서드파티로 인한 보안 위협과 보안 수준을 높이는 방법

커넥티드 세계에서의 기업에는 수천 개의 '출입구'가 있다. 전문가들은 이들 '출입구'를 더욱 튼튼히 경계할 방법이 있다고 한다. 그러나 서드파티와의 계약에서 보강해야할 부분이 상당히 많다.

고립된 '섬'과 같은 기업은 없다. 서로 연결된 세상에서 기업은 외부 개발업체, 계약업체, 제휴사, 파트너사 등 서드파티와 여러 관계를 맺어야 제 기능을 할 수 있다. 이는 사업 성장에 아주 긍정적인 역할을 할 수 있다.

반면 보안에는 큰 문제를 초래할 위험도 있다. 전문가들은 보안 체인에서 가장 취약한 연결 고리로 '부주의한 내부인'을 꼽는 사례가 많다. 그러나 서드파티 계약업체 또한 이들 부주의한 내부인과 더불어 취약한 연결 고리가 되면서, 큰 고민 거리을 만든다.

파루키 아일랜드 앤 콕스(Faruki Ireland & Cox)의 변호사인 론 래더와 스캇 가나우가 넷딜리전스(NetDiligence)를 위해 작성한 백서에 따르면, 방화벽과 사용자 정보, 강력한 비밀번호가 중요한 역할을 하지만 이것만으로는 100% 안전을 장담할 수 없다.

이 변호사들은 <우리 가운데의 배신자들: 사물인터넷 시대에 직원, 계약업체, 서드파티가 초래하는 위험과 심층 보안이 위험 관리에 중요한 이유'라는 백서에서 "기업의 온라인 접근점이 폭증했다는 것은 방화벽 등으로 구성된 요새에 수백, 수천 개의 출입구가 생겼다는 이야기나 다름 없다. 출입구를 지키는 보초들은 여러 다양한 '패킷'(사진이 없는 직원 명찰을 착용한 직원들)이 방어벽을 통과하도록 허락하고 있다"고 지적했다.

지난해 12월, 냉난방, 냉동 시설 계약업체 해킹에서 시작된 소매업체 타겟(Target)의 보안 침해 사고는 이를 입증하는 많은 사례 가운데 단 하나에 불과하다. 계약업체의 직원 한 명이 악성 링크를 클릭하면서 신용카드 수백 만 개의 정보가 유출됐던 보안 사고다.

세일포인트(SailPoint)의 폴 트루러브 제품 관리 부사장은 "이와 유사한 사고가 너무나도 많은데, 특히 IT와 커뮤니케이션 산업에서 그렇다. 불과 얼마 전에도, AT&T가 한 서드파티 개발업체로 인해 모바일 고객의 개인 정보를 침해하는 사고가 발생했다고 공개한 적이 있다. 서비스 공급업체 직원들이 생년월일과 사회보장번호와 같은 고객 정보를 입수할 수 있었던 사고"라고 말했다.

이는 새로운 문제도 아니다. 제로포인트 리스크 리서치(ZeroPoint Risk Research) CEO 겸 수석 애널리스트인 맥도넬 울쉬는 약 1년 전 서치시큐리티(SearchSecurity)에서 "거의 모든 사이버공격 성공 사례에 서드파티 개발업체와 제휴업체가 관련되어 있다"고 지적했다.

이런 문제의 원인은 여러 가지다. 글로벌 사이버 리스크(Global Cyber Risk) CEO 조디 웨스트비는 서드파티와 계약을 체결하면서 보안에 초점을 맞추지 않는 기업이 너무 많은 것이 이유 가운데 하나라고 말했다. 웨스트비는 "IT 기능과 비즈니스 프로세스를 외부에서 독립적인 아웃소싱 계약을 체결하면서, 이제서야 막 보안 문제 관리를 다루기 시작한 기업들이 대다수"라고 설명했다.

그러나 이들 공급업체에게 보안 대책을 요구할 협상력이 없다는 것이 문제다.

웨스트비는 "서드파티 시장은 고객들이 협상의 일환으로 보안 대책을 요구하기 이전에 성숙기에 접어들었고, 기회를 움켜쥐었다. 그러나 현실적으로 서드파티 공급업체는 풍부한 '표적'을 제공한다"고 지적했다.

또 다른 이유는 서드파티와 정규 직원의 접속 상황을 항상 추적하지 못한다는 것이다. 울쉬는 "오랜 관계, 개인적인 관계 때문에 서드파티 신뢰 수준이 내부 직원 신뢰 수준에 상응하거나, 이를 넘어서는 경우가 있다"고 말했다.

트루러브도 여기에 동의한다. 트루러브는 "회사에서 월급을 주는 직원들이 아니기 때문에 HR을 우회해 접근하는 경우가 많다. 또 중앙화된 시스템으로는 추적하지도 못한다. 아이러니하게도, 많은 계약업체가 내부의 정규 직원과 동등한 수준의 접근권을 갖고 있다. 또 IT 기능을 외부 아웃소싱했을 때는 정규 직원보다 더 큰 접근권을 갖고 있다"고 말했다.

세 번째 이유는 외부인들은 통상 자신의 하드웨어와 소프트웨어를 반입하고, 이를 안전하지 못할 수도 있는 다른 네트워크에서 사용한다는 것이다. 일부 전문가들은 이를 '푸어 하이진(Poor hygiene, 취약한 컴퓨터 보안)'이라고 부른다.

기업들이 서비스를 아웃소싱할 때, 보안보다는 비용에 더 큰 중점을 둔다는 현실로 인해 이런 문제가 증폭될 수도 있다. 레비아탄 시큐티리티 그룹(Leviathan Security Group) 선임 보안 컨설턴트 제임스 알렌은 이를 '만기 갭(maturity gap)'이라고 부른다. 기업들이 '린 앤 민(lean and mean, 짠돌이 경영)'과 비용 절감을 위해 개발 업체에게 아웃소싱을 주지만, 이 아웃소싱이 취약한 연결 고리로 변질되어 문제를 발생시킨다는 의미다.

트루러브에 따르면, 서드파티를 활용하는 기업들이 증가하고 있는 추세다. 그가 제시한 통계에 따르면, 1980년대 이후 계약직 직원들은 0.5%에서 2.3%로 증가했으며, 고용주의 약 42%가 올해 임시직 또는 계약직 직원을 채용할 계획을 갖고 있다. 지난 5년간 14%가 증가한 수치다.

이런 위험을 낮추려면 어떻게 해야 할까? 많은 방법들이 있다. 가장 기본적인 방법은 회사와 계약업체가 구매한 모든 연결된 장치의 비밀번호를 바꾸고, 위험 기반의 다중 인증 기법을 활용하는 것이다. 알렌은 이를 인포섹 101(Infosec 101)이라고 표현하고 있다.

물론 이보다 효과적인 방법들이 많이 있다. 그러나 알렌은 아주 기본적인 방법조차 제대로 실천하지 않고 있다고 지적했다.

또한 전문가들은 이런 기본적인 대책에 추가해 서드파티와의 SLA(Service Level Agreements), BAA(Business Associate Agreement) 등 계약에 더 주의를 기울여야 한다고 강조했다. 울쉬는 이런 계약서에 다음과 같은 요소들이 반드시 반영돼야 한다고 전했다.

- 정보 보안
- 정보 프라이버시
- 위협 및 위험 분석
- 컴플라이언스 책무 범위
- 집행 메카니즘
- 내부 감사 접근 및 공개 요건
- 해외 부정거래 관리

레더와 가나우는 BAA(Business Associate Agreement)를 통해 서드파티 계약업체가 내부에 적용하고 있는 것과 동일한 보안 프레임워크를 적용할 것을 규정하고 있는 것이 좋다고 권고했다. 또한 적절할 경우, 서드파티 계약업체를 감사하거나, 감사받도록 요구할 수 있는 권리를 확보해야 한다.

트루러브는 '아이덴티티(Identity) 관리 전략에 바탕을 둔 거버넌스'와 관련해 몇 가지를 추천했다.

1. 계약업체가 자신들의 업무에 필요한 정보에만 접근하고 있는지 계속해서 평가한다. 이를 위해서는 중앙화된 방식으로 이런 접속 상태를 감시할 수 있는 시스템이 필요하다.

2. 계약업체는 네트워크에 큰 보안 위험을 초래할 수 있다. 따라서 '핫 스팟'을 더 정확히 파악하는데 도움을 주는 아이덴티티 위험 모델을 개발한다. 이 계약업체가 경쟁업체와 일하고 있는지 등 세부적인 사항이 아주 중요하다.

3. 계약이 끝나면, 접근과 관련된 환경을 정리한다. 네트워크 접근(액세스)을 차단하는 것만으로는 부족하다. 내부 직원들에게 적용하고 있는 것과 동일하게 자동화된 시스템으로 모든 접근을 차단해야 한다. 계약 기간 동안에 계약에 따른 기간과 특징을 파악해, 자동으로 접근이 소멸되도록 만들어야 한다.

울쉬는 정보 무결성 보안이 기업의 1차 책임이 되도록 유지할 필요가 있다고 강조했다. 울쉬는 "서드파티에게 책임을 묻는 여러 규정들이 있다. 그러나 컴플라이언스에 대한 책무가 다른 회사에게 이전됐다고 생각해서는 안 된다"고 전했다.

마지막으로, 알렌은 BAA나 SLA의 취약점 가운데 하나는 PCI나 HIPAA 등 특정 규정에만 초점을 맞추고 있는 것이라고 지적했다. 이는 전반적인 '보안'보다는 특정 '문제'를 대상으로 하는 것이다.

알렌은 "우리는 더 높은 수준의 컴플라이언스를 개선할 필요가 있다. 보안과 관련된 것으로 보이는 문제가 아닌 실제 보안 문제다"고 강조했다. editor@itworld.co.kr