2018년 포네몬(Ponemon) 보고서에 따르면, 기업은 평균 583개의 서드파티 업체와 기밀 정보 및 민감한 정보를 공유한다. 그러나 이 가운데에서 서드파티 목록을 관리하는 비율은 34%에 불과하다. 사이버보안 기능 하나만 봐도 기업은 평균 47가지의 솔루션과 기술을 구축한다. 포레스터의 선임 애널리스트 폴 맥케이는 “서드파티 사이버 위험 현황에 대한 CISO의 시야에는 구멍이 많다”면서, “일반적으로 공급업체 평가에 사용하는 보안 질문서는 현실과 다르고, 사이버 위험 등급 평가 솔루션, 서드파티 위험 관리 기술 등의 기술 솔루션은 아직 초기 단계”라고 말했다. 결과적으로 서드파티 또는 공급망 위험 관리가 화두로 떠올랐다.
맥케이는 "코로나19의 영향에 따른 지금의 경제 상황을 감안한다면 공급업체의 재무적 생존 가능성이 실질적인 문제가 될 수 있다. 또한 영향을 받을 공급업체의 유형에 대해서도 생각해보는 것이 좋다. 현금 흐름이 제한된 SME는 특히 취약하다. 규모가 큰 업체와 하이퍼스케일 클라우드 컴퓨팅 제공업체는 장기적으로 경제 상황을 견딜 여력이 있을 것”이라고 설명했다.
공급업체가 갑자기 파산하면 데이터에 접근할 수 없게 되고 중요한 툴이나 서비스에 대한 지원이 끊기고 이후의 악용 위험에 노출되거나, 주요 프로세스 또는 운영에 지장이 생길 수도 있다. 이와 함께 해당 업체 또는 업체의 장비가 팔린다면 판매하기 전에 데이터를 완전히 삭제했는지 확인해야 한다. 맥케이는 “주요 공급업체가 도산한다면 그 업체의 역할에 따라 시스템을 사용할 수 없거나 데이터를 가져오는 데 어려움을 겪는 정도의 간단한 문제에 그칠 수도 있고, 업체가 주요 아웃소싱 업체 또는 보안 제공업체 역할을 한다면 최악의 경우 비즈니스 전체가 중단되는 사태도 발생할 수도 있다. 계약이 종료되면 데이터 액세스가 방치되고 데이터가 적절히, 안전하게 폐기되지 않고 저장된 데이터를 적절히 파기하지 않은 채로 자산을 매각하는 경우가 많다”라고 말했다.
딜로이트(Deloitte) 위험 및 재무 자문 사업부 책임자 뎁 골든은 "CISO가 공급업체와 서드파티 하도급 업체와 이들이 액세스할 수 있는 기업 내 자산을 파악하기 어려울 수 있다"면서, “공급망 일부분이 붕괴된다고 생각해 보자. 그 연결을 비활성화하지 않을 경우, 또한 떠나는 직원에 대해 오프보딩(Offboarding)을 하지 않아 여전히 조직 환경에 액세스할 수 있는 경우를 생각해봐야 한다”라고 조언했다.
서드파티 위기에 대한 안전 대책
위기를 피하는 최선의 방법은 지금의 생태계를 이해하는 것이다. 기업의 공급업체 위험 관리 프로그램이 성숙할수록 경기 침체기에 부가적인 위험 요소를 비즈니스 연속성 계획에 반영하기도 더 쉬워진다.
골든은 “실제 상황이 닥치기 전까지는 알기가 어렵지만 공급망의 유동성을 이해하고 이 공급업체가 회사 운영에 얼마나 중요한지 이해하는 것이 핵심”이라고 말했다. 또한 골든은 최악의 상황이 발생하더라도 그 직전에 알게 되는 경우가 많으므로 CISO는 대체 서비스를 얼마나 신속하게 가동할 수 있는지 파악해야 한다고 덧붙였다.
가장 중요한 공급업체와 파트너의 안정성을 먼저 평가해야 한다. 기존 감사나 평가 설문에 의존해서는 안 된다. 지난해에는 충족했던 공급업체의 조건이 지금의 현실에서는 부족할 수 있다. 윕플리(Wipfli)의 위험 자문 서비스 파트너인 제프 올레즈닉은 "운영에 중요한 역할을 하는 공급업체가 갑자기 도산하면 혼란이 일어난다. 공급업체의 재무 안정성을 점검해 위기에서도 버틸 수 있는지 확인하는 것이 중요하다"라고 충고했다.
주요 공급업체를 파악해 평가하면 CISO는 실현 가능한 부분에서 공급망의 예비성 수준을 확인해야 한다. 일부 전문 공급업체가 독보적인 기능을 보유할 수도 있지만 대부분 기능은 상호 중복되므로 신속하게 사용할 수 있는 백업 공급업체 또는 이미 기업 내에 구축한 제품 가운데 중복되는 기능을 찾아야 한다. 서비스를 쉽게 대체할 수 없다면 계약에 중대한 재무 문제 발생 시 운영권을 가져올 수 있도록 하는 조항을 포함하는 것이 좋다.
맞춤 서비스이거나 비즈니스에 중요한 서비스라면 서비스 계약에 개입 조항을 넣기 위해 훨씬 더 많은 노력을 기울여야 한다. 이런 조항은 일반적이지만 공급업체 측에서 거부감을 갖는 경우가 많기 때문이다.
법률업체 화이트 앤 케이스(White & Case)의 파트너 팀 힉맨은 "CISO라면 문제 발생 시 최대한 조기에 개입해 운영을 가져올 수 있는 권리를 반드시 확보해야 한다. 이런 권리가 없으면 데이터가 저장된 신생 업체의 서버가 해체되어 데이터를 찾지 못하는 상황에 처할 수 있다”라고 경고했다. 공급망 제공업체에 던져야 할 질문
상장 기업이라면 회사의 실적 보고서를 통해 현금 흐름, 수익성과 같은 지표를 확인하고 회사의 건전성을 전체적으로 조망할 수 있다. 비상장 기업은 대부분 세부적인 현금 흐름 상황이나 재무 상태를 확인하기 어렵다. 산업 및 증권 애널리스트가 투자를 추천할 때 회사에 대한 정보를 제공하기도 한다.
신생 업체라면 기업 성숙도에 대한 더 폭넓은 지표를 봐야 한다. 예를 들어 확보한 고객 수, 동종업계 다른 업체가 해당 업체의 기술을 사용 중인지 여부, 해당 보안 분야에 대한 미디어의 보도 내용 등을 확인해야 한다.
임퍼바(Imperva)의 부사장 겸 본부장인 테리 레이는 "비즈니스에 중요하고 고객이 많고 기술이 성숙할수록 기업이 생존 가능성, 또는 최악의 경우 그냥 사라지지 않고 인수될 가능성도 더 높다. 물론 반대도 마찬가지다. 틈새 시장이고, 잘 알려지지 않고 중요도가 낮은 기술이라면 파격적인 가격에도 팔리지 않아 결국 문을 닫을 가능성이 높다”라고 말했다.
어려운 일이지만 CISO가 할 수 있는 최선의 방법은 공급업체에 재무 안정성을 묻는 것일 수도 있다. 공급업체의 더 적극적인 의사소통을 끌어내기 위해 CISO가 할 수 있는 일은 비밀유지 계약에 서명하는 것이다. 윕플리의 올레즈닉은 “코로나바이러스로 인해 기업에서 잠재적 위험을 파악하기 위해 노력 중인 만큼 중요한 공급업체를 대상으로 비즈니스의 지속 가능성을 확인하고 재무제표, 대차대조표, 자본 현황을 파악하고자 하는 것이 불합리하다고는 생각하지 않는다”라고 설명했다. 공급업체에 물어야 할 질문은 다음과 같다. 향후 6~12개월 동안 비즈니스를 지원하기에 충분한 자본을 보유하고 있는가? 이번 코로나19를 견딜 역량이 있는가? 재무 건전성을 유지하기 위한 외부 자금원이 있는가? 정부로부터 재정 지원을 받을 것으로 예상하는가? 어떤 부양책 또는 구제 조치를 활용하고 있는가? 핵심 파트너 또는 공급업체 중에서 팬데믹으로 인해 위기에 처한 업체가 있는가? 긴급 사태에 대비한 계획은 무엇인가? 일반적으로 신생 업체는 고객을 잃을 수 있다는 우려에 대체로 이와 같은 정보를 공유하기를 꺼린다. 이미 공개된 정보가 아닌 한 기업에서 어려움을 겪고 있음을 공개적으로 인정하는 경우는 드물다.
공급업체 오프보딩에도 유의해야
NCSC(National Computer Security Center), NIST(National Institute of Standards and Technology)와 같은 기관은 공급망과 관련된 지속적인 위험을 완화하는 데 도움이 되는 가이드를 제공한다. 오프보딩은 확고하게 정착된 관행은 아니다. 공급업체나 서드파티를 시스템에서 제거할 때 CISO는 다음과 같은 모범 사례에 따라야 한다. 정책, 그리고 가능하다면 계약에 안전한 오프보딩을 위해 양 당사자가 취할 조치를 명시한다. 허용 가능하며 적절하게 보호되는 형식으로 데이터를 다시 가져오기 위한 정책과 프로세스를 마련한다. 환경의 모든 시스템에 대한 특권과 액세스 권한을 회수한다. 장소에 대한 물리적 접근 권한을 부여했다면 이 권한도 반드시 제거해야 한다. 데이터 파기에 관한 공급업체의 정책과 프로세스를 파악하고, 파기 확인서와 사용된 방법에 관한 세부 정보를 받아야 한다. 해당될 시 장비 반환을 추적한다. 가능하다면 일정 및 앞선 단계 이행을 감독할 전담 인력에 대해 협의한다. 트렌드 마이크로(Trend Micro)의 수석 보안 전략가인 바라트 미스트리는 오프보딩의 이유를 문서화하고, 공급업체의 수행 역량이 기대를 충족했는지, 비즈니스를 위한 가치를 창출했는지, 또는 비즈니스를 위한 전략적 주제나 프로그램을 실행하는 데 도움이 됐는지 여부와 같은 사안에 대해 계약 종료 평가를 수행해야 한다고 조언했다.
CISO와 사업부의 협력 필요
CISO는 다른 사업부 영역과 협력해 공급업체의 재무적 안정성을 평가하고 계약 의무를 이해하고 위험을 정량화해야 한다. 힉맨은 구매, 법률, CISO 간의 조율이 충분히 이뤄지는 기업은 거의 본 적이 없다고 말했다.
회사의 구매팀, 법률 자문, CISO 간의 긴밀한 협조를 구축하는 것이 무엇보다 중요하다. 구매 및 재무팀과 긴밀히 협력하는 CISO는 잠재적으로 위험한 공급업체를 파악할 수 있으며, 이후 법률팀과 협력해 계약 내에 공급업체가 재무 문제를 겪더라도 조직을 보호할 수 있는 조기 계약 종료 조항을 넣을 수 있다.
포레스터의 맥케이는 발견된 위험을 이사회에 공유하는 것과 관련, 비즈니스에 대한 즉각적이고 일상적인 영향 관점에서 위험을 설명해야 한다고 조언했다. 이사회는 주요 공급업체가 도산할 경우 중요한 수입원이 받게 될 영향을 알아야 하기 때문이다.
|