2015.10.26

'듀 딜리전스에 보안도 넣어야' 달라지는 M&A

Taylor Armerding | CSO
최근 다수의 보안 사고 사례들이 외부 업체들 때문에 발생한 것으로 밝혀지면서 기업의 인수합병 시 보안 상태를 점검해 봐야 한다는 전문가들의 지적이 나오고 있다.


이미지 출처 : Thinkstock

보안 전문가들은 기업 내부 보안뿐 아니라 외부 협력사의 보안까지도 신경써야 한다고 강력히 권고하고 있다.

많은 사례에서 이는 강력한 권고를 넘어선 명령에 가깝다고 볼 수 있다. 지난해 업데이트된 PCI(payment card industry) 표준은 써드파티 위험을 다시 한 번 환기시켰던 것으로 알려져 있다.

하지만 여전히 보안 노력이 지지부진한 분야가 바로 인수 합병(M&A)이라는 몇 가지 증거들이 있다.

런던에 있는 로펌인 프레쉬필드 브룩하우스 더링저(Freshfields Bruckhaus Deringer)가 수행한 ‘기업, 금융 기관, 투자사, 로펌 등 214개 글로벌 M&A 사례’를 대상으로 한 조사에서 인수 합병 거래에 대한 사이버 보안 위험의 효과에 대해서는 인식이 높지만 (인수 측의 74%와 매각 측의 60%) 응답자의 대다수(78%)는 “사이버 보안이 M&A 실사 과정에서 심도 있게 분석되거나 특별히 수량화되지 않는 것으로 생각했다”고 밝혔다.

이런 인식은 큰 손해를 불러올 수 있다

만약 회사의 가치가 지적 재산권이나 고객 데이터 같은 기타 전용 정보에 기반하고 있으며, 그 정보가 유출을 통해 위태로워졌다면 그 정보가 경쟁사로 흘러 들어가 매각하는 회사의 가치에 큰 손실을 입을 수 있다.

또 만약 인수나 합병에 관여한 한쪽의 기업에서 유출사고가 발생하면 공격자가 두 회사 모두를 공격하기 훨씬 용이해져 두 회사의 가치에 심각한 타격을 입힐 수 있다.

그리고 M&A는 해킹으로 이익을 취하려는 사이버 범죄자들에게 공격할만한 허점들을 제공하고 있다. 보안 업체 파이어아이는 최근 한 블로그 글에서 “미국 내에서 4월과 5월 거의 2,000건의 M&A가 발생했고, 아시아 태평양 지역에서 발생한 M&A 규모는 2015년 상반기 동안 기록적인 3,677억 달러에 이르렀다”고 적었다.

이런 상황은 분명 한가지 의문점을 남긴다. 기업의 재정 상태나 시장점유율은 사이버 보안 태세나 지금까지 기업의 보안 이력에 크게 영향을 받는데, 보안에 대해서는 재정 상태나 시장 점유율만큼 주의 깊게 살피지 않는 걸까?

업계 관계자들에 따르면 그 문제가 해결되고 있긴 하지만 상당한 취약점들이 남아 있으며 중소기업들이 이런 추세를 따라잡는 데는 더 많은 시간이 걸릴 것이다.

로펌 베이커호스테틀러(BakerHostetler)의 변호사 스콧 콜러는 “보안이 사람들의 관심사에 들어오기는 했다. 이전까지는 그저 차선적인 고려사항이었다”고 밝혔다. 이어서 콜러는 “문제는 보안이 충분히 심각한 문제로 인식되지 않거나 위험을 과소평가한다는 점이다”고 전했다.

콜러는 기업의 보안 현황을 평가할 때 단답식 질문들로 평가하고 있다고 지적했다. 예를 들면, “방화벽이 있는가? (체크). 안티-바이러스가 있는가? (체크)”같은 질문들에 v표시하는 것이다.

“하지만 보안에는 조직이 저장한 데이터의 유형과 양, 규정과 법률, 조직에 대한 잠재적 위협 등에 대한 총체적 이해가 필요하다”고 그는 강조했다.

웨스트 몬로 파트너스(West Monroe Partners)의 보안과 인프라 컨설팅 프랙티스 디렉터인 션 큐런(왼쪽 사진)도 많은 회사에서 보안 위협 평가가 “여전히 어떻게 하면 제대로 할 수 있는지 물어올 정도로 생소한 주제”라면서 이에 동의했다.

큐런은 사이버 보안 실사의 목적이 회사가 해킹될 수 있는지를 파악하려는 게 아니라고 지적했다. 그 대신 보안 업계에서는 “세상에는 두 종료의 기업이 존재한다. 해킹 당한지 아는 기업과 해킹 당했는데도 이를 알지 못하는 회사다”라는 말이 있다.

“핵심은 당신이 그 회사를 독특하게 만드는 ‘비밀의 소스’가 무엇인지 즉 어떤 회사를 인수하는 것인지 아는 것이다”고 그는 이야기했다. 이어서 그는 “그 비밀의 소스가 재정, 명성, 법적인 면에 있나? 그리고 그 가치는 어떻게 되나? 유출이 일어난다면 얼마나 가치가 떨어질 것인가?”고 물었다.




2015.10.26

'듀 딜리전스에 보안도 넣어야' 달라지는 M&A

Taylor Armerding | CSO
최근 다수의 보안 사고 사례들이 외부 업체들 때문에 발생한 것으로 밝혀지면서 기업의 인수합병 시 보안 상태를 점검해 봐야 한다는 전문가들의 지적이 나오고 있다.


이미지 출처 : Thinkstock

보안 전문가들은 기업 내부 보안뿐 아니라 외부 협력사의 보안까지도 신경써야 한다고 강력히 권고하고 있다.

많은 사례에서 이는 강력한 권고를 넘어선 명령에 가깝다고 볼 수 있다. 지난해 업데이트된 PCI(payment card industry) 표준은 써드파티 위험을 다시 한 번 환기시켰던 것으로 알려져 있다.

하지만 여전히 보안 노력이 지지부진한 분야가 바로 인수 합병(M&A)이라는 몇 가지 증거들이 있다.

런던에 있는 로펌인 프레쉬필드 브룩하우스 더링저(Freshfields Bruckhaus Deringer)가 수행한 ‘기업, 금융 기관, 투자사, 로펌 등 214개 글로벌 M&A 사례’를 대상으로 한 조사에서 인수 합병 거래에 대한 사이버 보안 위험의 효과에 대해서는 인식이 높지만 (인수 측의 74%와 매각 측의 60%) 응답자의 대다수(78%)는 “사이버 보안이 M&A 실사 과정에서 심도 있게 분석되거나 특별히 수량화되지 않는 것으로 생각했다”고 밝혔다.

이런 인식은 큰 손해를 불러올 수 있다

만약 회사의 가치가 지적 재산권이나 고객 데이터 같은 기타 전용 정보에 기반하고 있으며, 그 정보가 유출을 통해 위태로워졌다면 그 정보가 경쟁사로 흘러 들어가 매각하는 회사의 가치에 큰 손실을 입을 수 있다.

또 만약 인수나 합병에 관여한 한쪽의 기업에서 유출사고가 발생하면 공격자가 두 회사 모두를 공격하기 훨씬 용이해져 두 회사의 가치에 심각한 타격을 입힐 수 있다.

그리고 M&A는 해킹으로 이익을 취하려는 사이버 범죄자들에게 공격할만한 허점들을 제공하고 있다. 보안 업체 파이어아이는 최근 한 블로그 글에서 “미국 내에서 4월과 5월 거의 2,000건의 M&A가 발생했고, 아시아 태평양 지역에서 발생한 M&A 규모는 2015년 상반기 동안 기록적인 3,677억 달러에 이르렀다”고 적었다.

이런 상황은 분명 한가지 의문점을 남긴다. 기업의 재정 상태나 시장점유율은 사이버 보안 태세나 지금까지 기업의 보안 이력에 크게 영향을 받는데, 보안에 대해서는 재정 상태나 시장 점유율만큼 주의 깊게 살피지 않는 걸까?

업계 관계자들에 따르면 그 문제가 해결되고 있긴 하지만 상당한 취약점들이 남아 있으며 중소기업들이 이런 추세를 따라잡는 데는 더 많은 시간이 걸릴 것이다.

로펌 베이커호스테틀러(BakerHostetler)의 변호사 스콧 콜러는 “보안이 사람들의 관심사에 들어오기는 했다. 이전까지는 그저 차선적인 고려사항이었다”고 밝혔다. 이어서 콜러는 “문제는 보안이 충분히 심각한 문제로 인식되지 않거나 위험을 과소평가한다는 점이다”고 전했다.

콜러는 기업의 보안 현황을 평가할 때 단답식 질문들로 평가하고 있다고 지적했다. 예를 들면, “방화벽이 있는가? (체크). 안티-바이러스가 있는가? (체크)”같은 질문들에 v표시하는 것이다.

“하지만 보안에는 조직이 저장한 데이터의 유형과 양, 규정과 법률, 조직에 대한 잠재적 위협 등에 대한 총체적 이해가 필요하다”고 그는 강조했다.

웨스트 몬로 파트너스(West Monroe Partners)의 보안과 인프라 컨설팅 프랙티스 디렉터인 션 큐런(왼쪽 사진)도 많은 회사에서 보안 위협 평가가 “여전히 어떻게 하면 제대로 할 수 있는지 물어올 정도로 생소한 주제”라면서 이에 동의했다.

큐런은 사이버 보안 실사의 목적이 회사가 해킹될 수 있는지를 파악하려는 게 아니라고 지적했다. 그 대신 보안 업계에서는 “세상에는 두 종료의 기업이 존재한다. 해킹 당한지 아는 기업과 해킹 당했는데도 이를 알지 못하는 회사다”라는 말이 있다.

“핵심은 당신이 그 회사를 독특하게 만드는 ‘비밀의 소스’가 무엇인지 즉 어떤 회사를 인수하는 것인지 아는 것이다”고 그는 이야기했다. 이어서 그는 “그 비밀의 소스가 재정, 명성, 법적인 면에 있나? 그리고 그 가치는 어떻게 되나? 유출이 일어난다면 얼마나 가치가 떨어질 것인가?”고 물었다.


X