포레스터는 보안 분야 외 임원들이 MSSP에 대한 지출을 정당화하는 데 어려움을 겪고 있다는 것을 발견했다. 적절한 매트릭스가 없고, 기술적인 복잡성이 주된 이유들이다. 동시에 매니지드 보안 서비스 공급업체 스스로도 자신들이 제공하는 혜택과 기업의 고객과 주주, 비즈니스 요구사항을 지원하는 방법 등 기업에 실제 제공하는 효과를 알리는 데 어려움을 겪고 있다.
MSSP를 활용하는 것, 아웃소싱이 아니다
이번 보고서 작성자 가운데 한 명인 포레스터의 분석가 제프 폴라드는 “기업들이 MSSP를 이용하면서 저지르는 가장 큰 실수는 매니지드 보안 서비스를 아웃소싱으로 생각하는 것” 이라고 지적했다. 대부분 기업은 MSSP를 도입한 후 보안에 더 많은 시간을 꾸준히 투자해야 한다. 더 적은 시간을 할애하는 것이 아니다. 심각한 위협과 사고를 추적하는 활동, 취약점을 개선하는 활동 등 더 가치가 높은 활동에 시간을 투자하는 경우가 많다. 폴라드는 “투자하는 시간과 리소스가 줄어드는 일은 거의 일어나지 않는다”라고 말했다.
현재 규모에 상관없이 거의 모든 기업이 MSSP 서비스를 활용하지만, 대기업이 이를 활용하는 이유가 중소기업과 다른 경향이 있다. 451 리서치의 분석가 다니엘 케네디는 직원 1,000명 이하인 기업 가운데 약 30%와 1,000명을 넘는 기업 가운데 약 40%가 매니지드 보안 서비스를 도입해 활용하고 있다고 밝혔다.
451 리서치의 데이터에 따르면, 리소스가 잘 갖춰진 정보 보안 담당 조직이 있는 대기업은 침입 관리와 SIEM 같은 보안 운영 목적에서 MSSP를 활용하는 경향이 있다. 또 많은 대기업은 MDR(Managed Detection and Response) 같은 사고 대응 서비스에 MSSP를 활용한다.
반면 중견중소 기업은 인프라와 관련된 부분에 MSSP를 더 많이 사용하는 경향이 있다. 엔드포인트 보안, 공급업체가 보안 강화보다는 IT 서비스 교체 기능을 제공하는 분야 등을 예로 들 수 있다. SMB는 보안 관련 비용 절감과 기본적인 보안 기능들을 적절히 처리하는 것에 목적을 두는 경우가 더 많다.
포레스터는 제대로 활용할 경우, 숙련된 MSSP는 기업이 전반적인 보안 품질을 향상시키도록 도움을 준다. 또 ‘스킬 갭’이 많은 분야에서 스킬의 폭과 내부 인재를 강화하도록 도움을 줄 수 있다. AT&T 사이버시큐리티(AT&T Cybersecurity)의 영업 담당 부사장인 마커스 브래그는 “SMB의 경우, 매일 24시간 운영되는 보안 운영 센터 팀원을 찾아 채용하고, 유지하기 위한 투자를 할 필요가 없다는 점에서 ROI가 창출되는 경우가 많다. 대기업은 MSSP를 활용, 내부의 보안 인력들이 더 전략적이고 영향력이 큰 보안 업무에 집중하도록 만들 수 있다”라고 설명했다.
그러나 준비가 되지 않은 기업들은 이런 ROI를 창출하기 아주 어려울 수 있다. 포레스터 보고서에 따르면, MSSP를 가장 효과적으로 활용하기 위해서는 CISO가 내부 역량과 프로그램을 명확히 이해하고, 공급업체에게 구체적으로 요구할 수 있어야 한다. 이런 관계를 통해서만 기대사항을 올바르게 수립해 적절히 관리할 수 있다.
MSP 대 MSSP
매니지드 서비스 공급업체(MSP)는 매니지드 IT 서비스를 주로 제공한다. 다토(Datto)의 ‘글로벌 MSP 현황 보고서(Global State of the MSP Report)’에 따르면, 랜섬웨어를 비롯한 위협이 증가하면서 거의 모든 MSP(99%)가 보안 서비스를 제공하고 있다.MSP를 선정할 때에는 특히 보안에 주의해야 한다. 이들의 보안 역량이 제한적일 수 있기 때문이다. 다토 보고서에 따르면, 대부분이 엔드포인트 보안과 같은 기본 보안 서비스를 제공하고 있지만, 방화벽과 이중 인증을 제공할 수 있는 비율은 각각 66%와 68%에 불과하다. 원격 접근 기술과 모바일 기기 관리는 각각 63%로 이보다 더 낮은 것으로 조사됐다.
MSP가 보안 역량을 획득하는 방식 또한 고려해야 한다. 대부분 아웃소싱이다. 67%는 공동 관리하는 형태의 보안 도구를 이용하며, 61%는 MSSP와 제휴를 맺고 있다. 내부의 보안 인재를 활용하는 비율은 51%에 불과하다.
MSSP 선택시 관련 위험 6가지
기업이 MSSP 프로그램을 도입할 때 초래될 수 있는 다음과 같은 잠재적인 위험 6가지를 고려해야 한다.1. 자사의 보안 강점과 약점을 평가하는 데 실패
폴라드는 "MSSP와 협력할 때 가장 큰 위험은 자신의 팀을 잘 보완하거나 강화하지 못하는 공급업체를 선택하는 것"이라고 지적했다. 기업은 먼저 자사의 역량을 파악해야 한다. 그래야 부족한 부분을 없애는 데 도움을 줄 수 있는 MSSP를 선택할 수 있다. 또 자사의 요건과 부합하도록, MSSP의 강점과 약점 또한 평가해야 한다.
사고 대응과 포렌식에 도움이 필요할 때, 기기와 IT 관리에 능숙한 MSSP를 선택하는 것은 큰 도움이 되지 않는다.
2. 공급업체가 자사의 내부 시스템이 어떻게 작동하는지 알고 있다고 가정
IDC의 분석가 피트 린드스트롬는 MSSP가 내부 IT 환경과 작동 방식을 파악하고 있다고 과신하는 실수를 저지르는 경우들이 있다고 지적했다. 기업 사무실의 문화, 여러 종류의 시스템과 관련된 위험을 파악하거나 이해하고 있다고 과신하는 것을 일컫는다. 린드스트롬은 “기업은 프로세스를 관리하고, 위험을 평가하고, 적극적으로 과업을 검토해야 한다. 그렇지 않으면 문제가 발생할 수 있다”라고 말했다.
예를 들어, MSSP는 IT 프로젝트를 지원하기 위해 배치한 새로운 시스템이나 이키텍처를 모를 수도 있다. 린드스트롬은 “보안 담당자가 완벽하게 설명해야 하고, 계약에 모니터링 관련 요구를 포함시켜야 한다”라고 강조했다.
AT&T 사이버시큐리티의 브래그는 MSSP 선정 때 IT 팀을 참여시키지 않는 것도 실수라고 덧붙였다. 주요 시스템에 문제가 생겨 개인정보에 접근할 수 없는 경우, MSSP의 빠른 온보딩이 방해를 받거나, 해당 서비스에 대한 MSSP의 가시성이 크게 줄어들 수 있다.
3. 정보 비대칭에 대한 준비가 되어있지 않음
내부에 역량이 없는 과업을 처리하기 위해 MSSP를 고용하는 경우가 많다. 451 리서치의 케네디는 이는 자신이 고용한 공급업체가 계약한 서비스를 전달할 수 있는지 여부를 판단할 역량이 없을 수도 있다는 의미라고 지적했다. 케네디는 MSSP가 아무것도 모니터링을 하지 않는 데 보안 모니터링 서비스를 요구한 기업 고객도 있었다고 말했다.
이 기업 고객은 무언가 잘못되었다는 느낌을 받았지만, 발생한 문제나 문제의 정도를 파악할 능력은 없었다. 케네디는 “전문성을 활용하는 계약을 체결하는 경우 정보 비대칭 문제가 발생한다. 일부 매니지드 공급업체들과 관련해 직면할 수 있는 문제다”라고 덧붙였다.
4. 계약 대상을 이해하지 못함
일부 MSSP의 상품과 서비스는 실제 가격이 책정되는 방식에 대해 이해하기 어려울 수 있다. 케네디는 “이들은 어떻게 AWS나 애저 같은 클라우드 서비스, 지스위트(GSuite)나 오피스365와 같은 SaaS 앱들의 사용에 대해 모니터링할 것인가? 지난 몇 년 간 이들의 접근 방식이 어떻게 진화했는가? 새로운 기능이나 추가적인 가시성 구현을 위한 단기 로드맵은 무엇인가?
컴플라이언스와 관련된 이니셔티브를 추진하고 있거나, 계획하고 있다면 적합한 질문을 물을 수 있도록 MSSP 선정 과정에 컴플라이언스 팀을 참여시키는 것이 특히 중요하다.
5. 제한된 통합 및 분석
포레스터 조사 결과에 따르면, MSSP는 계약이 체결되지 않은 기술에 대한 협력을 거부하는 경우가 많고, 이에 기업이 배치했을 수 있는 다른 보안 제어와의 통합이 제한된다. 포레스터 보고서는 “대부분 기업 고객이 MSSP와 IT 공급업체 간 상호작용을 세밀하게 관리하는 복잡성에 대해 이야기를 한다. 보안 문제를 해결할 때 직면하는 문제들이다”고 분석했다.
여기에 더해, 많은 MSSP 경고에는 맥락과 중요도가 결여되어 있다. 이에 기업들은 받는 경고를 확인 및 재확인하기 위해 초과 근무를 하는 실정이다. 이 보고서는 “이는 미흡한 통합으로 인한 결과를 가중시킨다”라고 설명했다.
6. MSSP의 보안 실천 관행을 확인하지 않음
최근 MSSP 시스템과 네트워크를 표적으로 삼은 후, 나중에 고객 시스템에 접근한 공격 사례들이 있었다. 일부의 경우, 공격자들은 MSSP가 고객 시스템에 접근하기 위해 이용하는 원격 관리 도구들의 취약점을 악용했다. 가장 잘 알려진 사례는 전세계의 매니지드 서비스 공급업체 여러 곳을 표적으로 한 중국 기반 APT10 위협 그룹의 오퍼레이션 클라우드 호퍼(Operation Cloud Hopper) 공격이다.
다른 MSP가 기업 고객에 보안 서비스를 제공하는 것을 돕는 컨티뉴엄(Continuum)의 보안 제품 관리 부문 부사장인 브라이언 다우니에 따르면, 공격자들은 매니지드 서비스 공급업체 한 곳을 침해하면 많은 고객 네트워크에 접근할 수 있다는 점을 알고 있다. 다우니는 “MSP가 공격자들의 진입 지점이 됐다. 따라서 가장 높은 수준의 보안 기준이 적용되어야 한다”라고 강조했다.
기업은 계약을 체결한 매니지드 서비스 공급업체들이 위험 완화 방법에 대해 설명하도록 요구해야 한다. 다우니는 “기업은 공급업체의 선택지들, 필요한 최신 전문성을 유지하는 방법, 최신 위험들을 따라가고 있는지 여부, 대응 방법에 대해 파악하려고 노력해야 한다. MSP는 보안에 대한 전략이 수립되어 있어야 한다”라고 강조했다.
이런 위험들 가운데 상당수는 공급업체 평가 단계에서 다룰 수 있다. 그러나 이를 제대로 하려면 조사해야 할 대상이 무엇인지 알아야 한다. 케네디는 물어야 할 가장 좋은 질문은 공급업체가 사용하는 도구와 프로세스, 채용한 운영 담당 직원의 자격 수준이라고 말했다.
공급업체가 이에 대해 명확히 밝히지 않는 것은 좋지 않다. 자격이나 인증도 마찬가지다. 다우니는 “자격이나 인증 증명서 등은 자격을 판단하는 대안적 도구이지만, 보안에서는 가장 좋은 지표이다”라고 말했다.
기업은 공급업체의 서비스 전달 모델을 깊이 조사해야 한다. 이들의 배치 및 온보딩 프로세스가 작동하는 방식, 매일이나 매주, 또는 매월 자신의 팀과 꾸준히 접촉을 유지하는 방식을 파악하고 이해해야 한다.
또한 사고 대응에 사용하는 제어책과 기술 플랫폼을 파악해야 한다. 브래그는 “평가 초기 단계에 별도 모듈이나 패키지로 판매되는 서비스를 파악하고, 이를 보안 니즈에 맞춰봐야 한다”라고 덧붙였다. editor@itworld.co.kr