파키스탄의 은행 산업이 지속적으로 진화하고 발전함에 따라 정부 규제 당국은 증가하는 위험과 위협에 대응하여 새로운 가이드라인을 발표함으로써 업계의 추진력을 유지하기 위해 노력해 왔습니다. 가장 최근에 발표된 사이버 보안 정책 2021에 따르면 은행은 멀웨어, 피싱, 스푸핑부터 ATM 카드의 데이터 '스키밍'에 이르기까지 모든 형태의 사이버 공격을 탐지, 대응, 궁극적으로 차단할 수 있는 시스템과 절차를 현대화해야 합니다.
파키스탄 정부의 새로운 사이버 보안 규정의 의도는 그 전까지 주로 성장과 수익성에만 집중했던 파키스탄 은행들이 소홀히 다루어지던 이 분야에 대한 속도를 높이는 것이었습니다. 새로운 정책은 은행이 24시간 연중무휴로 작동하는 보안 운영 센터(SOC)와 자동화된 대응 도구 등 기본적인 보안 역량을 유지하도록 요구했습니다.
정책 초안 작성 중이던 2019년 초, Askari Bank는 파키스탄의 대다수 은행과 마찬가지로 가장 기초적인 보안 기능만 갖추고 있었고 보안 거버넌스는 제한적이었으며 전담 보안 인력도 없었습니다. 이러한 격차를 메우는 것이 3월에 최고 정보 보안 책임자(CISO)로 이 은행에 합류한 Jawad Khalid Mirza의 주요 임무였습니다. 그는 처음부터 이사회 차원의 강력한 지지가 그가 구상한 변화에 유리한 분위기를 조성했다고 설명합니다. “우리 이사회는 전 세계 은행들이 보안에 어떻게 투자하고 있는지 잘 알고 있었습니다.” 라고 그는 말합니다. “그들은 적절한 사이버 보안 역량과 적절한 전문가가 없으면 앞으로 나아갈 수 없다는 것을 인식했습니다.”
보안 인스턴트 20건 미만
오탐의 수를 대폭 줄여 보안 인스턴트 수를 하루 약 700건에서 20건 미만으로 줄입니다.
5분
자동 응답 구현을 통해 문제 해결에 필요한 시간을 평균 30분에서 평균 5분으로 단축
아마도 Jawad Khalid Mirza가 직면한 핵심 과제는 SOC를 처음부터 구축하고 직원을 배치해야 한다는 점이었을 것입니다. 이를 위해서는 Askari Bank의 핵심 뱅킹 시스템과의 통합을 비롯하여 기술적 요구 사항을 가장 효율적이고 비용 효과적으로 해결할 수 있는 보안 소프트웨어 솔루션을 선택해야 했습니다. 또한 그는 가장 중요한 보안 인스턴트 감지 및 처리를 포함하여 SOC의 일상적인 기술 운영을 구축하고 관리하기 위한 팀을 구성해야 했습니다. 이 작업에는 노련한 SOC 경험이 필요했고, 그는 Umair Shakil에서 이를 발견했습니다.
Askari Bank에 SOC 팀장으로 합류한 지 불과 며칠 만에 Umair Shakil은 매우 중요한 플랫폼 결정에 관해 Jawad Khalid Mirza와 깊이 고민했습니다. 파키스탄 최대 통신사 중 한 곳에서 보안 운영을 담당했던 Umair Shakil은 IBM Security® QRadar® 솔루션을 구축하여 큰 효과를 거둔 바 있습니다. IBM Security가 Microsoft, Splunk의 보안 솔루션과 함께 최종 후보 목록에 오른 것은 그의 긍정적인 경험의 직접적인 결과였습니다.
Umair Shakil과 Jawad Khalid Mirza는 각 공급업체가 제출한 개념 증명을 기반으로 시스템 성능, 상호 운용성 및 사용 편의성이라는 세 가지 핵심 요소를 기반으로 엄격한 벤치마킹 연습을 수행했습니다. Jawad Khalid Mirza는 이러한 요소 외에도 IBM이 제시한 로드맵에 대한 자신감이 QRadar 플랫폼을 선택한 이유라고 설명합니다. “우리는 IBM이 QRadar 플랫폼을 통해 나아가고 있는 방향에 정말 부합한다고 생각합니다.”라고 그는 말합니다. "우리에게는 훌륭한 보안 솔루션을 더욱 개선하려는 IBM의 노력을 반영합니다."
Umair Shakil은 Microsoft와 Splunk의 솔루션보다 QRadar 솔루션을 선호하는 이유를 살펴보면서 통합 용이성을 특별한 강점 중 하나로 꼽았습니다. "QRadar의 가장 좋은 점 중 하나는 단일 방식이 아닌 핵심 뱅킹 시스템과 통합할 수 있는 다양한 방법을 제공한다는 점입니다."라고 그는 말합니다. "우리가 바라던 대로 구현 과정에서 이는 엄청난 이점이 되었습니다."
솔루션을 제공하기 위해 Askari Bank는 Umair Shakil과 그의 성장하는 SOC 팀과 긴밀히 협력한 IBM 비즈니스 파트너 소프트웨어 생산성 전략가(SPS)와 협력했습니다. 위협 탐지를 위한 솔루션의 핵심 구성 요소는 IBM Security QRadar SIEM입니다. IBM Security QRadar SIEM은 은행이 단일 리포지토리 내에서 다양한 소스의 로그를 집계할 수 있도록 하는 보안 정보 및 이벤트 관리 제품입니다. 이를 통해 SOC 직원은 서로 다른 로그의 상관 관계 및 에스컬레이션을 수행하여 보안 인스턴트를 신속하게 식별하고 우선 순위를 지정할 수 있습니다.
보안 인스턴트에 대응할 때 은행의 경험 법칙은 가능한 모든 곳에서 자동화하는 것이었습니다. 기본 접근 방식은 보안 오케스트레이션, 자동화 및 대응 솔루션인 IBM Security QRadar SOAR과 함께 플레이북 기능을 사용하는 것이었습니다. 초기 배포 단계에서 SPS는 다른 고객을 위해 자동화된 응답 시나리오를 구현한 경험에서 도출된 일련의 유스 케이스를 제안했습니다. 그런 다음 이러한 유스 케이스는 각 인시던트가 더 높은 대응 계층으로 에스컬레이션되거나 필요한 경우 SOC 대응 팀 구성원의 개입을 트리거하는 순서를 정의하는 특정 플레이북으로 변환되었습니다.
SPS와 협력하여 10개의 플레이북을 배포한 Askari Bank 팀은 SPS의 코칭을 받아 지속적으로 더 많은 플레이북을 개발하고 있으며, 최종적으로는 약 35개의 자동화된 플레이북을 구축하는 것을 목표로 하고 있습니다. SPS의 엔터프라이즈 보안 담당 부사장이자 이번 계약의 핵심 참여자인 Nayab Akbar에게 은행의 발전은 SOC 팀이 좋은 성과를 거두고 있다는 분명한 신호입니다. "오늘날 Askari 팀은 실제로 보안 유스 케이스에 대해 직접 논의하고 있으며, 이를 플레이북으로 변환하는 방법을 알고 있습니다."라고 Akbar는 말합니다. "고객이 자동화를 위한 유스 케이스를 찾는 데 시간과 노력을 쏟는 것이 바로 고객이 원하는 곳입니다."
위협이 보안 침해로 이어지는 것을 막는 것이 SOC의 성공을 가늠하는 궁극적인 척도이긴 하지만, SOC의 효율성 또한 운영 수준에서 매우 중요합니다. 이것이 바로 Askari Bank의 자동화 노력이 실제로 실현된 부분입니다. QRadar SIEM의 오탐지 제거 기능을 통해 은행의 SOC는 보안 인스턴트 건수를 하루 약 700건에서 20건 미만으로 줄였습니다. 또한 SOC에 구현된 QRadar SOAR 플레이북을 통해 직원들은 이러한 사고를 평균 5분 안에 해결할 수 있는데, 이는 은행의 보안 혁신 이전 최대 30분과 비교했을 때 마찬가지입니다.
Umair Shakil이 지적했듯이, 이러한 자동화 기반의 효율성 개선으로 SOC 담당자는 우선순위가 낮은 인시던트와 오탐을 걸러내고 대신 실제 위험에 대처하고 취약점을 찾는 데 집중할 수 있습니다. "SOC가 효과적이려면 가장 시급한 보안 위험에 대한 대응의 우선순위를 정하는 능력이 탐지만큼이나 중요합니다."라고 Umair Shakil은 말합니다. "그런 측면에서 우리가 배포한 QRadar 솔루션을 통해 우리 팀은 위협 환경을 훨씬 더 효율적으로 해결할 수 있게 되었습니다."
중요한 것은 이는 은행 외부와 내부 모두에서 오는 위협을 의미합니다. 그리고 그것은 은행뿐만 아니라 모든 조직이 직면한 주요 보안 문제 중 하나인 "내부자"가 제기하는 보안 위협을 관리하는 것입니다. 대부분의 경우 내부자 위협의 명백한 징후는 실패한 로그인 시도와 직원이 애플리케이션 또는 데이터베이스에 액세스하려고 시도하는 경우와 같이 네트워크 내에서 비정형적이거나 비정상적인 행동입니다. 이러한 위험을 감지하기 위해 Askari Bank는 사용자 행동 분석(UBA) 앱을 사용합니다. UBA 앱은 QRadar에 이미 저장된 로그 및 활동 데이터와 행동 규칙 및 분석을 결합하여 은행의 SOC 직원이 모니터링, 탐지 및 조사를 간소화함으로써 내부자 위협 관리의 효율성을 개선할 수 있도록 지원했습니다. 또한 UBA는 엄격한 규칙이 아닌 분석 알고리즘을 사용하여 사용자 활동의 편차를 감지하기 때문에 Askari Bank는 이를 사용하여 오탐 사고의 빈도를 줄일 수 있었습니다.
Askari Bank이 SPS와 협력하여 새로운 QRadar 솔루션을 배포한 이후 보안 태세를 얼마나 개선했는지를 보여주는 단일 지표는 없지만, 여러 가지 증거가 있습니다. 예를 들어, 3년 전에는 존재하지도 않았던 SOC가 이제는 20명 이상의 전문가로 구성된 팀으로 구성되어 있습니다. 그리고 은행에 이전에는 없었던 또 다른 기능이 있는데, 바로 위협 가시성입니다. QRadar SIEM의 상관 관계 기능과 고충실도 알림을 제공하는 기능 덕분에 Askari Bank는 이제 24시간 연중무휴로 얼마나 많은 공격이 발생하는지 정확하게 파악할 수 있습니다.
Jawad Khalid Mirza는 이처럼 위협 가시성이 크게 개선된 것 외에도 QRadar SOAR를 통해 자동화된 대응이 가능해짐에 따라 SOC 담당자가 보다 효율적이고 능동적으로 현재의 사이버 위협과 미래의 새로운 사이버 위협을 차단할 수 있게 되었다고 지적합니다. "이제 파키스탄의 사이버 보안 규정을 준수할 수 있게 되었다는 사실은 매우 중요하지만, 이는 시작에 불과합니다."라고 그는 설명합니다. "이제 QRadar를 통해 아무리 빠르게 성장하더라도 끊임없이 변화하는 사이버 위협 환경에 적응할 수 있는 효율성과 유연성을 갖추게 되었습니다."
파키스탄 라왈핀디에 본사를 둔 Askari Bank(ibm.com 외부 링크)는 파키스탄 전역에 560개의 지점과 바레인에 도매 은행 지점을 보유한 상업 및 소매 은행입니다. 1991년에 설립된 Askari Bank는 2021년 매출 42억 달러, 약 7,500명의 직원을 보유한 Fauji Group의 계열사입니다.
메릴랜드주 로크빌에 본사를 두고 파키스탄 이슬라마바드에 지사를 두고 있는 IBM 비즈니스 파트너 SPS(ibm.com 외부 링크)는 AI 및 클라우드를 활용하는 산업 솔루션을 구축합니다. 제품 설계, 개발, 배포, 보안, 운영, 모니터링 및 지원의 모든 단계에 걸쳐 전문성을 갖춘 엔터프라이즈급 혁신 기업이자 솔루션 제작사인 SPS는 고객이 애플리케이션을 구축, 배포 및 보호할 수 있도록 지원합니다. 개발, 품질, 사이버 보안, 교육, 운영, 모니터링 및 지원 팀이 협력하여 고성능, 보안, 신뢰성, 확장 및 관리 가능한 시스템을 만듭니다.
법률
© Copyright IBM Corporation 2023. IBM Corporation, New Orchard Road, Armonk, NY 10504
2023년 3월 미국에서 제작.
IBM, IBM 로고, IBM Security 및 QRadar는 미국 및/또는 기타 국가에서 사용되는 International Business Machines Corporation의 상표 또는 등록 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 다른 회사의 상표일 수 있습니다. 최신 IBM 상표 목록은 ibm.com/trademark에서 확인하세요.
Microsoft, Windows, Windows NT 및 Windows 로고는 미국 또는 기타 국가에 등록된 Microsoft Corporation의 상표입니다.
이 문서는 최초 발행일 기준 최신 문서로, IBM은 언제든지 해당 내용을 변경할 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.
본 문서에서 인용되거나 설명된 모든 고객 사례는 일부 고객이 IBM 제품을 이용한 방식과 그로 인해 달성할 수 있는 결과에 대한 예시로 제공됩니다. 실제 환경 비용과 성능 특성은 개별 고객 구성 및 조건에 따라 다를 수 있습니다. 각 고객별 실제 결과는 전적으로 고객이 주문한 시스템과 서비스에 따라 크게 달라질 수 있으므로 일반적인 기대 결과는 제시될 수 없습니다. 본 문서의 정보는 상품성, 특정 목적에의 적합성, 비침해성 보증 또는 조건을 포함하여 명시적 또는 묵시적 보증 없이 '있는 그대로' 제공됩니다. 제품 제공 시의 계약 조건에 따라 해당 IBM 제품을 보증합니다.
우수 보안 실천 선언문: 어떤 IT 시스템이나 제품도 완전히 안전한 것으로 간주되어서는 안 되며 어떤 단일 제품, 서비스 또는 보안 조치도 부적절한 사용이나 액세스를 방지하는 데 상시 효과적일 수는 없습니다. IBM은 시스템, 제품 또는 서비스가 임의 사용자의 악의적이거나 불법적인 행위로부터 영향을 받지 않는다는 것을 보증하지 않으며, 귀사가 이러한 행위로부터 영향을 받지 않음을 보증하지 않습니다.
고객은 적용되는 모든 법률과 규정을 모두 준수할 책임이 있습니다. IBM은 법률 자문을 제공하지 않으며, 고객이 자사의 서비스 또는 제품을 통해 법률이나 규정을 준수할 수 있음을 표현하거나 보증하지 않습니다.