2019.09.09

글로벌 칼럼 | 서드파티 위험을 충분히 고려하고 있는가

Michelle Drolet | CSO
서드파티는 종종 데이터 유출에 대한 책임이 있기 때문에 공급업체 및 기타 외부 파트너를 포괄하기 위해 보안 경계를 넘어 내부 보안 표준을 확장할 필요가 있다. 
 
ⓒ Getty Images Bank 

올해 발생한 캐피탈 원(Capital One)에서 1억 6,600만 건, 퀘스트 다이어그노스틱(Quest Diagnostics)에서 1,190만 건, 랩코(Labcorp)에서 770만 건의 기록 유출 사고가 갖고 있는 공통점은 무엇일까? 

각각의 사건은 모두 서드파티에 의해 야기됐다. 캐피탈 원의 사건에서 해커는 클라우드 파트너 가운데 하나의 서버에서 구성 취약점을 악용했다. 다른 2가지 사건은 동일한 서드파티인 미국 의료 수집기관인 AMCA(American Medical Collection Agency) 시스템에까지 추적됐다. 

데이터 유출은 전혀 새로운 것이 아니다. 2018년만 해도 50억 개가 넘는 기록이 노출됐으며, 이는 종종 서드파티의 잘못으로 밝혀졌다. 데이터 유출의 잠재적 비용은 엄청나다. 사고가 정리되고 취약점이 종료된 이후에도 수백만에 달하는 벌금, 처벌, 합의의 위험이 뒤따른다. 평판의 훼손은 몇년동안 남아있을 수 있다. 

적절한 서드파티 위험 관리 전략을 마련한다면 사고가 발생할 가능성을 대폭 줄이고 비즈니스에 미치는 영향을 감소시킬 수 있다. 


몰랐다고 책임 회피가 안된다  

데이터 사고가 났을 때, 모른다는 것은 변명이 되지 않는다. 한 서드파티가 잘못이 있다고 하더라도 자사가 데이터를 담당하고 있는 경우 책임을 져야 한다. 미국과 유럽의 규제 기관은 관련 서드파티 네트워크와 관계없이 회사가 수집하고 보유한 데이터에 대해 책임을 져야한다는 사실을 분명히 했다. 

이제 기업이 글로벌 규제 요구사항을 준수하는 것은 끊임없는 과제가 됐다. 데이터 관리 및 보안을 운영하는 것이 중요하며 컴플라이언스는 목적지가 아닌 여정으로 생각해야 한다. 

민감한 데이터와 여러 파트너가 동등하게 여겨지는 의료 및 금융 분야에서 서드파티 위험 관리는 특히 중요하지만, 이 조언은 제조에서 소매, 엔터테인먼트 및 그 밖에 다른 사람에도 적용된다. 아웃소싱은 잠재적인 공격 표면이 증가하고 위험에 대한 노출을 높이므로 처음부터 철저히 조사해야 한다. 


올바른 질문하기 

NIST의 CSF 및 ISO 27001과 같은 기술 가이드를 통해 확실한 정보 보안 전략 및 정책을 구축하는 데 도움을 줄 수 있지만, 서드파티 위험을 줄이는 가장 분명하고 확실한 방법은 먼저 공유 대상을 제한하는 것이다. 다음과 같은 질문으로 시작해보자. 

- 이 특정 서비스나 데이터를 아웃소싱하는 이유는 무엇인가? 
- 정확히 무엇을 공유하고 있으며 모두 공유해야 하는 것인가? 
- 데이터를 암호화하거나 익명화하기 위해 가능한 모든 것을 하고 있는가?
- 문제의 서드파티는 다른 사람과 하청계약을 맺었는가? 
- 데이터센터는 어디에 있나? 
- 어떤 종류의 계약이 있는가? 
- 데이터 유출 또는 서비스 장애 발생시 제공되는 조항은 무엇인가? 

강력한 사고 대응 계획은 매우 중요하며, 누가 무엇을 담당하는지, 보고 및 문제 해결을 위한 현실적인 일정, 명확한 커뮤니케이션 라인을 포함해 의심되는 데이터 침해를 처리하는 프로세스를 명확하게 설명해야 한다. 초기 경보가 제대로 표시되지 않았거나 적시에 처리되지 않았기 때문에 비교적 큰 규모의 재난이 눈덩이처럼 불어나는 것은 놀랍게도 흔한 일이다. 


공급업체에 대한 정기적인 평가가 중요하다 

신뢰해서는 안 된다. 서드파티는 철저한 심사를 거치고 정기적으로 평가해야 한다. 적절한 서드파티 위험 관리를 위해서는 실사, 상세한 위험 평가, 서드파티 관계 맵, 그리고 사고 대응 요구 사항에 대한 명확한 문서가 필요하다. 또한 성과 보고서를 만들고 정기적인 감사를 수행해야 한다. 

규제 요구 사항을 완벽하게 준수하려면 빈틈없는 SLA(Service Level Agreement)에서 모든 내용을 문서로 기록해놔야 한다. 최악의 상황이 발생하면 규제 기관에 작업 내용을 보여줘야 한다. 계약 및 서드파티 관행을 올바르게 조사하지 않거나 지속적으로 모니터링하지 않으면 훗날 발등이 찍힐지도 모른다. 

기존 공급업체 평가는 쉽게 소화할 수 있는 점수나 순위를 제공하는 등급 시스템에 의존하는 경향이 있다. 하지만 임의의 숫자는 잠재적 노출 또는 이를 처리하는 방법에 대해 충분히 알려주지 않는다는 문제점이 있다. 매년 검토만 하는 것이 일반적이지만, 만전을 기하기 위해서는 실시간 가시성이 필요하다. 


결과에 따라 행동하기 

서드파티 위험을 관리하는 데 있어 가장 중요한 요소 가운데 하나는 수집한 정보를 활용하는 것이다. 공급업체를 정기적으로 감사하거나 지속적인 모니터링을 실시하는 것이 좋지만, 통찰력을 발휘할 수 없다면 그닥 좋은 영향을 미치지 못한다. 각각의 실패에는 복원 계획이 수반돼야 하며, 문제가 적절하게 처리되도록 복원 노력도 평가돼야 한다. 

복원에 실패했거나 공급업체가 자사의 합의된 표준에 지속적으로 충족하지 못하는 극단적인 경우, 계약에는 패널티없이 해지하고 더 나은 파트너를 찾을 수 있는 조항이 있어야 한다. 서드파티의 위험을 심각하게 고려하지 않고, 자사의 표준이 내외부 데이터를 포괄하도록 보장하는 경우, 보안 노력을 약화시키며 뼈아픈 대가를 치룰 가능성이 높다. editor@itworld.co.kr 


2019.09.09

글로벌 칼럼 | 서드파티 위험을 충분히 고려하고 있는가

Michelle Drolet | CSO
서드파티는 종종 데이터 유출에 대한 책임이 있기 때문에 공급업체 및 기타 외부 파트너를 포괄하기 위해 보안 경계를 넘어 내부 보안 표준을 확장할 필요가 있다. 
 
ⓒ Getty Images Bank 

올해 발생한 캐피탈 원(Capital One)에서 1억 6,600만 건, 퀘스트 다이어그노스틱(Quest Diagnostics)에서 1,190만 건, 랩코(Labcorp)에서 770만 건의 기록 유출 사고가 갖고 있는 공통점은 무엇일까? 

각각의 사건은 모두 서드파티에 의해 야기됐다. 캐피탈 원의 사건에서 해커는 클라우드 파트너 가운데 하나의 서버에서 구성 취약점을 악용했다. 다른 2가지 사건은 동일한 서드파티인 미국 의료 수집기관인 AMCA(American Medical Collection Agency) 시스템에까지 추적됐다. 

데이터 유출은 전혀 새로운 것이 아니다. 2018년만 해도 50억 개가 넘는 기록이 노출됐으며, 이는 종종 서드파티의 잘못으로 밝혀졌다. 데이터 유출의 잠재적 비용은 엄청나다. 사고가 정리되고 취약점이 종료된 이후에도 수백만에 달하는 벌금, 처벌, 합의의 위험이 뒤따른다. 평판의 훼손은 몇년동안 남아있을 수 있다. 

적절한 서드파티 위험 관리 전략을 마련한다면 사고가 발생할 가능성을 대폭 줄이고 비즈니스에 미치는 영향을 감소시킬 수 있다. 


몰랐다고 책임 회피가 안된다  

데이터 사고가 났을 때, 모른다는 것은 변명이 되지 않는다. 한 서드파티가 잘못이 있다고 하더라도 자사가 데이터를 담당하고 있는 경우 책임을 져야 한다. 미국과 유럽의 규제 기관은 관련 서드파티 네트워크와 관계없이 회사가 수집하고 보유한 데이터에 대해 책임을 져야한다는 사실을 분명히 했다. 

이제 기업이 글로벌 규제 요구사항을 준수하는 것은 끊임없는 과제가 됐다. 데이터 관리 및 보안을 운영하는 것이 중요하며 컴플라이언스는 목적지가 아닌 여정으로 생각해야 한다. 

민감한 데이터와 여러 파트너가 동등하게 여겨지는 의료 및 금융 분야에서 서드파티 위험 관리는 특히 중요하지만, 이 조언은 제조에서 소매, 엔터테인먼트 및 그 밖에 다른 사람에도 적용된다. 아웃소싱은 잠재적인 공격 표면이 증가하고 위험에 대한 노출을 높이므로 처음부터 철저히 조사해야 한다. 


올바른 질문하기 

NIST의 CSF 및 ISO 27001과 같은 기술 가이드를 통해 확실한 정보 보안 전략 및 정책을 구축하는 데 도움을 줄 수 있지만, 서드파티 위험을 줄이는 가장 분명하고 확실한 방법은 먼저 공유 대상을 제한하는 것이다. 다음과 같은 질문으로 시작해보자. 

- 이 특정 서비스나 데이터를 아웃소싱하는 이유는 무엇인가? 
- 정확히 무엇을 공유하고 있으며 모두 공유해야 하는 것인가? 
- 데이터를 암호화하거나 익명화하기 위해 가능한 모든 것을 하고 있는가?
- 문제의 서드파티는 다른 사람과 하청계약을 맺었는가? 
- 데이터센터는 어디에 있나? 
- 어떤 종류의 계약이 있는가? 
- 데이터 유출 또는 서비스 장애 발생시 제공되는 조항은 무엇인가? 

강력한 사고 대응 계획은 매우 중요하며, 누가 무엇을 담당하는지, 보고 및 문제 해결을 위한 현실적인 일정, 명확한 커뮤니케이션 라인을 포함해 의심되는 데이터 침해를 처리하는 프로세스를 명확하게 설명해야 한다. 초기 경보가 제대로 표시되지 않았거나 적시에 처리되지 않았기 때문에 비교적 큰 규모의 재난이 눈덩이처럼 불어나는 것은 놀랍게도 흔한 일이다. 


공급업체에 대한 정기적인 평가가 중요하다 

신뢰해서는 안 된다. 서드파티는 철저한 심사를 거치고 정기적으로 평가해야 한다. 적절한 서드파티 위험 관리를 위해서는 실사, 상세한 위험 평가, 서드파티 관계 맵, 그리고 사고 대응 요구 사항에 대한 명확한 문서가 필요하다. 또한 성과 보고서를 만들고 정기적인 감사를 수행해야 한다. 

규제 요구 사항을 완벽하게 준수하려면 빈틈없는 SLA(Service Level Agreement)에서 모든 내용을 문서로 기록해놔야 한다. 최악의 상황이 발생하면 규제 기관에 작업 내용을 보여줘야 한다. 계약 및 서드파티 관행을 올바르게 조사하지 않거나 지속적으로 모니터링하지 않으면 훗날 발등이 찍힐지도 모른다. 

기존 공급업체 평가는 쉽게 소화할 수 있는 점수나 순위를 제공하는 등급 시스템에 의존하는 경향이 있다. 하지만 임의의 숫자는 잠재적 노출 또는 이를 처리하는 방법에 대해 충분히 알려주지 않는다는 문제점이 있다. 매년 검토만 하는 것이 일반적이지만, 만전을 기하기 위해서는 실시간 가시성이 필요하다. 


결과에 따라 행동하기 

서드파티 위험을 관리하는 데 있어 가장 중요한 요소 가운데 하나는 수집한 정보를 활용하는 것이다. 공급업체를 정기적으로 감사하거나 지속적인 모니터링을 실시하는 것이 좋지만, 통찰력을 발휘할 수 없다면 그닥 좋은 영향을 미치지 못한다. 각각의 실패에는 복원 계획이 수반돼야 하며, 문제가 적절하게 처리되도록 복원 노력도 평가돼야 한다. 

복원에 실패했거나 공급업체가 자사의 합의된 표준에 지속적으로 충족하지 못하는 극단적인 경우, 계약에는 패널티없이 해지하고 더 나은 파트너를 찾을 수 있는 조항이 있어야 한다. 서드파티의 위험을 심각하게 고려하지 않고, 자사의 표준이 내외부 데이터를 포괄하도록 보장하는 경우, 보안 노력을 약화시키며 뼈아픈 대가를 치룰 가능성이 높다. editor@itworld.co.kr 


X