2016.02.04

복면 기고 | SaaS 벤더 체크리스트 수립하기

Mathias Thurman | Computerworld
다수의 외부 벤더 서비스를 이용하고 있다. 이중 몇몇은 수년 이상 활용해온 것이다. 이러한 현실에 대해 보안 리스트를 평가하면 어떤 결과가 나올까?

회사의 기업 애플리케이션 대부분이 자체 데이터센터 내 서버상에서 구동되던 게 바로 어제처럼 느껴진다. 이전 직장에서 나는 애플리케이션 엔지니어와 관리자들의 팀을 맡았었는데 이들은 이메일, HR, 재정, 판매, 고객 관계 관리, 학습 관리, 마케팅 등의 운영을 가능케 하는 모든 애플리케이션의 구축, 관리, 운영을 맡았었다.


Credit: Pixabay


쟁점: 몇몇 서드파티 벤더들은 보안 측면에서 심사된 적이 없다.
액션 플랜: 이들 모두를 재확인하고 위험을 최소화하라.


내가 현재 일하는 회사는 단 두 개의 인하우스 애플리케이션올 보유하고 있다. 소스코드 관리와 버그 추적 시스템이다. 이들은 옷장 크기의 작은 데이터센터에서 구동된다.

애플리케이션의 상당수는 내가 여기서 일하기 전에 넘어갔고 나는 현재 그 각각의 보안 리스크만 산정하고 있다. 내 업무의 최우선 순위는 고객 정보, 판매 예측, 개인 데이터와 임금을 관리하는 ADP와 세일즈포스 같은 회사에 가장 민감한 데이터를 처리하는 애플리케이션 관리다.

최근 나는 벤더 관리를 논의하기 위해 IT부서와 미팅을 가졌다. 우리는 평가 작업을 통해 리스크를 먼저 식별하지 않는 한 어떠한 기업 애플리케이션도 허용되지 않도록 한다는 데 동의했다. 이를 위해 나는 보안 관련 질문에 대한 답을 수집하기 위한 스프레드시트를 만들었다. 표준화된 정보를 수집하고 인터넷에서 찾은 다른 벤더 질문지 등을 검토하는 한편, 중요한 보안 질문 및 제어 요소라고 느낀 것들을 빼내서 거기에 가중치를 두고 계산했다.

예를 들어 애플리케이션이 민감한 데이터를 처리하는 경우 세금 계산이나 환율 변환 같은 작업보다 암호화에 더 높은 가중치를 두었다. 세금과 환율 애플리케이션에는 “복구 포인트 목표”와 “복구 시간 목표”같은 아이템들을 덜 중요하게 간주했다. 구글 독스와 박스처럼 기업 문서를 저장하는 애플리케이션에는 데이터 백업과 재난 복구를 핵심 요인으로 간주했다.

그 결과 산출된 점수는 제품 선택과 보상 제어 확립에 유용하게 쓰일 것이다. 예를 들어 민감한 데이터를 가진 애플리케이션이 우리의 싱글 사인 온 솔루션과 호환되지 않지만 다른 방식으로 접속을 제어하는 능력을 제공한다면 IP주소에 의한 접속을 보상 제어로 금지하는 등의 절차를 통해 해당 애플리케이션을 계속 활용할 것이다.

우리는 최근 우리의 PCI 준수 정책을 업그레이드했다. 이에 따라 신용카드 데이터를 가지고 있거나 우리의 PCI 준수를 언급한 애플리케이션이나 서비스 제공자들에 대해서는 요건을 재개정해오고 있다. 이제 벤더는 우리 데이터의 보안을 책임진다고 계약에 표기하거나 현재 준수하고 있음을 입증해야 한다.

이런 요건들은 이미 도움이 되고 있다. 우리가 고려하던 한 CDN 제공자는 네트워크 트래픽의 암호를 해독하고 그 트래픽을 애플리케이션 보안을 위해 검사하기 때문에 PCI 범위 이내에 포함 수도 있었다. 이에 따라 우리의 네트워크 트래픽에는 신용카드 데이터가 들어있을 수도 있었다. 결과적으로 그 벤더는 PCI를 준수하지 못했고 그래서 실격이었다.

기존의 애플리케이션과 서비스의 리스크를 평가하기 시작함에 따라 오랫동안 활용되어온 몇몇은 해결하기 너무나 어려운 보안 문제들에 직면하게 될 것으로 관측된다. 그리고 이렇게 바뀌는 벤더들은 우리 비즈니스에 악영향을 미칠 수 있다.

그러나 이런 사례들에 대해 우리는 준비된 보안 제어들을 평가하고 우리가 모든 내장 설정 세팅을 확실히 활용하게 할 것이다. 많은 SaaS 기반 애플리케이션들이 필요한 모든 보안 부가기능들은 보유하지 못하겠지만 이들은 보통 암호 복잡성, 세션 타임아웃, 다중 인증, 그리고 기타 영역 보완 제어 등의 설정을 지원하고 있다.

내 체크리스트는 아직 완결되지 못한 상태다. 그러나 이는 기존 그리고 새로운 기업 승인 애플리케이션과 서비스를 제어하는 올바른 방향으로 가는 첫걸음이다. 내 목표는 이 체크리스트를 활용하기 쉽게 만들어서 비-보안 직원들도 최소한의 보조만으로 체크리스트를 완료할 수 있게 하는 것이다.

* 본 기고문는 실제 근무 중인 보안 관리자가 작성한 것으로 부득이한 이유로 실명과 회사명을 밝히지 않았다. Mathias Thurman은 가명이다. ciokr@idg.co.kr 



2016.02.04

복면 기고 | SaaS 벤더 체크리스트 수립하기

Mathias Thurman | Computerworld
다수의 외부 벤더 서비스를 이용하고 있다. 이중 몇몇은 수년 이상 활용해온 것이다. 이러한 현실에 대해 보안 리스트를 평가하면 어떤 결과가 나올까?

회사의 기업 애플리케이션 대부분이 자체 데이터센터 내 서버상에서 구동되던 게 바로 어제처럼 느껴진다. 이전 직장에서 나는 애플리케이션 엔지니어와 관리자들의 팀을 맡았었는데 이들은 이메일, HR, 재정, 판매, 고객 관계 관리, 학습 관리, 마케팅 등의 운영을 가능케 하는 모든 애플리케이션의 구축, 관리, 운영을 맡았었다.


Credit: Pixabay


쟁점: 몇몇 서드파티 벤더들은 보안 측면에서 심사된 적이 없다.
액션 플랜: 이들 모두를 재확인하고 위험을 최소화하라.


내가 현재 일하는 회사는 단 두 개의 인하우스 애플리케이션올 보유하고 있다. 소스코드 관리와 버그 추적 시스템이다. 이들은 옷장 크기의 작은 데이터센터에서 구동된다.

애플리케이션의 상당수는 내가 여기서 일하기 전에 넘어갔고 나는 현재 그 각각의 보안 리스크만 산정하고 있다. 내 업무의 최우선 순위는 고객 정보, 판매 예측, 개인 데이터와 임금을 관리하는 ADP와 세일즈포스 같은 회사에 가장 민감한 데이터를 처리하는 애플리케이션 관리다.

최근 나는 벤더 관리를 논의하기 위해 IT부서와 미팅을 가졌다. 우리는 평가 작업을 통해 리스크를 먼저 식별하지 않는 한 어떠한 기업 애플리케이션도 허용되지 않도록 한다는 데 동의했다. 이를 위해 나는 보안 관련 질문에 대한 답을 수집하기 위한 스프레드시트를 만들었다. 표준화된 정보를 수집하고 인터넷에서 찾은 다른 벤더 질문지 등을 검토하는 한편, 중요한 보안 질문 및 제어 요소라고 느낀 것들을 빼내서 거기에 가중치를 두고 계산했다.

예를 들어 애플리케이션이 민감한 데이터를 처리하는 경우 세금 계산이나 환율 변환 같은 작업보다 암호화에 더 높은 가중치를 두었다. 세금과 환율 애플리케이션에는 “복구 포인트 목표”와 “복구 시간 목표”같은 아이템들을 덜 중요하게 간주했다. 구글 독스와 박스처럼 기업 문서를 저장하는 애플리케이션에는 데이터 백업과 재난 복구를 핵심 요인으로 간주했다.

그 결과 산출된 점수는 제품 선택과 보상 제어 확립에 유용하게 쓰일 것이다. 예를 들어 민감한 데이터를 가진 애플리케이션이 우리의 싱글 사인 온 솔루션과 호환되지 않지만 다른 방식으로 접속을 제어하는 능력을 제공한다면 IP주소에 의한 접속을 보상 제어로 금지하는 등의 절차를 통해 해당 애플리케이션을 계속 활용할 것이다.

우리는 최근 우리의 PCI 준수 정책을 업그레이드했다. 이에 따라 신용카드 데이터를 가지고 있거나 우리의 PCI 준수를 언급한 애플리케이션이나 서비스 제공자들에 대해서는 요건을 재개정해오고 있다. 이제 벤더는 우리 데이터의 보안을 책임진다고 계약에 표기하거나 현재 준수하고 있음을 입증해야 한다.

이런 요건들은 이미 도움이 되고 있다. 우리가 고려하던 한 CDN 제공자는 네트워크 트래픽의 암호를 해독하고 그 트래픽을 애플리케이션 보안을 위해 검사하기 때문에 PCI 범위 이내에 포함 수도 있었다. 이에 따라 우리의 네트워크 트래픽에는 신용카드 데이터가 들어있을 수도 있었다. 결과적으로 그 벤더는 PCI를 준수하지 못했고 그래서 실격이었다.

기존의 애플리케이션과 서비스의 리스크를 평가하기 시작함에 따라 오랫동안 활용되어온 몇몇은 해결하기 너무나 어려운 보안 문제들에 직면하게 될 것으로 관측된다. 그리고 이렇게 바뀌는 벤더들은 우리 비즈니스에 악영향을 미칠 수 있다.

그러나 이런 사례들에 대해 우리는 준비된 보안 제어들을 평가하고 우리가 모든 내장 설정 세팅을 확실히 활용하게 할 것이다. 많은 SaaS 기반 애플리케이션들이 필요한 모든 보안 부가기능들은 보유하지 못하겠지만 이들은 보통 암호 복잡성, 세션 타임아웃, 다중 인증, 그리고 기타 영역 보완 제어 등의 설정을 지원하고 있다.

내 체크리스트는 아직 완결되지 못한 상태다. 그러나 이는 기존 그리고 새로운 기업 승인 애플리케이션과 서비스를 제어하는 올바른 방향으로 가는 첫걸음이다. 내 목표는 이 체크리스트를 활용하기 쉽게 만들어서 비-보안 직원들도 최소한의 보조만으로 체크리스트를 완료할 수 있게 하는 것이다.

* 본 기고문는 실제 근무 중인 보안 관리자가 작성한 것으로 부득이한 이유로 실명과 회사명을 밝히지 않았다. Mathias Thurman은 가명이다. ciokr@idg.co.kr 

X