가트너 “기업 45%, 제3자로 인한 업무 중단 경험” - 데이터넷
가트너 “기업 45%, 제3자로 인한 업무 중단 경험” - 데이터넷
[데이터넷] 제3자로 인한 보안사고 위협이 점점 더 높아지면서 대책 마련이 시급해졌다. 가트너 조사에 따르면 45%의 조직이 제3자 사고로 인한 업무 중단 사고를 겪었으며, 57%는 사고 발생 시 그
www.datanet.co.kr
- 제3자로 인한 업무 중단 증가
- 가트너 조사에 따르면 기업의 45%가 제3자 사고로 인해 업무 중단 경험
- 57%의 기업이 사고 발생 시 제3자에 설문을 보내지만, 응답 지연 및 불완전한 답변으로 후속 조치에 어려움
- 제3자의 보안 수준을 직접 강제하거나 조치 요구가 어려워 리스크 관리의 한계 존재
- 신뢰할 수 있는 인증과 증명을 통한 평가 필요
- 제3자의 보안 태세 검증을 위한 독립기관 인증 요구
- 객관적인 증명과 인증을 통해 보안 요구사항을 협상 불가능한 기준으로 설정
- 리스크 수준에 맞는 인증 요구
- 모든 제3자 업무에 강력한 인증 요구는 비효율적이므로, 업무 중요도와 보안 요구사항을 평가한 후 적절한 인증 선택
- 과도한 보안 요구가 오히려 협력 저해 요인이 될 수 있음
- 대체 방안 고려
- 제3자가 적절한 인증을 보유하지 않은 경우 신뢰할 수 있는 대체 자로 활용
- 평판 높은 보안 회사의 침투테스트 보고서, 내부 감사 보고서, 컨설팅 평가 보고서 등 활용 가능
- 제3자가 제공한 문서의 오류 및 조작 여부 검토 필수
- 인증 기관, 유효기간, 감사 범위, 증명서 내용 확인
- 내부 정책에 부합하는지 검토 후 보완 요청 및 이행 여부 확인
- 위험 기반 분석을 통한 리스크 관리
- 제3자의 보안 수준을 규제 요건과 조직의 내부 위협 평가 기준에 맞춰 관리
- 허용 가능한 수준 이상의 위험이 발견되었을 경우 즉각적인 계약 취소가 어려울 수 있으므로, 양측 담당자와 협력하여 문제 해결
- 위험 평가 기준 설정
- 높은 수준의 위협으로 평가되었으나 실제 위험 가능성이 낮은 경우
- 낮은 수준의 위협이지만 실제 비즈니스에 큰 피해를 줄 가능성이 있는 경우
- 정확한 리스크 평가 및 대응 계획 수립 필수
- 투명한 의사결정 및 문서화 필요
- 파트너와의 협력 관계에서 신뢰를 유지하면서도 보안 리스크를 관리할 수 있는 체계적 접근 필요
- 결정 사항과 조치 과정은 문서화하여 책임 소재를 명확히 함으로써, 보안 사고 발생 시 효과적인 대응 가능
- 결론
- 기업의 3자 리스크는 단순 보안 문제를 넘어 업무 연속성과 직결된 중요한 요소
- 제3자의 보안 태세를 독립적인 인증 및 증명을 통해 검증하는 체계 구축 필수
- 단순한 보안 서약서만으로는 보안 사고를 예방할 수 없으며, 지속적인 보안 평가 및 관리가 필요
- 투명한 의사결정과 리스크 관리 체계를 강화하여 신뢰할 수 있는 비즈니스 환경 구축 필수
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 위협 인텔리전스 예산 낭비를 알리는 5가지 신호 (0) | 2025.02.03 |
|---|---|
| 양자컴퓨팅의 미래와 사이버보안 위협 (0) | 2025.02.03 |
| 구글 OAuth의 근본적 취약점과 보안 위협 (0) | 2025.02.03 |
| 산업 설비 취약점 증가와 OT 보안의 중요성 (0) | 2025.02.03 |
| 공공기관 정보보호최고책임자(CISO) 의무화 필요성 (0) | 2025.02.03 |