우회 공격이 유행인 지금, 서드파티 보안 역시 신경 써야
분류, 분리 및 암호화 등 위험을 최대한 줄이는 방법 5가지

[보안뉴스 문가용] 네트워크가 고도로 발전하면서 자기 PC만 잘 관리하면 되던 시대는 이미 한참 전에 저물었다. 여기에 모바일과 사물인터넷이 가세하면서 아예 관리라는 것 자체가 힘들어졌고, 관리가 힘들어짐에 따라 구멍이 더 많이 생기고 있다. 이런 구멍 중 하나가 서드파티다. 해커들은 공격 목표인 업체나 조직에 침투하기 위해 이제 직원 한 사람 한 사람을 넘어 협력 및 하청 업체까지도 우회할 줄 알게 되었다.
 

 ▲ 너는 내 운명이지만, 원활한 소통을 위해 밀당은 말자.
보안 서비스 제공업체인 어큐번트(Accuvant)의 부회장인 제임스 크리스천슨(James Christiansen)은 이런 ‘서드파티 리스크’를 네 가지 측면에서 분류, 관리하는데 바로 다음과 같다.

1. 중요한 데이터의 손실과 관계된 리스크
사업을 진행하는 데에 있어 제일 중요한 정보를 손실하는 것으로 보안 및 해킹 사고에서 가장 빈번하게 일어나는 사고며 그러므로 가장 흔한 리스크다. 첨단 회사의 기술력이 될 수 있고, 디자인 회사의 디자인 시안일 수도 있으며, 일반 소매업 매장의 고객정보일 수도 있다.

2. 사업 운영에 대한 리스크
천재지변 같은 사건이 일어나면 어떻게 대처할 것인가? 태풍 때문에 침수 사건이 일어났는데, 하필이면 서드파티 업체가 그런 일을 겪었다면 우리 사업도 덩달아 느려지거나 멈춰야 하는가?

3. 규제 및 법과 관련한 리스크
서드파티에서 시작되거나 일어난 보안 사고에 대한 책임을 누가 어디까지 함께 져야 하는가? 혹시 누군가 고소를 할 가능성은 없는가? 가능하다면 서드파티는 당신 사업에 있어서 커다란 짐이 될 수가 있다.

4. 회사 명예 실추 리스크
보안사고로 잃은 명예를 회복하려면 얼마나 걸릴까? 기간도 기간이지만 비용도 만만치 않다. 오히려 해킹당한 시스템을 고치거나 백신 등으로 해킹의 흔적을 지워내는 건 쉬운 편이다. 회사의 신용을 다시 찾는 건 이와 비교할 수 없을 정도로 어렵고 복잡한 일이다. 보통 수년이 걸린다.

서드파티를 우회해서 들어온 공격으로 인해 중요한 데이터를 잃을 수도 있고 그것 때문에 법적 소송에 휘말릴 수도 있다. 고객의 신용을 잃는 건 덤이다. 이런 모든 건 마치 천재지변처럼 사업 운영을 크게 방해할 것이다. 서드파티를 관리하고 방어하는 것은 보안담당자에게 필수 요소가 되어가고 있다. 그러기 위한 다섯 가지 방법을 전문가들에게 들어보았다.

1. 서드파티들을 3단계로 분류하라
판매자, 공급자, 하청업체 등 회사와 연결되어 있는 서드파티가 가지고 있는 리스크의 정도에 대해 정확히 알아보려면 업체들의 접근 권한과 예상되는 피해 규모를 먼저 파악해야 한다. 이를 파악할 수 있는 방법으로는 설문조사가 가장 널리 쓰이는데, 물론 상황을 완벽하게 파악하는 데에 유효한 방법은 아니지만 리스크 수준을 상,중,하 3단계로 대략적인 분류를 하기에는 충분하다.

왜 겨우 3단계인가? 리스크를 분석하는 데에 있어 기본 규칙은 ‘간단할수록 좋다’이기 때문이다. 또한 설문조사의 문항이 많으면 많을수록 응답자들이 집중력을 잃어 정확한 답변이 나오지 않을 가능성이 높아지는데, 분류 단계를 늘리면 늘릴수록 질문 문항수가 많아질 수밖에 없다. 문항은 8~15개가 적당하고 현실적이다.

또한 설문을 그저 서드파티 업체에 전적으로 맡기는 것도 정확한 분석을 방해한다. 누군가 파견을 보내 직접 설문을 실시하거나 관리나 감독을 하도록 해야 한다. 그렇게 서드파티들을 단계별로 분류했다면 어디에 더 신경을 쓰고 주시해야 하는지가 판명난다.
(어큐번트의 크리스천슨, 비트사이트의 보이어)

2. 필수사항과 규제준수에 대해 공지한다
회사의 규모가 크면 클수록 관련된 서드파티들의 수도 많다. 수많은 회사들을 정성과 열정으로 관리하는 건 불가능하다. 드는 비용이 만만치 않기 때문이다. 이걸 해결하기 위한 것이 바로 위의 ‘단계별로 분류하기’이다. 가장 필요한 곳에 집중을 하라는 것이다.

위험 등급이 가장 높은 곳에는 적당한 감사조치를 취해 사업 모든 분야를 새롭게 점검하도록 해야 한다. 아쉬운 사람이 우물을 파는 것이기 때문에 이런 서드파티들은 별다른 필요를 못 느낄 수도 있고, 그렇다면 보안강화에 대한 투자를 대신 해줘야 할 수도 있다. 필요하다면 그렇게라도 해야 한다.

중간 정도의 위험 등급을 가진 서드파티의 경우엔 전화로 보안 문제에 대해 이야기를 나눠보는 것만으로도 충분할 수 있다. 이런 저런 사고가 많은데 그쪽 회사에선 어떤 방비를 하고 있는가 물어보고 우리 회사는 이런 저런 조치를 취하고 있다고 제안하는 것으로도 효과를 볼 수 있다. 위험도가 가장 낮은 서드파티 업체는 그냥 가끔 혹은 주기적으로 모니터링을 하는 것만으로도 충분하다.

이 모든 것의 중심에는 커뮤니케이션이 있다. 그냥 일상 대화 속에서 보안을 언급한다고 해서 효과가 좋을 리 없다. 먼저 회사 내부에서 서드파티 보안사고가 일어났을 경우 서드파티를 포함해 누구에게 책임을 물을 것인지를 확실하게 결정하고, 이를 서드파티에 정식으로 통보하고 공지해야 한다. 메시지에 무게감을 싫어주라는 것이다.
(담발라의 브라이언 포스터, 델로이트의 아드난 아미야드)

3. 접근 권한 및 아이디 관리
서드파티를 통한 공격을 막기 위해서는 확실하고 구체적인 사용자 및 기기 관리 방침이 있어야 한다. 그리고 그 방침을 네트워크 접근 제어와 접목시켜야 한다. 예를 들어 사용자 당 로그인 아이디를 몇 개까지 운용할 수 있는지, 접근하려는 시스템마다 사용자가 아이디를 다르게 만들어야 하는지 아닌지를 정하고 지키게 해야 한다는 뜻이다.

또한 계약이 만료된 서드파티의 사용자 아이디나 계정을 삭제하는 걸 의외로 소홀히 하는 기업들이 많다. 그 기업에서 나쁜 마음을 먹고 계약 후에 네트워크에 접속해 뭔가를 훔쳐갈 가능성이 높지 않다고 하더라도, 그런 휴면 계정이 하나 있다는 것 자체가 해커들이 출입할 수 있는 통로를 그냥 남겨둔다는 의미가 된다.

업체들은 피드백 룹을 만들어 서드파티의 보안 상태에 대한 반응 속도를 높일 필요도 있다. 서드파티의 네트워크에서 비정상적인 트래픽이 감지되었을 때 접근 권한을 낮추거나 막는 타이밍이 빨라야 하기 때문이다. 노트북이 거의 필수품처럼 된 현대에 서드파티 업체 직원이 들고 다니는 노트북 역시 철저한 검사 대상이 되어야 한다.
(트러스트웨이브의 크리스 포그, 담발라의 브라이언 포스터)

4. 울타리와 감시초소는 확실하고 튼튼하게
정보에 대한 접근권을 부여할 때 경계를 확실하게 정해야 한다. 어느 업체의 어느 직원이 어디까지 우리 회사의 정보를 열람할 수 있게 할지 꼼꼼하게 규정해야 한다. 이는 또한 회사 내부 직원들에게까지 적용되어야 한다. 그리고 누군가 정보에 접근했을 때 그 사람이 누군지, 어떤 기기나 PC를 통해서 들어왔는지에 대한 기록을 저장해두는 것도 도움이 된다.

또한 네트워크를 기능별로 따로 따로 운영하는 것도 큰 도움이 된다. 직원들을 위한 내부 주차장 관리 시스템을 고객 정보를 저장하고 관리하는 네트워크와 한 곳에 둘 필요가 없다. 이렇게 네트워크를 따로따로 독립시켜 운영하면 설사 한 곳에서 공격이 감지되었다 하더라도 다른 네트워크를 보호하기가 용이해진다.
(담발라의 브라이언 포스터)

5. 정보를 보호하라
방화벽이라는 아주 괜찮은 보호막이 컴퓨터 시스템에는 존재하지만 모바일 세상에서는 거의 무용지물이다. 게다가 클라우드까지 활용하면 정보는 그냥 아무렇게나 돌아다니게 된다. 사람이 가장 취약한데, 그 사람이 정보를 자유롭게 들고 다니니 이젠 정보 자체가 취약점이 되었다고 봐도 무방하다고 전문가들은 우스갯소리를 한다. 그렇다고 직원들에게 모바일 기기를 사용하지 말라고 할 수도 없고 클라우드를 금지시킬 수도 없다. 이럴 때는 보호해야 할 정보에 다중으로 잠금장치를 걸어야 한다.

이럴 때 꼭 잊어버리지 말아야 할 것이 바로 암호화다. 암호화는 정보 보호의 가장 최종 단계에 있어, 설사 유출되었다고 하더라도 정보를 끝까지 지켜 내거나 조치를 취할 수 있을 때까지 시간을 최대한 끈다. 하지만 암호화된 정보를 일반 클라우드 서비스에서 활용한다면 제한 사항이 많이 발생한다. 생산성이 떨어지게 된다는 것이다. 그래서 많은 업체들이 정보 보호를 클라우드 서비스 업체에게 그냥 맡겨버리는 선택을 한다.

하지만 이는 보안의 측면에서 위험한 행위이다. 클라우드 서비스마다 보안에 대한 인식이 다르고, 사고가 났을 때 법적인 책임을 온전히 클라우드 서비스 업체에게 물을 수도 없는 게 현재의 법체계이기 때문이다.
(트러스트웨이브의 크리스 포그, 델로이트의 아드난 아미야드)

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>