보안 서비스 구입할 때 가장 중요한 것 "제품과 업체 평가 선행"

성숙한 공급업체 평가가 비즈니스 요구 충족에 필요한 이유

성숙한 평가 프로세스는 비즈니스와 제품 얼라인먼트에서 시작한다. 예를 들어, 에드워드에 따르면 뱅킹 ATM 엔드포인트에서의 안티바이러스 요구사항은 준수에 더 중점을 두는 반면, 직원 노트북의 안티바이러스는 피싱과 인터넷 모든 곳에서 발생하는 ‘의심스러운 다운로드’ 같은 지속적이고 진화하는 위협을 포괄적으로 방어해야 한다고 설명한다. 이러한 사항은 평가의 요구사항 단계에서 명확하게 설명되어야 한다. 

또한 고급 분석을 통해 공급업체 유형 결정에 필요한 질문을 만들 수 있는데, 질문을 통해 공급업체가 우리 회사의 비즈니스 요구를 얼마나 잘 충족하는지를 알 수 있다. 공급망 리스크 관리 공급업체인 텐치 시큐리티(Tenchi Security)의 유명 제품 테스터이자 제품 관리 총괄인 아드리안 사나브리아는 “솔루션을 통해 실제 문제를 해결할 수 있나? 보안 부서의 업무 부담이 줄어들까? 아니면 새로운 기술을 도입해야 하고 보안 부서의 업무가 더욱 늘어날까?” 같은 질문을 예로 들었다.

더 수준을 높여 평가 요구사항과 성과 지표를 비용이 가장 적게 드는 노력, 상호 운용성, 통합 및 비용으로 설정하고, 가치 실현 시간, 노동 비율, 제품의 실제 비용, 신뢰성 등을 성공 지표로 사용할 수 있다.
 

공급업체 평가와 기존 표준을 정렬하기

사이버보안 공급업체 평가에 맞는 표준화 방법과 프로세스는 없지만, 성숙한 프로그램은 요구사항 설정과 테스트 수행에 업계에서 인정하는 표준과 프레임워크를 사용한다. 그러나 이러한 프레임워크는 균일하게 규범적이지는 않다. 예를 들어, SE 랩스는 악성 소프트웨어 방지 솔루션에 대한 AMTSO 테스팅 프로토콜 표준을 따르며, 마이터 어택(MITRE ATT&CK) 프레임워크를 넘어, ‘완전 공격 체인 테스팅(full-attack chain testing)’이라고 부르는 방식을 사용한다.  

만로드에 따르면 프레임워크를 일찍 선택하는 것도 비즈니스와 기술 목표 정렬에 중요하다. 만로드는 “프로세스는 공급업체 선택에서 시작하지 않는다. 마이터 어택 프레임워크처럼 다른 것와 연결된 전략에서 시작한다. 이메일, ID 혹은 웹사이트를 노리는 공격을 방지하려면, 정확한 환경 전반과 요구를 정렬하자. 그러면 제품 카테고리로 이어지고, 기능적 요구사항은 공격 및 방어 프레임워크에 의해 규정되며, 이후 제품이 수행할 정확한 작업과 정렬된다”라고 조언했다. 

성숙한 조직은 NIST CSF, ISO, SOC 2 등을 포함한 비즈니스에 적합한 프레임워크에 평가를 기반한다. 예를 들어 딜로이트는 클라이언트가 고려하는 중요 보안 협력 업체에 SOC2 및 ISO 인증을 확인하라는 요구를 종종 받는다. 이러한 요청은 주로 극도로 위험을 꺼리는 에너지나 금융 기업이 하는데, 대부분은 국제 기업이다. 

딜로이트의 사이버 리스크 그룹의 공급망 안전 리더인 샤론 챈드는 프레임워크는 보호, 감지, 식별, 대응/복구 같은 각기 다른 보안 도메인에 접근한다고 덧붙인다. 따라서 이러한 도메인에 평가를 매핑하면 보안 서비스가 어떤 결과를 낼지에 초점을 맞추기 쉽다. 예를 들어 챈드는 “지금 방화벽을 구매하고 있는 것일까, 아니면 제로 트러스트 제품을 구매하고 있는 것일까? 제어 환경 보호를 통한 보안 강화 제품을 구입하는 것일까?” 등의 질문을 할 수 있다고 조언했다. 
 

제품뿐 아니라 공급업체도 평가하자

또한 성숙한 프로그램에는 공급업체 안정성 평가 수단이 있다. 보안 이어북 2022를 위해 2,800개의 공급업체를 조사한 리차트 스타이논은 공급업체가 정치적으로 불안정한 지역에 있으면 서비스 중단이 발생할 수 있다고 이야기한다. 또한, 공급업체는 성장하고 있음을 보여주어야 한다. 따라서 스타이논은 투자자 보고서를 찾아보고 창립자 혹은 CEO 리더십 배경을 살피며 동료와 확인할 것을 조언했다. 

공급업체 증명은 성숙한 평가 프로세스의 일부다. 그러나 전문가에 따르면, 공급업체 증명이 유일한 평가 프로세스인 경우에 검토나 테스트 없이 공급업체의 말을 받아들이는 것은 비성숙한 평가 프로세스의 지표다.  

기업 고객을 위해 수많은 사이버보안 제품 평가를 수행하는 CISO인 이안 포인터는 증명의 핵심은 질문과 대응이라고 설명한다. 포인터는 “최근 고객의 경우, 원하는 분야의 공급업체 30곳부터 시작했다. 이후 목록은 3개로 추려졌고 그 다음 업체에 많은 질문을 목록으로 보냈으며, 시연 중에 답변을 받았다”라고 설명했다.  

질문에 응답하는 방식으로도 공급업체를 알 수 있다. 예를 들어, 공급업체가 질문의 절반에 답변하지 않을 경우 제품이 표준을 충족하지 못하거나, 공급업체가 서비스 공급업체로서 응답률이 낮다는 점을 보여준다. 많은 공급업체에서 이러한 일이 발생한다면 구매자의 인식이 이 분야 제품이 수행하는 기능과 정렬되지 않는다는 의미다. 
 

테스트 효과와 공급업체의 보안

사나브리아에 따르면, 성숙한 프로그램에는 제품 효과 테스트를 위한 프로세스가 있다. 평가 프로그램의 깊이는 획득하는 보안 서비스의 중요성에 달렸다. 예를 들어 정말 중요한 제품이라면 기능적 요구를 넘어 서비스 자체에 대한 레드 팀 테스트가 포함될 것이다. 

만로드는 성숙한 조직은 기술을 사내에 보유하고 있거나 외부 서드파티를 통해 테스트할 수 있다고 주장했다. 성숙한 테스트 프로세스의 핵심은 “실제 사용례와 기업의 조건에 따라 제품이 전략을 충족하는지를 입증하는 것”이다. 만로드는 “테스트는 비용을 들일 만한 가치가 있다. EDR 제품이 너무 비싸다면, 사내 기술로 대체하거나 하루 동안 외부 컨설턴트를 고용해 적절한 지출인지 확인한다고 해서 얼마나 더 비용이 들겠는가?”라고 질문했다.
editor@itworld.co.kr