Cover Story

Q 1. 모의 해킹을 누가, 얼마나 빈번하게 할 것인가?

당신이 온-사이트 방화벽과 기타 IT 보안 조치의 효율성을 테스트하기 위해 외부 회사를 고용하는 것처럼 당신의 SaaS 공급자도 똑같이 그렇게, 정기적으로 하는 것이 당연하다.

다양한 비즈니스 업무와 여행 예약 등 개인 생활 조정을 도와주는 애플리케이션을 제공하는 리어든 카머스(Rearden Commerce)사의 플랫폼 서비스 책임자 척 모티모어(Chuck Mortimore)는 그의 회사가 취약성 관리 프로세스의 여러 측면을 관리하는 담당자를 고용하고 있다고 말했다. 포레스터 시티(The Foster City)사는 정기적으로 위협 평가뿐만 아니라 서비스 거부 공격에 견뎌낼 수 있는 능력을 검증하기 위한 테스트도 시행하고 있다. 만일 서비스 공급자가 모의 해킹(penetration testing)을 위한 정기적인 프로세스를 생성하는데 투자하지 않을 경우 그 업체의 위험은 실질적으로 증가한다고 모티모어는 설명했다.

마찬가지로 기업용 문서관리 시스템을 서비스로 제공하는 Xythos Software는 보안기능 관리를 위해 몇몇 전문 서비스 공급자를 고용했다. Xythos의 CMO 짐 틸(Jim Till)은 수많은 기업 고객들이 자사의 애플리케이션에 법률 문서나 업무 데이터와 같은 매우 민감한 정보를 저장한다고 말했다. 우선 이 업체는 옵소스(OpSource)와 협력하여 최근 엄격한 신용카드협회 데이터보안표준(PCI DSS)을 위한 레벨 1 컴플라이언스를 발표했다. 틸은 “만일 우리가 이것을 우리 스스로 할 수 있다고 생각했더라면 바보가 될 뻔 했다”고 말했다.

그 외에도 취약성 평가 서비스 공급자들로는 자체적으로 서비스 기능을 제공하는 퀄리스(Qualys), 보안 서비스 업체이며 마이크로소프트사 골드 인증 파트너인 아키비아(Akibia), 여러 SaaS 보안 통합 업체들을 인수해온 퍼리미터 이시큐리티(Perimeter eSecurity), SaaS 공급자로 전환을 목표로 ISV용 운영 서비스 세트를 제공하는 컴퓨터 사이언스(Computer Sciences) 등이 있다.

<글·헤더 클랜시(Heather Clancy)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>