서드파티를 위험도에 따라 분류하여 관리
지속적으로 평가할 수 있는 시스템 구축
[보안뉴스 주소형] 트로이 신화 속에서 그리스 전사들은 거대한 성벽을 무너뜨리기 위해 수많은 시간을 쏟아 부었다. 하지만 결국 성을 함락시킨 건 오디세우스(Odysseus)의 현명한 전략이었다. 나무로 만들어진 거대한 트로이의 목마 안에 잠복해 적군들을 속이고 성을 차지하게 됐다는 해당 스토리는 여전히 다양한 곳에서 활용되고 있다. 보안에서 트로이는 기업이며 트로이의 목마는 서드파티 시스템이다.
▲ 우리 집 울타리 안만 지켜서는 안돼!
기업들은 자신들의 울타리 보호에만 정신이 팔려있는 경향이 많다. 다소 지나칠 정도의 비용을 투자하는 기업들도 있다. 막상 그들의 파트너사들의 보안상태에 대해서는 관심도 없다. 대부분의 대규모 유출사고가 서드파티로 인해 야기되고 있는데도 불구하고 말이다. 이에 최근 기업들은 해당 리스크를 줄여 보고자하는 파트너사 직접 방문, 보안설문지, 비정기적인 회계감사 등 약간의 노력을 하고 있다. 하지만 이러한 방법으로 보안을 평가하기에는 한계가 있다. 이를 인지한 몇몇의 선도 기업들은 보안성 강화를 위해 자신들을 둘러쌓고 있는 주변의 보안까지 관리할 수 있는 새로운 방법을 찾는 움직임을 보이고 있다.
만약 현재 거래하고 있는 업체가 100개가 넘는다면, 그들의 모든 보안리스크 이슈를 체크하고 안다는 것은 거의 불가능에 가깝다. 현실적으로 할 수 있는 일은 파트너사들에게 설문지와 전화를 돌리고 법적인 내용들이 포함된 계약서들까지 각각의 기업들에게 전달하고 그들이 성의 있게 진실만을 기재해주기 바라는 게 전부다. 즉 그들이 이를 대하는 자세에 한 기업이 보안변수 관리수준과 파악능력이 달라진다고 볼 수 있다.
그렇게 그들에게 과제(?)만을 던져주고 기다리는 것 외에도 할 일은 또 있다. 그들에 대한 우선순위를 정하는 것. 물론 모든 곳을 동일하게 철저하게 조사하고 관리하면 좋겠지만 일단 더 위험할 수 있는 곳들을 선정하여 그들을 먼저 관리해주는 요령도 필요하다. 서드파티라는 요소는 보안에서 이제 빼놓을 수 없는 존재로 완전히 자리 잡았다. 사전대책이 시급한 상황이다. 이를 실천할 수 있는 7가지 스텝은 다음과 같다.
1. 경영진이 법무 자문위원을 두게 하라.
2. 위험등급을 정하고 거래기업들 전부를 그룹별로 분리해라.
3. 거래기업들에게 배포한 설문지에 대한 답변을 받는 데도 노력을 기울여라.
4. 서드파티와 상하관계가 아닌 수평적인 관계에서 우리는 한 배를 탄 동지라는 개념을 심어줘라.
5. 한 순간 진행하고 끝나는 것이 아닌 지속적으로 평가할 수 있는 시스템을 만들어라.
6. 파악된 리스트위협들에 대해서는 전부 공통적으로 체크할 수 있는 기반을 구축해라.
7. 전담 회계감사 기업을 반드시 선정해라.
의존 없이 독립적으로 보안을 확인할 수 있는 방법도 있다. 빅데이터, 위협정보, 거버넌스, 컴플라이언스 시스템 등과 같은 기술을 통해 기업들의 판단력을 높이는 데 도움이 된다. 이를 적절하게 사용하는 것만으로도 보안성을 강화할 수 있다.
하지만 이러한 기술적인 방법만으로는 부족하다. 결국 네트워크는 유기적으로 연결되어 있기 때문에 혼자 보안성이 높은 것은 사실상 큰 의미가 없다. 자사와 관계된 모든 회사들의 보안에도 주인의식을 갖고 관리하겠다는 자세가 중요하다.
.jpg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
지속적으로 평가할 수 있는 시스템 구축
[보안뉴스 주소형] 트로이 신화 속에서 그리스 전사들은 거대한 성벽을 무너뜨리기 위해 수많은 시간을 쏟아 부었다. 하지만 결국 성을 함락시킨 건 오디세우스(Odysseus)의 현명한 전략이었다. 나무로 만들어진 거대한 트로이의 목마 안에 잠복해 적군들을 속이고 성을 차지하게 됐다는 해당 스토리는 여전히 다양한 곳에서 활용되고 있다. 보안에서 트로이는 기업이며 트로이의 목마는 서드파티 시스템이다.
▲ 우리 집 울타리 안만 지켜서는 안돼!
기업들은 자신들의 울타리 보호에만 정신이 팔려있는 경향이 많다. 다소 지나칠 정도의 비용을 투자하는 기업들도 있다. 막상 그들의 파트너사들의 보안상태에 대해서는 관심도 없다. 대부분의 대규모 유출사고가 서드파티로 인해 야기되고 있는데도 불구하고 말이다. 이에 최근 기업들은 해당 리스크를 줄여 보고자하는 파트너사 직접 방문, 보안설문지, 비정기적인 회계감사 등 약간의 노력을 하고 있다. 하지만 이러한 방법으로 보안을 평가하기에는 한계가 있다. 이를 인지한 몇몇의 선도 기업들은 보안성 강화를 위해 자신들을 둘러쌓고 있는 주변의 보안까지 관리할 수 있는 새로운 방법을 찾는 움직임을 보이고 있다.
만약 현재 거래하고 있는 업체가 100개가 넘는다면, 그들의 모든 보안리스크 이슈를 체크하고 안다는 것은 거의 불가능에 가깝다. 현실적으로 할 수 있는 일은 파트너사들에게 설문지와 전화를 돌리고 법적인 내용들이 포함된 계약서들까지 각각의 기업들에게 전달하고 그들이 성의 있게 진실만을 기재해주기 바라는 게 전부다. 즉 그들이 이를 대하는 자세에 한 기업이 보안변수 관리수준과 파악능력이 달라진다고 볼 수 있다.
그렇게 그들에게 과제(?)만을 던져주고 기다리는 것 외에도 할 일은 또 있다. 그들에 대한 우선순위를 정하는 것. 물론 모든 곳을 동일하게 철저하게 조사하고 관리하면 좋겠지만 일단 더 위험할 수 있는 곳들을 선정하여 그들을 먼저 관리해주는 요령도 필요하다. 서드파티라는 요소는 보안에서 이제 빼놓을 수 없는 존재로 완전히 자리 잡았다. 사전대책이 시급한 상황이다. 이를 실천할 수 있는 7가지 스텝은 다음과 같다.
1. 경영진이 법무 자문위원을 두게 하라.
2. 위험등급을 정하고 거래기업들 전부를 그룹별로 분리해라.
3. 거래기업들에게 배포한 설문지에 대한 답변을 받는 데도 노력을 기울여라.
4. 서드파티와 상하관계가 아닌 수평적인 관계에서 우리는 한 배를 탄 동지라는 개념을 심어줘라.
5. 한 순간 진행하고 끝나는 것이 아닌 지속적으로 평가할 수 있는 시스템을 만들어라.
6. 파악된 리스트위협들에 대해서는 전부 공통적으로 체크할 수 있는 기반을 구축해라.
7. 전담 회계감사 기업을 반드시 선정해라.
의존 없이 독립적으로 보안을 확인할 수 있는 방법도 있다. 빅데이터, 위협정보, 거버넌스, 컴플라이언스 시스템 등과 같은 기술을 통해 기업들의 판단력을 높이는 데 도움이 된다. 이를 적절하게 사용하는 것만으로도 보안성을 강화할 수 있다.
하지만 이러한 기술적인 방법만으로는 부족하다. 결국 네트워크는 유기적으로 연결되어 있기 때문에 혼자 보안성이 높은 것은 사실상 큰 의미가 없다. 자사와 관계된 모든 회사들의 보안에도 주인의식을 갖고 관리하겠다는 자세가 중요하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
