포레스터의 선임 애널리스트 폴 맥케이는 “서드파티 사이버 위험 현황에 대한 CISO의 시야에는 구멍이 많다”면서, “일반적으로 공급업체 평가에 사용하는 보안 질문서는 현실과 다르고, 사이버 위험 등급 평가 솔루션, 서드파티 위험 관리 기술 등의 기술 솔루션은 아직 초기 단계”라고 말했다. 결과적으로 서드파티 또는 공급망 위험 관리가 화두로 떠올랐다.
맥케이는 "코로나19의 영향에 따른 지금의 경제 상황을 감안한다면 공급업체의 재무적 생존 가능성이 실질적인 문제가 될 수 있다. 또한 영향을 받을 공급업체의 유형에 대해서도 생각해보는 것이 좋다. 현금 흐름이 제한된 SME는 특히 취약하다. 규모가 큰 업체와 하이퍼스케일 클라우드 컴퓨팅 제공업체는 장기적으로 경제 상황을 견딜 여력이 있을 것”이라고 설명했다.
공급업체가 갑자기 파산하면 데이터에 접근할 수 없게 되고 중요한 툴이나 서비스에 대한 지원이 끊기고 이후의 악용 위험에 노출되거나, 주요 프로세스 또는 운영에 지장이 생길 수도 있다. 이와 함께 해당 업체 또는 업체의 장비가 팔린다면 판매하기 전에 데이터를 완전히 삭제했는지 확인해야 한다.
맥케이는 “주요 공급업체가 도산한다면 그 업체의 역할에 따라 시스템을 사용할 수 없거나 데이터를 가져오는 데 어려움을 겪는 정도의 간단한 문제에 그칠 수도 있고, 업체가 주요 아웃소싱 업체 또는 보안 제공업체 역할을 한다면 최악의 경우 비즈니스 전체가 중단되는 사태도 발생할 수도 있다. 계약이 종료되면 데이터 액세스가 방치되고 데이터가 적절히, 안전하게 폐기되지 않고 저장된 데이터를 적절히 파기하지 않은 채로 자산을 매각하는 경우가 많다”라고 말했다.
딜로이트(Deloitte) 위험 및 재무 자문 사업부 책임자 뎁 골든은 "CISO가 공급업체와 서드파티 하도급 업체와 이들이 액세스할 수 있는 기업 내 자산을 파악하기 어려울 수 있다"면서, “공급망 일부분이 붕괴된다고 생각해 보자. 그 연결을 비활성화하지 않을 경우, 또한 떠나는 직원에 대해 오프보딩(Offboarding)을 하지 않아 여전히 조직 환경에 액세스할 수 있는 경우를 생각해봐야 한다”라고 조언했다.
서드파티 위기에 대한 안전 대책
위기를 피하는 최선의 방법은 지금의 생태계를 이해하는 것이다. 기업의 공급업체 위험 관리 프로그램이 성숙할수록 경기 침체기에 부가적인 위험 요소를 비즈니스 연속성 계획에 반영하기도 더 쉬워진다.골든은 “실제 상황이 닥치기 전까지는 알기가 어렵지만 공급망의 유동성을 이해하고 이 공급업체가 회사 운영에 얼마나 중요한지 이해하는 것이 핵심”이라고 말했다. 또한 골든은 최악의 상황이 발생하더라도 그 직전에 알게 되는 경우가 많으므로 CISO는 대체 서비스를 얼마나 신속하게 가동할 수 있는지 파악해야 한다고 덧붙였다.
가장 중요한 공급업체와 파트너의 안정성을 먼저 평가해야 한다. 기존 감사나 평가 설문에 의존해서는 안 된다. 지난해에는 충족했던 공급업체의 조건이 지금의 현실에서는 부족할 수 있다. 윕플리(Wipfli)의 위험 자문 서비스 파트너인 제프 올레즈닉은 "운영에 중요한 역할을 하는 공급업체가 갑자기 도산하면 혼란이 일어난다. 공급업체의 재무 안정성을 점검해 위기에서도 버틸 수 있는지 확인하는 것이 중요하다"라고 충고했다.
주요 공급업체를 파악해 평가하면 CISO는 실현 가능한 부분에서 공급망의 예비성 수준을 확인해야 한다. 일부 전문 공급업체가 독보적인 기능을 보유할 수도 있지만 대부분 기능은 상호 중복되므로 신속하게 사용할 수 있는 백업 공급업체 또는 이미 기업 내에 구축한 제품 가운데 중복되는 기능을 찾아야 한다. 서비스를 쉽게 대체할 수 없다면 계약에 중대한 재무 문제 발생 시 운영권을 가져올 수 있도록 하는 조항을 포함하는 것이 좋다.
맞춤 서비스이거나 비즈니스에 중요한 서비스라면 서비스 계약에 개입 조항을 넣기 위해 훨씬 더 많은 노력을 기울여야 한다. 이런 조항은 일반적이지만 공급업체 측에서 거부감을 갖는 경우가 많기 때문이다.
법률업체 화이트 앤 케이스(White & Case)의 파트너 팀 힉맨은 "CISO라면 문제 발생 시 최대한 조기에 개입해 운영을 가져올 수 있는 권리를 반드시 확보해야 한다. 이런 권리가 없으면 데이터가 저장된 신생 업체의 서버가 해체되어 데이터를 찾지 못하는 상황에 처할 수 있다”라고 경고했다.
공급망 제공업체에 던져야 할 질문
상장 기업이라면 회사의 실적 보고서를 통해 현금 흐름, 수익성과 같은 지표를 확인하고 회사의 건전성을 전체적으로 조망할 수 있다. 비상장 기업은 대부분 세부적인 현금 흐름 상황이나 재무 상태를 확인하기 어렵다. 산업 및 증권 애널리스트가 투자를 추천할 때 회사에 대한 정보를 제공하기도 한다.신생 업체라면 기업 성숙도에 대한 더 폭넓은 지표를 봐야 한다. 예를 들어 확보한 고객 수, 동종업계 다른 업체가 해당 업체의 기술을 사용 중인지 여부, 해당 보안 분야에 대한 미디어의 보도 내용 등을 확인해야 한다.
임퍼바(Imperva)의 부사장 겸 본부장인 테리 레이는 "비즈니스에 중요하고 고객이 많고 기술이 성숙할수록 기업이 생존 가능성, 또는 최악의 경우 그냥 사라지지 않고 인수될 가능성도 더 높다. 물론 반대도 마찬가지다. 틈새 시장이고, 잘 알려지지 않고 중요도가 낮은 기술이라면 파격적인 가격에도 팔리지 않아 결국 문을 닫을 가능성이 높다”라고 말했다.
어려운 일이지만 CISO가 할 수 있는 최선의 방법은 공급업체에 재무 안정성을 묻는 것일 수도 있다. 공급업체의 더 적극적인 의사소통을 끌어내기 위해 CISO가 할 수 있는 일은 비밀유지 계약에 서명하는 것이다. 윕플리의 올레즈닉은 “코로나바이러스로 인해 기업에서 잠재적 위험을 파악하기 위해 노력 중인 만큼 중요한 공급업체를 대상으로 비즈니스의 지속 가능성을 확인하고 재무제표, 대차대조표, 자본 현황을 파악하고자 하는 것이 불합리하다고는 생각하지 않는다”라고 설명했다. 공급업체에 물어야 할 질문은 다음과 같다.
- 향후 6~12개월 동안 비즈니스를 지원하기에 충분한 자본을 보유하고 있는가?
- 이번 코로나19를 견딜 역량이 있는가?
- 재무 건전성을 유지하기 위한 외부 자금원이 있는가?
- 정부로부터 재정 지원을 받을 것으로 예상하는가?
- 어떤 부양책 또는 구제 조치를 활용하고 있는가?
- 핵심 파트너 또는 공급업체 중에서 팬데믹으로 인해 위기에 처한 업체가 있는가?
- 긴급 사태에 대비한 계획은 무엇인가?
일반적으로 신생 업체는 고객을 잃을 수 있다는 우려에 대체로 이와 같은 정보를 공유하기를 꺼린다. 이미 공개된 정보가 아닌 한 기업에서 어려움을 겪고 있음을 공개적으로 인정하는 경우는 드물다.
공급업체 오프보딩에도 유의해야
NCSC(National Computer Security Center), NIST(National Institute of Standards and Technology)와 같은 기관은 공급망과 관련된 지속적인 위험을 완화하는 데 도움이 되는 가이드를 제공한다. 오프보딩은 확고하게 정착된 관행은 아니다. 공급업체나 서드파티를 시스템에서 제거할 때 CISO는 다음과 같은 모범 사례에 따라야 한다.- 정책, 그리고 가능하다면 계약에 안전한 오프보딩을 위해 양 당사자가 취할 조치를 명시한다.
- 허용 가능하며 적절하게 보호되는 형식으로 데이터를 다시 가져오기 위한 정책과 프로세스를 마련한다.
- 환경의 모든 시스템에 대한 특권과 액세스 권한을 회수한다. 장소에 대한 물리적 접근 권한을 부여했다면 이 권한도 반드시 제거해야 한다.
- 데이터 파기에 관한 공급업체의 정책과 프로세스를 파악하고, 파기 확인서와 사용된 방법에 관한 세부 정보를 받아야 한다.
- 해당될 시 장비 반환을 추적한다.
- 가능하다면 일정 및 앞선 단계 이행을 감독할 전담 인력에 대해 협의한다.
트렌드 마이크로(Trend Micro)의 수석 보안 전략가인 바라트 미스트리는 오프보딩의 이유를 문서화하고, 공급업체의 수행 역량이 기대를 충족했는지, 비즈니스를 위한 가치를 창출했는지, 또는 비즈니스를 위한 전략적 주제나 프로그램을 실행하는 데 도움이 됐는지 여부와 같은 사안에 대해 계약 종료 평가를 수행해야 한다고 조언했다.
CISO와 사업부의 협력 필요
CISO는 다른 사업부 영역과 협력해 공급업체의 재무적 안정성을 평가하고 계약 의무를 이해하고 위험을 정량화해야 한다. 힉맨은 구매, 법률, CISO 간의 조율이 충분히 이뤄지는 기업은 거의 본 적이 없다고 말했다.회사의 구매팀, 법률 자문, CISO 간의 긴밀한 협조를 구축하는 것이 무엇보다 중요하다. 구매 및 재무팀과 긴밀히 협력하는 CISO는 잠재적으로 위험한 공급업체를 파악할 수 있으며, 이후 법률팀과 협력해 계약 내에 공급업체가 재무 문제를 겪더라도 조직을 보호할 수 있는 조기 계약 종료 조항을 넣을 수 있다.
포레스터의 맥케이는 발견된 위험을 이사회에 공유하는 것과 관련, 비즈니스에 대한 즉각적이고 일상적인 영향 관점에서 위험을 설명해야 한다고 조언했다. 이사회는 주요 공급업체가 도산할 경우 중요한 수입원이 받게 될 영향을 알아야 하기 때문이다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.