SOC 2란 무엇인가요? SOC 2 Type II 준수 가이드

이 표준 세트는 안전한 데이터 환경을 제공하기 위해 노력하는 보안 공급업체를 강조합니다.

모든 훌륭한 관계의 핵심에는 단 한 가지, 바로 신뢰가 있습니다.

보안 공급업체에도 동일하게 적용됩니다.

믿을 만한 업체를 찾는 것은 말처럼 쉽지 않습니다. 고객 후기, 동료 추천, 온라인 리뷰 등 여러 자료가 있지만, 업체 자체의 보안 수준을 제대로 보여주는 자료는 없습니다. 단 하나 예외가 있는데, 바로 SOC 2 Type II 인증입니다.

SOC 2란 무엇인가요? SOC 2 Type II 준수 가이드 

SOC 2 인증이 왜 그렇게 중요할까요? 조직(및 고객)의 데이터가 위험에 처했을 때, 어떤 공급업체를 신뢰할 수 있는지 아는 것은 매우 중요합니다.

SOC 2 Type II 인증이란 무엇인가요? 

서비스 조직 통제(SOC)는 공급업체가 온프레미스 및 클라우드 환경 모두에서 데이터를 관리하는 방식을 생성, 유지, 검증 및 개선하기 위한 표준 세트입니다.

미국 공인회계사협회(AICPA)에서 처음 제정한 SOC 2는 재무 정보 및 의료 기록과 같은 민감한 데이터를 조직이 처리하는 방식을 정의합니다. SOC 2 Type II 인증을 받으려면 공급업체는 자격을 갖춘 제3자 감사기관의 독립적인 감사를 받아야 합니다. 감사기관은 공급업체가 다음 신뢰 원칙 중 하나 이상에서 적용 가능한 모든 요구 사항을 충족함을 인증합니다.

• 보안
• 유효성
• 처리 무결성
• 기밀 유지
• 은둔

벤더 입장에서는 획득하기 어려운 인증이지만, 보안을 중시하는 모든 조직에게는 실질적인 의미가 있습니다.

SOC 2 인증을 획득하기 위해 필요한 것

SOC 2 Type II 인증을 획득하려면 단순히 적절한 기술을 갖추는 것 이상으로 엄격한 프로세스를 마련해야 합니다. 이는 공급업체가 데이터의 기밀성, 가용성 및 무결성을 보호하기 위한 적절한 통제 조치를 구현했음을 보장합니다.

SOC 2 감사는 서비스 제공의 모든 측면을 평가합니다. 또한 데이터 수집이 동의 하에 이루어졌는지, 그리고 무단 접근 및 수정으로부터 데이터가 적절하게 보호되는지 여부도 평가합니다. 이는 귀하의 데이터가 보안 업체에 의해 안전하게 보호되며, 귀하의 동의 없이는 누구와도 공유되지 않는다는 것을 의미합니다.

SOC 2 Type II 감사는 매우 철저한 절차이며, Swimlane은 이 과정을 완료했습니다. 다음은 그 과정의 일부입니다.

• 먼저, 감사팀이 정책 및 절차를 포함한 시스템 문서와 서비스 제공 모델의 모든 측면을 철저히 검토할 것입니다.

• 그런 다음 조직 내 주요 인물들과 인터뷰를 진행하여 프로세스와 절차가 제대로 준수되고 있는지 확인할 것입니다.

• 마지막으로, 그들은 현장 방문을 통해 하드웨어 및 소프트웨어 구성과 모든 관련 네트워크 인프라를 점검할 것입니다.

최종 결과는 무엇일까요? 해당 공급업체가 업계 모범 사례에 따라 적절한 보안 조치를 구현했음을 입증하는 보고서가 생성됩니다.

왜 관심을 가져야 할까요?

SOC 2 Type II 인증을 받아야 하는 이유는 간단합니다. 데이터 유출 사고가 날로 증가하고 있으며, 이로 인해 기업들은 매년 수십억 달러의 손실을 입고 있습니다. IBM에 따르면 2021년 데이터 유출 사고의 평균 손실액은 144만 424만 달러였으며, 이 수치는 계속 증가하고 있습니다. 게다가 이는 유출 사실을 보고하지 않는 기업의 손실은 포함하지 않은 수치입니다.

SOC 2 Type II 인증의 중요성은 아무리 강조해도 지나치지 않습니다. 이 인증을 통해 벤더 선정 시 정보에 입각한 결정을 내릴 수 있으며, 향후 제3자에 의한 보안 침해 위험을 최소화할 수 있습니다. 결과적으로 이는 고객, 비즈니스 파트너, 공급업체, 투자자 등에게 귀사의 보안에 대한 확고한 의지를 보여주는 것이기도 합니다.

보안 솔루션(예: 보안 자동화)을 찾을 때는 SOC 2 인증을 받은 제품을 선택해야 합니다. SOC 2 인증은 무단 접근으로부터 데이터를 보호하기 위한 조치를 마련했음을 보여주기 때문입니다. 특히 클라우드에 민감한 정보를 저장하는 경우 이러한 인증은 매우 중요합니다.

Swimlane은 SOC 2 Type II 인증을 획득한 것을 자랑스럽게 생각합니다. Swimlane의 글로벌 보안 및 엔터프라이즈 IT 담당 수석 부사장인 Michael Lyborg는 다음과 같이 설명합니다.

“"끊임없이 변화하는 위협 환경과 기업에 대한 사이버 공격 증가 속에서, 이번 독립 감사를 통해 스윔레인은 인증된 공급업체를 필요로 하는 기업, 특히 스윔레인 터빈 출시 발표 이후 탁월한 선택이라는 점을 고객에게 제3자로부터 검증해 주었습니다."”