4 Min. Read

써드 파티에서 비롯되는 보안 취약점을 최소화하는 3단계

Guy Flechter Guy Flechter Jun 03, 2019

그 어떤 조직도 외부와 완전히 차단된 상태로 존재할 수는 없습니다. 고심 끝에 마련한 다양한 내부 보안 대책이 조직을 충분히 안전하게 지켜주리라 믿고 싶겠지만, 내부 보안은 보안이라는 크고 복잡한 퍼즐의 한 조각에 불과하다는 게 냉정한 현실입니다. 모든 조직은 다른 조직에 의존하며 이메일 제공업체, 서버 팜, 금요일 점심 케이터링 서비스를 해주는 카페 등, 알게 모르게 수많은 조직의 조력을 받습니다. 따라서 이처럼 의존하는 다른 조직과 서비스까지 보안 적용 범위를 확장하지 않으면 큰 문제에 봉착하게 됩니다.

지난 10년만 놓고 봐도, 수많은 회사들이 미처 예상하지 못했던 공급망의 취약점과 보안 침해 사고로 인해 뿌리째 흔들린 사례가 빈번합니다. 세계 최대 규모를 자랑하는 유수의 대기업 중에도 외부 협력업체로부터 야기된 취약점 때문에 보안 사고의 희생자가 되어 몰락한 사례가 있습니다.

따라서 외부 협력업체의 보안 문제는 조직 내 보안과 똑같이 엄격한 기준을 두고 다루어야 합니다. 써드 파티 툴의 보안 문제 역시 방심한다면, 전 직원이 암호를 1234567로 설정하고서 사무실 문을 잠그지 않은 채 모두 퇴근한 상황이나 다름없습니다. 내부 보안에 투자하면서 이러한 보안 취약점을 간과한다면 앞문에는 자물쇠를 채우고 창문은 활짝 열어둔 채로 방치한 것이나 마찬가지입니다. 취약점은 바로 그런 것이며, 외부 협력업체는 중대한 보안 취약점의 원인 제공자가 될 수 있습니다.

다른 모든 회사와 마찬가지로, AppsFlyer 역시 외딴섬에 동떨어져 있는 조직이 아닙니다. AppsFlyer 제품은 써드 파티 제품과 연동되며 우리는 여러 부서에 걸쳐 외부 협력업체가 제공하는 내부 서비스를 이용하고 있습니다. 여러 관점에서 보았을 때, AppsFlyer의 전체 보안 포지셔닝에서 외부 협력업체 보안 관리가 결정적인 역할을 하므로 보안팀의 적절한 관심과 주의가 필요합니다.

본 포스트는 이러한 관점에서 외부의 신규 외부 협력업체와 계약을 맺기 전에 취해야 할 단계와 보안 조치 사항을 다루고자 합니다.보안의 관점에서 다음 세 단계를 밟아야 합니다.

1. 위험 평가
2. 우선순위 지정, 자동화, 가시화
3. 지속적 모니터링

자, 시작해 볼까요?

 

들어가는 말: 써드 파티가 전부 똑같을까요?

아닙니다.

갖가지 형태의 외부 협력업체가 있고 이로 인해 발생할 수 있는 위험도 저마다 다릅니다. 위에서 예시로 나왔던 금요일 점심 케이터링 서비스를 해주는 카페가 이메일 시스템을 유지 관리해주는 회사와 같은 종류의 보안 위험을 초래하지는 않습니다.

보안 리소스는 제한적이므로, 보안 유지를 위한 자원을 어느 곳에 투자할지 결정하는 일이 중요합니다. 새로운 타사 서비스를 고려할 때 거쳐야 할 첫 번째 주요 단계로, 다른 외부 협력업체보다 더욱 심층적인 보안 심사가 필요한 업체가 어딘지 파악해야 합니다. 여기서는 위험 평가가 핵심입니다. 조직의 규모는 방대해지지만 리소스는 훨씬 더 제한됩니다. 따라서 위험 평가를 통해 리소스를 함부로 소진하지 않고 보안 조치를 어디에 집중 적용해야 하는지, 그 방법은 무엇인지 결정해야 합니다.

 

1. 위험 평가

위험 평가는 모든 정보 보안 프로그램의 핵심 요소입니다. 어떤 조직에서든 위험 평가 프로그램은 써드 파티에 의존함으로써 발생할 수 있는 잠재적 위험을 식별하는 일로 구성됩니다.

위험 평가를 철저하게 수행하려면 다음과 같은 몇 가지 주요한 질문에 답해야 합니다.

  1. 외부 협력업체가 민감한 정보의 액세스 권한을 갖습니까?
  2. 어떤 문제를 해결하기 위해 고용하는 업체입니까?
  3. 해당 회사에 이미 유사한 문제 대책이 마련되어 있습니까?

여기서 필자가 이러한 질문에 답하기 위한 if/then 순서도나 지침으로 삼을 슬라이딩 스케일을 제시할 수는 없습니다. 회사마다 인프라와 니즈가 천차만별이므로, 그에 따라 위험 평가의 성격도 달라집니다. 위험 평가 프로세스를 진행하면서 결과적으로 시간과 노력을 절약하고 질문에 더 쉽게 답할 수 있습니다.
이러한 4가지 질문에 대해 확실히 대답할 수 있다면, 좀 더 수월하게 의사결정을 내리고 우선순위를 정하게 됩니다.

보안 요구 사항을 법적 계약서에 분명히 명시하고 외부 협력업체와 함께 서명해야 합니다. 그러면 보안 요구 사항을 한 가지 형식으로 통일할 수 있어 외부 협력업체 보안 평가 프로세스에 걸리는 시간을 단축하는 데 도움이 됩니다.

필자는 업무상 수많은 외부 협력업체를 만나면서 보안 설문조사에서 훌륭한 답안을 내놓으려고 실제보다 과장되게 답하는 업체가 많다는 사실을 보았습니다. 외부 협력업체와 보안 문제를 논의할 때 보안팀도 함께 미팅에 참가해 필요한 질문을 직접 묻고 업체가 이에 답하도록 함으로써 공개적이고 전문적인 논의가 이루어지도록 해야 합니다.

마지막으로, 외부 협력업체가 특정 조항이나 요구 사항에 동의하기를 완강히 거부할 경우, 업체의 전반적인 보안 조치 이행 능력뿐만 아니라 더 깊이 살펴봐야 할 위험 영역을 보여주는 유용한 신호로 활용할 수 있습니다.

2. 우선순위 지정, 프로세스 자동화, 가시성 제공

보안 프로세스를 진행할 때 진행 속도를 불합리하게 늦추고 폐쇄적으로 모든 일을 쉬쉬하며 처리하는 태도는 바람직하지 않습니다.

우선순위 지정 – AppsFlyer의 보안 접근 방식은 민첩성을 생명으로 하며, 회사 규모를 키우는 과정에서 이러한 방식이 유용하다는 사실이 입증되었습니다. 우리는 다양한 부서와 늘 연락을 유지하여 프로세스가 지연되는 일 없이 보안 문제를 해결합니다. 또는 적어도 병목 현상이 발생하지 않게끔 가능한 한 최선을 다합니다. 항상 누군가 문지기 역할은 해야겠지만, ‘문’은 늘 열려 있어야 합니다.

물론 모든 프로세스를 포기한다는 의미는 아니지만, 어떤 외부 협력업체로부터 발생하는 위험이 매우 제한적이라고 판단한다면 추가적인 보안 심사를 실시할 이유가 없습니다. 

프로세스 자동화 – 프로세스를 최대한 자동화하십시오. 이는 위험 평가 프로세스와 외부 협력업체 관계 관리를 도와주는 소프트웨어의 구매를 의미할 수도 있습니다(이때는 소프트웨어 업체부터 먼저 보안 심사를 해야 한다는 점도 잊지 마십시오). 자동화를 통해 팀을 확장할 수 있고 여러 다른 팀이 보안팀의 대답을 기다리느라 차질을 빚을 일도 줄어듭니다.

가시성 제공 – 내부적으로 보안팀뿐 아니라 외부 협력업체 고용을 요청하는 직원이나 팀, 업체의 입장에서도 프로세스와 해당 근거가 분명한지 확인하십시오. 모든 관련자가 요청의 상태가 어떠한지, (해당하는 경우) 어떤 간극이나 문제가 존재하는지에 관한 최신 정보를 파악하고 있어야 합니다.

 

3. 지속적 모니터링

보안은 유동적인 문제이며 결코 정적이지 않습니다. 따라서 꾸준하고도 지속적인 모니터링이 회사의 보안 유지에 결정적으로 중요한 사항입니다. 조직은 발전과 진화를 거듭합니다. 다른 회사에 인수되어 해당 회사로 데이터를 전송하기도 하고, 기준을 변경하거나 본사를 이전할 때도 있습니다. 예를 들어, 함께 일하던 업체가 인수될 경우에는 보안 심사 프로세스를 처음부터 다시 시작해야 합니다. 즉, 본질적으로 새로운 업체를 평가하는 셈입니다. 고인 물은 썩기 마련입니다. 이미 고용한 벤더라도 지속적으로 재평가해야 합니다.

 

보안을 조직의 DNA로 아로새기기

조직의 보안 유지 노력에 관한 한, 써드 파티의 위험은 수많은 요소 중 하나일 뿐입니다. 기업 혁신과 성장의 모든 단계에서 보안을 우선하는 태도는 위험 경감에 관해서라면 한 치의 양보도 없이 늘 한 걸음 앞서간다는 사실을 의미합니다.

써드 파티 관련 위험에 휘둘리지 말고 미연에 철저히 관리하십시오.

 

AppsFlyer의 CEO인 Oren Kaniel이 핵심적인 마케팅 플랫폼의 4대 요소 중 하나인 써드 파티 관련 위험에 관해 논하는 강연을 시청해 보세요.