데이터 아낌없이 주고받는 서드파티, 보안 기초로 한 관계 정립 필요
정확한 계획 아래 재정적인 언어로 약속하고 계약서 남겨야

[보안뉴스 문가용] 외주 사업체(일명 서드파티)들은 기업 깊숙이까지 들어와 민감하고 값어치가 높은 정보들에 자유로이 접근한다. 심지어 정부 기관들과 이런 식으로 연을 맺고 있는 업체들도 부지기수다. 이런 서드파티들에서 보안 사고가 일어나 정보가 유출된다면, 사실 그대로 알려올까? 포네몬이 조사한 바에 따르면 그렇지 않을 것이라고 응답한 사람이 1/3을 넘었다.


물론 사실을 고지하도록 하는 것 이전에 데이터 프라이버시나 데이터 보호에 대한 대책을 계약할 때부터 마련하고 확인하는 것이 필수다. 데이터를 원래 보관하고 있던 업체나, 다른 업무 수행을 위해 이 데이터를 외부에서 접근해야 하는 서드파티나 상호 간에 보안을 위해 최선을 다하고, 세부사항들을 꼼꼼하게 약속해야 한다. 데이터의 접근, 사용, 공개, 파기에 이르는 모든 부분에서 말이다.

좀 깐깐하게 보이더라도 약속을 단단히 해놓으면 오히려 신뢰가 쌓이는 속도가 빨라진다. 특히 서드파티를 통한 유출사고가 점점 더 빈번해지고 있는 때, 작은 사건 사고 한 건 한 건이 주는 무게감은 무시할 수 없다. 포네몬의 조사에 응한 600명의 응답자 중 50%가 실제 발생한 데이터 유출 사고의 원인 중 하나는 서드파티였다고 답했으며, 16%는 유출 사고가 일어난 사실 조차도 몰랐다고 했다. 또한 60%는 서드파티와 정보를 공유하고 있다는 사실 때문에 불안하다고 했다. 서드파티에서 일어나는 보안 사고 때문에 신뢰가 자꾸만 깎이고 있는 게 현실이다. 때문에 몇 가지 황금률을 소개하고자 한다.

1. 정보의 위치를 파악한다
데이터 프라이버시 및 데이터 보안 관리는 위험 관리의 첫 요소이자 가장 중요한 요소다. 데이터의 논리적인 위치가(정확히 말하면 저장소의 물리적인 위치) 어디인지 정확하게 파악하는 것이 먼저다. 또한 누가 어떤 데이터에 접근권한을 가지고 있는지도 일일이 파악해야 한다. 더불어 어떤 보호 장치가 가동되어 있는지도 파악하면 지킬 것이 무엇이고, 어떻게 관리되고 있는지 한 눈에 정리하는 것이 가능해진다.

2. 타깃(Target) 사건을 기억하라
데이터 보안에 있어 가장 중요한 점은 “현재 보안의 척도는 가장 약한 부분이 결정한다”라는 것이다. 네트워크 외곽의 보안이 가장 강력해도, 사용자가 피싱 메일을 클릭하면 끝이다. 아무리 사용자들이 일심 단결하여 보안을 한다고 해도, 구식 방화벽으로는 버티는 데 한계가 있다. 2013년에 발생한 타깃의 정보 유출 사건의 경우 가장 약한 부분이 회사의 난방과 통풍을 담당해주는 서드파티였다. 이 서드파티의 약한 보안망을 해커들이 뚫고 타깃의 크리덴셜을 탈취해, 본사의 데이터에 접속한 것이다. 약한 부분이 없이, 고르게 보안 방비를 해놓는 것이 중요하다.

3. 계획을 짜라
1번과 2번 황금률까지만 보고도 뜨끔한 분들이 꽤나 있을 것이다. ‘우리 데이터가 지금 어디 있지? 누가 거기에 접속하고 있지? 서드파티들이 어떤 식으로 데이터를 보관하고 사용하고 있지?’ 이런 생각이 복잡하게 물결쳐 들어오기 시작한다면 ‘보안 계획’을 세워야 할 때다. 회사마다 사정이 다르겠지만 큰 틀에서 다음과 같이 계획하면 별 무리가 없을 것이다.

- 서드파티들을 매핑하라 : 데이터 매핑은, 보안 담당자라면 자주 해봤을 것이다. 서드파티의 매핑도 비슷하다. 누가 어떤 데이터에 접근하고 사용하고, 또 어디에 저장하는지를 위주로 서드파티들을 전부 파악하라. 가장 취약한 부분이 자연스럽게 드러난다.

- 서드파티를 관리하는 부서를 지정하라 : 막연하게 ‘서드파트를 관리한다’는 건 이도 저도 아닌 결과를 낳는다. 책임자나 부서를 분명하게 지정하는 것부터 계획은 구체화되기 시작한다. 그렇다고 아무에게나 맡겨서는 안 된다. 법무팀, 재무팀, 정책담당팀 중에서 정하는 것이 좋다. IT 팀이나 보안팀은 추천하지 않는다. 단순히 ‘데이터’의 흐름만을 파악하는 것으로 서드파티를 관리하는 게 아니기 때문이다. 계약상 나와 있는 법적인 관계 및 재정적인 사항들을 모두 잘 알고 아우를 수 있는 부서여야 한다. 물론 내부적으로는 IT 및 보안팀과의 협조가 있어야 한다.

- 모든 내용을 문서화 하라 : 누가, 어떻게, 얼마나, 어떤 이유로 어떤 데이터에 접근하는지 기록하고, 그런 권한에 대해 새롭게 규명할 필요가 있다면 하나하나 문서로 써서 남겨놔야 한다. 공식 문서의 힘은 대단히 크다.

- 서드파티에게는 재정적인 언어를 사용하라 : 서드파티는 서드파티다. 즉, 우리랑 아무리 가깝고 갑을 관계에 있다고 해도 우리가 어떻게 할 수 없는 독립체라는 것이다. 서드파티로서는 충분한 보안 조치가 우리 눈엔 한없이 부족해보일 수도 있다. 이 격차를 최대한 좁히려면 ‘돈’이라는 공통주제를 사용해야 한다. 책임 소재가 어떤 식으로 밝혀지고, 책임자 혹은 회사 측에 어떤 금전적인 손해가 있을 것인지 서로 약속을 하고 계약서에 서명을 하는 편이 여러 모로 깔끔한 일처리에 도움이 된다. 규정이 빡빡해서 계약을 하지 않겠다고 하면, 다른 업체를 찾는 편이 더 안전하다.

- 감사, 감사, 감사 : 제3의 기관으로부터 정기적인 보안점검을 받되, 서드파티들도 함께 포함해야 한다. 이와 관련해서는 서드파티들과 협의를 할 수 있다. 물론 이 또한 약속을 하고 정식으로 계약해야 한다.

가장 안전해지는 방법은 나쁜 놈들의 머리 꼭대기에 서는 것뿐이다. 누군가의 머리 꼭대기 위에 서는 것은 매일 계속되는 작은 노력들을 빠짐없이 반복해서야 겨우 가능해질까 말까 한다. 그것도 맹목적인 노력이어서는 안 된다. 계획적이고 철저하고 합법적이고 도덕적인 근거가 있는 노력이어야 한다. 이 수많은 자잘한 것들을 언제 다 하고 있는가, 라고 한숨이 나올 수도 있지만, 이 대(大) 해킹 시대에 할 수 있는 일들이 있다는 것이 오히려 감사한 일이다.

글 : 린 프리드만(Linn Freedman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>