최근의 지역 전쟁과 함께 미국의 디리스킹(de-risking) 정책과 중국의 대응 상황은 써드파티(3rd Party) 공급사를 대상으로 한 사이버 공격과 이로 인한 주요 비즈니스 차질을 촉발하고 있다. 기업은 더 많은 부분에서 써드파티에 의존하고, 클라우드 솔루션에 대한 의존도도 커지고 있다. 아웃소싱은 비용을 절감하고 효율성을 높일 수 있으나, 이 전략엔 문제가 발생하기 전에 검토하고 해결해야 할 잠재적인 보안 리스크를 내포하고 있다. 이러한 상황은 기업 수익 악영향, 다운타임 초래, 평판 타격, 컴플라이언스 영향, 벌금 부과 등을 야기할 수 있다.
기업의 써드파티에 대한 높은 의존도와 상호 연결된 비즈니스 환경으로 인해, 해당 기업뿐만 아니라 써드파티 사이버 리스크 관리 형태 파악의 필요성이 매우 중요해졌다. 공급사로부터 발생하는 사이버 공격 빈도가 증가함에 따라 민감한 데이터와 비즈니스 평판을 보호하며, 잠재적인 재정적 손실을 완화하기 위한 사전 예방적 조치가 요구된다. 기업 목표를 공유하는 전략적 벤더가 사이버 보안에 우선순위를 두도록 하려면 올바른 질문을 하는 게 중요하다.
먼저 써드파티가 파트너 및 기타 공급사를 포함한 자체 공급사 생태계를 다루고 관리하는 포괄적인 사이버 보안 리스크 관리 프로그램을 가지고 있는지를 물어야 한다. 강력한 사이버 보안 리스크 관리 프로그램은 써드파티 자체뿐만 아니라 공급사·파트너·에코시스템 내 다른 공급사까지 포괄해야 한다. 공급사가 전체 네트워크에서 보안을 관리하는 방식을 이해하면 사이버 리스크를 최소화하고 강력한 보안 태세를 유지하기 위한 공급사의 노력을 평가할 수 있다.
써드파티 직원들이 보안 인식에 대한 교육, 피싱 및 기타 보안 관련 문제에 대한 최신 정보를 지속 제공받고 있는지도 물어볼 필요가 있다. 직원 인식과 교육은 사이버 위협에 대처하는 데 있어 중추적인 역할을 한다. 피싱 시도 및 기타 보안 관련 문제에 대해 잘 알고 있는 직원은 사이버 공격의 성공 가능성을 크게 줄일 수 있다.
써드파티 데이터에 대한 무단 액세스 가능성이 있는 경우, 알림을 제공할 수 있는지도 확인해야 한다. 공급사 데이터에 대한 무단 액세스는 비즈니스에도 심각한 영향을 미칠 수 있다. 따라서 공급사가 시스템 내에서 잠재적인 침해를 감지하고 이에 대응하는 방법을 이해하는 게 중요하다.
보안 침해 또는 기타 보안 관련 인시던트(사고·incident) 발생 시 써드파티가 기업에 이를 알리기 위한 계획이 수립됐는지도 질문해야 한다. 보안 침해 또는 사고를 해결하기 위해선 시기적절한 커뮤니케이션이 중요하다. 공급사가 회사에 통지하는 방법을 명확히 이해하면 신속하게 대응하고 잠재적 피해를 줄이며 이해관계자와 투명성을 유지할 수 있다.
써드파티가 사이버 보안 성과를 지속적 모니터링을 하고 있는지도 관심을 가져야 한다. 사이버 보안은 지속적인 모니터링과 평가가 필요한 지속적인 프로세스다. 지속 모니터링을 통해 악의적인 공격자가 악용하기 전에 잠재적인 취약점을 사전에 식별하고 완화할 수 있다.
써드파티의 비즈니스 연속성 관리 계획이 기업의 운영 회복탄력성을 얼마나 잘 지원하는지도 물어야 한다. 공급사의 비즈니스 연속성 관리 계획이 기업 비즈니스 요구사항에 어떻게 부합하는지 평가해야 한다. 리스크를 완화하고 이중화를 보장하며, 사고 발생 시 다운타임을 최소화하기 위한 공급사 전략을 이해하면 조직의 운영 연속성을 지원할 수 있는 능력을 측정할 수 있다.
써드파티 사이버 리스크 거버넌스 체계(Third Party Governance)를 확립하기 위한 이러한 질문을 기반으로 전략적 공급사에 대한 사이버 리스크 관리의 우선순위를 확인하고, 사이버 보안 상태 및 관행에 대한 인사이트를 통합해, 써드파티 사이버 리스크를 포함한 기업의 전반적인 리스크를 줄이는 실질적인 의사결정을 내릴 수 있게 된다.
이정범 한국 아처테크놀러지 대표 jungbum.lee@archerirm.com
