애플리케이션을 아웃소싱한다는 것은 당신 회사의 어떤 통제를 포기한다는 것을 의미한다. 그러나 보안을 손에서 놓아서는 안 된다.

기묘하게도 세일즈포스닷컴에 대한 지난 해 가을의 피싱 공격이 소프트웨어 서비스(또는 ‘서비스로서의 소프트웨어’ : Software as a service) 모델, 즉 SaaS의 시대가 왔음을 암시했다. 그 공격에서 가짜 이메일 메시지는 세일즈포스닷컴 직원들이 특정한 고객 정보를 공개하도록 유인하는데 사용되었다. 이 침해 사건은 분명 당황스럽기는 하지만 동시에 세일즈포스닷컴의 브랜드 파워를 반증하는 것이기도 하다. 이것은 또한 애플리케이션을 아웃소싱한다는 것이 기업의 보안 정책에 관해 부주의할 수 있다는 것을 의미하는 것은 아니라던 모든 규모의 사업체들을 떠올리게 한다. 차이점은 이제 그들은 그 정책의 시행마저도 다른 누군가에게 위탁할 필요가 있을 것이라는 점이다.

IT 서비스 회사 Net@Work는 자사 고객에게 종종 SaaS 접근법을 권장한다. 특히 모든 고객들이 같은 소프트웨어 인프라스트럭처를 공유하는 싱글 테넌트 서비스를 생각하고 있다면 인증정책부터 인프라스트럭처 중복까지 SaaS 업체들이 얼마나 빈번하게 독립적인 모의 해킹을 하고 있는지에 관해 우리가 알아야 할 것들이 있다고 이 업체는 설명했다.

스탠포드 병원(Stanford Hospital)의 최고 정보 보호 책임자 마이클 무하(Michael Mucha)는 “이 모든 것과 더불어 우리가 주목하고 있는 가장 큰 문제는 데이터의 통제”라고 말했다. 이 병원은 트랜스크립션, 방사선 분석 시스템을 포함해 서비스로 제공되는 여러 가지 임상용 애플리케이션을 사용하고 있다. 무하는 SaaS 모델을 통해 제공되는 모든 애플리케이션에 관한 기술적인 평가를 위해 표준화된 체크리스트를 만들었다. 그 중에서도 가장 중요한 항목들은 서비스 공급자가 SAS 112 감사 요건 사항을 준수하고 있는지의 여부와 보안 침해를 처리 절차를 어떻게 문서화하는지, 그리고 변경 사항과 최적화된 기능들에 대한 요구를 어떻게 처리하는 지에 관한 것이라고 무하는 설명했다.

보다 중요한 것은 SaaS 공급자가 당신의 데이터를 보호하기 위해 채용하는 직원들과 관련된 정책들이 될 것이다. 무하는 “우리는 데이터에 대한 접근을 완전히 소유하고 있고 우리들만 인증 통제권한을 갖고 있다”며 “핵심은 이러한 모든 상황에 대해 지속적인 접근이 필요하다는 것이다”라고 말했다.

이것이 중요한 이유에 대한 완벽한 예가 바로 지난 해 11월 고객들에게 이메일을 통해 침해를 인정한 세일즈포스닷컴 사태라 할 수 있다. 이 사건에서 이 SaaS 대기업은 도난당한 데이터가 이후 자사 고객의 일부의 평가를 손상시키는데 이용됐음을 인정하며 유출 사건을 털어놓았다. 세일즈포스닷컴은 이 일과 관련해 자사의 보안 정책에 대한 언급은 사절했다. 그러나 지난 가을, 이메일을 통해 고객들에게 앞으로 스스로를 보호하는 방법으로 잠재적인 피싱 메시지의 무시하기, IP 범위 제한의 활성화로 소프트웨어가 특정한 내부 네트워크나 VPN에서만 사용될 수 있게 하기, 2중 인증 사용 등 몇 가지 방법을 제안했다.

이러한 내용을 바탕으로 SaaS에 투자하기 전에 공급자와 해결해야 하는 7가지 문제를 살펴보자.

<글·헤더 클랜시(Heather Clancy)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>