Offcanvas

CSO / 보안

‘나만 잘해선 안 된다’ 벤더의 사이버보안 리스크 3가지

2023.02.16 Linda Rosencrance  |  CSO
비즈니스 요구사항이 복잡다단해지면서 여러 기업이 클라우드 스토리지, 데이터 관리, 보안 등의 업무를 외부 업체에 맡기는 경우가 늘어나고 있다. 하지만 동시에 사이버 공격, 지정학적 요인 및 규제 리스크에 노출되는 표면도 더 넓어졌다. 
 
ⓒGetty Images Bank

타사 서비스는 편한 만큼 그에 따른 위험도 만만치 않다. 사이버 공격을 받기 쉬우며, 만일 서비스가 오작동하면 회사 이미지에 큰 타격을 줄 수도 있다. 재무나 규제 관련 문제에 휘말릴 수도 있다. 서비스 제공자가 백업을 제대로 해놓지 않으면 민감한 데이터가 유출될 위험도 있다. 

가트너의 ‘2022 불안정한 세계의 리스크 평가(2022 Risk Assessments in a Volatile World)’ 보고서에 따르면 기업 위험 평가 프로그램에 관여하는 참가자 중 73%가 2019년에 비해 사이버보안을 훨씬 더 심각하게 생각한다. 
 

외부에 점점 의존하는 기업들  

가트너 애널리스트 루크 엘러리는 “기업은 갈수록 민감한 데이터나 중요한 시스템에 접근 권한을 가진 타사 서비스를 더 많이 이용하고 있다. 만약 제공업체의 보안이 부실하거나 제공업체가 사용하는 다른 업체에 문제가 생긴다면 회사 이미지뿐만 아니라 법적, 규제, 그리고 복구 비용이 발생할 수 있다”라고 말했다. 

기술 리서치 및 자문 업체 ISG의 수석 담당자 한네 맥블레인은 “타사 업체를 안 쓸 수는 없다. 다만 단 한 순간이라도 관리의 끈을 놓아서는 안 된다”라고 말했다. 델텍(Deltek)의 CISO 칼렙 메리만은 “글로법 기업 중 데이터 유출 사건을 최소 한 번이라도 겪은 벤더와 연관된 곳이 98%에 달한다”라고 덧붙였다. 
 

1. 데이터 탈취, 평판과 수익 모두 손실 

세계경제포럼의 ‘글로벌 사이버보안 전망 2022‘ 보고서에 따르면 간접적 사이버 공격, 즉 타사 서비스를 통해 데이터를 탈취하는 공격은 작년 44%에서 61%까지 상승했다. IT 보안 컨설팅 업체 인퍼사이트(InferSight)에 따르면 가장 큰 원인은 접근 제한 관리다. 그는 “많은 벤더가 오래된 계정을 비활성화 하지 않은 채 그대로 내버려 둔다”라고 지적했다. 

모건프랭클린(MorganFranklin)의 사이버보안 애널리스트 마이클 오로즈코는 공격자가 외부 업체가 호스팅하는 기업 고객의 데이터를 노리거나, 외부 업체를 해킹한 다음 기업 고객의 시스템에 접근해 데이터를 탈취할 수 있다고 설명했다. 

매스뮤추얼(MassMutual의 CISO 아리엘 와인트라우브는 해커가 이런 계정을 탈취해 신원 도용, 사기 계정 남용, 외부 계정 탈취 등 수많은 악행을 저지를 수 있다고 경고했다. 그는 기업이 외부 업체에 접근 권한을 부여하기 전 꼼꼼히 보안 상태를 점검해야 한다고 조언했다. 

그린페이지스(GreenPages)의 CISO 겸 CISO 제이 파스터리스는 데이터를 탈취당할 경우 그 비용이 막대할 수 있다고 경고했다. 엎친 데 덮친 격으로 기업 보험이 이를 보상하지 못할 수도 있다고 그는 덧붙였다. 그는 “돈을 잃을 뿐만 아니라 고객의 신뢰도 잃게 된다. 고객의 신뢰를 잃는다는 건 장기적으로 더 많은 돈을 잃을 수 있다는 뜻이다”라고 말했다. 

와인트라우브도 평판에 끼치는 영향이 매우 크다는 데 동의했다. 만약 데이터 침해 사건이 발생한다면 기업은 공개 성명을 내놓아야 할 테고, 회사의 보안이 취약하다는 점이 만천하에 알려질 수밖에 없다. 

오로즈코는 이런 일이 일어나기 전에 기업이 고객 경험에 귀를 기울어야 한다고 조언했다. 특히 그는 외부 서비스 업체에 제기되는 고객 불만 사항을 주목하라고 강조했다. 그는 “이런 고객 리뷰는 뭔가 잘못될 수도 있다는 징후다”라고 말했다. 

하지만 와인트라우브는 여러 벤더가 복잡한 소프트웨어 공급망에 거미줄처럼 얽혀 있어 가시성을 확보하기 어렵다는 점을 지적했다. 벤더는 또 다른 벤더의 서비스를 쓰기 때문이다. 그는 “상호 의존도를 추적하다보면 끝이 없어서 보안 수준을 제대로 확인하기 무척 어렵다”라고 말했다. 
 

2. 지정학 리스크: 국가 차원 스파이 있을 수도

맥블레인은 러시아-우크라이나 전쟁 같은 지정학적 사건도 외부 공급업체의 사이버보안에서 무시할 수 없는 고려사항이 됐다고 말했다. 전쟁으로 인해 기업 활동이 중단될 수도 있기 때문이다. 

그는 “러우 전쟁뿐만이 아니다. 여러 정치적 사건이 영향을 줄 수 있다. 군사 쿠데타, 대규모 시위, 정권의 탄압 등 정치적으로 불안정한 국가에서 사업을 하는 서비스 제공업체라면 국내 정황을 유심히 살필 필요가 있다”라고 말했다. 

정치적으로 시끄러운 국가는 국가 차원의 사이버 스파이 활동에도 가담하는 경우가 많다. 따라서 와인트라우브는 기업이 이런 국가의 제공업체를 검토할 때 혹시라도 정부와 연관되지는 않았는지 확인해야 한다고 말했다. 그는 “공급업체 자신조차도 모른채 프리랜서 IT 인력을 고용할 수 있다. 이 중에는 국가가 파견한 사이버 스파이가 있을지 모른다”라며 “업무를 할 때는 별다른 짓을 안 할 테지만 접근 권한을 가진 이상 들키지 않고 어떤 범행을 저지를지 알 수 없는 일이다”라고 말했다. 
 

3. 규제 리스크 

규제 또한 무시할 수 없다. 공급업체가 정부 법률, 업계 규정이나 기업 내부 프로세스를 준수하지 않으면 큰 비용을 초래할 수 있다. 

가장 대표적으로 외부 벤더는 SOC2 감사 표준을 준수해야 한다. 이 표준은 업체가 민감한 데이터에 대한 무단 접근을 허용하지 않도록 한다. 이 외에도 기업 고객은 벤더가 유럽 연합의 일반 개인정보 보호법(GDPR)과 캘리포니아 개인정보보호 권리법(CPRA)과 같은 보안 법을 준수하도록 해야 한다고 말했다. 

파스터리스는 “규제 준수는 매우 까다로운 영역이다. 기업이 착실히 규제를 준수하더라도 벤더가 하나둘씩 들어오게 되면 엉망진창이 되는 건 시간문제다”라고 말했다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.