2020.11.06

위험 및 보안 SaaS 계약 협상을 위한 5가지 권장 사항

Jaikumar Vijayan | CSO
코로나19 팬데믹으로 인해 원격 작업으로의 대대적인 전환이 일어나면서 올해 SaaS 도입이 가속화됐다. 이 추세에 따라 기업의 사이버 위협 노출이 커지면서 서비스형 소프트웨어(SaaS) 계약을 추진할 때 고려해야 할 보안 및 위험 요소에 관심이 집중되고 있다.
 
ⓒ Getty Images Bank

가트너는 퍼블릭 클라우드 서비스 시장이 지난해 2,427억 달러 규모에서 올해 6.3% 성장해 2,579억 달러에 이를 것으로 전망했다. SaaS 시장만 따로 보면 지난해 1,002억 달러에서 1,046억 달러로 증가할 것으로 예상되는데, 이와 같은 성장의 배경에는 팬데믹 중 새로운 협업 툴에 대한 필요성이 증대된 것도 일부 포함된다. 

SaaS 서비스 도입이 늘면서 잠재적인 보안 문제에 대한 우려 역시 함께 커지고 있다. 최근 200명의 IT 전문가를 대상으로 한 앱옴니(AppOmni) 설문에서 응답자의 66%는 기업 SaaS 환경으로 인해 비즈니스 중단 위험이 더 커졌음에도 불구하고 코로나19 이후 SaaS 애플리케이션을 보호하는 데 투자하는 시간은 줄었다고 답했다.

451 그룹 분석가 다니엘 케네디는 “보안 관점에서 논의의 대부분은 데이터 보호와 가용성 또는 데이터가 손상되는 경우 발생하는 이벤트에 관한 것”이라고 말했다.

케네디를 비롯한 여러 전문가들은 SaaS 계약을 협상할 때 위험 및 보안 요소가 충분히 반영되도록 다음과 같은 5가지를 고려해야 한다고 조언했다.


1. 기업과 관련된 위험의 마스터 목록 작성

SaaS 협상에서 보안 조항을 협상하는 데 있어 모든 상황에 통용되는 특정 방식은 없다. 필요한 일(또는 할 수 있는 일)의 대부분은 상황에 따라 다르기 때문이다. 기관과 기업의 규모, SaaS 공급업체의 규모도 중요하다. 일반적으로 기업의 규모가 크고 계획한 서비스 조달의 규모가 클수록 협상력도 높아진다.

SaaS 공급업체와 협상에 들어가기에 앞서(또는 RFP 단계 중에도) 예상되는 시스템의 사용 형태를 고려해야 한다. 가트너의 선임 연구 책임자인 루크 엘러리는 예를 들어 SaaS 시스템을 사용해 기업의 고객 관계를 관리할 계획이라면 SaaS 공급업체가 고객 데이터를 어떻게 보호하고 시스템 안정성과 신뢰성을 어떻게 보장할 것인지에 초점을 맞출 필요가 있다고 말했다. 반면 사용할 계획인 SaaS 시스템의 초점이 학습 관리 시스템과 같은 내부에 있다면 데이터의 민감성이 상대적으로 낮고 서비스도 비즈니스 크리티컬한 서비스가 아닐 가능성이 높다.

엘러리는 “최선의 방법은 보안, 프라이버시, 지리, 규제, 비즈니스 연속성, 재해 복구와 같은 위험의 마스터 목록을 두는 것이다. 그런 다음 분류를 통해 공급업체가 서비스에 적용되는 이런 위험을 해결하도록 하면 된다”라고 조언했다.


2. 이해당사자에게 협상 불가능한 부분 전달

많은 기업에서 보안 그룹은 협상 프로세스의 막바지, 협상 내용에 큰 변화의 여지와 시간이 거의 없는 시점에 호출된다. 따라서 구매 팀이 데이터 보호에 관해 최소한 기본적이고 협상 불가능한 보안 문제를 인지하고 이를 협상 시작부터 다루도록 하는 것이 중요하다.

CISO는 IT 및 비즈니스 리더와 협력해 기업의 위험 성향을 고려해야 한다. 엘러리는 또한 SaaS 계약에서 협상이 불가능한 요소를 결정할 때 모든 규제 및 업계 요구사항도 고려해야 한다면서 이를 “공급업체 사전 심사 기준으로 사용할 수 있다”라고 말했다.

예를 들어 모든 데이터가 전송 또는 보관 중 암호화되어야 한다는 것, 또는 모든 데이터가 특정 국가나 지역 내에 저장되어야 한다는 것을 사전 심사 기준으로 둘 수 있다. 엘러리는 이런 기준을 미리 마련해 두면 조직이 기대하는 바를 공급업체에 명확히 전달할 수 있다고 설명했다.

딜로이트의 사이버 및 위험 부문 수석인 비크람 쿤찰라는 일반적으로 데이터의 가용성, 회복성 및 기밀성과 관련된 모든 것은 협상 불가능한 요소여야 한다고 덧붙였다. 쿤찰라는 여기서도 마찬가지로 SaaS 공급업체를 사용해 무엇을 할 계획인지에 따라 많은 부분이 좌우된다고 말했다. 위험은 연관된 데이터의 중요도에 따라 증가하므로 공급업체가 데이터를 보호하기에 충분한 역량이 있는지 확인하는 데 목표를 둔다.

SOC 2 Type II, ISO 27001, ISO 22301, CSA CCM과 같은 인증은 SaaS 공급업체가 보안 모범 사례를 준수하는지 확인하기 위한 비교적 신뢰할 수 있는 지표다. 공급업체를 선택할 때 이와 같은 표준에 대한 인증을 받았는지 여부를 확인한다.

쿤찰라는 “SaaS는 넓은 영역이다. CRM용 SaaS, 인적 자본과 관련한 SaaS 또는 보안용 SaaS도 있다. 업체가 적절한 통제 수단을 갖고 있지 않은 경우 기업 전체가 위험에 노출될 수 있다”라고 말했다.


3. 추가 보호 협상

추가 보안 보호를 통해 양보를 얻을 수 있는 부분을 협상한다. 사안에 따라 쉽게 협상할 수 없거나 협상이 불가능한 사안도 있음을 유의해야 한다.

엘러리는 SaaS는 표준 제품을 기반으로 한 규모의 비즈니스라고 말했다. 따라서 시스템 가용성 또는 데이터 저장 위치와 같은 부분은 변경 협상이 불가능할 수 있다. 엘러리는 “모든 공급업체가 다르고, 중대한 양보는 일반적으로 양보할 수 있는 SaaS 업체의 역량과 함께 고객의 거래 규모에 따라 좌우되거나 원하는 양보가 규제 요건과 관련되는지에 따라서도 달라진다”라고 설명했다. 침해 및 데이터 손상과 관련된 책임 조항은 대체로 협상이 가장 어려운 조항에 속한다. 따라서 공급업체의 사이버 보험 조항과 같은 다른 옵션을 고려해야 한다.

쿤찰라는 SaaS 공급업체가 인수되는 경우에 대비한 보호 조항도 포함해야 한다고 조언했다. 다른 SaaS 업체가 인수될 경우 남은 기간의 계약은 어떻게 되는지, 또는 어떻게 갱신하는지를 계약에 명시해야 한다. 새 공급업체가 기존 가격 협상 내용을 승계할지 완전히 다른 가격을 제시할지 알 수 없기 때문이다.

또한 공급업체가 제품 또는 서비스를 제공하지 못하게 되는 잠재적으로 예측할 수 없는 상황으로 나열한 문제에 대해서도 살펴봐야 한다. 업체가 나열한 불가항력적 상황이 합리적인지를 확인한다. 케네디는 해당 사항이 없다고 생각되는 사이버보안 이벤트가 포함된 경우 제외하도록 요구하라고 말했다.


4. 조기 침해 알림 고수

EU의 일반데이터보호규정(GDPR) 및 결제카드산업(PCI) 표준과 같은 규정에 따라 기업은 외부 거래 업체가 민감한 데이터를 보호하기 위한 타당한 수단을 갖도록 계약상으로 확인해야 한다. 규정에는 SaaS 제공업체에서 데이터에 영향을 미치는 보안 사고 발생 시 침해 알림에 관한 구체적인 요구사항과 타임라인이 있다.

451 그룹의 케네디는 SaaS 공급업체와 협상할 때는 즉각적인 침해 알림에 대한 조항을 꼭 넣어야 한다고 말했다. SaaS 공급업체는 특정 타임라인에 구속되기를 원하지 않으므로 이런 조항은 협상 시 논쟁거리가 될 수 있다. 많은 경우 공급업체는 침해가 얼마나 빨리 발견될지 알 수 없다는 이유로 이 조항에 반대한다.

케네디는 “그럼에도 불구하고 고객 데이터가 영향을 받는 모든 보안 데이터 침해에 관한 즉각적인 통지 입장을 고수해야 한다. 서드파티인 SaaS 공급업체가 고객에게 정보를 제공할 최선의 방법을 고민하거나 자체적인 타임라인에 따르면서 시간을 허비하도록 두면 안 된다”라고 충고했다.


5. 계약 종료 조건에 유의

SaaS 계약에서 고려해야 할 가장 중요한 것 가운데 하나는 계약이 끝날 때 정확히 어떤 일이 발생하는지에 관한 부분이다. 성숙한 SaaS 공급업체는 보통 데이터를 돌려주고 삭제하기 위한 공식적인 프로세스가 있지만 이 프로세스가 정확히 무엇을 수반하는지에 관한 명확한 합의를 두는 것이 중요하다.

여기서 고려해야 할 질문에는 계약 종료 시 데이터를 돌려받을 수 있는 권리, 데이터를 삭제하고 서드파티가 데이터에 액세스하지 못하도록 하기 위한 공급업체의 프로세스가 포함된다. 엘러리는 “SaaS 계약에서는 가장 먼저 계약 종료와 관계없이 데이터를 돌려받을 권리를 확보해야 한다”면서 많은 CISO는 이를 위해 SaaS 업체로부터 데이터 회수 기능을 정기적으로 테스트하거나 중요한 데이터를 온프레미스 또는 클라우드 스토리지 서비스에 백업하는 서비스를 두고 있다고 말했다.

기업이 핵심 운영에 SaaS 서비스를 사용하는 경우, 전환 지원을 이용하는 방법을 고려해야 한다. 엘러리는 전환 지원 조항은 계약이 종료된 후 기간을 연장해서 다른 제공업체로 안전하게 전환할 시간을 확보할 수 있게 해준다면서 “많은 금융 서비스 업체는 핵심 시스템에 대해 최소 18개월의 전환 지원을 선택한다”라고 말했다. 계약 종료 및 전환 조항은 협상 가능한 경우가 많다. 공급업체에도 돈이 되기 때문이다.

딜로이트의 쿤찰라는 데이터 삭제와 데이터 전송에 관한 조항에서 어느정도 공급업체의 보장을 받을 것을 조언했다. 쿤찰라는 조직 데이터의 여러 복사본 또는 데이터의 일부분이나 조각들이 SaaS 제공업체의 인프라에 존재할 수 있는데 이를 삭제하는 것은 제공업체의 책임이라고 말했다.

쿤찰라는 “일정 수준의 보장을 제공해야 한다. 그래야 책임 조항이 효력을 갖기 때문”이라면서 “그러나 그 수준 이상에서는 공급업체의 말을 믿고 데이터가 침해되어 유출되지 않기를 희망할 수밖에 없다”라고 덧붙였다. editor@itworld.co.kr 


2020.11.06

위험 및 보안 SaaS 계약 협상을 위한 5가지 권장 사항

Jaikumar Vijayan | CSO
코로나19 팬데믹으로 인해 원격 작업으로의 대대적인 전환이 일어나면서 올해 SaaS 도입이 가속화됐다. 이 추세에 따라 기업의 사이버 위협 노출이 커지면서 서비스형 소프트웨어(SaaS) 계약을 추진할 때 고려해야 할 보안 및 위험 요소에 관심이 집중되고 있다.
 
ⓒ Getty Images Bank

가트너는 퍼블릭 클라우드 서비스 시장이 지난해 2,427억 달러 규모에서 올해 6.3% 성장해 2,579억 달러에 이를 것으로 전망했다. SaaS 시장만 따로 보면 지난해 1,002억 달러에서 1,046억 달러로 증가할 것으로 예상되는데, 이와 같은 성장의 배경에는 팬데믹 중 새로운 협업 툴에 대한 필요성이 증대된 것도 일부 포함된다. 

SaaS 서비스 도입이 늘면서 잠재적인 보안 문제에 대한 우려 역시 함께 커지고 있다. 최근 200명의 IT 전문가를 대상으로 한 앱옴니(AppOmni) 설문에서 응답자의 66%는 기업 SaaS 환경으로 인해 비즈니스 중단 위험이 더 커졌음에도 불구하고 코로나19 이후 SaaS 애플리케이션을 보호하는 데 투자하는 시간은 줄었다고 답했다.

451 그룹 분석가 다니엘 케네디는 “보안 관점에서 논의의 대부분은 데이터 보호와 가용성 또는 데이터가 손상되는 경우 발생하는 이벤트에 관한 것”이라고 말했다.

케네디를 비롯한 여러 전문가들은 SaaS 계약을 협상할 때 위험 및 보안 요소가 충분히 반영되도록 다음과 같은 5가지를 고려해야 한다고 조언했다.


1. 기업과 관련된 위험의 마스터 목록 작성

SaaS 협상에서 보안 조항을 협상하는 데 있어 모든 상황에 통용되는 특정 방식은 없다. 필요한 일(또는 할 수 있는 일)의 대부분은 상황에 따라 다르기 때문이다. 기관과 기업의 규모, SaaS 공급업체의 규모도 중요하다. 일반적으로 기업의 규모가 크고 계획한 서비스 조달의 규모가 클수록 협상력도 높아진다.

SaaS 공급업체와 협상에 들어가기에 앞서(또는 RFP 단계 중에도) 예상되는 시스템의 사용 형태를 고려해야 한다. 가트너의 선임 연구 책임자인 루크 엘러리는 예를 들어 SaaS 시스템을 사용해 기업의 고객 관계를 관리할 계획이라면 SaaS 공급업체가 고객 데이터를 어떻게 보호하고 시스템 안정성과 신뢰성을 어떻게 보장할 것인지에 초점을 맞출 필요가 있다고 말했다. 반면 사용할 계획인 SaaS 시스템의 초점이 학습 관리 시스템과 같은 내부에 있다면 데이터의 민감성이 상대적으로 낮고 서비스도 비즈니스 크리티컬한 서비스가 아닐 가능성이 높다.

엘러리는 “최선의 방법은 보안, 프라이버시, 지리, 규제, 비즈니스 연속성, 재해 복구와 같은 위험의 마스터 목록을 두는 것이다. 그런 다음 분류를 통해 공급업체가 서비스에 적용되는 이런 위험을 해결하도록 하면 된다”라고 조언했다.


2. 이해당사자에게 협상 불가능한 부분 전달

많은 기업에서 보안 그룹은 협상 프로세스의 막바지, 협상 내용에 큰 변화의 여지와 시간이 거의 없는 시점에 호출된다. 따라서 구매 팀이 데이터 보호에 관해 최소한 기본적이고 협상 불가능한 보안 문제를 인지하고 이를 협상 시작부터 다루도록 하는 것이 중요하다.

CISO는 IT 및 비즈니스 리더와 협력해 기업의 위험 성향을 고려해야 한다. 엘러리는 또한 SaaS 계약에서 협상이 불가능한 요소를 결정할 때 모든 규제 및 업계 요구사항도 고려해야 한다면서 이를 “공급업체 사전 심사 기준으로 사용할 수 있다”라고 말했다.

예를 들어 모든 데이터가 전송 또는 보관 중 암호화되어야 한다는 것, 또는 모든 데이터가 특정 국가나 지역 내에 저장되어야 한다는 것을 사전 심사 기준으로 둘 수 있다. 엘러리는 이런 기준을 미리 마련해 두면 조직이 기대하는 바를 공급업체에 명확히 전달할 수 있다고 설명했다.

딜로이트의 사이버 및 위험 부문 수석인 비크람 쿤찰라는 일반적으로 데이터의 가용성, 회복성 및 기밀성과 관련된 모든 것은 협상 불가능한 요소여야 한다고 덧붙였다. 쿤찰라는 여기서도 마찬가지로 SaaS 공급업체를 사용해 무엇을 할 계획인지에 따라 많은 부분이 좌우된다고 말했다. 위험은 연관된 데이터의 중요도에 따라 증가하므로 공급업체가 데이터를 보호하기에 충분한 역량이 있는지 확인하는 데 목표를 둔다.

SOC 2 Type II, ISO 27001, ISO 22301, CSA CCM과 같은 인증은 SaaS 공급업체가 보안 모범 사례를 준수하는지 확인하기 위한 비교적 신뢰할 수 있는 지표다. 공급업체를 선택할 때 이와 같은 표준에 대한 인증을 받았는지 여부를 확인한다.

쿤찰라는 “SaaS는 넓은 영역이다. CRM용 SaaS, 인적 자본과 관련한 SaaS 또는 보안용 SaaS도 있다. 업체가 적절한 통제 수단을 갖고 있지 않은 경우 기업 전체가 위험에 노출될 수 있다”라고 말했다.


3. 추가 보호 협상

추가 보안 보호를 통해 양보를 얻을 수 있는 부분을 협상한다. 사안에 따라 쉽게 협상할 수 없거나 협상이 불가능한 사안도 있음을 유의해야 한다.

엘러리는 SaaS는 표준 제품을 기반으로 한 규모의 비즈니스라고 말했다. 따라서 시스템 가용성 또는 데이터 저장 위치와 같은 부분은 변경 협상이 불가능할 수 있다. 엘러리는 “모든 공급업체가 다르고, 중대한 양보는 일반적으로 양보할 수 있는 SaaS 업체의 역량과 함께 고객의 거래 규모에 따라 좌우되거나 원하는 양보가 규제 요건과 관련되는지에 따라서도 달라진다”라고 설명했다. 침해 및 데이터 손상과 관련된 책임 조항은 대체로 협상이 가장 어려운 조항에 속한다. 따라서 공급업체의 사이버 보험 조항과 같은 다른 옵션을 고려해야 한다.

쿤찰라는 SaaS 공급업체가 인수되는 경우에 대비한 보호 조항도 포함해야 한다고 조언했다. 다른 SaaS 업체가 인수될 경우 남은 기간의 계약은 어떻게 되는지, 또는 어떻게 갱신하는지를 계약에 명시해야 한다. 새 공급업체가 기존 가격 협상 내용을 승계할지 완전히 다른 가격을 제시할지 알 수 없기 때문이다.

또한 공급업체가 제품 또는 서비스를 제공하지 못하게 되는 잠재적으로 예측할 수 없는 상황으로 나열한 문제에 대해서도 살펴봐야 한다. 업체가 나열한 불가항력적 상황이 합리적인지를 확인한다. 케네디는 해당 사항이 없다고 생각되는 사이버보안 이벤트가 포함된 경우 제외하도록 요구하라고 말했다.


4. 조기 침해 알림 고수

EU의 일반데이터보호규정(GDPR) 및 결제카드산업(PCI) 표준과 같은 규정에 따라 기업은 외부 거래 업체가 민감한 데이터를 보호하기 위한 타당한 수단을 갖도록 계약상으로 확인해야 한다. 규정에는 SaaS 제공업체에서 데이터에 영향을 미치는 보안 사고 발생 시 침해 알림에 관한 구체적인 요구사항과 타임라인이 있다.

451 그룹의 케네디는 SaaS 공급업체와 협상할 때는 즉각적인 침해 알림에 대한 조항을 꼭 넣어야 한다고 말했다. SaaS 공급업체는 특정 타임라인에 구속되기를 원하지 않으므로 이런 조항은 협상 시 논쟁거리가 될 수 있다. 많은 경우 공급업체는 침해가 얼마나 빨리 발견될지 알 수 없다는 이유로 이 조항에 반대한다.

케네디는 “그럼에도 불구하고 고객 데이터가 영향을 받는 모든 보안 데이터 침해에 관한 즉각적인 통지 입장을 고수해야 한다. 서드파티인 SaaS 공급업체가 고객에게 정보를 제공할 최선의 방법을 고민하거나 자체적인 타임라인에 따르면서 시간을 허비하도록 두면 안 된다”라고 충고했다.


5. 계약 종료 조건에 유의

SaaS 계약에서 고려해야 할 가장 중요한 것 가운데 하나는 계약이 끝날 때 정확히 어떤 일이 발생하는지에 관한 부분이다. 성숙한 SaaS 공급업체는 보통 데이터를 돌려주고 삭제하기 위한 공식적인 프로세스가 있지만 이 프로세스가 정확히 무엇을 수반하는지에 관한 명확한 합의를 두는 것이 중요하다.

여기서 고려해야 할 질문에는 계약 종료 시 데이터를 돌려받을 수 있는 권리, 데이터를 삭제하고 서드파티가 데이터에 액세스하지 못하도록 하기 위한 공급업체의 프로세스가 포함된다. 엘러리는 “SaaS 계약에서는 가장 먼저 계약 종료와 관계없이 데이터를 돌려받을 권리를 확보해야 한다”면서 많은 CISO는 이를 위해 SaaS 업체로부터 데이터 회수 기능을 정기적으로 테스트하거나 중요한 데이터를 온프레미스 또는 클라우드 스토리지 서비스에 백업하는 서비스를 두고 있다고 말했다.

기업이 핵심 운영에 SaaS 서비스를 사용하는 경우, 전환 지원을 이용하는 방법을 고려해야 한다. 엘러리는 전환 지원 조항은 계약이 종료된 후 기간을 연장해서 다른 제공업체로 안전하게 전환할 시간을 확보할 수 있게 해준다면서 “많은 금융 서비스 업체는 핵심 시스템에 대해 최소 18개월의 전환 지원을 선택한다”라고 말했다. 계약 종료 및 전환 조항은 협상 가능한 경우가 많다. 공급업체에도 돈이 되기 때문이다.

딜로이트의 쿤찰라는 데이터 삭제와 데이터 전송에 관한 조항에서 어느정도 공급업체의 보장을 받을 것을 조언했다. 쿤찰라는 조직 데이터의 여러 복사본 또는 데이터의 일부분이나 조각들이 SaaS 제공업체의 인프라에 존재할 수 있는데 이를 삭제하는 것은 제공업체의 책임이라고 말했다.

쿤찰라는 “일정 수준의 보장을 제공해야 한다. 그래야 책임 조항이 효력을 갖기 때문”이라면서 “그러나 그 수준 이상에서는 공급업체의 말을 믿고 데이터가 침해되어 유출되지 않기를 희망할 수밖에 없다”라고 덧붙였다. editor@itworld.co.kr 


X