Compliance-as-a-Service의 아키텍처 문제
Source: Dev.to
Overview
대규모로 감사 증거를 조작한 혐의로 주요 컴플라이언스 자동화 플랫폼이 폭로되었습니다. 494개의 SOC 2 보고서 중 493개에 동일한 오타가 포함되어 있었습니다. 259개의 Type II 감사 모두 사고가 전혀 없다고 주장했습니다. 사전 작성된 결론은 어떤 통제도 테스트되기 전에 생성되었습니다.
컴플라이언스 공급업체에 의존하는 회사의 엔지니어라면, 이는 윤리적인 문제뿐만 아니라 아키텍처적인 문제로도 여러분을 불편하게 만들 것입니다.
관심사의 분리 문제
소프트웨어 엔지니어링에서는 데이터를 생성하는 구성 요소가 그 데이터를 검증하는 구성 요소가 되어서는 안 된다는 것을 이해합니다. 서비스가 자체 헬스 체크를 작성하고 그 체크를 읽는 유일한 존재가 되도록 허용하지 않습니다.
컴플라이언스 프레임워크도 동일한 요구사항을 가지고 있습니다. AICPA AT‑C 섹션 205는 통제 구현을 지원하는 주체가 해당 통제에 대한 감사 결론을 동시에 도출할 수 없다고 규정합니다. 이는 관료적 부담이 아니라, 우리가 모든 분산 시스템에 적용하는 동일한 관심사의 분리입니다.
문제의 플랫폼은 이 근본적인 원칙을 위반했습니다. 증거를 생성하고, 감사 결론을 작성하며, 모든 과정을 실질적으로 껍데기 기업에 불과한 감사 법인으로 라우팅했습니다. 감사인과 구현자가 동일한 시스템에 존재하게 된 것입니다.
실제 컴플라이언스 증거는 이렇게 보인다
컴플라이언스 도구가 제 역할을 하고 있다면, 그 도구가 생성하는 증거는 추적 가능해야 합니다—인프라에서 직접 가져온 실제 아티팩트이며, 사람이 “수락”을 클릭한 템플릿 텍스트가 아닙니다:
- AWS, Azure, 또는 GCP의 클라우드 구성 스냅샷을 API 통합을 통해 가져옴
- 아이덴티티 제공자에서 가져온 접근 제어 로그
- CI/CD 파이프라인에서 가져온 코드 리뷰 및 배포 증거
- 실제 인프라와 대조하여 검증된 저장 및 전송 중 암호화 구성
- 실제 티켓팅 시스템과 연동된 사고 대응 기록
이것이 우리가 Cyberbase를 현재와 같이 구축한 이유입니다. 우리 플랫폼은 직접 인프라에 연결하여 실시간 환경에서 증거를 가져옵니다. 제어가 적용되어 있다고 표시될 때는 통합이 이를 검증했기 때문이며, 누군가 템플릿을 채워 넣었기 때문이 아닙니다.
신뢰 센터를 진실의 원천으로
귀사의 신뢰 페이지는 잠재 고객의 보안 팀이 영업과 접촉하기 전에 가장 먼저 확인하는 요소가 되고 있습니다. 해당 페이지의 주장들이 실제로 구현되고 테스트되며 검증된 통제와 일치하지 않을 경우, 귀사는 책임 문제에 직면하게 됩니다.
우리는 Cyberbase의 Trust Center를 귀사의 실제 보안 상태를 반영하도록 만들었습니다. 이 센터는 실제로 구현한 통제들을 보여주며, 이를 귀사의 환경과 동기화합니다. YSecurity의 컨설턴트와 가상 CISO는 이러한 통제들이 처음부터 올바르게 설계되었는지 확인하는 전문가 인간 레이어를 제공합니다.
Source: https://www.cyberbase.ai/blog/the-compliance-industry-has-a-trust-problem-here-s-how-we-fix-it
다음 공급업체 검토를 위한 다섯 가지 질문
- 증거의 각 조각을 실제 사건, 구성 또는 환경 내 행동으로 추적할 수 있습니까?
- 증거를 생성하는 플랫폼이 감사 결론을 만들거나 영향을 미치고 있습니까?
- 통합이 실제 인프라에서 데이터를 읽고 있나요, 아니면 단순히 구성 양식에서만 읽고 있나요?
- 귀하의 검사를 수행하는 감사 기관이 진정으로 독립적인가요?
- 신뢰 페이지가 검증된 통제를 반영하고 있나요, 아니면 이상적인 체크박스를 나열하고 있나요?
실제로 누군가 확인했을 때 버틸 수 있는 것이 바로 중요한 컴플라이언스입니다.
Originally published at https://www.cyberbase.ai/blog/the-compliance-industry-has-a-trust-problem-here-s-how-we-fix-it
Cyberbase은 AI 기반 컴플라이언스 플랫폼입니다. YSecurity은 사이버 보안 서비스 회사입니다. 함께: 실질에 기반한 컴플라이언스.