보안

데이터 유출 방지를 위한 서드파티 보안 관리 팁

Andres Tabares | CSO 2011.09.14
지난 몇 년 간 업계와 규모를 불문하고 모든 조직들은 "내부자 위협" 으로부터 데이터를 보호하는데 크게 주력해왔다. 다시 말해 이미 접근 권한을 가지고 있으며 그렇게 얻은 권한들을 오용 혹은 남용할 수 있는 직원 및 임시 직원들에게 집중하자는 것이다. 물론 내부자 위협에 주의를 기울이고, 짚고 넘어가야 함은 분명 사실이다. 그렇지만 거기에만 너무 집중한 나머지 외부에서 벌어질 수 있는 일을 보지 못하는 것은 아닐까?
 
“업체들이 자진해서 외부로 보내는 주요한 데이터 자산은 어떤가?”라는 질문을 고려해봐야 할 때이다.
 
예를 들어 은행은 감사원들, 규제자들, 자금원들, 업체들, 파트너들 등과 정보를 공유해야 한다. 이러한 외부 기관들과 관계된 데이터 전송은 거래를 지속하기 위해 절대적으로 중요하다. 그러나 이는 데이터 유출의 가능성을 높이고, 제대로 통제하지 못할 경우에는 은행의 평판에 치명적인 충격을 안겨줄 수도 있기 때문에 상당히 위험하기도 하다. 
 
정보를 공유해야 할 필요성, 데이터가 전달될 수 있는 수단과 형식의 다양성 등과 함께 고려해봐야 할 주요 사항들은 다음과 같다. 
 
위협이 고려되어야 한다
▲ 무엇이 혹은 누가 데이터를 위험에 빠트리는가?
▲ 데이터는 기업 내부에서 외부로 나가면서 전송 중에 발생할 수 있는 중간자 공격에서부터 서드파티 네트워크에 저장되어 있는 사이 벌어지는 소셜 엔지니어링 해킹까지 모든 종류의 위협에 노출되어 있다. 
 
잠재적 위험을 문서화해야 한다
▲ 앞서 언급한 위협들은 기업의 중요한 데이터 자산에 심각한 위험을 발생시킨다. 이러한 위험들 중 한 가지는 기밀사항 혹은 데이터의 유출 및 손실이다. 만약 기업 X가 TLS, SSL, sFTP등 적절한 데이터 전송 제어를 이용하지 않는다면 중간자 공격은 데이터 유출 위험을 성공적으로 실현시킬 수 있다. 
▲ 이런 데이터 유출은 수입 감소, 부정적인 평판, 복원 비용, 고객에게 공지하는데 드는 비용, 고객 신뢰의 상실 등을 통해 위험과 조직 혹은 단체에 미치는 영향을 악화시킬 수 있다.
 
위협에 대응하고 위험을 경감시키기 위한 적절한 보안 통제가 필요하다 
▲ 소프트웨어/하드웨어 암호화 등의 전자 정보 보호뿐 아니라 다른 영역에도 적용할 수 있는 일련의 제어 수단들이 고려되어야 한다. 
▲ 여기에는 기술 이외에도 소셜, 거버넌스, 운용 상의 제어 및 프로세스 제어 등 다양한 것들이 포함된다. 이는 소셜 엔지니어링으로부터 데이터를 보호하고, 비밀번호 정책, 사용자 접근/권한 프로세스들, 정보 보안 의식을 고취시키기 위한 활동 등 그 외 요인들이 제대로 시행되고 있는지 확인하기 위함이다. 
 
정보가 조직 내 환경을 벗어나면 대부분의 제어 방식들은 더 이상 적용할 수 없게 된다. 그 데이터는 이제 서드파티의 인프라 내부에 위치해 있으며 따라서 그들의 데이터 보안 통제와 프로세스에 달려 있는 것이다. 이는 단순히 그 서드파티에 전송하는 동안 암호화를 할 것인지 말 것인지에 대한 문제가 아니라 그 데이터를 전 라이프사이클에 걸쳐 보호하려면 어떻게 해야 하는가에 관한 문제이다. 
 
외부 데이터 흐름을 제대로 제어하기 위해 물어봐야 할 몇 가지 관련 질문들을 살펴보자. 
 
▲ 데이터를 받는 서드파티와 적절한 기밀 유지 협약을 이행하였는가?
▲ 외부 파트너들에게 데이터는 어떻게 전송될 것인가? 적절한 전자 전송 암호화 방식(예를 들면 SSL, PGP, TLS 등)과 차량 수송을 위한 충분한 물리적 제어들(예를 들면 암호화된 테이프, 보안 트럭 등)이 시행될 것인가?
▲ 데이터가 외부에 저장되고 처리되는 동안 얼마나 많은 사람들이 그 데이터에 접근할 수 있는가? 그리고 그들은 누구인가?
▲ 제한적이고 필요한 사람들에게만 데이터 접근권을 부여하는 서드파티 프로세스에 대해 알고 있는가?
▲ 그들 조직의 외부 사람들 예를 들면 서드파티의 파트너들 즉 자사 파트너의 파트너들에게 주어지는 접근권한은 어떠한가? 서드파티가 그들의 외부 계약자들, 업체들, 공급자들의 보안 통제를 검토하고 그들에게 전달되는 어떠한 데이터든 제대로 제어될 것임을 확인하였는가?
▲ 서드파티의 서버나 방화벽은 어떠한가?
▲ 외부 업체의 통신실과 데이터 센터들은 모두 신원증명 접근 및 환경 요인들을 비롯하여 적절한 물리적 제어를 실시하고 있는가?
▲ 데이터를 받는 서드파티는 데이터 유출 사고에 반응하고 그것을 충분히 조사할 수 있는 기술과 프로세스를 가지고 있는가?
▲ 서드파티의 모바일 기기와 이메일 통신 등을 통해 데이터가 유출되는 것을 막기 위해 어떤 보안 기술 및 프로세스 제어가 적용되고 있는가?
▲ 서드파티는 감사 혹은 내부/외부에서 실시하는 검토들(예를 들면 SAS-70, ISO27001 인증 등)을 거쳤는가?
▲ 서드파티에 의해 처리되고 저장되는 데이터가 더 이상 필요하지 않게 되면 어떻게 그 데이터를 파괴하거나 반환할 것인가?
▲ 서드파티는 보안 의식이나 교육 프로그램을 갖추고 직원들로 하여금 고객들의 민감한 정보를 보호하는 프로토콜을 따르도록 확실히 하고 있는가?
 
비즈니스 파트너들에 관한 질문은 분명히 기술적인, 운용 상의, 그리고 프로세스 상의 제어 측면들을 모두 감안해야 한다. 그 이유를 설명해주는 실제 예를 한번 살펴보자.
 
한 은행 비즈니스 매니저가 어느 날 그들의 공인회계사에게 기업의 세금 데이터를 승인된 sFTP나 PGP로 암호화된 이메일 대신 일반 텍스트 이메일로 전송하기로 하였다. 이메일은 공인회계사의 ISP 메일 서버에서 가로채진 것으로 밝혀졌다. 공인회계사 이메일 ISP의 한 악덕 관리자가 중요한 데이터들이 담겨있는 메일을 보고는 기업투자 펀드에 활용하여 120만 달러를 벌었다. 
 
오픈 시큐리티 파운데이션(Open Security Foundation)의 데이터로스DB(DataLossDB)에 따르면, 2011년 올 한해 지금까지 평균적으로 서드파티와 관련이 있는 자료 유출은 서드파티가 연루되어 있지 않은 경우보다 훨씬 많은 사고가 난 것으로 나타났다. 이는 서드파티가 다루는 데이터의 종류나 조직들간 데이터 전송 프로세스 때문일 수도 있고, 혹은 다른 가설들이 있기도 한데, 한 가지 요인만이 원인은 아니라는 것이 지배적인 의견이다. 그러나 어쨌든 간에 서드파티로 인한 데이터 유출이 우려할 만한 수준이다. 
 
결국 데이터에 있어서 가장 위험한 환경은 그 데이터를 가지고 있는 기업이 제대로 통제하지 못하는 상황이다. 접근 권한과 나쁜 의도를 가진 내부자는 큰 혼란을 야기할 수 있겠지만 내부에 데이터를 가지고 있는 기업은 그들만의 데이터를 지켜내기 위해 더 적절한 기술적인, 프로세스 상의, 혹은 운영 상의/사람들에 관한 제어들을 도입해야 한다. 더 이상 실질적으로 통제할 수 없는 환경이 되면 데이터는 빠져 나간다. 그 때야말로 바로 제대로 된 감사, 심문, 시험 등이 가장 빛을 발할 때이다. 
 
CISM, CRISC, CISSP 등의 자격증을 가지고 있는 Andres Tabares는 세계적인 정보 위험 관리 컨설팅 기업인 아우자스(Aujas, www.aujas.com)을 운영하고 있는 데이터 보안 전문가이다. editor@idg.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.