벤더 시큐리티 얼라이언스, 매년 평가지 통해 서드파티 보안 강화
서드파티 관리의 요점은 ‘자기들이 알아서 수정’과 ‘보안 점수 공개’

[보안뉴스 문가용] 서드파티 벤더들이 공격의 통로가 되는 게 어제 오늘 일이 아니다. 이 때문에 대형 정보유출 사고가 발생하기도 한다. 이에 9개의 IT 업체가 힘을 합하기로 하며 벤더 시큐리티 얼라이언스(Vendor Security Alliance, VSA)를 만들었다. VSA는 인터넷 보안을 강화하겠다는 9개 회사의 선언이기도 하며, 보안 강화를 위한 보안 수칙 표준화 작업 등을 해나가겠다고 한다.


VSA의 첫 의장은 켄 베일러(Ken Baylor) 우버 컴플라이언스 책임자가 맡았다. 우버 외에 VSA 아래 모인 기업들은 도커(Docker), 팔란터(Palantir), 트위터, 아틀라시안(Atlassian), 고대디(GoDaddy), 드롭박스(Dropbox), 스퀘어(Square), 에어비앤비(Airbnb)다.

“세계 곳곳의 산업들이 이미 건강하고 올바른 사이버 보안 실천 사항들을 도입하고 있으며, 이를 위해 서로서로 협력하고 있습니다. 하지만 한 회사가 다른 회사의 보안 체제를 평가하거나 시험할 때 필요한 표준 절차가 존재하지 않았습니다. 그렇기 때문에 협력이라고는 하지만 끼리끼리 이루어지거나 음성적으로 이루어졌죠. VSA는 인터넷 보안을 강화하기 위해 제일 먼저 이 부분을 해결할 예정입니다.” VSA 측의 발표 내용이다.

VSA는 보안 전문가 및 컴플라이언스 담당관들과 힘을 합해 설문지를 매년 발행할 예정이다. 이는 기업들이 리스크의 정도와 수준을 최대한 객관적으로 평가할 수 있게끔 하기 위함이다. 또한 벤더들을 평가하고 올바른 통제 장치를 적절한 곳에 배치하기 위한 의도도 담겨 있다. 설문지로서 살필 수 있는 영역은 정책, 절차, 프라이버시, 취약점 관리, 정보 보안이라고 우버의 베일러는 블로그 포스트를 통해 공개했다.

설문지 작성이 끝나면 VSA 및 참여 기업들과 전혀 관련이 없는 제 3의 감사 기관이 이를 평가하고 점수를 매길 예정이다. 실제 실시하고 있는 보안 실천사항들에 따라 점수가 주어지며 리스크를 높이는 요소들이 발견될 때마다 점수가 깎인다고 한다. 이 점수 및 평가 결과 자체의 공신력이 꽤나 높아질 것이므로 각 벤더들은 별도의 감사를 받을 필요가 없게 된다.

“서로의 경험과 노하우를 공유하고, 이를 통해 보안 실천사항들에 대한 표준화 작업을 마치고 나면 벤더들이 취해야 할 최소한의 보안 조치가 무엇인지에 대한 합의가 형성될 것으로 보입니다. 그러면 리스크 자체가 전체적으로 줄어들 것이고요. 또한 VSA에 소속된 기업들은 연합된 노하우와 지식을 바탕으로 보안을 더 철저히 할 예정입니다.”

VSA는 현재 첫 번째 설문지를 만들고 있으며 10월 1일에 완성될 예정이라고 한다. 앞으로는 모르겠지만 현재까지는 무료로 배포할 것이라는 방침이다. 이 설문은 매년 한 번씩 새롭게 발행될 예정이며, 보안 실천사항의 표준화 강도를 점점 올리고 벤더들 스스로가 강력한 보안 장치를 마련할 수 있도록 하는 게 본연의 목적이라고 한다.

“신뢰는 투명성과 책임감 이행에서부터 생겨난다고 생각합니다. 회원 기업들과 아무런 관계가 없는 독립체가 보안을 평가하고 관리하게 하면 이 점에서 많은 이점을 얻을 수 있습니다. SVA에 가입한 아홉 개 업체가 공통으로 사용하고 있는 벤더들을 평가하는 데에도 훨씬 효율적이고, 객관적일 수 있고요.” 아틀라시안의 리스크 관리 책임자인 조지 토테브(George Totev)가 설명한다.

요약하자면, 9개 업체가 뭉쳐서 보안의 큰 구멍이 되고 있는 서드파티 관리에 대한 표준을 제시하겠다고 나섰고, 그 표준을 제시하는 방법은 공들여 구성한 설문지 질문들이다. 이 질문지들을 서드파티들에게 돌리고, 서드파티들은 이를 작성하면서 스스로의 보안 상태를 점검할 수 있게 되며, 제3의 기관이 설문지를 평가하면서 점수까지 매겨서 9개 메이저 IT 업체들 사이에서 공유시킬 예정이다. 즉 1) 자기 수정과 2) 점수제로 인한 경쟁 유발로 서드파티 보안을 하겠다는 거다.

아직 이 방법이 효과적일지 두고 봐야 하지만(자체적인 보안 강화 및 수정, 즉, 자율보안은 이미 실패 사례가 수두룩하다), 민간 부문에서 발생한 보안 평가 연합이 점수제를 택했다는 것이 큰 의미를 내포하고 있다. 각종 애플리케이션과 소프트웨어, 사물인터넷에 보안 문제가 대두되고 있고 대부분은 제작단계에서 예방이 가능하다는 조사결과까지 등장했다. 즉 아무리 보안을 잘 해야 한다고 말해봤자 소용이 없는 것처럼 보이는 개발자 및 개발업체를 겨냥해 ‘성적 공개’라는 초강수를 보안 업계가 슬슬 구체화시키고 있는 것이다.

하지만 보안 점수가 과연 소비자나 파트너사들의 구매욕을 떨어트리고, 그래서 이것이 직접적인 손해로 이어질지는 미지수다. 제품에서 취약점이 발견되기로 동종 업계 3위를 기록하고 있는 시스코의 장비는 여전히 시장에서 잘 팔리고 있고(물론 패치를 제때 해주기 때문이기도 하다), 보안에 대한 사용자 인식은 아직도 ‘그래서 뭐?’ 수준에 그치고 있기 때문이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>