사례 연구 KBC Group Security SOAR KBC Group
사이버 탄력성을 갖춘 다국적 은행 및 보험 그룹이 되는 방법
사이버 복원력이 뛰어난 다국적 은행 및 보험 그룹에 대해 이야기하는 두 사람

KBC는 이전에 Resilient였던 IBM Security SOAR 플랫폼을 도입하면서 사이버 보안 사고 대응을 위한 중앙 허브를 확보했습니다. 이제는 기업의 위협을 시각화하고 수많은 규정에서 요구하는 지역 및 그룹 수준의 대응을 시작합니다.

비즈니스 과제

다국적 은행 및 보험 기업인 KBC 그룹은 사이버 보안 대응을 감독 및 조정하고 사이버 인시던트에 대한 엄격한 규제 보고 요건을 충족해야 했습니다.

혁신적 변화

KBC는 유럽 법인의 사이버 보안 위협을 종합적으로 파악하고 적시에 대응할 수 있도록 지원하기 위해 Resilient SOAR 플랫폼을 선택했습니다.

결과 단일 창 뷰 제공
여러 국가의 여러 기관에서 발생하는 사이버 인시던트에 대한 뷰 확보
현지화된 작업을 유연하게 추가
인시던트 대응을 위해 전반적으로 표준화된 프레임워크를 유지하면서 추가
법적 통지 요건 준수 관리
유럽의 수많은 규정을 준수
비즈니스 도전 스토리
다단계 사이버 보안의 과제

KBC는 벨기에, 체코, 슬로바키아, 헝가리, 불가리아, 아일랜드의 핵심 시장에서 높은 수준의 현지 자치권을 가진 완전 소유 은행과 보험사를 통해 유럽 전역에서 사업을 운영하고 있습니다. 금융 서비스 규제는 주로 국가 수준에서 이루어지지만, 이러한 KBC 법인들은 유럽연합(EU)과 유럽중앙은행(ECB)의 관할권에도 속합니다. 유럽중앙은행의 사이버 복원력 감독 기대 사항 외에도 일반 데이터 보호 규정(GDPR), 결제 서비스 지침 2(PSD2) 등 여러 가지 신규 또는 업데이트된 규정에 따라 그룹과 자회사가 수행해야 하는 사이버 인시던트 및 데이터 유출에 관한 보고와 대응 수준은 더욱 엄격해졌습니다.

2016년 KBC는 벨기에 브뤼셀 본사에 사이버 전문성 및 대응팀(CERT)을 구성했습니다. 이 팀은 유럽 전역에 있는 그룹의 여러 법인을 통해 사이버 위협에 대한 대응을 조율하는 임무를 맡았습니다. CERT는 인시던트 대응 프로세스를 중앙에서 감독해야 했지만, 이를 위한 대규모 중앙 집중식 부서를 만들고 싶지는 않았습니다. 이 그룹의 다양한 유럽 및 국제 법인에는 잘 정립된 자율적인 보안 및 사고 대응 팀이 있었습니다. KBC CERT는 이러한 노력을 중복하지 않고 보완하며, 그룹 차원의 인식 제고와 대응 조정을 통해 궁극적으로 그룹의 전반적인 사이버 보안 노력을 개선하고자 했습니다.

KBC는 CERT가 그룹 내 다양한 조직에서 위협을 기록하고 시각화하여 다양한 규정에서 요구하는 지역 및 그룹 보고와 대응을 시작할 수 있는 메커니즘을 모색했습니다.

CERT의 위기 및 인시던트 관리 책임자인 Kris Caron은 국가별 보안 사무소와의 관계에 대해 설명합니다. "인시던트가 두 개 이상의 국가에 걸쳐 있거나 지역 또는 본사 경영진으로부터 통제권을 요청받으면 우리가 인계받지만, 그렇지 않은 경우에는 지원 모드가 됩니다. 따라서 모든 인시던트에 대한 개요를 한 눈에 볼 수 있는 창이 필요했습니다."

KBC는 다양한 인시던트 유형에 대한 인시던트 대응 플레이북을 확립하여 그룹 전체에서 일관되게 실행할 수 있도록 지원하는 기술 솔루션을 찾고 있었습니다. 이러한 플레이북은 특정 인시던트에 대응하기 위해 일부가 자동화될 수 있는 단계별 프로세스를 제공합니다. 예를 들어, 은행의 PC에서 악성코드가 탐지되면 플레이북은 에스컬레이션, 억제, 치료 단계를 간략하게 설명합니다.

"CERT가 대응을 조율할 수 있도록 하고 기존 기술 툴과 통합되며 일부 대응을 자동화할 수 있는 솔루션이 필요했습니다."라고 Caron은 말합니다. "무엇보다도 속도가 관건이었습니다. 우리에게는 다양한 보고 규정이 있는데, 그중 하나가 2시간 이내에 사이버 사고를 보고해야 한다는 유럽중앙은행의 규정입니다."

Resilient 플랫폼은 이 은행 그룹 내에서 관련이 있을 때마다 위기 관리 작업 및 알림을 자동으로 트리거합니다. Kris Caron 위기 및 인시던트 관리 책임자, CERT KBC Group
혁신 스토리
사이버 보안 오케스트레이션 및 시각화

KBC는 여러 보안 보고 플랫폼의 시연을 포함한 제안요청서(RFP) 프로세스를 진행했고, 그 결과 이전에는 Resilient라는 명칭이었던 IBM Security SOAR Platform을 선택했습니다. IBM Security SOAR 솔루션은 KBC 조직의 여러 수준에서 다양한 인시던트 유형에 대한 대응 계획, 관리 및 완화를 위한 강력한 기반을 제공합니다.

"Resilient를 선택한 가장 큰 이유는 사이버 보안에 대한 이해도가 높고, 우리의 특정 요구 사항에 맞게 사이버 보안을 적용하기 위해 기꺼이 협력할 의향이 있었기 때문입니다."라고 Caron은 말합니다. "한 가지 중요한 요소는 우리가 보스턴에 가서 그곳 사람들을 만나 악수를 나누고 조직에 대해 알아갔던 것이었습니다. 이렇게 직접 만남으로써 현재 우리가 Resilient의 풋프린트를 더욱 발전시키기 위해 유지하고 있는 파트너십의 초석을 다질 수 있었습니다."

IBM Security SOAR 팀은 플랫폼을 고객의 기존 보안 및 IT 인프라와 통합하는 데 기여했습니다. KBC는 멀웨어, 서비스 거부, 피싱과 같은 일반적인 사고 유형에 대해 미리 로드된 표준 플레이북을 사용하여 KBC 플레이북을 IBM Security SOAR 플랫폼으로 전환했습니다. IBM 보안 컨설턴트는 KBC와 협력하여 플레이북에 특정 법적 보고 트리거를 추가했습니다. 여기에는 중요 인프라에 대한 GDPR, ECB, PSD2 및 EU 네트워크 및 정보 보안(NIS) 지침에 대한 요구 사항이 포함됩니다. 또한 팀은 CEO 사기 및 KBC와 관련된 기타 사항을 포함하여 더 많은 사이버 보안 위협 플레이북을 구현했습니다.

IBM Security SOAR와의 작업은 2017년 10월에 시작되었으며, 2018년 2월에 CERT 및 브뤼셀 조직에서 첫 번째 가동이 이루어졌습니다. 2018년 2월부터 5월까지 IBM Security SOAR와 CERT는 다른 기관들과 협력하여 직원을 교육하고 IBM Security SOAR 플레이북을 보안 인프라에 통합했습니다. 그 동안 KBC는 국가별 기관에서 요청한 현지 콘텐츠를 모두 추가했습니다.

Caron은 KBC가 유연한 SOAR 플랫폼을 사용하여 그룹 플레이북을 로컬 콘텐츠로 보강하는 방법을 설명합니다. "현지 조직에 약간의 자율성을 부여했지만, 플레이북에 공통된 분류 체계와 기본 작업 세트를 적용하고 싶었습니다. 각 팀마다 현지 프로세스나 규정에 대한 고유한 업무가 있을 수 있지만, 동일한 인시던트에 대해 여러 팀과 협력하기 위해서는 공통의 프레임워크를 고수해야 했습니다. 따라서 등록을 위한 공통 언어도 영어로 전환했습니다."

속도가 필요했습니다. 우리는 많은 보고 규정을 다뤄야 하는데, 그중 하나가 사이버 인시던트를 2시간 이내에 보고해야 하는 ECB 요건입니다. Kris Caron 위기 및 인시던트 관리 책임자, CERT KBC Group
결과 스토리
중앙 집중식 뷰, 로컬 및 가상 응답

IBM Security SOAR 플랫폼은 이제 KBC CERT에 다양한 국가의 여러 기관에서 발생하는 사이버 인시던트에 대한 단일 뷰를 제공합니다. Caron은 "모든 사일로를 연결함으로써 가장 큰 이점을 얻을 수 있다고 생각합니다."라고 말합니다. "단일 창 뷰를 통해 다른 국가에서 어떤 일이 벌어지고 있는지 더 잘 파악할 수 있고 해당 팀과 대응을 조율할 수 있습니다."

유연성과 확장성을 위해 설계된 이 플랫폼을 통해 KBC는 인시던트 대응을 위해 전반적으로 표준화된 프레임워크를 유지하면서 플레이북에 지역화된 대응을 추가할 수 있습니다. 보안 경보를 즉시 조치 가능하게 만들고, 중요한 인텔리전스 및 인시던트 컨텍스트를 제공하며, 복잡한 사이버 위협에 대한 적응형 대응을 가능하게 합니다.

Caron은 다음과 같이 말합니다. "Resilient 플랫폼은 경보를 울리기 위해 '유리 깨기' 원칙을 도입했습니다. 은행 그룹 내에서 관련된 모든 곳에서 위기 관리 작업과 알림이 자동으로 실행됩니다."

이제 KBC는 GDPR, ECB, PSD2 및 NIS 법적 통지 요구 사항 준수를 더욱 효과적으로 관리할 수 있습니다. IBM Security SOAR 플랫폼은 KBC의 사이버 분석가들의 분석 부담을 상당 부분 덜어주어 인시던트 대응 시간을 단축하는 데 도움이 됩니다. 많은 프로세스를 자동화하면 사이버 팀이 새로운 법률에서 요구하는 대로 가장 중요한 인시던트의 우선순위를 정하고 신속하게 대응하는 데 도움이 됩니다.

시스템을 테스트하기 위해 CERT는 은행 집행위원회가 운영하는 그룹 차원의 금융 위기 훈련 중에 사이버 위협 훈련을 도입했습니다. CERT는 IBM Security SOAR 솔루션에 사례를 입력하고 응답을 요청했습니다. "새로운 사이버 관련 솔루션이었고, 과거에 비해 훨씬 적은 노력으로 신속하고 수월하게 대응할 수 있었습니다."라고 Caron은 말합니다. "국제 팀에 전화하여 시간을 낭비하는 대신, 그룹에 추가 중간 조치를 신속하게 요청할 수 있어 위기 완화에 집중할 수 있었습니다."

KBC는 소규모의 국지적인 인시던트부터 그룹 차원의 대규모 인시던트에 이르기까지 모든 사이버 보안 인시던트를 IBM Security SOAR 플랫폼에 등록합니다. 플랫폼에 60명의 사용자를 추가했으며 사기, 전자 사기, 취약성 관리 문제 등을 관리하는 데 도움을 주기 위해 계속해서 사용을 확대하고 있습니다. "위기 및 인시던트 관리에 특화된 사무실이 이제 Resilient SOAR 플랫폼을 통해 다른 팀에도 서비스를 제공할 수 있기를 바랍니다."라고 Caron은 설명합니다. "우리는 뉴욕에서 홍콩, 유럽 전역까지 연결되어 있으며 비즈니스 연속성과 위기 관리는 다음으로 해결해야 할 영역입니다."

KBC 로고
KBC Group

벨기에 브뤼셀에 본사를 둔 KBC(ibm.com 외부 링크)는 1998년 벨기에 은행 두 곳과 벨기에 보험회사가 합병하면서 설립되었습니다. 이 은행 보험 그룹은 벨기에, 체코, 슬로바키아, 헝가리, 불가리아, 아일랜드 등 유럽 전역의 핵심 시장에서 1,100만 고객에게 서비스를 제공하고 있습니다. 또한 미국과 아시아에서는 주로 핵심 시장의 고객에게 서비스를 제공하기 위해 제한된 입지를 가지고 있습니다. KBC의 4만 2,000명의 직원은 1,400여 개의 지점과 다양한 전자 채널을 통해 그룹 고객에게 고유하고 개인화된 뱅킹 및 보험 경험을 제공하기 위해 노력하고 있습니다.

다음 단계 안내

이 사례에 소개된 IBM 솔루션에 대해 자세히 알아보려면 IBM 담당자 또는 IBM 비즈니스 파트너에게 문의하세요.

PDF 보기 고객 사례 보기
각주

© Copyright IBM Corporation 2020. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504

2020년 2월 미국에서 제작.

IBM, IBM 로고, ibm.com 및 Resilient는 전 세계 여러 국가에 등록된 International Business Machines Corp.의 상표입니다. 기타 제품 및 서비스 이름은 IBM 또는 다른 회사의 상표일 수 있습니다. 최신 IBM 상표 목록은 www.ibm.com/kr-ko/legal/copytrade.shtml의 '저작권 및 상표 정보'에서 확인하세요.

이 문서는 최초 발행일 기준 최신 문서로, IBM은 언제든지 해당 내용을 변경할 수 있습니다. IBM이 현재 영업 중인 모든 국가에서 모든 제품이 제공되는 것은 아닙니다.

명시된 성능 데이터 및 고객 사례는 오직 정보 목적으로 제공됩니다. 실제 성능 결과는 특정 구성 및 작동 조건에 따라 다를 수 있습니다. 본 문서의 정보는 상품성, 특정 목적에의 적합성, 비침해성 보증 또는 조건을 포함하여 명시적 또는 묵시적 보증 없이 '있는 그대로' 제공됩니다. 제품 제공 시의 계약 조건에 따라 해당 IBM 제품을 보증합니다.

고객은 관련 법률 및 규정을 준수할 책임이 있습니다. IBM은 법률 자문을 제공하지 않으며, 자사의 서비스 또는 제품이 고객의 법률 또는 규정 준수 여부를 보장함을 나타내거나 보증하지 않습니다.

우수 보안 실천 선언문: IT 시스템 보안에는 기업 내외부의 부적절한 액세스를 예방, 탐지 및 대응하여 시스템과 정보를 보호하는 것이 포함됩니다. 부적절한 액세스로 인해 정보가 변경, 삭제, 도용, 오용될 수 있으며 다른 대상을 공격하는 데 이용되는 것을 포함하여 시스템이 손상되거나 악용될 수 있습니다. 어떠한 IT 시스템이나 제품도 완전하게 안전하다고 간주해서는 안 되며, 어떠한 단일 제품, 서비스 또는 보안 조치도 부적절한 사용 또는 액세스를 완전히 효과적으로 방지할 수 없습니다. IBM 시스템, 제품 및 서비스는 합법적이고 포괄적인 보안 접근 방식의 일부로 설계되었으며, 이에 따라 반드시 추가적인 운영 절차가 필요합니다. 또한 가장 효과적인 운영을 위해 다른 시스템, 제품 또는 서비스가 필요할 수 있습니다. IBM은 시스템, 제품 또는 서비스가 임의 사용자의 악의적이거나 불법적인 행위로부터 영향을 받지 않는다는 것을 보증하지 않으며, 귀사가 이러한 행위로부터 영향을 받지 않음을 보증하지 않습니다.