2018.03.14

'보안 패싱은 없다' 모든 협력사 계약에 CSO 관여해야

Terena Bell | CSO
모든 공급업체, 협력사, 심지어 IT와 관련 없는 업무를 수행하는 외부 업체 직원이라 해도 조직의 보안 표준을 준수하도록 요구해야 한다. 그리고 이러한 요구는 계약서에 서명하기 전에 이뤄져야 한다.


미국 국책 주택담보금융공사인 패니메(Fannie Mae)의 최고 보안 책임자(CSO) 제리 아처에 따르면, 이미 계약을 체결한 상태인 외부 업체에게 보안 위험을 없애라고 요구한다면 이는 실패한 보안이다. 아처는 계약을 체결하기 전에 위험을 경감하기 시작해야 한다고 강조했다. 이런 이유로 패니메는 보안 부서가 외부 업체와의 계약을 ‘승인’하거나 ‘거부’할 수 있다. 인증 기술이나 API 게이트웨이 서비스같이 IT를 관장하는 업체에만 국한되지 않는다. 모든 부서가 보안 부서의 승인을 받아야 업체와 계약을 체결해 도구를 도입할 수 있다.

외부 업체가 200여 곳이 넘는다는 점을 감안하면 이는 쉬운 일이 아니다. 아처는 “다른 회사가 HR 등의 부서에 접근해 새로운 기술과 툴을 보여준다고 가정하자. 해당 부서에 필요한 툴이다. 반드시 가져야 하는 툴이다. 해당 툴, 소프트웨어를 사용하는 부서는 기능만 생각한다. 보안은 생각하지 않는다. 그 툴이 있어야 성과를 낼 수 있다고 IT부서에 강조한다. 우리 모두 이것이 100% 사실이 아니라는 점을 안다. 그러나 툴을 요구하는 사람들은 감정적, 정치적으로 도구와 연결되어 있다”고 말했다.

그 결과 통제할 수 없는 보안 위험이 초래된다. 처음부터 의사결정에 관여하지 않으면, 툴이나 기술을 구입하겠다는 요구가 승리하고, 결과적으로 보안 부서는 사고를 수습하는 역할만 하게 된다. 그는 “처음부터 관여할 방법을 찾아야 한다. 감정이 끼어들어 통제할 수 없게 되기 전에 프로세스를 고치거나, 중지시켜야 한다”고 강조했다.

미리 보안을 평가하는 방법
아처는 ‘관계’가 아주 중요하다고 강조했다. 그는 “보안 부서가 특정 업체와 비즈니스를 할 수 없다고 말할 수 있어야 한다”고 언급했다. 이런 정책이 집행되도록 만들려면, C레벨 경영진이 보안을 중시해야 한다. 부서를 대표할 CSO가 없다면, CEO에게 직접 이야기한다. 그는 “앞문으로 들어갈 수 없으면 뒷문으로 들어가라!”고 말했다. 어느 쪽이든 관계를 구축해야 한다.

그런 후 정말 유망한 업체와의 관계를 키워 나간다. 패니메의 경우, 이 모든 것의 출발점은 모든 RFI에 넣는 보안 베스트 프랙티스 질문지이다. 아처는 접근할 데이터 종류를 기준으로 업체를 ‘핵심’ 업체와 ‘일반’ 업체 두 그룹으로 분류하고 있다. 유망한 핵심 업체에 던지는 질문은 약 250가지다. 일반 업체는 이보다 적다. 산업에 특정적인 질문들로 구성되어 있다. 두 그룹 모두 ‘예’와 ‘아니오’로 대답하는 질문이 대부분이다. “SOC 1과 SOC 2를 준수합니까?”라는 질문을 예로 들 수 있다. RFI는 유망 업체가 회사를 알 기회도 제공한다. 패니메는 질문과 함께, 보안과 관련된 기대사항을 요약해 정리한다.

진짜 관계는 업체가 RFI 단계를 통과하고 나서 시작된다. 아처는 “업체의 보안팀, 업체를 신뢰할 수 있는지, 전문성에 관해 묻고 파악한다”고 설명했다. 전문성은 미흡하지만, 현업 부서가 해당 업체와 협력하기 원하는 경우도 있다. 그는 “이 경우, 내부 주제 전문가가 해당 업체와 협력해 우리가 적절하다고 생각하는 수준의 전문성을 갖추도록 지원한다”고 밝혔다.

외부에서는 조금 지나쳐 보일 수 있다. 그러나 아처는 “보안 관점에서 바라보고 접근해야 한다. 현업 부서와 협력해 활용할 업체를 회사 환경에서 허용할지 결정해야 한다”고 말했다.

보안 프로세스 문서화가 ‘열쇠’
아처는 패니메가 새 공급업체를 평가하면서 시스템의 허점을 찾는 것은 아니라고 설명했다. 그는 “우리는 이런저런 ‘스크린샷’을 묻고 요청한다. 예를 들면, 침입 테스트에 관해 묻는다. 하지만 자세한 침입 테스트 결과를 알아야 하는 것은 아니다. 최근 테스트를 요약한 내용만 확인한다. 침입 테스트 결과 드러난 중요 위험, 중요하지 않은 위험의 수를 확인한다. 이를 바로잡는 일정을 확인한다”고 설명했다.

이런 부분들을 문서로 만들어 유지하고 있는지, 이런 문서와 자료들에 관해 설명할 사람이 있는지 확인하는 것이 중요하다. 보안 절차를 설명한 자료만으로는 불충분하다. 필요하지만 불충분하다는 의미다. 그 자료에 관해 설명할 수 있는 사람과 대화할 수 있어야 한다.

파트너 회사 보안팀과 직접 대화
제품 판매를 책임지는 영업 부서, 온갖 제한사항을 열거할 변호사가 아닌 보안 부서와 대화해야 한다. 그래야 업체의 프로세스를 제대로 파악할 수 있다. 그는 “업체의 보안 부서와 직접 접촉할 방법을 찾아야 한다”고 강조했다.

이런 대화를 보안 침해 사고가 발생했을 때 일어날 일을 파악하는 기회로 활용해야 한다. 이 시점이 되면 양사의 관계가 꽤 진척됐을 것이다. 그러면 업체와 회사는 SLA를 준비하기 시작한다. 패니메는 서비스 종류별로 8개의 각기 다른 SLA 보안사항을 적용한다. 연간 보안 평가, 실시간 평가, 계약 종료 시 데이터와 백업을 폐기하는 방법, 중대한 변화가 발생 시 이에 대해 알리는 잘 정립된 프로세스 등을 예로 들 수 있다.

변화 관리 프로세스에 파트너가 참여
아처는 업체들이 무언가 변화를 주면서, 파트너에게 이에 대해 알리는 것을 잊는 경우가 있다고 지적했다. 예를 들어, 퍼블릭 클라우드로의 이전을 알리지 않는다. 다중인증 시스템을 끈 것을 말하지 않는다. 변화 관리 프로세스에 중대한 변화가 발생할 때 파트너에게 연락하고, 파트너에게 이를 공지하는 절차가 포함되어 있지 않기 때문이다. SLA에 이런 프로세스를 포함하는 것이 좋다. 그러면 계약을 체결한 업체들이 이런 일이 일어났을 때 더 쉽게 정보를 공유할 수 있다.

물론 사람 사이의 관계처럼, 비즈니스 파트너십도 깨질 수 있다. 해당 파트너를 얼마나 잘 파악했는지 상관없이 이런 일이 일어난다. 구매 단계에 보안 부서가 참여해도 보안 침해 사고가 발생할 수 있다. 아처는 “보안 부서의 관여와 상관없이, 이사회나 언론 앞에서 설명해야 하는 일이 생길 수 있다. 이때 ‘실사했다. 보안 시스템을 조사했다. 문제가 없다는 결론을 내렸다. 적절히 모니터링했다. 그러나 때때로 나쁜 일이 일어나는 법이다’고 말할 수 있어야 한다”고 말했다. 물론 관여하지 않았으면, 이런 말을 할 수 없다. 그러나 관여했다면, 최소한 해명할 수 있다. ciokr@idg.co.kr
  



2018.03.14

'보안 패싱은 없다' 모든 협력사 계약에 CSO 관여해야

Terena Bell | CSO
모든 공급업체, 협력사, 심지어 IT와 관련 없는 업무를 수행하는 외부 업체 직원이라 해도 조직의 보안 표준을 준수하도록 요구해야 한다. 그리고 이러한 요구는 계약서에 서명하기 전에 이뤄져야 한다.


미국 국책 주택담보금융공사인 패니메(Fannie Mae)의 최고 보안 책임자(CSO) 제리 아처에 따르면, 이미 계약을 체결한 상태인 외부 업체에게 보안 위험을 없애라고 요구한다면 이는 실패한 보안이다. 아처는 계약을 체결하기 전에 위험을 경감하기 시작해야 한다고 강조했다. 이런 이유로 패니메는 보안 부서가 외부 업체와의 계약을 ‘승인’하거나 ‘거부’할 수 있다. 인증 기술이나 API 게이트웨이 서비스같이 IT를 관장하는 업체에만 국한되지 않는다. 모든 부서가 보안 부서의 승인을 받아야 업체와 계약을 체결해 도구를 도입할 수 있다.

외부 업체가 200여 곳이 넘는다는 점을 감안하면 이는 쉬운 일이 아니다. 아처는 “다른 회사가 HR 등의 부서에 접근해 새로운 기술과 툴을 보여준다고 가정하자. 해당 부서에 필요한 툴이다. 반드시 가져야 하는 툴이다. 해당 툴, 소프트웨어를 사용하는 부서는 기능만 생각한다. 보안은 생각하지 않는다. 그 툴이 있어야 성과를 낼 수 있다고 IT부서에 강조한다. 우리 모두 이것이 100% 사실이 아니라는 점을 안다. 그러나 툴을 요구하는 사람들은 감정적, 정치적으로 도구와 연결되어 있다”고 말했다.

그 결과 통제할 수 없는 보안 위험이 초래된다. 처음부터 의사결정에 관여하지 않으면, 툴이나 기술을 구입하겠다는 요구가 승리하고, 결과적으로 보안 부서는 사고를 수습하는 역할만 하게 된다. 그는 “처음부터 관여할 방법을 찾아야 한다. 감정이 끼어들어 통제할 수 없게 되기 전에 프로세스를 고치거나, 중지시켜야 한다”고 강조했다.

미리 보안을 평가하는 방법
아처는 ‘관계’가 아주 중요하다고 강조했다. 그는 “보안 부서가 특정 업체와 비즈니스를 할 수 없다고 말할 수 있어야 한다”고 언급했다. 이런 정책이 집행되도록 만들려면, C레벨 경영진이 보안을 중시해야 한다. 부서를 대표할 CSO가 없다면, CEO에게 직접 이야기한다. 그는 “앞문으로 들어갈 수 없으면 뒷문으로 들어가라!”고 말했다. 어느 쪽이든 관계를 구축해야 한다.

그런 후 정말 유망한 업체와의 관계를 키워 나간다. 패니메의 경우, 이 모든 것의 출발점은 모든 RFI에 넣는 보안 베스트 프랙티스 질문지이다. 아처는 접근할 데이터 종류를 기준으로 업체를 ‘핵심’ 업체와 ‘일반’ 업체 두 그룹으로 분류하고 있다. 유망한 핵심 업체에 던지는 질문은 약 250가지다. 일반 업체는 이보다 적다. 산업에 특정적인 질문들로 구성되어 있다. 두 그룹 모두 ‘예’와 ‘아니오’로 대답하는 질문이 대부분이다. “SOC 1과 SOC 2를 준수합니까?”라는 질문을 예로 들 수 있다. RFI는 유망 업체가 회사를 알 기회도 제공한다. 패니메는 질문과 함께, 보안과 관련된 기대사항을 요약해 정리한다.

진짜 관계는 업체가 RFI 단계를 통과하고 나서 시작된다. 아처는 “업체의 보안팀, 업체를 신뢰할 수 있는지, 전문성에 관해 묻고 파악한다”고 설명했다. 전문성은 미흡하지만, 현업 부서가 해당 업체와 협력하기 원하는 경우도 있다. 그는 “이 경우, 내부 주제 전문가가 해당 업체와 협력해 우리가 적절하다고 생각하는 수준의 전문성을 갖추도록 지원한다”고 밝혔다.

외부에서는 조금 지나쳐 보일 수 있다. 그러나 아처는 “보안 관점에서 바라보고 접근해야 한다. 현업 부서와 협력해 활용할 업체를 회사 환경에서 허용할지 결정해야 한다”고 말했다.

보안 프로세스 문서화가 ‘열쇠’
아처는 패니메가 새 공급업체를 평가하면서 시스템의 허점을 찾는 것은 아니라고 설명했다. 그는 “우리는 이런저런 ‘스크린샷’을 묻고 요청한다. 예를 들면, 침입 테스트에 관해 묻는다. 하지만 자세한 침입 테스트 결과를 알아야 하는 것은 아니다. 최근 테스트를 요약한 내용만 확인한다. 침입 테스트 결과 드러난 중요 위험, 중요하지 않은 위험의 수를 확인한다. 이를 바로잡는 일정을 확인한다”고 설명했다.

이런 부분들을 문서로 만들어 유지하고 있는지, 이런 문서와 자료들에 관해 설명할 사람이 있는지 확인하는 것이 중요하다. 보안 절차를 설명한 자료만으로는 불충분하다. 필요하지만 불충분하다는 의미다. 그 자료에 관해 설명할 수 있는 사람과 대화할 수 있어야 한다.

파트너 회사 보안팀과 직접 대화
제품 판매를 책임지는 영업 부서, 온갖 제한사항을 열거할 변호사가 아닌 보안 부서와 대화해야 한다. 그래야 업체의 프로세스를 제대로 파악할 수 있다. 그는 “업체의 보안 부서와 직접 접촉할 방법을 찾아야 한다”고 강조했다.

이런 대화를 보안 침해 사고가 발생했을 때 일어날 일을 파악하는 기회로 활용해야 한다. 이 시점이 되면 양사의 관계가 꽤 진척됐을 것이다. 그러면 업체와 회사는 SLA를 준비하기 시작한다. 패니메는 서비스 종류별로 8개의 각기 다른 SLA 보안사항을 적용한다. 연간 보안 평가, 실시간 평가, 계약 종료 시 데이터와 백업을 폐기하는 방법, 중대한 변화가 발생 시 이에 대해 알리는 잘 정립된 프로세스 등을 예로 들 수 있다.

변화 관리 프로세스에 파트너가 참여
아처는 업체들이 무언가 변화를 주면서, 파트너에게 이에 대해 알리는 것을 잊는 경우가 있다고 지적했다. 예를 들어, 퍼블릭 클라우드로의 이전을 알리지 않는다. 다중인증 시스템을 끈 것을 말하지 않는다. 변화 관리 프로세스에 중대한 변화가 발생할 때 파트너에게 연락하고, 파트너에게 이를 공지하는 절차가 포함되어 있지 않기 때문이다. SLA에 이런 프로세스를 포함하는 것이 좋다. 그러면 계약을 체결한 업체들이 이런 일이 일어났을 때 더 쉽게 정보를 공유할 수 있다.

물론 사람 사이의 관계처럼, 비즈니스 파트너십도 깨질 수 있다. 해당 파트너를 얼마나 잘 파악했는지 상관없이 이런 일이 일어난다. 구매 단계에 보안 부서가 참여해도 보안 침해 사고가 발생할 수 있다. 아처는 “보안 부서의 관여와 상관없이, 이사회나 언론 앞에서 설명해야 하는 일이 생길 수 있다. 이때 ‘실사했다. 보안 시스템을 조사했다. 문제가 없다는 결론을 내렸다. 적절히 모니터링했다. 그러나 때때로 나쁜 일이 일어나는 법이다’고 말할 수 있어야 한다”고 말했다. 물론 관여하지 않았으면, 이런 말을 할 수 없다. 그러나 관여했다면, 최소한 해명할 수 있다. ciokr@idg.co.kr
  

X