2021.10.01

서드파티 사이버 위험 관리를 위한 6단계 접근법

Michelle Drolet | Computerworld
많은 기업이 서드파티 공급업체 수백 곳과 거래를 한다. 글로벌 회계 법인 EY가 발표한 보고서 ‘글로벌 서드파티 위험 관리 조사 2019-2020’와 PwC의 조사 결과에 따르면, 서드파티와 관련된 위험은 계속 증가하고 있음에도 거래량이 줄어들 기미는 보이지 않는다. 보안 업체 엔코어(Anchore)의 최근 설문조사 결과, 지난 12개월 동안 기업 64%가 공급망 공격의 영향을 받았으며, ENISA(European Union Agency for Cybersecurity)의 조사 결과 올해 공급망 공격은 지난해 대비 4배 증가했다.
 
ⓒ Getty Images Bank

수준 높은 사이버 범죄자에게 공급 생태계는 좋은 공격 경로가 된다. 한 곳만 공격해도 여러 곳이 영향을 받기 때문이다. 사이버 범죄자는 서드파티 소프트웨어 업데이트를 공격하거나, 서드파티 업체에서 로그인 정보를 탈취하고, 취약한 소프트웨어나 애플리케이션에 악성 코드를 삽입하는 등의 방법으로 공급망을 공격한다.

서드파티에 생긴 헛점은 재정적 피해나 다운타임, 민감한 정보와 기업 평판 손실, 컴플라이언스 위반, 벌금 외에도 기타 법적 책임으로 이어진다. 이런 피해를 방지하기 위한 방법이 있다. 서드파티 업체와 공급업체, 서비스 제공업체와 관련된 사이버 위험을 분석 및 관리·관찰하며 피해를 완화하는 조직적인 접근법인 ‘서드파티 사이버 위험 관리(Third-party Cyber Risk Management, TPCRM)’다. 

포괄적인 TPCRM 프레임워크를 구축하기 위해 거쳐야 할 6가지 단계를 살펴보자.


1. 서드파티 업체 정리하기

현재 이용 중인 서드파티 업체를 모두 목록화하는 것이 출발점이다. 기업 운영의 중심이 되고 가장 중요한 요소를 제공하는 업체부터 시작해 상대적으로 중요도가 낮은 지원 서비스 업체 순으로 정리해 보자. 모든 부서에서 사용하는 모든 업체를 정리하는 것이 중요하다. 규모가 어떻든 간에 기업 전체를 위험에 빠뜨릴 수 있기 때문이다. 


2. 위험 가능성 정의하기

기업에 영향을 미칠 수 있는 위험 가능성에 따라 서드파티 업체를 분류하자. 위험 가능성을 결정하기 위해서 업체와 직접 소통하는 직원을 대상으로 설문지를 돌려 현재 이용 중인 서비스와 관련한 중요 정보를 알아 두자. 데이터를 저장·가공하거나 데이터에 접근할 수 있는 위치와 단계, 어떤 종류의 보안 평가가 필요한지 등에 대한 정보를 알아 두면 좋다.


3. 서드파티 업체에 대한 위험 수준 평가하기

서드파티 업체마다 위험 수준이 다르다. 예컨대 핵심 서비스를 제공하는 업체는 보통 민감한 정보에 접근해야 하므로 기업에 큰 위협이 될 수 있다. 그렇기 때문에 서드파티 업체 위험 평가 조사를 실시해야 한다. 평가 목록은 직접 작성하거나 온라인에서 구할 수 있는 양식을 활용하자. SOC2 타입 2나 ISO 27001, NIST SP 800-53, NIST CSF, PCI-DSS, CSA CCM 등 특정 규정을 준수해야 하는 기업은 평가 조사서에 이와 관련된 질문을 넣는 것이 중요하다. 


4. 보안 심사표 개발하기

기업에 위협이 되는 수준에 따라 보안 심사표를 만들거나 서드파티 업체에 위험 등급을 매기자. 위험 등급을 개발할 때에는 다음 기준을 참고하면 좋다.
 
  • 고위험군 : 즉각적으로 개선할 필요가 있음
  • 중위험군 : 일정 기간 내에 개선해야 함 
  • 저위험군 : 위험을 수용하거나, 장기적으로 위험 완화 계획을 마련해야 함

고위험군과 중위험군에 해당하는 업체는 기업 운영에 중요한 부분을 담당하거나 민감한 정보를 다루는 곳이며, 저위험군은 그렇지 않은 곳임을 기억하자.


5. 중요도에 따라 위험에 대처하기

평가가 완료되었다면 경영진은 각 서드파티 업체별로 대응 방안을 결정해야 한다. 데이터 암호화, 다중 인증, 엔드포인트 위협 탐지 및 대응, 보안 인식 교육과 같은 규제를 부여하는 것도 사이버 위험 완화와 보호에 도움이 된다. 업체가 기업의 요구사항을 명확하게 이해하고 그에 따라 행동할 수 있도록 계약 시 이런 규제나 요구사항을 직접 언급하는 것도 중요하다. 


6. 관찰, 최적화, 강화, 간소화

서드파티 위험은 항상 진화한다. 서비스와 영역이 바뀌거나 공급업체의 재무 상태와 공급 능력, 시장 상황 때문이다. 따라서 위험 억제와 소비자 보호, 규제 준수, 전반적인 조직 건강성을 유지하기 위해서는 서드파티 업체의 생애 주기 전반에 걸친 규칙적이고 지속적인 관찰이 필요하다. 

마지막으로 TPCRM은 단순히 보안 전략이나 준수 요건이 아니라, 견고한 보안 토대를 마련하는 중요한 초석임을 기억하자. editor@itworld.co.kr


2021.10.01

서드파티 사이버 위험 관리를 위한 6단계 접근법

Michelle Drolet | Computerworld
많은 기업이 서드파티 공급업체 수백 곳과 거래를 한다. 글로벌 회계 법인 EY가 발표한 보고서 ‘글로벌 서드파티 위험 관리 조사 2019-2020’와 PwC의 조사 결과에 따르면, 서드파티와 관련된 위험은 계속 증가하고 있음에도 거래량이 줄어들 기미는 보이지 않는다. 보안 업체 엔코어(Anchore)의 최근 설문조사 결과, 지난 12개월 동안 기업 64%가 공급망 공격의 영향을 받았으며, ENISA(European Union Agency for Cybersecurity)의 조사 결과 올해 공급망 공격은 지난해 대비 4배 증가했다.
 
ⓒ Getty Images Bank

수준 높은 사이버 범죄자에게 공급 생태계는 좋은 공격 경로가 된다. 한 곳만 공격해도 여러 곳이 영향을 받기 때문이다. 사이버 범죄자는 서드파티 소프트웨어 업데이트를 공격하거나, 서드파티 업체에서 로그인 정보를 탈취하고, 취약한 소프트웨어나 애플리케이션에 악성 코드를 삽입하는 등의 방법으로 공급망을 공격한다.

서드파티에 생긴 헛점은 재정적 피해나 다운타임, 민감한 정보와 기업 평판 손실, 컴플라이언스 위반, 벌금 외에도 기타 법적 책임으로 이어진다. 이런 피해를 방지하기 위한 방법이 있다. 서드파티 업체와 공급업체, 서비스 제공업체와 관련된 사이버 위험을 분석 및 관리·관찰하며 피해를 완화하는 조직적인 접근법인 ‘서드파티 사이버 위험 관리(Third-party Cyber Risk Management, TPCRM)’다. 

포괄적인 TPCRM 프레임워크를 구축하기 위해 거쳐야 할 6가지 단계를 살펴보자.


1. 서드파티 업체 정리하기

현재 이용 중인 서드파티 업체를 모두 목록화하는 것이 출발점이다. 기업 운영의 중심이 되고 가장 중요한 요소를 제공하는 업체부터 시작해 상대적으로 중요도가 낮은 지원 서비스 업체 순으로 정리해 보자. 모든 부서에서 사용하는 모든 업체를 정리하는 것이 중요하다. 규모가 어떻든 간에 기업 전체를 위험에 빠뜨릴 수 있기 때문이다. 


2. 위험 가능성 정의하기

기업에 영향을 미칠 수 있는 위험 가능성에 따라 서드파티 업체를 분류하자. 위험 가능성을 결정하기 위해서 업체와 직접 소통하는 직원을 대상으로 설문지를 돌려 현재 이용 중인 서비스와 관련한 중요 정보를 알아 두자. 데이터를 저장·가공하거나 데이터에 접근할 수 있는 위치와 단계, 어떤 종류의 보안 평가가 필요한지 등에 대한 정보를 알아 두면 좋다.


3. 서드파티 업체에 대한 위험 수준 평가하기

서드파티 업체마다 위험 수준이 다르다. 예컨대 핵심 서비스를 제공하는 업체는 보통 민감한 정보에 접근해야 하므로 기업에 큰 위협이 될 수 있다. 그렇기 때문에 서드파티 업체 위험 평가 조사를 실시해야 한다. 평가 목록은 직접 작성하거나 온라인에서 구할 수 있는 양식을 활용하자. SOC2 타입 2나 ISO 27001, NIST SP 800-53, NIST CSF, PCI-DSS, CSA CCM 등 특정 규정을 준수해야 하는 기업은 평가 조사서에 이와 관련된 질문을 넣는 것이 중요하다. 


4. 보안 심사표 개발하기

기업에 위협이 되는 수준에 따라 보안 심사표를 만들거나 서드파티 업체에 위험 등급을 매기자. 위험 등급을 개발할 때에는 다음 기준을 참고하면 좋다.
 
  • 고위험군 : 즉각적으로 개선할 필요가 있음
  • 중위험군 : 일정 기간 내에 개선해야 함 
  • 저위험군 : 위험을 수용하거나, 장기적으로 위험 완화 계획을 마련해야 함

고위험군과 중위험군에 해당하는 업체는 기업 운영에 중요한 부분을 담당하거나 민감한 정보를 다루는 곳이며, 저위험군은 그렇지 않은 곳임을 기억하자.


5. 중요도에 따라 위험에 대처하기

평가가 완료되었다면 경영진은 각 서드파티 업체별로 대응 방안을 결정해야 한다. 데이터 암호화, 다중 인증, 엔드포인트 위협 탐지 및 대응, 보안 인식 교육과 같은 규제를 부여하는 것도 사이버 위험 완화와 보호에 도움이 된다. 업체가 기업의 요구사항을 명확하게 이해하고 그에 따라 행동할 수 있도록 계약 시 이런 규제나 요구사항을 직접 언급하는 것도 중요하다. 


6. 관찰, 최적화, 강화, 간소화

서드파티 위험은 항상 진화한다. 서비스와 영역이 바뀌거나 공급업체의 재무 상태와 공급 능력, 시장 상황 때문이다. 따라서 위험 억제와 소비자 보호, 규제 준수, 전반적인 조직 건강성을 유지하기 위해서는 서드파티 업체의 생애 주기 전반에 걸친 규칙적이고 지속적인 관찰이 필요하다. 

마지막으로 TPCRM은 단순히 보안 전략이나 준수 요건이 아니라, 견고한 보안 토대를 마련하는 중요한 초석임을 기억하자. editor@itworld.co.kr


X