보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

제로드인 정보 침해 사고를 통해 돌아봐야할 서드파티 보안

입력 : 2023-12-11 19:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
교통이 발전하며 전 세계가 마치 하나의 마을처럼 좁아졌다하여 ‘지구촌’이라는 말이 나왔었다. 각종 통신 및 연결 기능이 고도화 된 지금, 또 다른 개념이 등장해야 할 때가 됐다. 가장 시급한 건 서드파티의 보안 문제를 우리 회사의 보안 문제로 인식해야 한다는 것이다. 보안촌이라고 해야 할까.

[보안뉴스=조아오 피에르 루스 IT 칼럼니스트] 지난 주 IT 기업인 제로드인테크놀로지스(ZeroedIn Technologies)에서 발생한 정보 침해 사고로 약 200만 명의 개인 사용자들이 피해를 입었다. 이름, 주소, 사회 보장 번호 등 개인 식별 정보가 새나간 것이다. 공격자는 이미 8월 초부터 제로드인에 침투할 수 있었던 것으로 조사됐다. 제로드인은 업무용 데이터를 관리 및 분석해 주는 데 특화된 기업으로, 각종 규정 준수 대행 업무도 진행한다.

[이미지 = gettyimagesbank]


이 사건으로 달러트리(Dollar Tree)라는 회사와, 그 회사의 자기업인 패밀리달러(Family Dollar)가 영향을 받았는데, 특히 직원들의 개인정보에 피해가 있었던 것으로 조사되고 있다. 즉 이 사건은 ‘서드파티를 통한 보안 사고’의 일종이라는 것이다. 실제 서드파티에 데이터를 맡겨 관리하는 경우도 늘어나고 있고, 대행사나 벤더사에서 벌어진 일 때문에 해킹 사건의 피해 기업이 되는 일이 점점 빈번해지고 있다.

서드파티, 안 쓸 수도 없고...
보안 업체 카토네트웍스(Cato Networks)의 보안 전략 책임자인 에타이 마오르(Etay Maor)는 “요즘 기업들 간 경쟁이 너무 치열해서 데이터를 다룬다거나 특정 IT 기술을 전문으로 하고 있는 서드파티 업체를 끼지 않고는 살아남기가 힘들다”며 “그런 상황을 잘 알고 있는 해커들이 서드파티 업체들을 통해 여러 기업들을 공략하는 중”이라고 설명한다. “비슷한 맥락에서 요즘 성행하고 있는 게 공급망 공격이지요. 둘 다 기업 입장에서 대처가 까다로운 유형의 공격입니다.”

서드파티 공격은 오래 전부터 해커들의 사랑을 받아온 전략이다. “이미 10년 전 타깃(Target)의 메가브리치 사건이 서드파티 침해 사고였지요. 당시 타깃의 HVAC 시스템을 관리하던 서드파티 업체가 공격의 통로가 되었던 것이니까요. 큰 충격을 남겼던 사건임에도, 아직도 그 전략이 유효하다는 건 어디엔가 근본적 문제가 있다는 뜻입니다.”

그래서 금융 기관 등 침해 사건 하나하나가 너무나 치명적으로 작용하는 단체의 경우 서드파티 업체를 이용하지 않고 내부적으로 모든 필요를 충당하기도 한다고 마오르는 설명한다. “하지만 이건 대부분 기업들에 불가능한 선택지입니다. 어느 순간에는 분명 서드파티 업체의 힘을 빌려야만 합니다. 구글 계정 하나 없이 일하는 기업이 있을까요? 아니면 애플 계정? 세일즈포스? 각종 공공 클라우드는 어떻고요? 우리가 상상하는 것보다 서드파티와의 관계는 훨씬 방대하고 넓습니다. 그러다 보니 보안의 고리들이 약화되어 가고 있는 것이죠.”

이런 상황, 즉 서드파티라는 걸 아예 이용하지 않을 수 없는 상황에서 기업들이 가진 선택지는 ‘어느 정도 규모로, 어느 깊이까지, 어떤 서드파티와 관계를 맺을 것인가?’를 정하는 것이라고 마오르는 강조한다. “많은 기업들이 보안 관련 인증서를 획득했는지를 따집니다. 서드파티들 대부분 그에 맞게 인증서를 갖추고 있기도 하지요. 하지만 이것만으로는 불충분합니다. 지금까지도 서드파티 사고가 계속해서 일어난다는 게 그 증거입니다. 인증서가 곧 보안 실력을 보증하지는 않습니다.”

그렇기 때문에 제로트러스트라는 개념이 중요하다고 마오르는 강조한다. “인증서 등 서드파티들이 자랑스럽게 제시하는 문건들을 너무 믿지 마세요. 그게 허위 자격증이라는 게 아닙니다. 다만 그것 하나로 총체적인 보안 상황을 가늠할 수 없다는 것이죠. 그러니 그 문건 하나 덥썩 믿는 대신 여러 가지를 더 확인하고 또 확인해야 합니다. 그 업체와 아무리 친해도, 심지어 가족끼리 만나 소풍까지 가는 사이더라도 불신을 기반으로 확인 작업을 거쳐 뿌리 깊은 신뢰를 만들어내야 합니다.”

그러므로 의뢰를 주는 고객사는 계속해서 확인할 수 있을 만한 자료를 요청하고, 벤더사는 그러한 요청들을 당연하게 받아들이고 투명하게 정보를 제공할 수 있어야 한다고 마오르는 강조한다. “우리 회사가 넘기는 데이터가 어떤 식으로, 어떤 기술을 통해, 어떤 관리자의 손을 거쳐 처리되고 보관되는지 궁금해야 합니다. 그리고 물어봐야 하고, 그 정보가 계약 관계에 있는 회사에는 제공될 수 있어야 합니다. 그런 것까지 전부 기밀 아래 묶어두면 서드파티 사건은 거듭해서 일어나고 또 일어날 수밖에 없습니다.”

마을 전체가 참여해야
보안 업체 에이브포인트(AvePoint)의 정보 보안 책임자인 데이나 심버코프(Dana Simberkoff)는 “팀 전체 혹은 회사 전체의 보안의 강력함은 보안 예산을 얼마나 책정하고 있고, 어떤 고급 솔루션을 사용하고 있느냐로 가늠하는 게 아니라, 가장 보안이 허술하고 약한 사람의 능력치 혹은 사고칠 확률과 동일하다”고 강조한다. “그리고 초연결 시대가 오면서 팀이나 회사 전체라는 범주 안에 서드파티도 같이 들어가게 되었는데, 그걸 아직 인지하지 못하고 있는 상황입니다. 조직 전체의 보안 강화는 이제 서드파티도 포함하는 개념입니다.”

그렇기 때문에 이제 서드파티 업체와도 계약 시 보안에 대한 이야기를 진솔하게 나눌 수 있는 문화가 정착되어야 한다고 심버코프는 강조한다. “보통 ‘데이터 보안, 어떻게 하시나요?’를 묻지 않습니다. 그 회사의 책임이자, 그 회사만의 내부 사정이므로 간섭할 수 없다는 생각이 바탕에 깔려 있기 때문입니다. 이걸 넘어서야 합니다. 그래서 직원들 보안 교육 어떻게 하시느냐도 묻고, 사고 일어나면 어떻게 대처할 계획을 가지고 있느냐도 묻고 답할 수 있어야 합니다.”

그리고 이런 것이 발전하여 서드파티의 리스크 평가 모델을 갖추는 데에까지 가야 한다고 심버코프는 주장한다. “그런 수준에까지 도달하는 게 쉽지는 않을 겁니다. 결국은 서드파티 업체의 내면을 낱낱이 보여달라는 것과 비슷한 요청이 되는 거니까요. 하지만 보안 상황을 투명하게 아는 것이 곧 회사의 민낯을 보는 것과 동일할 필요는 없습니다. 가릴 건 가리면서도 최대한 알릴 건 알리는 방법론이 존재한다고 보고, 지금 우리는 그 적정선을 찾아가는 과정 중에 있다고 봅니다. GDPR이 개인정보의 새로운 기준을 마련했듯이 말이죠.”

글 : 조아오 피에르 루스(Joao-Pierre S. Ruth), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대