위험 관리
이 페이지는 ProtoPie Enterprise Cloud 환경을 위한 당사의 위험 관리 절차에 대한 정보를 제공하며, 여기에는 위험의 식별 및 평가와 이러한 위험을 완화하기 위한 통제 조치의 구현이 포함됩니다.
당사는 다음과 같은 단계로 구성된 종합적인 위험 관리 방법론을 적용하고 있습니다:
식별 (Identify) - 관련 범주와 관련된 잠재적 위험을 식별합니다.
평가 (Assess) - 잠재적 영향, 심각도 및 발생 가능성 측면에서 식별된 각 위험을 평가하여 위험 수준을 이해하고 이에 따라 조치의 우선순위를 정합니다.
구현 (Implement) - 이러한 위험으로 인한 중단을 통제하고 완화하기 위한 사후 조치를 구현합니다.
위험 식별 및 평가
서비스 중단 위험
중단 없는 서비스를 보장하기 위해 당사는 정전 및 네트워크 중단과 같은 유틸리티 서비스 중단 위험을 완화하도록 강력한 보안 조치와 이중화 설계가 적용된 AWS의 세계적인 데이터 센터를 활용합니다.
AWS 데이터 센터에 구현된 몇 가지 주요 보안 조치는 다음과 같습니다:
비상 전원 차단: AWS 데이터 센터는 쉽게 접근할 수 있는 구역에 비상 전원 차단 장치를 갖추고 있습니다. 이 차단 장치는 무단 활성화로부터 보호되어 권한이 있는 인원만 비상 전원 절차를 시작할 수 있도록 보장합니다.
무정전 전원 공급 장치 (UPS): 전원 공급 중단 시 원활하게 대처하기 위해 AWS 데이터 센터는 단기 UPS 시스템을 활용합니다. 이 시스템은 대체 전원으로 원활하게 전환될 수 있도록 일시적인 전력을 제공하여 정보 시스템의 지속적인 운영을 보장합니다.
누수 방지: 누수로 인한 정보 시스템 손상을 방지하기 위한 조치가 마련되어 있습니다. AWS 데이터 센터는 쉽게 접근할 수 있고, 정상적으로 작동하며, 주요 인원이 숙지하고 있는 주 차단 밸브 또는 격리 밸브를 사용합니다. 이 밸브들은 물 관련 사고가 시스템 무결성에 영향을 미치는 것을 방지하는 데 도움을 줍니다.
소방 및 화재 감지: AWS 데이터 센터에는 독립적인 에너지원의 지원을 받는 소방 및 화재 감지 장치/시스템이 설치되어 있습니다. 이를 통해 화재 비상 사태 발생 시 신속하게 대응하고 효과적으로 진압하여 인프라의 잠재적 피해를 최소화합니다.
온도 및 습도 제어: AWS 데이터 센터에서는 온도 및 습도 수준에 대한 정기적인 모니터링과 유지 관리가 수행됩니다. 이러한 조치를 통해 환경 조건을 허용 범위 내로 유지하여 장비를 보호하고 최적의 성능을 유지합니다.
고영향 환경적 위험
귀하의 데이터 안전과 무결성을 보장하기 위해 당사는 홍수, 토네이도, 지진, 허니케인과 같은 환경적 위협에 대해 세계적인 수준의 안전성과 회복력을 제공하는 지역에 전략적으로 위치한 AWS 데이터 센터를 사용합니다.
고객은 데이터 처리 규정(DPA)에 따라 데이터를 소유한 기업의 위치를 기반으로 데이터가 저장되는 지리적 위치를 선택할 수 있는 옵션이 있습니다.
위협 벡터 관리
당사 서비스의 주요 위협 벡터를 효과적으로 관리하기 위해 다음과 같은 종합적인 조치를 구현했습니다:
지속적인 모니터링: 당사의 네트워크와 시스템은 방화벽 및 AWS Security Manager와 같은 고급 도구를 사용하여 지속적으로 모니터링됩니다. 당사는 모니터링 로그를 선제적으로 검토하여 의심스러운 활동이나 잠재적 위협을 식별하며, 이를 통해 신속한 조치를 취하고 안전한 환경을 유지합니다.
침투 테스트: 취약점을 식별하고 보안 조치를 강화하기 위해 매년 침투 테스트를 실시합니다. 이 테스트는 시스템 및 애플리케이션의 잠재적 약점을 파악하는 데 도움을 주어, 선제적으로 대응하고 방어 체계를 강화할 수 있게 합니다.
ISO27001 및 27701 감사: 당사는 ISO27001 및 27701 준수를 위해 매년 감사를 받습니다. 이 감사를 통해 정보 보안 관리 및 개인정보 보호 관행에 관한 국제적으로 인정된 표준을 준수하고 있는지 확인합니다.
개인정보 보호: 현재 당사는 별도의 사이버 보안 보험을 보유하고 있지 않으나, 한국의 개인정보 보호법 가이드라인을 철저히 준수하고 있습니다. 개인정보 보호와 관련된 위험을 완화하기 위한 노력의 일환으로, 당사는 KB손해보험의 개인정보 보호 배상책임보험에 가입하였습니다. 이 보장은 개인정보 보호와 관련된 잠재적 위험을 완화하는 데 기여합니다.
비즈니스 연속성
비즈니스 연속성은 당사 운영의 필수적인 부분으로, 재난 발생 시에도 필수적인 기능을 유지할 수 있는 역량을 보장합니다. 당사의 위험 관리 관행과 프로토콜은 중요 서비스의 중단을 방지하고 신속하고 원활한 복구를 가능하게 하여 가능한 한 빨리 모든 기능을 완전히 복구할 수 있도록 설계되었습니다.
비즈니스 연속성 계획 (BCP)
당사는 계획의 효과성을 평가하고 개선이 필요한 영역을 식별하기 위해 매년 1회 철저한 BCP 테스트를 실시합니다. 이 테스트 프로세스를 통해 장애나 재난 발생 시 당사의 대비 태세를 평가하고, 조직이 큰 중단 없이 필수 기능을 계속 수행할 수 있도록 보장합니다.
BCP 테스트 외에도 당사는 백업 및 이중화 메커니즘에 대한 정기적인 테스트를 수행합니다. 매년 수행되는 이 테스트는 당사 백업 시스템의 신뢰성과 기능을 검증하도록 설계되었습니다.
이러한 메커니즘을 테스트함으로써, 당사는 예기치 못한 사고나 시스템 장애가 발생했을 때 데이터와 서비스를 복구하는 데 이 메커니즘을 신뢰하고 의존할 수 있습니다.
비상 계획 수립
비즈니스 연속성 보장을 위한 노력의 일환으로, 당사는 정보 시스템에 대한 종합적인 비상 계획을 수립했습니다. 이 계획은 운영에 영향을 미칠 수 있는 중단이나 사고 발생 시 따라야 할 단계와 절차를 개략적으로 설명합니다. 이는 신속한 복구를 위한 로드맵 역할을 하며 당사 및 고객에게 미치는 영향을 최소화하는 데 도움을 줍니다.
위험을 완화하고 중요 서비스의 가용성을 유지하기 위해 당사의 비즈니스 연속성 계획 및 재해 복구 절차 (DRP)가 마련되어 있습니다.
당사는 당사 조직과 솔루션을 지원하는 제3자 리소스 모두에서 정보 보안 의식을 제고할 수 있도록 통제 조치를 구현하는 데 우선순위를 둡니다.
보안 인식 교육
당사의 직원과 계약업체는 온보딩 절차의 일환으로 IT 보안 인식 교육 및 개인정보 보호 교육을 이수합니다. 이 교육은 이들에게 장애에 효과적으로 대응하고 비즈니스 연속성을 보장하는 데 필요한 기술과 지식을 갖추도록 돕습니다. 교육은 다음과 같은 다양한 필수 요소를 다룹니다:
보안 인식의 중요성
운영 체제 및 웹 거래 보호
비밀번호 보안
이메일 보안 및 모범 사례
중요 정보 백업
모바일 보안
물리적 보안
사회 공학 (Social Engineering)
이동식 미디어의 위험을 관리하는 방법
사이버 침해 사고 보고
보안 위험을 효과적으로 완화하는 데 필요한 지식과 관행을 강화하기 위해 당사 솔루션에 접근할 수 있는 모든 시스템 관리자를 대상으로 한 교육이 매년 실시됩니다.
또한 당사는 직원이 최신 절차와 프로토콜을 숙지하고 대비할 수 있도록 필요에 따라 보수 교육을 제공합니다.
데이터 복구
당사의 클라우드 솔루션은 데이터 복원 및 복구를 위한 소프트웨어 및 제공업체 독립적인 기능을 갖추고 있습니다. 당사는 비즈니스 복구 프로세스를 개선하기 위해 지속적으로 관행을 평가하고 고도화하고 있습니다.
다양한 수준의 장애 시나리오에 대해 당사는 다음과 같은 복구 목표 시간(RTO) 및 복구 목표 시점(RPO)을 약속할 수 있습니다:
레벨 1 장애: RTO 6시간 이내, RPO 6시간 미만.
레벨 2 장애: RTO 24시간 이내, RPO 24시간 미만.
레벨 3 장애: RTO 48시간 이내, RPO 3일 미만.
가상 인프라 기능
일부 제한 사항이 있을 수 있으나, 고객은 가상 머신 이미지를 다운로드하여 다른 클라우드 제공업체로 이전할 수 있는 옵션이 있습니다. 단, 가상 머신 이미지를 고객 자체의 외부 오프사이트 저장 위치로 복제하는 것은 허용되거나 지원되지 않습니다. 또한 당사는 고객에게 가상 머신에 가해진 변경이나 수정을 취소할 수 있는 기능을 제공하여 환경에 대한 유연성과 제어 권한을 부여합니다.