.gif)
서드파티 보안, 아직은 법적인 책임 줄이기에 더 집중
다른 기업의 보안 상태 참견하려면 친절하고 부드럽게
[보안뉴스 문가용] 외주업체 및 용역업체, 파트너사(통칭 서드파티) 등을 우회하는 해커들의 공격이 매섭다. 그리고 앞으로도 계속해서 매서워질 전망이다. 아직 서드파티의 보안 상태까지 관리할 수 있을만한 법적인 근거나 여력이 없기 때문이다. 게다가 사실 임원진들의 관심 밖에 있는 부분이기도 하다.
최근 포네몬(Ponemonm)에서 서드파티의 보안에 대한 연구를 실시해 보고서를 발표했는데 임원진들 대부분이 서드파티로부터 비롯되는 리스크 관리에 대한 관심과 지원이 부족하다는 사실이 확인되었다. 포네몬은 여러 가지 조직체에서 리스크를 관리해주는 600명의 담당자들을 대상으로 해당 연구를 진행했다.
10명중 7명은 서드파티로부터 오는 위협이 증가하고 있거나 유지되고 있다고 생각하고 있으며, 75%는 ‘심각한 수준’이라고 판단하고 있었다. 즉 서드파티의 위협을 어느 정도 인지하고는 있다는 뜻이다. 그도 그럴 것이 이번 조사 대상이 된 기업들은 지난 1년 동안 보안 사고를 겪거나 막기 위해 평균 1천만 달러를 쓴 곳이기 때문이다.
하지만 담당자 개인은 그럴지 몰라도 회사 전체적으로는 아직도 ‘서드파티’를 심각한 위협거리로 인식하지는 않는 듯하다. 공식적인 서드파티 리스크 관리 프로그램을 보유하고 있으며 실행하고 있는 기업은 29%에 그친 것. 그나마 그런 프로그램들이 효과적이라고 자평하는 기업은 21% 뿐이었다.
여러 파트너 및 관계 업체들의 보안 상태를 평가하거나 최소한 검토는 해본다는 기업은 30%에 그쳤고, 그나마도 법적인 측면에서 검토하는 것이 대부분이었다. 이는 기업들이 사고를 막거나 피해를 최소화하는 것에 집중하는 것이 아니라 사고에 대한 책임을 지지 않도록 환경을 만들어놓는 것을 더 우선시한다는 뜻이다. 재미있는 건 이런 법적인 검토를 하는 기업들 중 실제로 사고가 발생해도 관계를 끊거나 계약을 종료할 것 같지는 않다고 답한 이들이 약 1/3 정도였다는 것.
또한 아직도 보험에 들어 피해를 어느 정도 완화시키려는 노력도 그다지 활발하지 않다는 사실도 드러났다. 사이버 보안 사고에 대비한 ‘사이버 보험’을 요구하는 기업은 절반도 되지 않았으며, 서드파티에 관한 항목이 포함된 보험 상품을 구매한 기업은 26%에 그쳤다. 사이버 보험 산업이 아직도 사용자들 사이에서는 많이 생소하다는 걸 알 수 있는 대목이다.
이렇게 기업들 대부분이 아직도 서드파티 보안에 대해 심각하게 생각하지 않는 건 상위 임원진들 때문이라는 분석 결과도 나왔다. 서드파티 보안과 관련하여 임원진들의 결정이 믿을만하다는 응답자는 37%에 그쳤으며, 서드파티 보안에 임원진들이 관여한다고 답한 사람은 40% 뿐이었다.
“서드파티로부터 오는 리스크는 점점 커지고 있는데, 이에 대처하는 전략이나 기술, 관심은 모두 부족하다는 것이 드러나며, 현실과 인식 사이의 갭이 여전히 크게 벌어져 있음을 알게 되었습니다. 임원진들의 더 많은 관심과 의식 제고가 필요합니다. 사고가 터졌을 때 어느 정도의 손해가 발생되는지 계산하고, 서드파티에 대한 보안 투자 예산을 계산해서 둘을 비교해주면 어느 정도 설득이 가능할 것입니다.” 포네몬 측의 설명이다.
산타페그룹(The Santa Fe Group)의 찰리 밀러(Charlie Miller) 부회장은 이에 서드파티 리스크 관리 프로그램을 효과적으로 도입시키기 위한 아홉 가지 순서를 제시했고, 다음과 같다.
1. 특히나 보안과 관련된 조직의 분위기는 윗사람들의 영향력이 막중하다. CEO 및 임원진들은 서드파티 보안에 대한 1차적인 책임자이며, 서드파티들과의 좋은 관계 유지에 힘을 써야 한다. 그래야 담당자들끼리도 업무가 원활해진다.
2. 또한 CEO 및 임원진들은 서드파티 보안에 대해 보다 능동적인 자세를 취해야 한다. 즉, 서드파티 관리팀 및 부서의 업무를 직접 검토하고 전략 회의에도 참석하는 등 ‘사소한 일이 아니다’ 내지는 ‘회사는 이 일을 중요하게 생각하고 있다’는 느낌을 팍팍 넣어주라. 물론 진심으로 그렇게 느껴야 한다.
3. 회사 차원에서 직원들 및 관계자들에게 회사가 쫓는 가치가 무엇이며 비전이 무엇인지 계속해서 알려주고 훈련시켜야 한다. 자연스럽게 그런 가치에 따른 정책들도 교육한다. 정책은 보안에 있어서 상당히 많은 지분을 차지한다.
4. 이처럼 소문이 무성한 서드파티의 위협을 피부로 느끼려면 서드파티를 통해 벌어지는 각종 사고에 대한 ‘피해액’을 예측해서 최대한 사실에 가깝게 수치화해야 한다. 그 어마어마한 숫자를 보면 바짝 정신이 들 것이다.
5. 클라우드와 IoT 등 서드파티가 신기술을 도입할 때 특히 유심히 살펴보는 것이 좋다. 이때 태도가 중요하다. 무조건 안 된다거나, 경고성 멘트를 날리는 건 별로 도움이 되지 않는다. 해당 기술 및 제품, 서비스에 대한 보안 권고 사항들을 친절하게 알려준다.
6. 서드파티가 민감하고 비밀스러운 정보들을 관리하고 있다면, 그 정보 자체에 대한 보안 장치가 갖춰져 있는지도 파악하고, 없다면 마련하도록 권한다. 네트워크 보안만 가지고는 소용이 없는 때라는 걸 잘 설명한다.
7. 서드파티 보안에서는 아주 기본적인 것이지만, 너무 기본적이라 자주 놓치는 것이 있는데, 바로 서드파티와 회사 사이의 연결 고리 - 통신망, 공급망 등 - 에도 취약점이 있을 가능성이 높다는 것이다. 이 부분의 취약점을 철저하게 검사하고 대처한다.
8. 서드파티 보안 계획에는 구체적인 목표가 있어야 한다. 해야 할 일들을 세분화해서, 어떤 걸 달성했고 달성 못 했는지 눈에 보이도록 한다.
9. 서드파티 보안에 대한 외부 연구 행사 및 컨소시엄에도 열심히 참여해 최신 트렌드를 파악한다. 해커들은 항상 변한다는 걸 염두에 두어야 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
다른 기업의 보안 상태 참견하려면 친절하고 부드럽게
[보안뉴스 문가용] 외주업체 및 용역업체, 파트너사(통칭 서드파티) 등을 우회하는 해커들의 공격이 매섭다. 그리고 앞으로도 계속해서 매서워질 전망이다. 아직 서드파티의 보안 상태까지 관리할 수 있을만한 법적인 근거나 여력이 없기 때문이다. 게다가 사실 임원진들의 관심 밖에 있는 부분이기도 하다.
최근 포네몬(Ponemonm)에서 서드파티의 보안에 대한 연구를 실시해 보고서를 발표했는데 임원진들 대부분이 서드파티로부터 비롯되는 리스크 관리에 대한 관심과 지원이 부족하다는 사실이 확인되었다. 포네몬은 여러 가지 조직체에서 리스크를 관리해주는 600명의 담당자들을 대상으로 해당 연구를 진행했다.
10명중 7명은 서드파티로부터 오는 위협이 증가하고 있거나 유지되고 있다고 생각하고 있으며, 75%는 ‘심각한 수준’이라고 판단하고 있었다. 즉 서드파티의 위협을 어느 정도 인지하고는 있다는 뜻이다. 그도 그럴 것이 이번 조사 대상이 된 기업들은 지난 1년 동안 보안 사고를 겪거나 막기 위해 평균 1천만 달러를 쓴 곳이기 때문이다.
하지만 담당자 개인은 그럴지 몰라도 회사 전체적으로는 아직도 ‘서드파티’를 심각한 위협거리로 인식하지는 않는 듯하다. 공식적인 서드파티 리스크 관리 프로그램을 보유하고 있으며 실행하고 있는 기업은 29%에 그친 것. 그나마 그런 프로그램들이 효과적이라고 자평하는 기업은 21% 뿐이었다.
여러 파트너 및 관계 업체들의 보안 상태를 평가하거나 최소한 검토는 해본다는 기업은 30%에 그쳤고, 그나마도 법적인 측면에서 검토하는 것이 대부분이었다. 이는 기업들이 사고를 막거나 피해를 최소화하는 것에 집중하는 것이 아니라 사고에 대한 책임을 지지 않도록 환경을 만들어놓는 것을 더 우선시한다는 뜻이다. 재미있는 건 이런 법적인 검토를 하는 기업들 중 실제로 사고가 발생해도 관계를 끊거나 계약을 종료할 것 같지는 않다고 답한 이들이 약 1/3 정도였다는 것.
또한 아직도 보험에 들어 피해를 어느 정도 완화시키려는 노력도 그다지 활발하지 않다는 사실도 드러났다. 사이버 보안 사고에 대비한 ‘사이버 보험’을 요구하는 기업은 절반도 되지 않았으며, 서드파티에 관한 항목이 포함된 보험 상품을 구매한 기업은 26%에 그쳤다. 사이버 보험 산업이 아직도 사용자들 사이에서는 많이 생소하다는 걸 알 수 있는 대목이다.
이렇게 기업들 대부분이 아직도 서드파티 보안에 대해 심각하게 생각하지 않는 건 상위 임원진들 때문이라는 분석 결과도 나왔다. 서드파티 보안과 관련하여 임원진들의 결정이 믿을만하다는 응답자는 37%에 그쳤으며, 서드파티 보안에 임원진들이 관여한다고 답한 사람은 40% 뿐이었다.
“서드파티로부터 오는 리스크는 점점 커지고 있는데, 이에 대처하는 전략이나 기술, 관심은 모두 부족하다는 것이 드러나며, 현실과 인식 사이의 갭이 여전히 크게 벌어져 있음을 알게 되었습니다. 임원진들의 더 많은 관심과 의식 제고가 필요합니다. 사고가 터졌을 때 어느 정도의 손해가 발생되는지 계산하고, 서드파티에 대한 보안 투자 예산을 계산해서 둘을 비교해주면 어느 정도 설득이 가능할 것입니다.” 포네몬 측의 설명이다.
산타페그룹(The Santa Fe Group)의 찰리 밀러(Charlie Miller) 부회장은 이에 서드파티 리스크 관리 프로그램을 효과적으로 도입시키기 위한 아홉 가지 순서를 제시했고, 다음과 같다.
1. 특히나 보안과 관련된 조직의 분위기는 윗사람들의 영향력이 막중하다. CEO 및 임원진들은 서드파티 보안에 대한 1차적인 책임자이며, 서드파티들과의 좋은 관계 유지에 힘을 써야 한다. 그래야 담당자들끼리도 업무가 원활해진다.
2. 또한 CEO 및 임원진들은 서드파티 보안에 대해 보다 능동적인 자세를 취해야 한다. 즉, 서드파티 관리팀 및 부서의 업무를 직접 검토하고 전략 회의에도 참석하는 등 ‘사소한 일이 아니다’ 내지는 ‘회사는 이 일을 중요하게 생각하고 있다’는 느낌을 팍팍 넣어주라. 물론 진심으로 그렇게 느껴야 한다.
3. 회사 차원에서 직원들 및 관계자들에게 회사가 쫓는 가치가 무엇이며 비전이 무엇인지 계속해서 알려주고 훈련시켜야 한다. 자연스럽게 그런 가치에 따른 정책들도 교육한다. 정책은 보안에 있어서 상당히 많은 지분을 차지한다.
4. 이처럼 소문이 무성한 서드파티의 위협을 피부로 느끼려면 서드파티를 통해 벌어지는 각종 사고에 대한 ‘피해액’을 예측해서 최대한 사실에 가깝게 수치화해야 한다. 그 어마어마한 숫자를 보면 바짝 정신이 들 것이다.
5. 클라우드와 IoT 등 서드파티가 신기술을 도입할 때 특히 유심히 살펴보는 것이 좋다. 이때 태도가 중요하다. 무조건 안 된다거나, 경고성 멘트를 날리는 건 별로 도움이 되지 않는다. 해당 기술 및 제품, 서비스에 대한 보안 권고 사항들을 친절하게 알려준다.
6. 서드파티가 민감하고 비밀스러운 정보들을 관리하고 있다면, 그 정보 자체에 대한 보안 장치가 갖춰져 있는지도 파악하고, 없다면 마련하도록 권한다. 네트워크 보안만 가지고는 소용이 없는 때라는 걸 잘 설명한다.
7. 서드파티 보안에서는 아주 기본적인 것이지만, 너무 기본적이라 자주 놓치는 것이 있는데, 바로 서드파티와 회사 사이의 연결 고리 - 통신망, 공급망 등 - 에도 취약점이 있을 가능성이 높다는 것이다. 이 부분의 취약점을 철저하게 검사하고 대처한다.
8. 서드파티 보안 계획에는 구체적인 목표가 있어야 한다. 해야 할 일들을 세분화해서, 어떤 걸 달성했고 달성 못 했는지 눈에 보이도록 한다.
9. 서드파티 보안에 대한 외부 연구 행사 및 컨소시엄에도 열심히 참여해 최신 트렌드를 파악한다. 해커들은 항상 변한다는 걸 염두에 두어야 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
