Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

보안 서비스 구입할 때 가장 중요한 것 "제품과 업체 평가 선행"

Deb Radcliff | CSO 2022.11.21
노련한 CSIO 마이크 만로드는 훌륭한 사이버 보안 공급업체 평가의 가치를 인지하고 있다. 만로드는 이전 직장에서 장기 서비스 계약에 따라 매우 비싼 베이퍼웨어(vaporware)를 물려받았던 것을 기억한다. 전임자는 혁신적이라고 주장하는 신원증명 및 액세스 관리 플랫폼 베타 버전을 구매했으나, 제품에 대한 어떤 분석도 하지 않았고, 단순히 제품 효과가 좋다는 업체의 주장을 받아들였다. 어리석은 행동이었다. 

이와는 반대로 만로드는 현재 직장인 그랜드 캐년 에듀케이션(Grand Canyon Education)의 CSIO로서 웹 애플리케이션 보안 제품 평가를 위해 별도의 부서를 구성하면서, 테스트를 통해 사용하는 기업이 검증하면 업체 측의 주장을 쉽게 전복할 수 있다는 점을 알아냈다. 기본 테스트만으로도 높은 비용을 물어야 하는 실수를 방지할 수 있었다. 
 
ⓒ Getty Images Bank


이른바 ‘기발한’ 웹 애플리케이션 보안 제품 평가를 위해 팀을 구성했으나, 클라이언트 쪽의 검증이 제품을 쉽게 우회해 전복시킬 수 있다는 점을 테스트를 통해 발견했다. 이러한 기본적인 테스트 덕분에 높은 비용을 초래하는 실수를 방지할 수 있었다. 만로드는 “신생업체는 트라이스포밍(trysforming)하기 때문에 때때로 원점으로 돌아가는 경우가 있다. 이것 자체가 문제가 되지는 않지만, CISO 같은 보안 리더가 준비되지 않은 제품을 무턱대고 구매할 경우, 결국 CISO의 책임이 된다”라고 강조했다. 

만로드는 성숙한 평가 프로그램은 문제에 대한 명확한 이해 및 문제 해결을 위한 방안에서 시작한다고 설명한다. 반면, 비성숙한 팀은 먼저 명확한 비즈니스 요구를 규정하지 않고 경영진이 회의에서 제품을 마음에 들어 했다는 것 말고는 더 나은 이유가 없어도 특정 제품을 구입한다.

또한 성숙한 평가 팀은 규정된 비즈니스 요구를 충족하는 솔루션으로 범위를 좁히기 전에 광범위한 솔루션을 두고 이해하고 검토한다. 성숙한 조직은 아무런 의문도 제기하지 않고 공급업체의 마케팅 소개 자료를 신뢰하기보다는 테스트에 더 의존한다. 예를 들어, 고급 테스트 부서는 공격자의 전술, 기술 및 절차(TTP)를 정확히 모방해서 보안 도구 우회를 실험한다.  

하지만 사이버보안 공급업체를 검증하는 보편적 프레임워크란 존재하지 않는다.

표준 평가 포맷 및 반복 가능한 프로세스 등 성숙한 프로그램의 가장 중요한 특징은 현재 산업 수준에서는 거의 존재하지 않기 때문에, 기업은 구매하려는 새로운 솔루션을 두고 자체적으로 체크리스트와 스프레드시트 등을 개발해 활용해야 한다. 사이버보안 업체 레인 캐피털의 사이버보안 전문가인 첸시 왕은 이로 인해 구매 기업과 판매 업체 모두 어려움에 봉착한다고 지적했다. 

왕은 “보안 공급업체 평가를 위해 사용하는 보편적인 프레임워크가 없다는 것은 안타까운 일이다. 각기 다른 공급업체, 제품, 서비스에 같은 작업을 해야 하기 때문이다. 구매 기업과 판매 업체의 양 측면을 모두 경험하고 있다. 투자 목적으로 회사를 평가하는데 투자를 하고 나면 판매자의 입장이 된다. 보편적 프레임워크 및 표준이 있다면 우선순위 설정, 고객과의 소통 방법 고안과 같은 판매 측면 업무가 훨씬 수월해질 것”이라고 설명했다.  

영국 보안 제품 평가 제공업체 SE 랩스(SE Labs) 설립자 사이먼 에드워드는 보안 서비스의 평가 표준화 문제는 공급업체나 테스터의 반발에서 비롯된다고 이야기했다. 에드워드는 공급업체가 구매자를 잃을 수 있기 때문에 비판을 원하지 않는다고 설명했다. 한편, 테스터는 표준이 제한적이기 때문에 일반적으로 평가 표준화를 좋아하지 않는다. 그러나 경험상 에드워드는 표준이 제한이라고 생각하지 않는다. “보안 제품 테스트는 정말 어렵다. 하나의 문제를 해결하는 솔루션 유형이 상당히 많고 제품 구성과 배포 방식이 다양하기 때문이다”라고 덧붙였다.
 

 Tags 사이버보안업체평가 업체평가 보안테스트 베타테스트 CISO
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.