베리타스 트러스트 센터
보안
고객의 데이터를 보호하는 것이 베리타스의 최우선 과제입니다.
베리타스는 개발 관행과 보안 취약점 관리에 대한 투명성을 유지하기 위해 최선을 다하고 있습니다. 당사는 보안을 제품 개발, 인프라스트럭처, 프로세스의 핵심으로 간주합니다. 자세한 내용은 베리타스의 취약점 관리 관련 의무 및 공개 정책을 확인하십시오.
베리타스 CISO, Christos Tulumba의 메시지
베리타스는 보안을 매우 중요시하며, 고객의 중요 데이터 및 애플리케이션 보호를 최우선으로 간주합니다. 베리타스의 통합 접근 방식은 사이버 보안의 모든 측면을 다루면서 고객과 파트너를 위한 레질리언스 환경을 구현합니다.베리타스는 최고 수준의 보안을 유지하여 고객의 소중한 자산을 안전하게 보호해 드립니다.
- 안전한 제품 개발 및 테스트
- ID 및 액세스 관리
- 클라우드 보안
- 엔드포인트 보호
- 사용자 및 커뮤니케이션 보안
- 취약점 및 인시던트 관리
- 안전한 로깅 및 모니터링
- 보안 거버넌스 및 리스크 관리
- 공급업체 리스크 관리
- 보안 문화 및 교육
안전한 소프트웨어 개발
보안은 보안 코딩 메서드 및 분석 툴을 사용하는 제품 개발에서 시작됩니다. 베리타스 제품은 적어도 1년에 한 번 독립적인 타사의 침투 테스트를 거칩니다. 내부적으로는 제품 보안 그룹(PSG)에서 신규 제품 버전을 출시할 때 검사를 실시합니다. PSG는 침투 테스트 및 내부 취약점 검사 일정을 관리하는 것 외에도 베리타스 ASAP(Application Security Assurance Program)를 운영하면서 각 제품이 안전한 개발 라이프사이클을 준수하도록 보장합니다.
베리타스 보안 소프트웨어 개발 프레임워크(Veritas Secure Software Development Framework) 및 ASAP는 취약점 완화에 중점을 둔 일련의 핵심 소프트웨어 개발 사례인 NIST SP 800-218을 모델로 합니다.
베리타스는 미국 국립 표준 기술 연구소(NIST) 프레임워크를 준수하며, 이 프레임워크는 사이버 레질리언스를 식별, 보호, 탐지, 대응, 복구의 5가지 핵심 요소로 처리하는 표준입니다.
개발 원칙
베리타스 제품은 CISA(Cybersecurity and Infrastructure Security Agency), NSA(National Security Agency), FBI(Federal Bureau of Investigation)를 비롯해 여러 국제 보안 기관이 권장하는 2가지 핵심 원칙을 준수합니다.
보안을 염두에 두고 설계
베리타스는 악의적인 사이버 공격자가 데이터에 액세스할 수 없도록 합리적으로 보호하는 방식으로 제품을 설계하고 개발합니다.
Secure by Default
베리타스 제품은 추가 비용 없이 즉시 사용 가능하며 널리 확산된 익스플로잇 기법에 대한 레질리언스를 제공합니다.
베리타스 ASAP(Application Security Assurance Program)
Microsoft Secure Development Lifecycle을 기반으로 하는 Veritas ASAP는 실질적인 과제를 다루며 미국 대통령 행정 명령 14028호의 요건을 준수합니다.베리타스 프로그램은 자동화된 보안 툴과 수동 기법을 구사하면서 이러한 행정 명령 및 CISA 요건에 따라 제품 취약점을 파악합니다. 업계 표준 CVSS(Common Vulnerability Scoring System)을 기준으로 취약점의 심각도를 평가하여 수정 조치 및 공개 알림의 긴급성을 판단합니다.
베리타스 ASAP는 다음과 같은 7가지 영역으로 구성됩니다.
- 교육: 제품 개발 팀은 다양한 보안 교육 과정을 이수하여 최신 위협 및 완화 기술에 관한 새로운 정보를 확보합니다.
- 요건: 베리타스 제품이 보안 표준, 규정, 베스트 프랙티스에 부합하는지 확인합니다.
- 설계: 보안 설계 원칙을 준수하는지 확인하고, 제품이 잠재적인 보안 리스크 및 취약점을 식별하는 위협 모델링을 거쳤는지 평가합니다.
- 구현: 제품 코드 리뷰가 올바르게 수행되고, 발견된 문제점이 해결되었는지 확인합니다.
- 검증: 제품은 엄격한 보안 테스트를 거칩니다.
- 배포: 각 제품 팀이 안전한 구성 관리 프랙티스를 적용하는지 확인합니다.
- 운용: 각 제품 팀에 보안 인시던트 처리 절차, 인시던트 리포트, 커뮤니케이션 채널 등을 비롯해 정식 인시던트 대응 계획이 있는지 확인합니다.
전략적 파트너십
데이터 보안은 일종의 단체 경기로, 단일 제품으로 보안 요구 사항의 모든 측면을 해결할 수는 없습니다. 베리타스는 업계 최고의 기업들과 제휴하여 자사 제품의 원활한 통합을 비롯해 사이버 공격에도 대처할 수 있도록 지원함으로써 고객의 투자를 최적화합니다.
사이버 대비 현황
CISA(Cybersecurity and Infrastructure Security Agency)의 JCDC(Joint Cyber Defense Collaborative) 이니셔티브에서는 정부 기관, 민간 조직, 국제 파트너가 서로 협력하여 사이버 보안 협업, 조정, 정보 공유를 강화합니다. 구체적으로 JCDC는 다음을 수행합니다.
- 국가 차원의 사이버 보안 접근 방식을 장려합니다.
- 정부, 업계, 국제 파트너의 전문 지식과 리소스를 활용합니다.
- 사이버 위협에 대비하여 중요 인프라스트럭처, 정부 네트워크, 기타 주요 자산의 레질리언스와 보안을 강화하는 것을 목표로 합니다.
