기업 보안 책임자는 위협 행위자와 점점 더 복잡해지는 규제 및 지정학적 환경으로부터 글로벌 IT 공급망을 보호해야 하는 부담을 안고 있다. 무역 분쟁부터 지역 분쟁에 이르는 각종 사건들은 지정학적 긴장이 핵심 기술에 대한 접근을 얼마나 빠르게 방해할 수 있는지, 그리고 신뢰할 수 있는 벤더와 서드파티 서비스를 통한 공격으로 조직이 얼마나 쉽게 침해될 수 있는지를 보여줬다.
구체적으로 살펴보면, 일부 경우에는 정부의 조치로 인해, 또 다른 경우에는 군사 및 지정학적 분쟁과 관련된 사이버 공격으로 인해 혼란과 변화가 발생했다. 전자의 예로는 화웨이(Huawei)와 ZTE의 통신장비에 대한 미국 정부의 금지가, 후자의 예로는 2024년 국가 안보 우려로 인한 카스퍼스키(Kaspersky) 소프트웨어 사용 금지 사례가 있다. 특히 연방정부 내 미국 조직들은 해당 기술 사용이 갑자기 제한돼 서둘러 이를 제거하고 교체해야 했다. 솔라윈즈(SolarWinds)에 대한 공격과 같은 다른 사례들은 러시아-미국 간의 긴장이 어떻게 소프트웨어 공급망 공격으로 표출되는지를 보여줬다.
버그크라우드(Bugcrowd)의 CISO인 트레이 포드는 보안 책임자가 전통적인 사이버 방어를 넘어 글로벌 차원의 급격한 변화를 고려해 전략을 개발해야 한다고 말했다. 그는 “버그크라우드는 전 세계에서 운영되고, 기술이 조달되며, 고객이 참여하고, 직원이 서비스를 제공하고 있다. 비즈니스 생태계를 만드는 구조는 매우 상호 연결되어 있으며, 의존성이 복잡하다”라고 설명했다.
포드는 새로운 현실에서 보안 책임자가 지역의 날씨부터 사회정치적 변화, 그리고 비즈니스, 고객, 공급업체에 영향을 미치는 법률이나 법적 결정의 발표에 이르기까지 모든 것을 이해해야 한다고 말했다. 포드는 “CISO에겐 다양한 관점이 필요하다. CISO는 운영, 법률, 프라이버시 보호, 규정 준수에 대한 논의와 통찰력을 통해 먼저 열거하고, 그 다음에야 지역 사건이 비즈니스에 미치는 영향을 이해할 수 있다”라고 언급했다.
사이버보안 책임자가 참고할 만한 리스크 완화 방법 4가지를 소개한다.
리스크와 노출 이해하기
포드에 따르면 사이버 분야는 결국 인벤토리에서 시작되며, 글로벌 공급망 위험을 이해할 때도 마찬가지다. 직원들이 어디서 일하는지, 서비스가 어디에서 어디로 전달되는지, 기술이 어디서 호스팅되거나 조달되는지, 그리고 조직이 비즈니스 관계를 맺고 있는 모든 지역을 아는 것이 공급망 보안의 기본이다.
또한 국제 경계를 넘나드는 데이터 흐름을 이해하고 매핑하기, 주요 시장의 변화하는 데이터 보호 규정을 이해하기, 데이터 저장 및 처리 위치의 유연성을 유지하기, 그리고 국경 간 데이터 이전에 대한 잠재적 제한에 대비하기가 매우 중요해졌다.
포드는 “사내 법률팀, 외부 법률 고문, 무역 조직 또는 입법 업무 파트너와의 돈독한 관계를 통해 주요 시장의 변화를 파악할 수 있다. 법률팀에 동향 브리핑을 요청하는 방법은 보안팀과 회사의 위험 관리를 지원하는 사람들이 이러한 사항을 최우선으로 고려하도록 하는 좋은 수단일 것”이라고 조언했다.
또한 공공 정책과 글로벌 서비스에 투자하는 보안 벤더와 협력하는 방법도 있다. 이는 최신 동향을 파악하고 사이버 관련 중요 사안에 대해 목소리를 낼 좋은 방법이다.
다각화된 공급망 유지
국제 기술 벤더로부터 조달하는 조직은 단일 벤더, 단일 지역, 심지어 단일 기술에 과도하게 의존하지 않도록 해야 한다. 다각화된 공급망을 유지하면 주요 벤더와 관련된 사이버 공격이나 취약점으로 인한 중단, 규제 변화, 무역 제한이나 지정학적 분쟁과 관련된 중단 등을 완화할 수 있다.
블랙덕(Black Duck)의 CISO인 브루스 젠킨스는 “여기서 이야기하는 바는 비즈니스 회복력, 더 좁게는 공급망 리스크 관리다. 벤더의 중단 가능성과 영향을 파악하고 대안을 식별해야 한다”라고 말했다. 젠킨스는 보안 책임자가 전체 기업 비즈니스 영향 분석(BIA) 프로세스에 이런 리스크와 잠재적 영향을 포함시키고, 비즈니스 연속성 계획(BCP)에 대체 계획을 포함시켜야 한다고 권장했다.
가능한 경우 여러 벤더와 지역에서 전략적으로 조달하면 새로운 위협이나 예상치 못한 지정학적 변화에 대한 더 나은 회복력과 적응력을 확보할 수 있다. 버그크라우드의 포드는 “우려되는 지역에서 접근이나 제공이 이루어지는 주요 기술 파트너십이 있다면 대안을 마련할 필요가 있다. 공통 해저 케이블 연결을 통해 서비스되거나 접근되는 지역이 있다면 중단이 어떤 식으로 나타날지, 그리고 서비스 중단이나 저하를 어떻게 해결할지 파악해야 한다”라고 설명했다.
강력한 리스크 평가 및 모니터링 구현
글로벌 IT 공급망에 대한 리스크 평가 및 모니터링 프로그램을 구현하거나, 이미 구축된 프로그램을 검토하고 필요한 경우 업데이트해야 한다. 지정학적으로 불안정한 지역에 벤더가 있는 조직은 외부 위협 인텔리전스 피드, 뉴스 모니터링, 지역 비즈니스 분석을 결합한 조기 경보 기능을 개발하는 것을 고려해야 한다. 목표는 운영에 영향을 미치기 전에 잠재적 중단을 예측하는 것이어야 한다. 키퍼 시큐리티(Keeper Security)의 CEO이자 공동 설립자인 대런 구치오네는 “CISO는 특히 복잡한 규제 또는 지정학적 역학이 있는 지역의 벤더를 관리할 때 선제적이고 리스크 기반의 접근 방식을 채택해야 한다. 고위험 지역 벤더로 인한 리스크를 이해하는 것이 매우 중요하다”라고 설명했다.
주요 벤더가 운영되거나 핵심 기술이 조달되는 지역에서는 글로벌 및 지역적 긴장 상태를 지속적으로 추적하고 모니터링하는 작업이 특히 중요하다. 이때 목표는 진화하는 무역 정책과 제재가 보안 도구, 업데이트, 서비스에 대한 접근에 어떤 영향을 미칠 수 있는지 이해하는 데 있어야 한다. 특히 이런 정책이 기술 부문이나 특정 기업을 대상으로 할 때가 중요하다. 한 예로 2024년 미국 정부의 카스퍼스키 보안 제품 사용 금지를 들 수 있다.
블랙덕의 젠킨스는 “제재로 인해 벤더 솔루션을 활용할 수 없게 된 경우, 벤더와 개방적이고 정직한 의사소통을 유지하려고 노력할 것을 권장한다. 이를 위해 계약 및 수출 규정 준수 법률팀의 도움을 받아야 한다”라고 말했다. 제재나 규제 조치가 의사소통을 유지하고 실사 의무를 이행하는 능력에 직간접적으로 영향을 미치는 경우, BCP의 완화 경로를 따르는 것이 가장 좋다고 그는 덧붙였다.
벤더의 규제 준수 의무를 주기적으로 확인
평판이 좋고 규모가 큰 IT 벤더조차도 때때로 국제 및 수출 통제 규정을 위반할 수 있다. 예를 들어, 2023년 마이크로소프트(Microsoft)는 미국 제재 목록에 있는 러시아 기업에 소프트웨어를 판매한 혐의로 미국 상무부 산업안보국(BIS)과 재무부 해외자산통제국(OFAC)에 330만 달러의 벌금을 지불해야 했다. 또 다른 사례로, 가상화폐 거래소 크라켄(Kraken)은 이란에 대한 제재를 위반한 혐의로 미국 측과 36만 달러 이상의 벌금을 합의했다.
때로는 벤더의 규정 미준수로 인해 조직의 글로벌 운영 능력에 영향을 미치는 제한이 발생할 수 있다. 윤리적 조달을 보장하려면 공급망을 지속적으로 모니터링하는 것이 매우 중요하다.
또한 서드파티 리스크 관리(TPRM) 관행을 일관되고 체계적이며 정기적으로 실행해야 한다. 구치오네는 공급업체가 SOC 2 Type 2 및 ISO 27001과 같은 인정된 보안 인증을 충족하도록 해야 한다고 말했다. 그는 “벤더가 조직의 보안 요구사항을 충족하도록 보장하기 위해 사이버보안 표준과 데이터 처리 프로토콜을 명시하는 명확한 계약 합의가 필수적”이라고 설명했다. 이를 위해 정기적인 감사, 규정 준수 확인, 지속적인 모니터링을 포함하는 강력한 거버넌스 프레임워크를 수립해야 한다.
동시에 젠킨스는 특정 지정학적 또는 규제 환경의 맥락에서 노력의 한계를 인식해야 한다고 경고했다. 그는 “반박할 여지없이 비즈니스 가치가 높지 않은 한, 시간을 낭비하지 말고 제약 조건이 무엇이든 이해하고 그 안에서 작업해야 한다”라면서, 감사 목적으로 노력을 문서화하고, 노력의 결과를 조달 및 비즈니스 회복력 프로그램에 대한 향후 리스크 기반 의사 결정에 활용하라고 조언했다.
[email protected]
Read More from This Article: ‘갈수록 복잡해지는 여건’··· CISO들이 전하는 공급망 리스크 완화법
Source: News