도 보호할 수 있는 안전 장치를 제공해야 합니다. 다음은 몇 가지 보호 기능의 예입니다.

• 로컬 자격증명을 암호화하고, Bot이 사용하는 런타임 데이터를 선택하고, 자격증명 저장소를 사용하여 중요한 구성 매개변수와 통합 버전 관리 및 이메일 서비스와 관련된 세부 정보를 위한 안전한 저장소를 제공합니다.
• 데이터 관리 및 비식별 절차를 가명화합니다. 가명화는 데이터를 인공 식별자로 변환하여, 별도로 보유하는 추가 정보 없이는 더 이상 데이터를 사용하여 자연인을 식별할 수 없도록 합니다.
• 모든 네트워크 서비스는 구성 요소 간에 전송 중인 데이터 보안과 무결성을 보장하기 위해 전송 계층 보안(TLS) 1.2(또는 기타 업계 표준)를 사용해야 합니다.
• 자동화 플랫폼은 데이터를 암호화할 수 있도록 업계 표준 암호화 기술을 따라야 합니다. 사용자와 주고받는 트래픽은 자동화 환경과 통신하기 위해 HTTPS + SSL/TLS 1.2를 사용하여 암호화해야 합니다. 미사용 데이터 등 서비스에 저장된 데이터는 AES-256을 사용하여 암호화해야 합니다.

4단계: 컴플라이언스

이제 직원들이 회사 내에서 업무에 적합한 영역에 액세스할 수 있고 안전한 환경에서 작업하고 있으므로 한발 물러나 규정 준수 여부를 살펴볼 수 있습니다.

규정 준수 평가 및 관리는 시스템과 프로세스를 평가하여 업계 표준 및 규제 요건을 충족하는지 확인하는 데 중점을 둡니다. 이는 지속적으로 실천해야 합니다. 비즈니스가 성장함에 따라 각 부서에서는 확장에 도움이 되는 솔루션을 도입합니다. 새 애플리케이션이 여러 보안 규정 준수를 위배하지 않는지 확인해야 합니다. 플랫폼의 포괄적이고 지속적인 감사 로깅 기능은 엔터프라이즈 수준의 보안과 품질 규정 준수를 보장하는 데 도움을 줍니다. 의료 과학이나 금융과 같이 규제가 엄격한 산업에서 조직은 HIPAA, PCI-DSS, FISMA 등의 규정 준수 표준을 충족하지 못할 경우 벌금 및 기타 처벌을 받을 수 있습니다.

5단계: 선제적인 보안 운영 모니터링

보안은 일회성 이벤트가 아닙니다. 새로운 취약점과 사이버 공격자의 기술은 언제든지 등장할 수 있습니다. 따라서 보안 운영을 지속적으로 모니터링하고 높은 기준을 유지해야 합니다. 이를 위해 따라야 할 몇 가지 모범 사례를 소개합니다.

• 다양한 역할과 권한을 가진 별도의 관리자가 수행한 검사 및 인증을 통해 자동화 플랫폼이 안전한 소프트웨어 개발 수명주기(SDLC) 프로세스를 제공하는지 확인하십시오.
• 소프트웨어 개발 파이프라인의 안정성, 확장 가능성, 효율성, 보안 및 규정 준수를 보장할 수 있도록 엄격한 업무 분리와 다중 계층 제어를 구축해야 합니다.
• 설계 검토, 위협 모델링, 수동 코드 검토 및 불시 점검, 지속적인 침투 테스트를 담당하는 전문 보안 엔지니어링 팀을 갖추면 클라우드 보안을 보장할 수 있습니다.
• 운영과 함께 재해 복구도 선제적으로 관리하여 사고 모니터링 및 알림을 통해 적시에 상황을 처리할 수 있도록 해야 합니다.

Automation Anywhere에서는 클라우드 네이티브 Automation 360™ 플랫폼과 지원을 통해 데이터와 운영을 보호하기 위한 방어력을 강화할 수 있도록 도와드립니다.