.gif)
파트너사 없이 사업하는 기업 없어 네트워크 범위 확장
직접 보안 점검 할 수 없다면 정책이나 표준 들고 설득
[보안뉴스 문가용] 자, 드디어 당신은 회사의 네트워크를 단단하고 안전하게 만드는 데에 성공했다. 그렇다면 다음은 무엇일까? 바로 공급망의 네트워크다. 하긴, ‘우리 회사 네트워크’의 범위를 우리 건물 안의 네트워크라고 한정지을 수만은 없는 게 요즘처럼 모든 것이 연결된 때의 현실이다. 우리 회사와 같은 건물을 쓰고 있지는 않지만 사업상 여러 모로 협력할 일이 많아 외부에서도 네트워크로 접속해 들어오는 파트너 업체들을 마냥 ‘남의 네트워크’로 볼 수는 없다는 것이다. 이들이 뚫리면 우리도 뚫리고, 이들이 강력하면 우리도 강력해진다.
.jpg)
파트너사나 외주업체, 하청업체 등 다양한 형태로 다른 기업과의 교류 없이 독단적으로 사업을 이어나가는 곳은 거의 존재하지 않는다. 그리고 이런 파트너사가 해커의 공격에 당한 것 때문에 어마어마한 피해를 입은 사례들도 이미 존재한다. 전통적으로 이렇게 기업과 파트너를 맺는 공급망 전문 업체가 주로 신경을 써왔던 건 주문 및 배송 오류 최소화, 도난 방지, 물리 보안, 보험, 공급 제품의 질 등이었다. 이제는 여기에 더해 정보보안과 네트워크 방어도 신경을 써야 한다. 파트너사의 지적재산 등도 보호의 대상에 포함시켜야 하는 때인 것이다.
아무리 그래도 우리 회사도 아닌, 다른 기업의 네트워크 보안에 대해서 이러쿵 저러쿵 말 하기가 곤란하다 하는 사람들이 있다. 당연한 질문이지만, 시각을 바꿔보면 여태까지 해왔던 ‘품질관리’와 크게 다르지 않다. 하청 혹은 공급을 받는 입장에서 얼마든지 품질과 관련된 문제에 대하여 같이 이야기를 나눌 수 있는 것 아니던가?
파트너사의 보안을 위해서는 먼저 수많은 파트너사들을 분류해 어떤 회사가 어떤 임무를 맡고 있는지, 그래서 그 회사와의 관계에 있어 가장 중요한 자산은 무엇인지, 계약상 서로가 서로에게 어떤 책임을 가지는지를 파악해야 한다. 그러면 회사마다 최소한 필요한 보안수준이 나올 것이다. 이를 깔끔하고 분명하게 정의하고 알려라. 합의가 어려우면 ISO/IEC 27036과 같이 공식적인 표준을 제시하라. 이것까지 싫다고 할 사업자는 거의 없다고 보면 된다.
그렇게 최소 보안 수준이 정해졌다면 현재의 보안 및 프라이버시 통제 실태를 점검해야 한다. 그러나 기술상의 이유든 계약상의 이유든 이걸 뜻대로 할 수 없는 기업들도 많을 것이다. 그러니 계약서에 이런 절차가 명시되어 있지 않은 경우 가장 위험해보이거나 가장 중요도가 높은 업체부터 연락을 해 사정을 설명하고 양해를 구해야 한다. 다행인 건 보안을 강화하는 것이 기업 활동을 하는 데에 있어 필수덕목으로 자리 잡아 가고 있다는 점이다. 국제 표준도 여럿 있고, 심지어 정부들에 따라 이를 필수로 정해놓은 나라들도 있다.
이게 무슨 뜻이냐면, 파트너사와 보안 점검에 대한 직접 협의를 이끌어내지 못했다 하더라도 정보보안이 갈수록 중시되어지는 분위기를 이용해 설득을 하거나 회유할 수 있다는 것이다. 이런 저런 보안 표준이 있는데, 가지고 있으면 고객 신뢰도가 올라간다더라며 한 번 취득해보는 것은 어떻겠냐 소개해주는 것도 한 방법이다. 실제 보안과 관련된 국제 표준을 취득하는 건 업체로서 굉장히 큰 ‘플러스 요인’이 된다.
보안을 담당하는 사람들의 시각은 ‘고객’ 혹은 ‘소비자’ 아니면 통틀어 ‘사용자’를 기준으로 해야 한다. ‘이 정도면 안전해’라는 게 내 기준이어서는 안 된다는 뜻이며, 공급망을 통한 해킹 사건이 일어났을 때 ‘우리 회사 책임은 아니야’라는 게 일반 사용자들 사이에서는 전혀 통하지 않는다는 뜻이다. 타깃(Target)을 보라. 공급망 일부가 뚫린 것인데, 사퇴한 건 타깃의 CEO였다.
싫든 좋든, 정서상 맞든 틀리든, 이제 파트너사의 보안까지도 신경을 반드시 써야 하는 때가 되었다. 계약서를 잘 간수해 사고가 일어났을 때 책임소재만 분명히 해서는 안 된다. 이름 그대로 ‘파트너’가 되어 서로의 보안에까지 ‘착한 참견’을 해야 한다. 이는 남을 위한 자선이 아니라 내 회사를 지키기 위한 것이라는 걸 명심하자.
글 : 스티브 그롭맨(Steve Grobman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
직접 보안 점검 할 수 없다면 정책이나 표준 들고 설득
[보안뉴스 문가용] 자, 드디어 당신은 회사의 네트워크를 단단하고 안전하게 만드는 데에 성공했다. 그렇다면 다음은 무엇일까? 바로 공급망의 네트워크다. 하긴, ‘우리 회사 네트워크’의 범위를 우리 건물 안의 네트워크라고 한정지을 수만은 없는 게 요즘처럼 모든 것이 연결된 때의 현실이다. 우리 회사와 같은 건물을 쓰고 있지는 않지만 사업상 여러 모로 협력할 일이 많아 외부에서도 네트워크로 접속해 들어오는 파트너 업체들을 마냥 ‘남의 네트워크’로 볼 수는 없다는 것이다. 이들이 뚫리면 우리도 뚫리고, 이들이 강력하면 우리도 강력해진다.
파트너사나 외주업체, 하청업체 등 다양한 형태로 다른 기업과의 교류 없이 독단적으로 사업을 이어나가는 곳은 거의 존재하지 않는다. 그리고 이런 파트너사가 해커의 공격에 당한 것 때문에 어마어마한 피해를 입은 사례들도 이미 존재한다. 전통적으로 이렇게 기업과 파트너를 맺는 공급망 전문 업체가 주로 신경을 써왔던 건 주문 및 배송 오류 최소화, 도난 방지, 물리 보안, 보험, 공급 제품의 질 등이었다. 이제는 여기에 더해 정보보안과 네트워크 방어도 신경을 써야 한다. 파트너사의 지적재산 등도 보호의 대상에 포함시켜야 하는 때인 것이다.
아무리 그래도 우리 회사도 아닌, 다른 기업의 네트워크 보안에 대해서 이러쿵 저러쿵 말 하기가 곤란하다 하는 사람들이 있다. 당연한 질문이지만, 시각을 바꿔보면 여태까지 해왔던 ‘품질관리’와 크게 다르지 않다. 하청 혹은 공급을 받는 입장에서 얼마든지 품질과 관련된 문제에 대하여 같이 이야기를 나눌 수 있는 것 아니던가?
파트너사의 보안을 위해서는 먼저 수많은 파트너사들을 분류해 어떤 회사가 어떤 임무를 맡고 있는지, 그래서 그 회사와의 관계에 있어 가장 중요한 자산은 무엇인지, 계약상 서로가 서로에게 어떤 책임을 가지는지를 파악해야 한다. 그러면 회사마다 최소한 필요한 보안수준이 나올 것이다. 이를 깔끔하고 분명하게 정의하고 알려라. 합의가 어려우면 ISO/IEC 27036과 같이 공식적인 표준을 제시하라. 이것까지 싫다고 할 사업자는 거의 없다고 보면 된다.
그렇게 최소 보안 수준이 정해졌다면 현재의 보안 및 프라이버시 통제 실태를 점검해야 한다. 그러나 기술상의 이유든 계약상의 이유든 이걸 뜻대로 할 수 없는 기업들도 많을 것이다. 그러니 계약서에 이런 절차가 명시되어 있지 않은 경우 가장 위험해보이거나 가장 중요도가 높은 업체부터 연락을 해 사정을 설명하고 양해를 구해야 한다. 다행인 건 보안을 강화하는 것이 기업 활동을 하는 데에 있어 필수덕목으로 자리 잡아 가고 있다는 점이다. 국제 표준도 여럿 있고, 심지어 정부들에 따라 이를 필수로 정해놓은 나라들도 있다.
이게 무슨 뜻이냐면, 파트너사와 보안 점검에 대한 직접 협의를 이끌어내지 못했다 하더라도 정보보안이 갈수록 중시되어지는 분위기를 이용해 설득을 하거나 회유할 수 있다는 것이다. 이런 저런 보안 표준이 있는데, 가지고 있으면 고객 신뢰도가 올라간다더라며 한 번 취득해보는 것은 어떻겠냐 소개해주는 것도 한 방법이다. 실제 보안과 관련된 국제 표준을 취득하는 건 업체로서 굉장히 큰 ‘플러스 요인’이 된다.
보안을 담당하는 사람들의 시각은 ‘고객’ 혹은 ‘소비자’ 아니면 통틀어 ‘사용자’를 기준으로 해야 한다. ‘이 정도면 안전해’라는 게 내 기준이어서는 안 된다는 뜻이며, 공급망을 통한 해킹 사건이 일어났을 때 ‘우리 회사 책임은 아니야’라는 게 일반 사용자들 사이에서는 전혀 통하지 않는다는 뜻이다. 타깃(Target)을 보라. 공급망 일부가 뚫린 것인데, 사퇴한 건 타깃의 CEO였다.
싫든 좋든, 정서상 맞든 틀리든, 이제 파트너사의 보안까지도 신경을 반드시 써야 하는 때가 되었다. 계약서를 잘 간수해 사고가 일어났을 때 책임소재만 분명히 해서는 안 된다. 이름 그대로 ‘파트너’가 되어 서로의 보안에까지 ‘착한 참견’을 해야 한다. 이는 남을 위한 자선이 아니라 내 회사를 지키기 위한 것이라는 걸 명심하자.
글 : 스티브 그롭맨(Steve Grobman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
