서드파티 사이버 위험 관리

많은 기업이 서드파티 공급업체 수백 곳과 거래를 한다. 글로벌 회계 법인 EY가 발표한 보고서 ‘글로벌 서드파티 위험 관리 조사 2019-2020’와 PwC의 조사 결과에 따르면, 서드파티와 관련된 위험은 계속 증가하고 있음에도 거래량이 줄어들 기미는 보이지 않는다. 보안 업체 엔코어(Anchore)의 최근 설문조사 결과, 지난 12개월 동안 기업 64%가 공급망 공격의 영향을 받았으며, ENISA(European Union Agency for Cybersecurity)의 조사 결과 올해 공급망 공격은 지난해 대비 4배 증가했다.

공급망 공격
수준 높은 사이버 범죄자에게 공급 생태계는 좋은 공격 경로가 된다. 한 곳만 공격해도 여러 곳이 영향을 받기 때문이다. 사이버 범죄자는 서드파티 소프트웨어 업데이트를 공격하거나, 서드파티 업체에서 로그인 정보를 탈취하고, 취약한 소프트웨어나 애플리케이션에 악성 코드를 삽입하는 등의 방법으로 공급망을 공격한다.

서드파티 소프트웨어를 통한 공급망 공격 증가
올 상반기에는 기업에서 많이 쓰이는 중앙관리형 소프트웨어, IT 시스템, 단말기 등의 취약점을 악용한 ‘공급망 공격(Supply Chain Attack)’이 두드러지게 나타났다. 미국 주요 안보기관과 보안 기업 등 1만 8,000여 곳을 공격한 네트워크 관리 솔루션 솔라윈즈 오리온(SolarWinds Orion)과 115개 이상의 국가에서 5,000개 이상의 피해를 유발한 마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 프록시로그온(ProxyLogon) 취약점은 공급망 공격의 심각성을 드러낸 대표적인 예다.

또한, 코로나19 예방을 위한 재택근무 확산에 따라 가상사설망(VPN) 사용이 증가하면서 시트릭스 넷스케일러(CVE-2019-19781)나 펄스 시큐어(CVE-2019-11510) 등 VPN을 활용한 공격도 늘어났다. 국내에서도 VPN 솔루션의 관리자 페이지 접근 및 계정 변경 취약점으로 인한 정보유출 사고 등에 대응할 수 있도록 보안 업데이트를 권고하고 있다.

원격 액세스 인터페이스(RDP, SSH, VPN) 등을 교두보로 삼는 공급망 공격이 증가한 만큼, 전산 자원의 보안등급 재산정을 통한 보안 거버넌스 수립이 요구된다. 협력업체 및 상용 소프트웨어에 대한 검수와 관리감독체계를 통해 사이버 보안의 복원력(resilience)을 강화하고 모니터링 및 사고 대응 체계를 구축하는 데 힘을 기울여야 한다.

서드파티 사이버 위험 관리(Third-party Cyber Risk Management, TPCRM)

- 서드파티 업체와 공급업체, 서비스 제공업체와 관련된 사이버 위험을 분석 및 관리·관찰하며 피해를 완화하는 조직적인 접근법
- 서드파티에 생긴 헛점은 재정적 피해나 다운타임, 민감한 정보와 기업 평판 손실, 컴플라이언스 위반, 벌금 외에도 기타 법적 책임으로 인한 피해를 방지하는 방법
- TPCRM은 단순히 보안 전략이나 준수 요건이 아니라, 견고한 보안 토대를 마련하는 중요한 초석

포괄적인 TPCRM 프레임워크를 구축하기 위해 거쳐야 할 6가지 단계
1. 서드파티 업체 정리하기 - 이용 중인 서드파티 업체를 모두 목록화
기업 운영의 중심이 되고 가장 중요한 요소를 제공하는 업체부터 시작해 상대적으로 중요도가 낮은 지원 서비스 업체 순으로 정리해 보자. 모든 부서에서 사용하는 모든 업체를 정리하는 것이 중요하다. 규모와 상관없이 기업 전체를 위험에 빠뜨릴 수 있기 때문이다.

2. 위험 가능성 정의하기 - 기업에 영향을 미칠 수 있는 위험 가능성에 따라 업체를 분류
위험 가능성을 결정하기 위해서 업체와 직접 소통하는 직원을 대상으로 설문지를 돌려 현재 이용 중인 서비스와 관련한 중요 정보를 알아 두자. 데이터를 저장·가공하거나 데이터에 접근할 수 있는 위치와 단계, 어떤 종류의 보안 평가가 필요한지 등에 대한 정보를 알아 두면 좋다.

3. 서드파티 업체에 대한 위험 수준 평가하기
핵심 서비스를 제공하는 업체는 보통 민감한 정보에 접근해야 하므로 기업에 큰 위협이 될 수 있다.
평가 목록은 직접 작성하거나 온라인에서 구할 수 있는 양식을 활용.
SOC2 타입 2나 ISO 27001, NIST SP 800-53, NIST CSF, PCI-DSS, CSA CCM 등 특정 규정을 준수해야 하는 기업은 평가 조사서에 이와 관련된 질문을 넣는 것이 중요하다.

4. 보안 심사표 개발하기 - 고/중/저위험군
기업에 위협이 되는 수준에 따라 보안 심사표를 만들거나 서드파티 업체에 위험 등급을 매기자
고위험군 : 즉각적으로 개선할 필요가 있음
중위험군 : 일정 기간 내에 개선해야 함
저위험군 : 위험을 수용하거나, 장기적으로 위험 완화 계획을 마련해야 함
고위험군과 중위험군에 해당하는 업체는 기업 운영에 중요한 부분을 담당하거나 민감한 정보를 다루는 곳이며, 저위험군은 그렇지 않은 곳임을 기억하자.

5. 중요도에 따라 위험에 대처하기 - 각 서드파티 업체별로 대응 방안을 결정
데이터 암호화, 다중 인증, 엔드포인트 위협 탐지 및 대응, 보안 인식 교육과 같은 규제를 부여하는 것도 사이버 위험 완화와 보호에 도움이 된다. 업체가 기업의 요구사항을 명확하게 이해하고 그에 따라 행동할 수 있도록 계약 시 이런 규제나 요구사항을 직접 언급하는 것도 중요하다.

6. 관찰, 최적화, 강화, 간소화 - 서드파티 위험은 항상 진화하므로 대비해야 한다
서비스와 영역이 바뀌거나 공급업체의 재무 상태와 공급 능력, 시장 상황 때문이다. 따라서 위험 억제와 소비자 보호, 규제 준수, 전반적인 조직 건강성을 유지하기 위해서는 서드파티 업체의 생애 주기 전반에 걸친 규칙적이고 지속적인 관찰이 필요하다.

---

신문 출처
https://www.itworld.co.kr/news/209419

서드파티 사이버 위험 관리를 위한 6단계 접근법

https://www.itworld.co.kr/t/62082/it%20%EA%B4%80%EB%A6%AC/134418

"신뢰하되 검증하라" 서드파티 위험 관리 시작 가이드 - ITWorld Korea