2021.09.17

보안에 능숙한 매니지드 서비스 업체를 찾는 방법

Susan Bradley | CSO
미국 CISA(Cybersecurity and Infrastructure Security Agency)가 ‘매니지드 서비스 업체 고객을 위한 위험 고려사항(Risk Considerations for Managed Service Provider Customers)’이란 문서를 발표했다. CISA는 MSP 선택에 있어서 네트워크 관리자의 역할을 인정했다. 이 문서에는 컨설턴트를 이용하는 중소기업을 위한 전반적인 지침에 포함되어 있지만, 일부 권고사항은 필자가 알고 있는 SMB 환경과 일치하지 않는다. 
 
ⓒ Getty Images Bank

특히, CISA는 “SMB는 어떤 자산이 가장 중요한지 목록을 작성하고 이런 자산에 대한 위험을 특징지어야 한다. 이를 통해 조직은 서비스 업체 계약 시 포함시키거나 제외할 자산의 우선순위를 결정하고, 이런 자산에 영향을 미치는 사고에 대한 구체적인 비상 계획을 세울 수 있다”고 설명했다. 많은 중소기업이 항상 기술 자산으로 인한 위험을 인지하고 있는 것은 아니다. 비즈니스적 필요로 인해 기술 자산을 구매하는 경우가 많다. 이런 필요가 충족되는 한 자산의 위험은 분석되지 않는다. 컨설턴트가 찾아와 기술 자산의 변화를 권고하는 경우가 많다. 
 

MSP가 제공하면 좋은 것

CISA는 고용 조직이 MSP로부터 구체적인 계약 및 SLA를 확보할 것을 권고한다. 또한 MSP가 다음과 같은 사항을 제공할 것을 권고했다. 
 
  • 사고 관리 지침 
  • MSP가 알려진 위험을 완화하기 위해 취할 조치 
  • 여러 고객의 데이터가 MSP의 네트워크에서 어떻게 분류 또는 분리되는지에 관한 설명 
  • MSP가 처리하는 로그 및 기록 유지보수에 대한 지침 
  • 지적 재산 도난의 위험을 최소화하기 위한 직원 조사에 대한 문서 
  • 고객이 계약된 서비스에 직간접적으로 영향을 미치는 시스템을 검사하는 능력 
  • 원활한 서비스 통합을 지원하기 위한 전환 계획 
  • 계획된 네트워크 고장 정지에 관한 프로토콜 
  • MSP의 재무 건전성에 대한 문서 및 이전의 법적 문제 공개 

이런 항목을 확보할 수는 있지만, 실제로 SMB와 MSP 사이의 계약 협상 시 등장하지 않거나 잘 문서화되어 있지 않다. 

CISA는 네트워크에 접근 권한이 있는 계약자 또는 매니지드 서비스 업체에 대한 최소 권한의 원칙을 포함해  제로 트러스트 보안 모델을 적용할 것도 권고한다. 많은 중소기업이 네트워크에서 진정한 제로 트러스트를 확보하지 못하고 있다. 대신에 네트워크에 대한 접근 권한을 확보하기 위해 일부 검증 프로세스가 마련되어 있는지 확인하는 추가적인 프로세스에 의존해야 한다. 
 

보안에 집중하는 MSP를 찾는 요령 

네트워크 관리자 또는 보안 관리진은 보안에 관한 질문에 어떻게 답하는지를 보고 좋은 MSP 또는 컨설턴트를 확인할 수 있다. 특히, 조직 외부에서 액세스하는 리소스에서의 다중 인증(MFA)에 관해 어떻게 생각하는지, 자신이 처한 위험이 무엇이라고 생각하는지 질문해 보자. 한 발 물러서거나 위험을 최소화하는 MSP를 고용해서는 안 된다. 

MSP는 고객 기업이 업데이트를 정기적으로 적용하도록 권고할 뿐 아니라 자체적으로 사용하는 원격 액세스 도구도 마찬가지로 업데이트해야 한다. 컨설턴트와 원격 액세스 도구와 관련해 어떤 도구와 어떤 업데이트 프로세스를 사용하고 있는지 알아본다. 원격 액세스 도구에서 MFA가 지원되고 있는지 확인하고, 각 컨설턴트 또는 기술자가 네트워크를 위한 고유 액세스 토큰을 사용하고 액세스를 재사용하지 않도록 한다. 네트워크 액세스를 위한 전용 VPN 사용에 관해 논의하고, 컨설턴트가 프로세스에 필요한 특정 애플리케이션과 작업을 정적 IP로 제한하도록 한다. 

MSP는 다수의 백업 프로세스를 확보해 랜섬웨어에 영향을 받는 경우 중요한 기능을 백업하고 복구하기 위해 하나의 프로세스에만 의존하지 않도록 해야 한다. 공격자는 약한 연결고리와 진입점에 집중하며, MSP는 좋은 표적이다. 공격자는 그들이 MSP에 대한 액세스를 확보하는지 여부를 알게 도면 여러 고객에게 동시에 액세스할 수 있다. 

MSP는 자체적으로 다른 공유 솔루션 업체와 도구를 사용하는 경우가 많다. 이들 업체를 악용하려는 공격자를 방어하기 위해 MSP가 사용하는 솔루션 업체와 포털의 보안 활동에 대한 추가적인 정보와 확인을 요청한다. 

다시 한번, 컨설턴트에게 질문한다. 패치가 어렵다고 생각하지만 패치 프로세스를 비활성화하도록 촉구하지 않는 경우, 네트워크에서 보안을 유지하기 위해 소프트웨어 업데이트를 설치해야만 한다는 것이다. MFA가 액세스를 제한하고 공격자를 막는 데 도움이 된다고 동의하면, 보안 위험을 이해하고 있는 것이다. 컨설턴트가 면담을 하고 비즈니스 필요를 논의하며 비즈니스 필요와 보안 의무사항 사이의 균형에 도달하도록 돕는다면, 이런 MSP를 고용해야 한다. 

CISA 문서는 대규모 조직과 정부가 MSP에게 의무화할 수 있는 기법에만 과도하게 집중하고 있다. MSP 또는 컨설턴트를 고용할 때 중요한 것은 신뢰 관계, 그리고 MSP의 지침과 전문성을 신뢰하는 것이다. 필자는 MSP가 보안에 대해 조언하고, 보안을 위한 교육 및 자문 자료를 보내 주기를 기대한다. 중소기업이 컨설턴트나 MSP를 고용할 때 궁극적으로 기업의 의견을 경청하고 네트워크를 보호하도록 돕는지가 중요하다. editor@itworld.co.kr


2021.09.17

보안에 능숙한 매니지드 서비스 업체를 찾는 방법

Susan Bradley | CSO
미국 CISA(Cybersecurity and Infrastructure Security Agency)가 ‘매니지드 서비스 업체 고객을 위한 위험 고려사항(Risk Considerations for Managed Service Provider Customers)’이란 문서를 발표했다. CISA는 MSP 선택에 있어서 네트워크 관리자의 역할을 인정했다. 이 문서에는 컨설턴트를 이용하는 중소기업을 위한 전반적인 지침에 포함되어 있지만, 일부 권고사항은 필자가 알고 있는 SMB 환경과 일치하지 않는다. 
 
ⓒ Getty Images Bank

특히, CISA는 “SMB는 어떤 자산이 가장 중요한지 목록을 작성하고 이런 자산에 대한 위험을 특징지어야 한다. 이를 통해 조직은 서비스 업체 계약 시 포함시키거나 제외할 자산의 우선순위를 결정하고, 이런 자산에 영향을 미치는 사고에 대한 구체적인 비상 계획을 세울 수 있다”고 설명했다. 많은 중소기업이 항상 기술 자산으로 인한 위험을 인지하고 있는 것은 아니다. 비즈니스적 필요로 인해 기술 자산을 구매하는 경우가 많다. 이런 필요가 충족되는 한 자산의 위험은 분석되지 않는다. 컨설턴트가 찾아와 기술 자산의 변화를 권고하는 경우가 많다. 
 

MSP가 제공하면 좋은 것

CISA는 고용 조직이 MSP로부터 구체적인 계약 및 SLA를 확보할 것을 권고한다. 또한 MSP가 다음과 같은 사항을 제공할 것을 권고했다. 
 
  • 사고 관리 지침 
  • MSP가 알려진 위험을 완화하기 위해 취할 조치 
  • 여러 고객의 데이터가 MSP의 네트워크에서 어떻게 분류 또는 분리되는지에 관한 설명 
  • MSP가 처리하는 로그 및 기록 유지보수에 대한 지침 
  • 지적 재산 도난의 위험을 최소화하기 위한 직원 조사에 대한 문서 
  • 고객이 계약된 서비스에 직간접적으로 영향을 미치는 시스템을 검사하는 능력 
  • 원활한 서비스 통합을 지원하기 위한 전환 계획 
  • 계획된 네트워크 고장 정지에 관한 프로토콜 
  • MSP의 재무 건전성에 대한 문서 및 이전의 법적 문제 공개 

이런 항목을 확보할 수는 있지만, 실제로 SMB와 MSP 사이의 계약 협상 시 등장하지 않거나 잘 문서화되어 있지 않다. 

CISA는 네트워크에 접근 권한이 있는 계약자 또는 매니지드 서비스 업체에 대한 최소 권한의 원칙을 포함해  제로 트러스트 보안 모델을 적용할 것도 권고한다. 많은 중소기업이 네트워크에서 진정한 제로 트러스트를 확보하지 못하고 있다. 대신에 네트워크에 대한 접근 권한을 확보하기 위해 일부 검증 프로세스가 마련되어 있는지 확인하는 추가적인 프로세스에 의존해야 한다. 
 

보안에 집중하는 MSP를 찾는 요령 

네트워크 관리자 또는 보안 관리진은 보안에 관한 질문에 어떻게 답하는지를 보고 좋은 MSP 또는 컨설턴트를 확인할 수 있다. 특히, 조직 외부에서 액세스하는 리소스에서의 다중 인증(MFA)에 관해 어떻게 생각하는지, 자신이 처한 위험이 무엇이라고 생각하는지 질문해 보자. 한 발 물러서거나 위험을 최소화하는 MSP를 고용해서는 안 된다. 

MSP는 고객 기업이 업데이트를 정기적으로 적용하도록 권고할 뿐 아니라 자체적으로 사용하는 원격 액세스 도구도 마찬가지로 업데이트해야 한다. 컨설턴트와 원격 액세스 도구와 관련해 어떤 도구와 어떤 업데이트 프로세스를 사용하고 있는지 알아본다. 원격 액세스 도구에서 MFA가 지원되고 있는지 확인하고, 각 컨설턴트 또는 기술자가 네트워크를 위한 고유 액세스 토큰을 사용하고 액세스를 재사용하지 않도록 한다. 네트워크 액세스를 위한 전용 VPN 사용에 관해 논의하고, 컨설턴트가 프로세스에 필요한 특정 애플리케이션과 작업을 정적 IP로 제한하도록 한다. 

MSP는 다수의 백업 프로세스를 확보해 랜섬웨어에 영향을 받는 경우 중요한 기능을 백업하고 복구하기 위해 하나의 프로세스에만 의존하지 않도록 해야 한다. 공격자는 약한 연결고리와 진입점에 집중하며, MSP는 좋은 표적이다. 공격자는 그들이 MSP에 대한 액세스를 확보하는지 여부를 알게 도면 여러 고객에게 동시에 액세스할 수 있다. 

MSP는 자체적으로 다른 공유 솔루션 업체와 도구를 사용하는 경우가 많다. 이들 업체를 악용하려는 공격자를 방어하기 위해 MSP가 사용하는 솔루션 업체와 포털의 보안 활동에 대한 추가적인 정보와 확인을 요청한다. 

다시 한번, 컨설턴트에게 질문한다. 패치가 어렵다고 생각하지만 패치 프로세스를 비활성화하도록 촉구하지 않는 경우, 네트워크에서 보안을 유지하기 위해 소프트웨어 업데이트를 설치해야만 한다는 것이다. MFA가 액세스를 제한하고 공격자를 막는 데 도움이 된다고 동의하면, 보안 위험을 이해하고 있는 것이다. 컨설턴트가 면담을 하고 비즈니스 필요를 논의하며 비즈니스 필요와 보안 의무사항 사이의 균형에 도달하도록 돕는다면, 이런 MSP를 고용해야 한다. 

CISA 문서는 대규모 조직과 정부가 MSP에게 의무화할 수 있는 기법에만 과도하게 집중하고 있다. MSP 또는 컨설턴트를 고용할 때 중요한 것은 신뢰 관계, 그리고 MSP의 지침과 전문성을 신뢰하는 것이다. 필자는 MSP가 보안에 대해 조언하고, 보안을 위한 교육 및 자문 자료를 보내 주기를 기대한다. 중소기업이 컨설턴트나 MSP를 고용할 때 궁극적으로 기업의 의견을 경청하고 네트워크를 보호하도록 돕는지가 중요하다. editor@itworld.co.kr


X