???? ??? ?? ???? ? ??? ??. ??? ??? ???? ??? ??? ?? ??? ??. ????? ??? ‘????(fourth party)’ ??? ??? ???? ??? ??? ?? ??? ???? ??. Credit: Shutterstock/ArtemisDiana 포스파티 벤더가 공급망 사이버보안의 주요 사각지대로 떠오르고 있다. 포스파티는 보통 벤더와 계약을 맺은 업체를 의미하며, 서드파티와 달리 기업과는 직접적인 관계가 없다. 조직의 시야 밖에서 운영되기 때문에 가시성과 통제력이 매우 제한적이다. XYPRO의 최고정보보안책임자(CISO)인 스티브 체르치안은 “대부분의 CISO는 포스파티 리스크에 소극적인 태도로만 접근한다. 직접적인 통제권이 없기 때문에 이를 블랙박스처럼 다루는 것이다. 그러나 벤더의 핵심 의존 관계를 명확히 파악하지 못한다면 비즈니스를 아무런 근거 없는 관계에 맡기는 것과 같다”라고 지적했다. 보안 리더들은 최근 이 같은 보안 격차를 해소하기 위해 다단계 리스크 평가, 모니터링 및 완화 전략을 도입하고 있다. 공급망 전반에 보안을 내재화하고 주요 벤더가 관련 업체까지 관리할 수 있도록 역량을 강화해야만 포스파티 업체가 문제 되는 상황을 예방할 수 있다. 보안팀이 가시성 및 통제력이 취약한 포스파티와의 관계에서 위험 요소를 파악하고 대응할 수 있도록 돕는 전략적 접근법을 소개한다. 공급망 맵핑을 통해 숨은 의존 관계 파악 포스파티 리스크를 관리하기 위한 첫 단계는 어떤 업체가 여기에 속하는지 아는 일이다. 그러나 많은 조직이 이를 식별하는 데 어려움을 겪고 있다. 투핀(Tufin)의 현장 CTO인 에레즈 타드모르는 “직접 계약한 벤더에게 직접 물어보는 것이 가장 효과적이다. 특히 호스팅, 지원, 데이터 저장, 개발 등 중요한 서비스와 관련된 업체 정보를 물어봐야 한다”라고 설명했다. 타드모르는 도메인 분석이나 외부 리스크 스캔 도구를 활용해 숨겨진 관계를 식별할 수 있다고 조언하면서, “존재조차 모르면 모니터링도 할 수 없다. 공급망 맵핑 도구는 분명 도움이 되지만, 결국 수집 가능한 데이터의 품질에 따라 효과가 결정된다”라고 말했다. XYPRO의 체르치안은 기업이 , DNS 텔레메트리, 를 활용해 벤더가 의존하는 파트너를 파악하고, 공급망 하단까지 위험 요소를 찾아내야 한다고 말했다. 그는 “가장 어려운 문제는 기술이 아니라 문화다”라며 “벤더가 공급망 보안을 ‘자기 책임’으로 인식할 수 있게 해야 한다”라고 조언했다. 레노버(Lenovo)는 이 접근 방식이 실제로 적용된 사례다. 레노버는 ‘신뢰할 수 있는 공급업체 프로그램(Trusted Supplier Program)’을 통해 주요 벤더가 자신들의 핵심 파트너, 즉 레노버의 포스파티 벤더를 직접 관리하고 보호하도록 요구하고 있다. 레노버의 최고 보안 및 AI 책임자 더그 피셔는 “공급망 전반에 걸쳐 보안 조치를 의무화하고 정기적인 리스크 평가를 시행한다”라고 설명했다. 명확한 데이터 경계 설정 아미스(Armis)의 CISO 커티스 심슨은 서드파티 SaaS(서비스형 소프트웨어) 제품을 이용하는 조직의 경우, 해당 벤더가 협력하고 있는 파트너에 대해 거의 통제권이 없는 것이 현실이라고 지적했다. 그는 “계약한 SaaS 서비스 및 솔루션이 어떤 관련 업체를 통해 제공되는지, 이들이 책임지는 결과는 무엇인지, 결과물 제공을 위해 어떤 데이터가 필요한지 기업이 파악해야 하는 이유”라고 말했다. 그는 이어 “포스파티를 대상으로 보안 기준을 적용하기 위한 첫 번째이자 가장 중요한 조치는 서드파티가 서비스 제공에 필요한 데이터에만 접근할 수 있도록 제한하고, 그 데이터 일부를 파트너와 공유할 경우 그 목적과 적절성을 확보하는 것”이라고 설명했다. 또한 “계약 측면에서는 서드파티의 파트너로 인한 데이터 유출 사고 발생 시 적절한 책임이 부과되도록 문서화하는 것도 중요하다”라고 조언했다. 표준 리스크 프레임워크로 보안 통제 범위 확장 공급망 관계를 파악한 이후에는, 주요 벤더를 넘어 보안 거버넌스를 확장하는 작업이 뒤따른다. 이를 위해 많은 조직이 NIST SP 800-161, ISO/IEC 27036, SOC 2와 같은 산업 표준 프레임워크를 도입해 공급망 전 계층에 일관된 보안 기준을 적용하고 있다. 코헤시티(Cohesity)의 CISO 크리스토스 툴룸바는 “NIST SP 800-161과 최근 개정된 NIST 사이버보안 프레임워크 2.0은 공급망 리스크 관리를 필수 과제로 규정하고, 전 계층에 걸친 위험 요소에 대응하기 위한 구조적인 가이드를 제공한다”라고 설명했다. 툴룸바에 따르면 ISO/IEC 27036은 벤더 관계의 보안 확보에 특화된 국제 표준이며, 셰어드 어세스먼츠(Shared Assessments)의 SIG(표준화된 정보 수집) 설문지와 SCA(표준화된 통제 평가) 등은 서드파티와 포스파티 모두에 대한 심층 실사 수행을 지원한다. 그는 “앞선 조직은 현재 벤더에게 핵심 하청 구조와 포스파티 목록 공개를 요구하고, 리스크 등급에 따라 상시 모니터링하는 관리 체계를 운영하며, 모든 핵심 벤더와 관련 업체에게 CIS 통제 기준이나 ISO 27001 같은 보안 프레임워크를 준수하도록 요구하고 있다”라고 밝혔다. 계약 조항을 통해 벤더와 관련 업체의 책임 명료화 기업은 일반적으로 포스파티와 직접 계약을 체결하지 않는다. 따라서 이들과의 보안 의무는 서드파티 벤더를 통해 간접적으로 적용해야 한다. 이때 가장 일반적인 방법은 ‘플로우다운 조항(flow-down clause)’이다. 이 조항은 서드파티가 관련 업체에게 자사와 동일하거나 이에 준하는 사이버보안 기준을 적용하도록 계약상 요구하는 것이다. 이런 조항은 일반적으로 데이터 보호, 침해 통지, 안전한 개발 관행 및 감사 권한 등을 다룬다. 터커엘리스(Tucker Ellis)의 파트너 폴 멀리는 “보안 기준을 하위 계층까지 적용하려면 서드파티가 관련 업체에게도 동등한 보안 요건을 강제할 수 있도록 하는 플로우다운 의무를 계약서에 명시해야 한다”라고 말했다. 멀리는 또 “포스파티의 보안 관행을 점검할 수 있는 감사 권한, 관련 업체의 사전 승인 조항, 벤더에 책임을 묻는 면책 조항 등도 계약에 포함돼야 한다”라고 덧붙였다. 툴룸바 역시 “플로우다운 조항, 감사 권한, 변경 통보 조항 등은 벤더 생태계 전반에 걸쳐 보안 요구 사항을 더 깊이 적용할 수 있는 수단을 제공한다”라고 조언했다. 벤더 기밀 유지와 가시성 사이에서 균형 잡기 포스파티와의 관계를 다룰 때는 투명성과 기밀 유지 사이에서 균형을 잡는 일이 더욱 복잡해진다. 간접 벤더에 대한 가시성 확보는 리스크 관리를 위해 필수적이지만, 지나친 정보 요구는 신뢰를 해치거나 기밀 정보를 침해할 수 있다. 기업 간 연결성이 높아질수록 조직은 많은 서드파티 벤더에 의존하게 되고, 이 벤더들도 다시 관련 업체에 의존하는 복잡한 공급망 구조가 형성된다. 엘라스틱(Elastic)의 CISO 맨디 앤드레스는 “정보 공유 수준을 결정하는 일은 기밀 정보 및 지식재산권을 보호하는 문제와 얽혀 있어 매우 민감하다. 핵심은 비즈니스 모델과 잠재적인 결과를 정확히 이해하고, 사전에 계획을 세우며, 위험 시나리오에 대비한 완화 전략을 실행하는 데 있다”라고 조언했다. 광범위하고 복잡한 공급망 전체에서 완전한 투명성을 확보하기는 현실적으로 어려울 수 있다. 대신 조직은 중요한 의존 관계에 집중하고 노출 가능성이 높은 구간에서 보안 감독을 강화해야 한다. 툴룸바는 “많은 조직이 이를 인식하고 ‘리스크 기반 샘플링’ 방식을 채택하고 있다. 이는 모든 공급망 계층을 통제하는 대신 중요도와 노출도에 따라 통제 우선순위를 정하는 방식이다. 결국 효과적인 거버넌스는 공급망 전 계층에서 세세한 가시성을 강제하기보단 책임과 신뢰를 기반으로 해야 한다”라고 말했다. CM로우(CM Law)의 파트너 레이코 피버는 “직접 계약된 벤더든, 계약 업체나 대리인을 통해 간접적으로 전달되는 경우이든 모든 기밀 정보 공유는 강력한 보호 의무 조항 하에 이뤄져야 한다. 직접 계약 벤더는 자사의 기밀 정보뿐 아니라 관련 업체의 정보까지 보호할 책임이 있다”라고 설명했다. 다만 그는 “직접 계약 벤더가 고객에게 자사의 하청 관계를 숨기는 건 타당하지 않다”라고 지적했다. 그는 “정보 보호는 고객과의 관계 안에서 벤더가 책임져야 할 몫이다. 일반적으로 경쟁사에게 특정 유형의 기밀 정보가 유출되거나 활용되지 않도록 제한하는 조항을 포함한다. 기밀 정보를 많이 수집할수록 기밀 유지 위반 위험과 이에 따른 책임 소지도 커진다”라고 분석했다. 특정 시점 평가에서 벗어나 실시간 모니터링으로 전환 많은 기업이 여전히 벤더의 보안 수준을 평가하는 데 연례 설문조사나 준수 확인서에 의존하고 있다. 하지만 이는 시대에 뒤처진 위험한 접근 방식일 수 있다. 리스크를 줄이려면 지속적인 모니터링이 필요하다. 코헤시티의 툴룸바는 “대다수 기업이 여전히 직접 계약된 서드파티 벤더에만 집중하고, 자가진단이나 특정 시점 평가에 의존하고 있다. 하지만 이 방법은 공급망 하단의 리스크를 포착하지 못한다”라고 경고했다. 그는 “보통 포스파티의 존재는 보안 사고, 서비스 중단, 규제 감사 과정에서 문제 발생 후에야 드러난다. 이처럼 문제가 발생한 후에야 파악하게 되는 현실이야말로 지속적이고 능동적인 모니터링의 필요성을 보여준다”라고 지적했다. 사비언트(Saviynt)의 최고 신뢰 책임자(CTO) 짐 라우스도 이에 동의했다. 그는 “리스크 관리는 결국 실시간 데이터 기반 평가로 진화해야 한다”라며, “설문조사는 더 이상 효과적이지 않다. 데이터 사이언스를 통해 매일 리스크를 추적하고, 규제 당국과 감사관들에게 왜 이 방식이 필요한지 설명해야 한다”라고 설명했다. 보안 분야에서는 오늘 발견된 취약점이 내일 바로 악용될 수 있다. 블루보이언트(BlueVoyant)의 외부 사이버 평가 이사 로리 얀센-아네시는 “특정 시점 평가나 서드파티의 진술에만 의존해서는 포스파티 리스크를 감당할 수 없다”라고 말했다. 특히 포스파티와 직접 계약 관계가 없어 감사나 통제를 적용할 수 없는 상황에서는 외부 인텔리전스가 핵심이 될 가능성이 높다. 하지만 글로벌 공급망이 복잡해질수록 지속적 모니터링은 더욱 어려워진다. 레노버(Lenovo)의 피셔는 “전 세계에 분산된 다층 구조의 공급망, 특히 직접 계약이 없는 업체의 보안 수준을 실시간으로 파악하고 인사이트를 얻는 것이 가장 큰 도전과제다. 레노버는 이에 대응해 지정학적 리스크 분석, 자동화된 벤더 평가, 산업 위협 인텔리전스 피드, 직접 감사 활동을 결합한 다층적 전략을 운영하고 있다”라고 설명했다. 포스파티 리스크를 조직 전체의 책임으로 전환 포스파티 리스크는 보안 부서만의 문제가 아니라 조직 전체가 공동으로 해결해야 할 과제다. 이를 관리하기 위한 가장 효과적인 변화는 내부 협조 강화다. 써투스 사이버시큐리티 솔루션(Certus Cybersecurity Solutions)의 사이버보안 임원 스와프닐 데슈무크는 조달, 법무, 엔지니어링 부서 등과 긴밀하게 협력해 이 문제를 공동 책임으로 인식하는 것이 중요하다고 조언했다. 데슈무크는 공급망 전 계층에 보안을 내재화하려면 기능 간 협업이 필수적이라고 언급했다. 그러나 엘라스틱의 앤드레스는 이 같은 내부 기반 작업이 외부 벤더 관리와 조화를 이뤄야 한다고 말했다. 앤드레스는 “결국 핵심은 신뢰의 연결고리를 강하게 구축하는 것”이라며, “신뢰할 수 있는 서드파티를 신중히 선정하고, 그들이 또한 보호 수준이 높은 믿을 만한 관련 업체를 선택하는지 확인하는 절차가 필요하다”라고 조언했다.dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????