보안 / 브라우저

“직원의 웹 브라우징 리스크를 막아라” 브라우저 보안 단속 9단계

Peter Wayner | Computerworld

2019.07.25

기업에서 일하는 사람들은 뉴스와 이메일, 문서, 세일즈 리드를 전달하는 웹 브라우저를 좋아한다. 웹 앱이 부상하면서, 브라우저는 기업 데스크탑에 설치된 가장 중요한 소프트웨어가 되었다고 볼 수 있다. 그러나 인터넷에 좋은 사람만 있는 것이 아니다. 때론 위험한 사람도 만난다. 그리고 브라우저는 바이러스, 루트킷, 더 나쁜 것이 유입되는 장소이기도 하다. 거의 사용하는 경우가 없고, 민감한 정보에 액세스할 수도 없는 먼지 낀 장소의 데스크탑에 설치된 브라우저인 경우에도, 공격자가 이 버려진 데스크탑을 ‘주춧돌’로 악용해 공격을 감행할 수 있다.

따라서 기업 사용자의 브라우저를 계속 안전하게 유지하는 것이 아주 중요하다. 브라우저 개발사는 뒷문과 옆문, 문 사이 틈을 봉하면서 공격자를 차단하려 노력하고 있지만, 이것만으로는 불충분하다. 유용하지만 취약점이 있는 기능들이 존재한다. 그리고 기업은 이런 옵션 기능에 대한 액세스를 철저히 제한하거나 차단해 보안을 크게 강화할 수 있다.

예를 들어, 새 소프트웨어를 설치하려면 자유롭게 임의의 파일을 다운로드 할 수 있어야 하지만, 이것이 위험한 공격 표면이 될 수도 있다. 사무실 직원이 독자적으로 새 소프트웨어를 추가할 필요가 없다면, 모든 다운로드를 차단하는 것은 가혹하지만, 많은 공격을 간단히 저지할 수 있는 방법이다.

사무실 직원들, 또는 특정 직원들에게 (나쁜 쪽과 좋은 쪽 모두)다양한 기능에 대한 액세스가 필요한지 여부에 대해 힘든 결정을 내려야 하는 경우가 아주 많다. 자유로운 행동에 제약이 가해지는 것을 좋아하는 사람은 없지만, 공격 위험이 너무 크기 때문에 컴퓨터를 잠그고, 옵션들을 차단하는 결정이 좋은 결정이 되는 때가 많다.

IT가 사용자의 브라우저를 안전하게 유지하기 위해 취할 수 있는 9가지 단계적 방법을 소개한다.

1. 기업용 통제 옵션들을 활용할 방법을 터득한다

사용자 브라우저를 보호하기 위해 적용할 수 있는 가장 중요한 방법은 브라우저에 대한 기업 정책을 활용해 브라우저를 컨트롤(통제 또는 관리)하는 것이다. 유수 브라우저 개발사 대부분은 여기에 활용할 수 있는 엔터프라이즈(기업용) 도구들을 제공한다.

물론 기기마다 컨트롤 수준을 다르게 적용할 필요가 있을 수도 있다. 손님과 방문객이 사용하는 공용 컴퓨터는 직원들의 컴퓨터와 다르게 구성해야 한다. 또 프로그래머 같은 직원들의 경우, 다른 직원들보다 더 많은 유연성이 필요하다. 관리자가 사용자의 브라우저를 중앙에서 통제하지 않는 쪽을 선택하는 경우도 있지만, 대부분의 엔터프라이즈 정책 도구들은 다양한 직원 그룹에 각기 다른 권한을 부여하는 기능을 제공한다.

운영 체제와 브라우저에 따라 형태가 조금 다르기는 하지만, 기본적으로 특정 기능들을 끌 수 있는 많은 스위치를 제공하고 있다. 모질라 파이어폭스 엔터프라이즈를 예로 들면, 윈도우는 ADM과 ADMX(윈도우 그룹 정책) 템플릿을, 맥은 plist(맥OS 정책 관리)템플릿, 리눅스는 JSON 파일을 지원한다. 구글은 크롬을 관리할 수 있는 다양한 클라우드 및 온프레미스 도구 들을 제공하고 있다. 여기에는 기업 환경에서 크롬을 잠글 때 좋은 출발점이 될 수 있는 윈도우와 맥, 리눅스 머신용 템플릿도 포함된다.

사파리는 애플의 기업용 장치 관리 도구들로 관리하고, 현 버전의 엣지 브라우저 관리에는 마이크로소프트 그룹 정책과 인튠(Intune)이 사용된다. 마이크로소프트는 올해 말 구글 크롬의 기반이기도 한 오픈 소스 크로미움 엔진에 기반을 둔 완전히 새로운 버전의 엣지로 현재의 엣지를 교체할 계획이라고 발표했다. 기업이 윈도우와 맥OS 장치에 설치된 새 버전의 엣지 관리에 사용할 수 있는 그룹 정책 카탈로그에 대한 미리보기를 공개했다. 향후 관리자들은 인튠과 시스템 센터 구성 센터를 통해 크로미움 기반 엣지를 구성할 수 있게 될 예정이다.

각 브라우저에서 사용할 수 있는 옵션들이 너무 많아 여기에서 자세히 다루기 힘들다. 당연한 옵션들도 일부 포함되어 있다. 특정 사이트를 차단하는 기능, 시대에 뒤떨어진 플러그인을 끄는 기능 등을 예로 들 수 있다. 크롬을 예로 들면, 특정 사이트에서 플래시나 자바스크립트 실행을 차단할 수 있다. 파이어폭스는 정보가 유출되는 경우를 대비해 모질라에 보내는 디버깅 정보가 최소화되도록 구성할 수 있다.

이런 설정들을 가장 효과적으로 활용하는 방법은 설정 항목들을 자세히 조사한 후, 소속 기업에 가장 적합한 항목들을 결정하기 시작하는 것이다. 템플릿은 좋은 출발점이 될 수 있지만, 팀에 필요한 부분만 결정할 수 있다.

2. 모든 패치와 업데이트를 설치한다

문제 발생을 막는 가장 간단한 방법은 가능한 빨리 모든 장치에 설치된 브라우저의 최신 버전을 설치하는 것이다. 패치가 발행되면, 그 즉시 설치해야 한다. 새 버전이 출시되면, 그 즉시 구 버전을 교체해야 한다.

새 버전 출시 즉시 자동으로 설치가 되도록 사용자 브라우저를 설정할 수도 있지만, 새 버전 설치를 통제하기 원하는 IT 부서들이 많다. 바쁘지 않은 시간에 설치가 되도록 예약을 하거나, 전사적으로 브라우저를 업데이트하기 전 중요한 웹 앱을 테스트하기 원한다. ‘한 번 설정하고 방치하는’ 방식의 브라우저 업데이트는 이들의 선택지에 포함되어 있지 않다.

번거롭고 귀찮을 수 있다. 브라우저 개발사들이 업데이트 주기를 앞당기고 있기 때문이다. 크롬과 파이어폭스의 경우, 6~8주 간격으로 새 버전이 배포된다. 엣지와 사파리는 OS의 일부이다. 따라서 주요 업데이트는 윈도우10/엣지는 1년에 2차례, 맥OS/사파리는 1년에 1차례이다. 그렇지만 보안과 버그 관련 픽스는 연중 계속 배포된다. 엣지는 크로미움 기반 버전이 출시되면 업데이트가 주기가 더 빨라질 전망이다. 그러나 마이크로소프트는 정확한 일정에 대해서는 확답을 주지 않았다.

얼마나 자주 업데이트가 되든, 새로운 업데이트를 계속 적용해야 한다. 2017년 전세계의 수 많은 컴퓨터를 감염시킨 워너크라이 랜섬웨어 피해자에게 물으면 이렇게 해야 하는 이유를 알 수 있다. 이 익스플로잇은 윈도우의 취약점을 악용했다. 그런데 마이크로소프트는 사고 발생 한달 전 이 취약점에 대한 패치를 배포했었다. 그러나 패치를 적용하지 않은 시스템이 많았다. 여기에는 약 9만 2,000 파운드(US 10만 달러)의 피해를 입은 영국 NHS(National Health Service)의 시스템도 포함되어 있었다.

모질라는 그 즉시 모든 업데이트를 적용하기 꺼리는 기업에 선택지를 제공하고 있다. 파이어폭스 엔터프라이즈는 두 종류로 배포된다. 6~8주라는 빠른 업데이트 주기가 적용되는 일반적인 배포, 모든 것이 제대로 작동하도록 내부 웹 애플리케이션을 테스트하기 원하는 기업들이 사용할 수 있는 주기가 더 느린 배포로 구성된다. 파이어폭스는 또 관리자가 동일한 장치에서 여러 버전을 테스트할 수 있도록 프로필 시스템을 강화했다.

구글은 포함되는 새로운 코드의 양이 증가하는 형태로 4종류의 크롬 채널을 제공한다. 카나리 채널은 빌드가 완성되면, 엄격한 테스트 없이 그 즉시 릴리스 된다. 최첨단 기능들이 필요한 팀에 적합한 채널이다. 디브(Dev) 채널은 개발자들에게 새 기능에 대한 9-12주의 프리뷰 기간을 제공한다. 애플리케이션을 테스트할 수 있는 기간이다. 기업에 더 적합한 채널은 내부 테스트 후 4-6주 간격으로 업데이트되는 스테이블(Stable) 채널과 베타(Beta) 채널이다.

향후 출시될 크로미움 기반의 엣지 또한 이런 4채널 방식이 도입될 가능성이 있다. 관리자는 여러 다양한 정책을 통해 업데이트를 관리하게 될 것이다. 테스트를 위해 새 릴리스 적용을 잠시 중단하는 기능을 예로 들 수 있다.

3. 플러그인과 확장 프로그램을 제한한다.

브라우저가 웹 페이지를 로딩 해 표시하는 이상의 기능을 할 수 있도록 브라우저를 구성하고 확장할 수 있도록 도움을 주는 것이 플러그인과 익스텐션(확장 프로그램)이다. 불행히도 쉽게 남용될 수 있다는 문제점이 있다. 확장 프로그램 개발자가 거의 제약이 없이 웹 페이지에 액세스할 수 있기 때문이다.

가장 간단한 해결책은 모든 플러그인과 확장 프로그램을 금지하는 것이다. 그렇지만 이것이 불가능하거나 부정적인 상황도 있다. 비즈니스 사용자에게 필수적인 확장 프로그램이 존재할 수 있기 때문이다. 그룹이 함께 사용하는 계정의 비밀번호를 공유할 수 있는 팀패스워드(TeamPassword)가 여기에 해당될 수 있다. 또는 그룹이 TMetric나 Clockify 같이 업무 시간을 기록 및 관리하는 표준 확장 프로그램들을 사용해야 할 수도 있다.

브라우저 개발사의 정책 관리 도구들은 확장 프로그램을 관리할 수 있는 다양한 옵션들을 제공한다. 크롬 템플릿을 예로 들면, 특정 확장 프로그램을 블랙리스트 처리하거나, 화이트리스트에 등록되지 않은 모든 확장 프로그램을 차단할 수 있다.

특정 확장 프로그램을 허용해야 할 필요가 있다면, 그 소스를 철저히 조사하고 테스트해야 한다. 웹에서 구할 수 있는 무료 소프트웨어 중에는 겉으로는 아주 유용한 서비스를 제공하지만, 이면에는 악의적인 목적이 숨겨진 소프트웨어가 많다.

4. 콘텐츠와 추적을 차단하는 새로운 기능들을 주시한다

브라우저 개발사는 항상 차단 기능을 강화, 더 많은 옵션을 제공하고 있다. 파이어폭스를 예로 들면, 버전 67에 사용자 컴퓨터의 사이클을 하이재킹 비트코인 채굴을 시도하는 악성 스크립트를 차단하는 기능이 도입되었다.

출시되는 새 버전마다 릴리스 노트를 읽어야 한다. 새 차단 옵션에 대해 결정을 내리는 데 필요할 수 있기 때문이다. 사용자를 위해 새로운 차단 옵션을 활성화시키는 것이 나은 경우가 많다.

5. 일부 외부 사이트를 차단한다(그러나 조심해야 함).

기업 브라우저를 잠글 때 직면하는 가장 큰 도전과제 중 하나는 외부 사이트를 차단해야 하는 때를 파악하는 것이다. 포르노 사이트 같이 쉽게 결정을 내릴 수 있는 경우도 있지만, 득과 실을 따져야 하는 경우도 있다. 모든 사람들이 브라우저를 통해 개인 이메일을 읽을 수 있도록 허용하는 것을 예로 들자. 이는 겉으로는 정상 콘텐츠로 보이지만 악성 코드가 숨겨진 이메일을 매개체로 하는 공격 위험을 초래한다. 그러나 외부 이메일을 무조건 차단할 경우, 사람들은 가족과 학교, 병원 등 개인사를 처리할 다른 방법을 찾게 될 것이다. 이 경우, 사람들은 더 위험한 선택지를 선택할 수도 있다.

페이스북 또한 유사한 고민거리를 준다. 표적화 된 공격과 정찰(스파이 활동)에 아주 위험한 경로가 될 수 있지만, 많은 직원들이 가족, 친구와 연락하는 데 페이스북을 사용하고 있다. 모질라는 여기에 도움을 주기 위해 페이스북을 샌드박스로 실행하는 파이어폭스용 페이스북 컨테이너 익스텐션을 개발했다. 개인 페이스북 ID를 분리시켜, 페이스북이 써드파티 쿠키로 사용자의 다른 웹 활동을 추적하기 더 어렵게 만드는 기능이다. 파이어폭스 엔터프라이즈를 운영하는 IT 관리자는 페이스북 컨테이너를 의무 설치하도록 규정하거나, 사용자에게 제공해 설치를 하도록 장려할 수 있다.

6. 필요한 경우 여러 브라우저를 유지한다.

특정 브라우저가 특정 작업에 적합하지 않을 수도 있다. 구형 브라우저에서 가장 잘 작동하는 레거시 소프트웨어를 유지해야 하는 경우가 대표적이다. 현재 버전의 엣지에는 엣지 대신 구형 IE를 사용할 수 있는 ‘엔터프라이즈 모드’가 있다. 엣지는 IE보다 더 안전하지만, 액티브 X 컨트롤 같은 구식 기술을 사용하는 사이트가 표시하지 못할 수도 있다. 사용자는 주로 엣지를 이용해 탐색을 하지만, 레가시 기술이 필요한 URL을 방문할 경우에는 브라우저가 자동으로 IE 창을 실행시킨다.

구글은 동일한 용도로 사용할 수 있는 크롬 익스텐션을 지원하고 있다. 파이어폭스의 경우, 다양한 서드파티 확장 프로그램들을 사용할 수 있다.

그렇지만 변화가 있을 수 있다. 마이크로소프트는 향후 출시될 크로미움 기반 엣지에는 엣지 내부에서 레거시 사이트를 실행시키는 새로운 ‘인터넷 익스플로어’ 모드’가 도입될 예정이라고 발표했다. 사이트 별로 최고의 옵션을 찾아 적용해야 한다. 그래야 각 인스턴스의 보안을 최상으로 만들 수 있다.

7. 정기적으로 브라우징 데이터를 정리한다.

브라우저에 저장된 대부분의 데이터는 웹사이트가 좋은 의도에서 저장한 데이터들이다. 쿠키를 비롯한 프라이빗 데이터는 더 빠른 로그인, 맞춤화 된 경험 유지 및 제공에 도움을 준다.

그러나 사용자 브라우저 히스토리와 쿠키에는 많은 비밀도 숨겨져 있다. 예를 들어, 기업이 미래에 개발할 제품이나 전략에 대해 조사한 데이터가 포함되어 있을 수 있다. 이는 경쟁자에게 아주 값진 정보이다.

이런 데이터를 보호하기 위해서는 정기적으로 사용자가 방문한 웹사이트 일부, 또는 전부의 로컬 데이터를 지우는 것이 좋다. 또는 애초 저장이 되지 않도록 만들 수도 있다. 브라우저 개발사는 여기에 도움을 주는 다양한 옵션을 제공하고 있다. 크롬의 경우, 사용자 세션이 종료되면 모든 것을 깨끗이 지우는 ‘에피메럴 모드(ephemeral mode)’가 있다.

브라우저 히스토리보다 쿠키에 더 많은 비밀이 있다고, 또는 그 반대를 주장할 수도 있다. 어느 경우이든, 그냥 이런 데이터를 모두 지우는 것이 훨씬 더 간단하다. 사용자가 다시 로그인을 하거나, 데이터를 다운로드 받기 위해 기다려야 하기 때문에 가혹한 측면이 있다. 그러나 ‘스마트'한 보안 체계이다. 또 과거의 나쁜 데이터를 제거한다는 측면도 장점이다.

8. 일부 머신에는 키오스크 모드를 사용한다

브라우저를 잠그는 극단적인 방법 중 하나는 키오스크 모드로 실행시키는 것이다. 이는 사용자가 할 수 있는 일을 제한한다. 브라우저를 전체 화면으로 이용하지 못하고, 애드온을 설치하지 못하고, 브라우저 밖 앱은 액세스하지 못하는 것을 예로 들 수 있다. 사용자가 지정된 소수 웹 페이지만 볼 수 있는 키오스크 모드 구성도 있다. 크롬과 엣지 모두 키오스크 모드 옵션을 제공한다.

직원들에게는 지나친 방법일 수 있다. 그러나 공용 장치, 또는 재고 추적이나 PoS 터미널 등에는 현명한 방법이 될 수 있다.

9. 외부 도움을 요청한다

브라우저 설치는 어렵지 않지만, 수 많은 장치에서 브라우저를 구성, 배포, 유지 관리하는 것은 훨씬 더 복잡한 일이다. 브라우저 개발사는 수 많은 기업용 장치를 일관되게 유지 관리하는 부분에 초점을 맞춰, 다양한 지원 서비스를 제공하고 있다. 구글의 경우, 사용자가 1,000명 이상인 기업을 대상으로 크롬 엔터프라이즈 지원 서비스를 제공하고 있다. 사용자가 크롬으로 할 수 있는 일을 제한하는 엔터프라이즈 정책 템플릿 맞춤화와 관련된 질문에 대답을 하고, 가이드를 제공한다.

모질라의 지원 서비스는 더 저렴하지만, 소규모의 파이어폭스 엔터프라이즈 지식 기반을 제공하고, 엔터프라이즈 사용자 WG(Enterprise User Working Group) 메일링 리스트를 지원한다. 개발자와 IT 관리자가 솔루션에 대해 대화를 하는 장소이다. 마이크로소프트는 엣지 참가자 프로그램 사이트에 엔터프라이즈 섹션을 새로 추가했다. 또 향후 출시될 크로미움 기반 엣지에 대한 자료 링크, IT 전문가와 마이크로소프트 엔지니어가 새 브라우저에 대해 토론할 수 있는 포럼을 제공한다. editor@itworld.co.kr

Tags 모질라 애플 크롬 보안 단속 엣지 사파리 IE 브라우저 파이어폭스 구글

함께 보면 좋은 콘텐츠

파이어폭스 이어 엣지까지 가세한 '추적 방지 기능'···브라우저 선택의 새 기준?

MS, 모바일 엣지 브라우저 SSO 및 조건부 액세스 지원 “기업 사용자 확대 기대”

특수 브라우저로 프라이버시 제대로 보호하기 : 에픽, 토르, 브레이브

토르 브라우저의 이해 : 브라우저가 프라이버시를 보호하는 방법

Wolters Kluwer

내부 감사를 위한 데이터 분석의 5가지 이점

ⓒ Getty Images Bank 감사자가 업무 전반에 걸쳐 유용한 감사 분석 정보를 찾을 수 있는 데이터 분석 기술이 감사 분야에서 한층 주목받고 있다. 또한 감사 분석 소프트웨어의 등장으로 데이터 과학자나 관련 전문가만이 아닌 일반 감사자도 자체적으로 쉽게 대용량 데이터 세트를 분석하고 데이터 분석을 생성할 수 있게 되었다. 내부 감사를 위한 데이터 분석의 주요 이점 5가지를 자세히 들여다보자. 1. 더 나은 리스크 관리 내부 감사를 위해 데이터 분석을 사용할 경우 가장 큰 이점은 조직 전체에 걸쳐 리스크 관리를 개선할 수 있다는 것이다. 회계 관행을 분석해 재무적 위험을 파악하든, IT 기록을 통해 사이버 보안 리스크를 식별하든, 일반적으로 모든 데이터의 수동 검토는 불가능하다. 감사자가 정보 과부하를 방지하기 위해 제한된 데이터 샘플링 방법을 사용할 경우 리스크 관리에 허점이 생길 수 있다. 전체 데이터 세트에는 아직 실현되지 않았지만 중요한 이상 값이 존재할 수 있기 때문이다. 내부 감사를 위한 데이터 분석은 대량의 데이터를 빠르게 검토하고, 리스크를 파악하고 이해하는 데 도움이 된다. 2. 더 확실한 보증 리스크 관리 개선과 관련하여 내부 감사를 위한 데이터 분석의 또 다른 이점은 여러 팀에 걸친 결합 보증을 비롯하여 더 확실하게 보증할 때 사용할 수 있다는 것이다. 데이터 분석은 비즈니스 프로세스를 더 체계적이고 완전하게 검토해 여러 부서의 결과가 일치하는지를 쉽게 확인할 수 있다. 예를 들어 내부 감사 팀은 데이터 분석을 사용해서 트랜잭션 로그 같은 재무 데이터를 검토해 이상 유무를 확인할 수 있다. 또한 결과를 ERM(엔터프라이즈 리스크 관리)이나 규정 준수 등의 다른 부서와 쉽게 공유하고 결과가 동기화되었는지 알 수 있다는 것도 장점이다. 감사 분석 소프트웨어를 사용하면 특히 쉽게 결과를 시각화하고 비교할 수 있다. 대조적으로, 샘플링 또는 기타 수동적이고 제한된 프로세스에서는 감사 결과가 ERM의 결과와 일치하는지를 나타내는 신호를 놓치더라도 알 수 없다. 3. 향상된 효율성 내부 감사를 위한 데이터 분석은 리스크 관리 및 보증을 개선할 수 있을 뿐만 아니라 시간도 절약할 수 있다. 예를 들어 엑셀에서 수십만 개의 데이터 항목을 검토해야 할 경우 시도조차 할 엄두가 나지 않을 정도로 시간이 많이 소요될 것이다. 그러나 팀메이트 애널리틱스(TeamMate Analytics)와 같은 감사 분석 소프트웨어는 100만 개 이상의 데이터 행을 검토할 수 있으며 즉시 실행할 수 있는 150개 이상의 기본 제공 테스트 라이브러리를 이미 갖추고 있다. 결과도 시각적 형식으로 쉽게 제시할 수 있다. 전체적으로 내부 감사자는 데이터 분석 및 감사 분석 소프트웨어를 사용하여 감사 계획, 수행 및 발표 측면에서 효율성을 높일 수 있다. 4. 더욱 명확한 보고 또한 데이터 분석을 사용하여 더 이해하기 쉽고 인상 깊은 보고서를 작성할 수 있다. 특히 감사 분석 소프트웨어의 감사 기능으로 감사 결과를 명확하게 전달하는 차트, 그래프 등 데이터 시각화에 도움이 된다. 이러한 데이터 분석 기능이 없다면 청중은 이해하기 힘든 긴 표와 장황한 설명으로 의사 소통을 해야 한다. 반면, 데이터 분석을 사용해 고위 경영진, 감사 위원회, 여러 이해 관계자에게 더욱 명확한 보고서를 생성하고 프레젠테이션에서 최대한 활용할 수 있다. 5. 감사 품질 개선 전반적으로 데이터 분석을 사용하면 감사 프로세스의 각 단계에서 감사 품질을 향상하고 전체적으로 감사 품질을 높일 수 있다. 감사 계획에서 테스트, 보고에 이르기는 전 과정에서 내부 감사자는 데이터 분석을 사용해 자신의 작업을 더 잘 이해하고 다른 이해 관계자와 협업할 수 있다. 더욱 구체적으로는 데이터 분석을 사용하여 벤포드 테스트, 계층화, 화폐 단위 샘플링(Monetary Unit Sampling), 격차 및 중복 감지 등의 감사 절차를 보다 체계적이고 효율적으로 수행할 수 있다. 감사 소프트웨어로 분석 기능 최대한 활용하기 이러한 예에서 알 수 있듯, 데이터 분석은 감사 방법론을 최적화하고 감사 결과를 개선하는 등, 내부 감사 부서에 여러 이점을 제공할 수 있다. 내부 감사 팀은 감사 방법론이나 프로세스와 일치하지 않는 일반적인 분석 도구 대신, 감사 분석 소프트웨어를 사용할 경우 데이터 분석을 최대한 활용할 수 있다. 팀메이트 애널리틱스(TeamMate Analytics) 같은 감사 분석 소프트웨어를 사용하면 감사 팀이 이러한 유형의 이점을 제공하는 데이터 분석을 쉽게 생성할 수 있다. 마이크로소프트 엑셀에서 실행되므로 감사 팀 구성원이 데이터 과학 전문가에게만 분석을 맡기지 않고, 직접 친숙한 워크플로에 따라 감사 분석을 생성할 수 있다. 팀메이트 애널리틱스(TeamMate Analytics) 데이터 분석은 모든 잠재적인 문제 또는 이상 현상을 강조하는 100% 포괄 기능과 문제의 근본을 신속하게 파악할 수 있는 기능을 통해 전달되는 가치를 크게 높일 수 있습니다. 데모를 통해 팀메이트 애널리틱스가 감사 분석에 대한 생각을 어떻게 바꿀 수 있는지 알아보십시오. 데모 보기

Wolters Kluwer

내부 감사 소프트웨어 구입 시 고려해야 할 5가지 사항

ⓒ Getty Images Bank 내부 감사 소프트웨어를 구입할 때에는 가격 외에도 여러 가지 요소를 살펴야 한다. 물론 예산을 우선순위에 두고 검토해야겠지만, 가격만 고려해 소프트웨어를 도입하다 보면 장기적으로 감사 품질을 저하하고 결국 더 많은 비용이 드는 결과를 초래할 수 있다. 예를 들어 감사 데이터가 제대로 전달되지 않으면 이해 관계자가 특정 위험을 간과할 가능성이 있으며, 이러한 위험이 조직에 피해를 입힐 수 있다. 강력한 감사 소프트웨어를 사용하면 감사 계획을 간소화하고 보고서를 쉽게 공유할 수 있어 내부 감사 부서뿐 아니라 조직 전체가 감사 결과에 따른 조치를 취할 수 있다. 따라서 내부 감사 소프트웨어를 구입할 때 다음의 5가지 범주에서 각각의 플랫폼 차이를 검토하는 것이 중요하다. 1. 데이터와 분석 내부 감사 소프트웨어의 가장 중요한 영역은 데이터와 분석 기능이다. 우수한 감사 관리 도구라면 API를 사용하여 다른 리스크 관리 도구나 재무 시스템과 동기화함으로써 데이터 수집과 같은 영역을 간소화해야 한다. 또한 리스크 식별용 데이터 시각화 등의 영역은 물론, 수치 분석(예: 벤포드의 법칙) 같은 자동화 영역에도 분석 기능을 제공해야 한다. 그렇지 않으면 단지 스프레드 시트 프로그램 수준만의 가치 이상을 얻을 수 없을 것이다. 2. 협업 또한 감사 소프트웨어의 데이터와 분석 기능은 부서 간 협업 촉진에 활용될 수 있어야 한다. 다른 시스템과의 강력한 데이터 통합 기능을 통해 내부 감사 팀은 규정 준수, 정보 보안 등의 다른 영역에서 무슨 일이 일어나고 있는지 쉽게 파악할 수 있다. 데이터 측면에서 모든 사람이 같은 수준에 있기 때문에 내부 감사자는 다른 그룹과 더 쉽게 협업하여 여러 팀의 결합된 보증과 전반적으로 더 강력한 감사 프로세스를 제공할 수 있다. 3. 보안 내부 감사 관리 소프트웨어를 선택할 때 중요하게 고려해야 할 세 번째는 기술 자체의 보안이다. 내부 감사자가 시스템에서 충분한 보안 프로토콜을 사용하고 있다는 확신이 없으면 중요한 데이터가 리스크에 노출될 수 있다. 이 경 오히려 우수한 데이터 및 분석 기능을 보유할 수록 불리하다. 방식은 기업에 따라 다르다. 기술과 보안 요구 사항을 충족하기 위해 자체 서버에서 내부 감사 소프트웨어를 호스팅하는 옵션을 원하는 조직도 있고 클라우드 배포를 선호하는 조직도 있다. 4. 보고 기업은 감사 분석 도구의 보고 기능도 고려해야 한다. 먼저 감사 보고서를 생성하는 데 걸리는 시간과 노력을 고려할 수 있다. 특히 내부 감사 팀이 지속적인 리스크 평가 접근 방식을 취하는 경우에는 더욱 그렇다. 또한 감사 결과를 이해하기 쉬운 형식으로 경영진, 이사회, 외부 감사에 보고할 수 있기를 원할 것이다. 이해하기 쉬운 형식은 다시 감사 결과 데이터를 시각화할 때 유용한 데이터 분석 기능과 연결된다. 5. 사용 편의성 마지막으로, 어떤 유형의 감사 소프트웨어든 구입하기 전에 사용 편의성을 고려해야 한다. 이때 구현 시간과 같은 영역을 살펴볼 수도 있다. 시스템을 구축에 드는 시간이 궁금하겠지만 거기에 더해 사용자 경험 그리고 기존에 사용하던 시스템과의 유사성도 고려하는 것이 좋다. 내부 감사 직원이 새 도구에 익숙해지는 시간을 짐작할 수 있기 때문이다. 또한 일부 감사 분석 도구는 조직에 있는 기존 시스템과의 상호 운용성을 기반으로 다른 도구보다 더 사용하기 쉬울 수 있다. 기존 도구와 새로운 감사 소프트웨어 간에 데이터를 쉽게 공유할 수 있으면 결과에 대해 협업하고, 리스크를 식별하고, 내부 통제를 조정하기가 더 쉬워진다. 구매 전 검토 이 5가지 고려 사항에 집중하면 내부 감사 프로세스에 적합한 감사 소프트웨어를 선택하고 플랫폼 ROI를 최적화하는 데 도움이 될 것이다. 이러한 평가를 진행한 후 많은 기업이 팀메이트+(TeamMate+)를 선택했다. 팀메이트+는 강력한 데이터 및 분석 기능, 간소화된 보고 기능, 강력한 보안 관행을 갖춘 최고의 내부 감사 소프트웨어 플랫폼으로 조직의 감사 기능을 개선하는 데 활용된다. 솔루션을 실제로 실행해 본다면 내부 감사에 활용할 방안을 더욱 현실적으로 구상할 수 있을 것이다. 팀메이트+ 오딧(TeamMate+ Audit) 세계 최고의 감사 관리 소프트웨어인 팀메이트는 업계를 혁신하여 규모에 상관없이 감사 부서의 역량을 강화해 왔습니다. 감사 분야의 발전을 주도하는 팀메이트+ 오딧의 가장 강력한 이점을 소개하는 데모에 참여해 보십시오. 데모 보기 팀메이트 전략적 인사이트를 제공하고 감사의 효과를 향상해야 하는 전 세계 모든 업계의 감사자들에게 팀메이트는 프리미엄 전문 서비스가 결합된 전문 솔루션을 제공합니다.

Wolters Kluwer

팀메이트의 닛산 자동차 내부 감사 사례 : 미래 대비와 혁신을 주도하다

ⓒ Wolters Kluer 닛산 자동차(Nissan Motor Co., Ltd.)는 자동차 산업 전반에 걸쳐 혁신과 기술 개발의 최전선에서 높은 품질과 신뢰성으로 명성을 얻고 있다. 사명인 "사람의 삶을 풍요롭게 하는 혁신 추진"에 따라 닛산 자동차는 2019년 지배구조 개선을 위해 과감한 조치를 취했다. 내부 감사 팀은 새로운 비즈니스 요구 사항과 진화하는 위험에 대처하기 위해 빠르게 발전을 이뤄야 했다. 변화의 속도와 복잡성으로 인해 글로벌 내부 감사 팀의 진화는 조직의 가치를 보호하고 강화하고자 하는 목적을 지원하는 기술에 기반해야 했다. 또한, 확장 가능하고 유연하며 쉽고 빠르게 구현하는 기술을 채택해야 했다. 월터스 클루어(Wolters Kluwer)는 6개월 동안 닛산 자동차의 성공적인 혁신을 지원했으며, 내부 감사 팀이 신뢰할 수 있는 파트너로서의 입지를 계속 유지하고 있다. 닛산 내부 감사가 요구한 내용 닛산의 부사장/최고 내부 감사 책임자(최고 감사 경영자)인 미셸 바론은 다음과 같은 명확한 목표를 세우고 연구를 시작했다. 내부 감사 부서는 전 세계 여러 곳에 근무하는 약 100명의 내부 감사자로 구성되어 있다. 지리적으로 분산된 내부 감사 부서를 동일한 기술 플랫폼으로 전환해 더 강력한 팀 응집력, 협업 및 일관성을 지원해야 한다. 감사자가 문제를 식별하고 실시간으로 보고할 수 있도록 지원하고 관리 조치를 추적하는 데 수반되는 수작업을 줄이는 동시에 이를 투명하고 경영진이 액세스할 수 있도록 함으로써 보다 투명성과 민첩성을 높일 수 있어야 한다. 팀이 경험을 공유하고, 공통된 발견 사항을 강조하고, 서로 협력하여 배울 수 있도록 기록하는 방법을 비롯, 문서화에 대한 내부 감사 관행을 표준화해 높은 품질을 구현해야 한다. 종합적으로, 이러한 결과는 전략적 가치를 높인다는 측면에서 더 큰 성과를 추진하고 운영생산성 및 효율성을 향상해야 한다. 기능적인 결과 외에도 바론은 내부 감사자가 '경찰관'이 아닌, 비즈니스에 가치와 지원을 더할 수 있는 전략적 파트너임을 보여줌으로써 조직 내 문화를 변화시키기를 원했다. 바론은 규정을 준수할 수 있는 보장 조치를 제공할 뿐만 아니라, 새로운 프로젝트 및 비즈니스의 중요한 개발에 대한 논의에서 내부 감사 팀을 파트너로 재배치함으로써 내부 감사 팀이 비즈니스 성장을 주도하면서 핵심 기여자로 거듭나는 조직을 구상했다. 실현을 위해서 팀은 새로운 리스크와 기회를 평가하고 통제 프레임워크 강화에 대해 조언하며 성공적인 성장에 필요한 거버넌스 구조의 효율성을 개선하는 데 집중해야 했다. 모든 혁신과 마찬가지로 첫 번째 중요한 단계는 팀 구성원을 설득하는 것이었다. 구성원에게 더 광범위한 역할과 더 큰 책임을 부여하고, 동시에 더 전략적으로 사고하고 새로운 기술을 사용하여 문제를 더 빠르게 보고하고 추적하도록 격려하는 것은 굉장히 부담이 가고 기존의 틀을 깨는 파괴적인 일이다. 직원 동의가 없다면 어떤 시스템이든 실패할 수 있다. 반면, 적절히 관리할 경우 내부 감사 역할과 범위를 개발할 수 있는 기회는 무척 흥미로웠고 직원들에게 활력을 불어넣고 동기를 부여하며 새로운 인재를 유치할 수 있는 잠재적인 가치도 있었다. ⓒ Wolters Kluer 팀메이트(TeamMate)와 함께하는 여정 바론과 팀이 목표를 달성하고 미래로 성장할 수 있도록 지원하는 감사 관리 솔루션으로 팀메이트+ 오딧(TeamMate+ Audit)이 선정되었다. 바론의 팀은 내부 감사 동료가 적절히 문서화한 성공 사례와 과거 팀메이트 사용 직원의 경험을 검토하는 등 광범위한 실사를 조사하고 수행했다. 팀메이트가 제공하는 기능 중에 꼭 필요한 것이 있었다. 중앙 집중식 플랫폼과 더 빠른 보고 바론은 “J-SOX 규정 준수 보고, 추적, 관리를 포함하여 포괄적인 감사 프로세스 전반에 걸쳐 다양한 방식으로 사용할 수 있고 또 여러 가지 요소를 수용할 수 있다는 점이 마음에 든다. 유연성이 중요하기 때문”이라고 말했다. 중앙 집중식 플랫폼은 여러 지역과 시간대에서 일하는 감사자에게 더 나은 협업, 공유, 결과 비교를 지원할 뿐만 아니라, 재택 근무자가 많은 시기에는 효과적인 커뮤니케이션까지 가능했다. 닛산에서 글로벌 내부 감사실의 총괄 책임자를 맡고 있는 타케시 마시코는 이렇게 말했다. “팬데믹으로 출장이 훨씬 줄어들어 개인적인 관계를 구축하기가 어렵다. 팀메이트 플랫폼은 공통 언어를 제공한다.” 또한 감사 위원회는 보고된 감사 문제의 적시 해결에 중점을 둔다. 문제나 권장 사항 정보가 중앙 집중화된 팀메이트는 감사 위원회 구성원에게 실시간 정보를 제공해 예전처럼 긴 검토 및 질문 프로세스가 필요하지 않다. 보고서 작성이 쉬워진 덕분에 감사 팀은 보고 횟수를 늘릴 수 있었고 감사 위원회는 감사의 품질을 높일 수 있었다. 따라서 공개 권고가 급격히 감소했으며 구현 이후 1년 동안 계속 매우 낮은 수준을 유지하고 있다 마시코는 “닛산 자동차처럼 전 세계 여러 곳에서 운영되는 회사의 경우 문화를 초월해 모든 사람들이 동시에 같은 내용을 볼 수 있는 단일 플랫폼을 갖추는 것이 중요하다고 생각한다”라고 말했다. 사용 및 구현의 용이성 새로운 감사 관리 솔루션을 구현하려면 닛산의 두 가지 귀중한 리소스인 시간과 비용이 필요했다. 따라서 적절한 솔루션을 구현하는 것이 필수적이었다. 바론은 "팀메이트를 통해 감사 위원회와 경영진을 완벽하게 지원할 수 있는 부서로 전환할 수 있었다”라며 “경영진은 답을 얻기까지 몇 주씩 기다리기를 원하지 않는다. 감사 진행 상황을 알아보기 위해 누군가에게 이메일을 보내야 한다면 그만큼 지연이 발생하고 시간이 낭비된다”라고 설명했다. 관리 협업 및 보고 바론은 "규정 준수 보장은 중요한 기준이지만 수동 입력을 줄이면 미리 생각하고 추세를 파악하고 전략적으로 행동할 수 있다"라고 말했다. “더 영향력 있고 흥미로운 역할을 원하는 경영진과 내부 감사자는 이러한 변화를 원한다. 감사자 역할을 맡을 사람들에게 내부 감사는 전체 비즈니스를 이해하고 새로운 리스크를 관리하는 데 중요한 역할을 하는 곳이라고 말할 수 있다.” 바론의 팀은 ‘신뢰할 수 있는 조언자’라는 명성을 더욱 높였을 뿐만 아니라 이제 이사회와 주주에게 적시에 완전하고 정확한 정보를 제공함으로써 비즈니스 성장을 적극적으로 지원하는 역할을 맡고 있다. ⓒ Wolters Kluer 속도와 민첩성 향상 닛산 자동차의 중심에는 성과가 있다. 따라서 바론은 내부 감사 작업을 빠르게 처리하고 민첩성을 높이기를 원했다. 전 세계의 감사 보고서가 적시에 제출되게 하는 방안을 모색한 것이다. 보고 기한을 정한 후 팀메이트는 내부 감사 리더가 다른 사람들과의 비교를 지원했고, 동료보다 먼저 보고서를 제출하려는, 의도하지 않은 건전한 경쟁이 벌어졌다. 마시코는 투명성으로 관리자가 권장 조치를 완료해야겠다는 동기를 얻었으며 이것이 진정한 동력이라고 덧붙인다. 또한, “드러난 문제를 더 민첩하게 파악하고 싶었다. 그래서 PDCA(Plan-do-check-act) 감사 결과에 대한 후속 조치 빈도를 연 2회에서 연 4회로 늘렸다. 대시보드를 통해 해결되지 않은 문제의 수를 한눈에 볼 수 있어 동기 부여가 더 높아진다”라고 말했다. 닛산 자동차 내부 감사의 지속적인 진화 팀메이트는 팀이 감사 계획을 매년 실시하던 것에서 더 지속적인 프로세스로 전환했다. 바론과 팀은 더 광범위한 비즈니스 환경의 변화에 대처할 수 있는 더 민첩한 계획 프로세스로의 전환을 모색하고 있다. 팀메이트 기능은 새로운 감사 계획 방법론의 정착에 매우 중요한 요소였다. 바론은 “팀메이트는 매우 중요한 솔루션이다. 리스크가 끊임없이 변하므로 변화를 수용할 수 있는 계획 프로세스가 필요하기 때문”이라고 말했다. “전 세계의 리소스와 작업을 살펴보고 새로운 요구 사항을 충족하도록 계획 일정을 재조정하는 방법을 찾아야 한다. 모든 데이터를 한 곳에서 확인하고 완전한 투명성을 갖추고 있는 경우에만 이러한 방법이 가능하다. 언제든 방향을 바꿀 수 있어야 한다.” 환경, 사회, 거버넌스(ESG)라는 미션은 자동차 산업에서는 유독 어려운 과제다. 닛산 자동차는 야심 찬 목표를 세우고 전기화, 커넥티드 카, 인공 지능 개발을 계획하고 있다. 바론은 팀이 이러한 목표를 향한 진행 상황을 모니터링하고 측정할 뿐만 아니라 목표를 실현할 수 있는 도구를 갖추고 있다고 확신한다. 바론은 "새 목표는 기술에 기반한 변화이므로, 변화에 맞춰 조직의 요구 사항을 충족하는 것이 중요하다"라고 말한다. 또한 “모든 해답을 가지고 있지는 않지만 진정한 비즈니스 파트너가 되기 위해 계속 역할을 조정해야 하는 상황에서 필요한 것을 지원하는 감사 관리 플랫폼으로 팀메이트는 필수 요소"라고 강조했다. 마시코는 "팀메이트는 더 성장해 나갈 여지를 제공한다."라고 말했다. “다양한 기능이 내장되어 있지만 시간이 지나면서 팀은 더 많은 기능을 유연하게 사용할 수 있다. 확장과 발전의 여지가 있는데, 복잡한 조직 구조를 가진 조직일수록 이러한 여지가 중요하다. 마시코는 이제 막 출발점에 도달했다며 “향후 감사 팀의 기반이 될 플랫폼을 갖추게 되었다. 다음 단계는 데이터를 분석하고 사용하는 방법에 초점을 둘 것”이라고 덧붙였다. 팀메이트를 사용하면서 닛산 자동차의 내부 감사 팀은 지난 한 해 동안 전 세계적으로 업무 방식을 혁신했다. 그러나 그 여정이 여기에서 멈추지 않을 것은 분명하다. 팀메이트는 경영진과 감사 위원회가 요구하는 보장을 제공하고 투명한 협업과 데이터 및 실시간 정보 사용을 통해 더 많은 가치를 더하는 새로운 방법을 원하는 팀을 계속 지원할 것이다. 빠르게 변화하는 자동차 산업에서 내부 감사의 진화와 새로운 개발 지원 능력은 닛산 자동차의 기업 엔진이 원활하고 안전하게 작동하도록 유지하는 동력이 될 것이다.