투명성이 사이버 보안 신뢰의 토대인 이유

투명한 사이버 보안 접근법의 필수 요소

사이버 공격 및 데이터 침해의 위험과 잠재적 결과는 모든 조직의 의제에서 우선적으로 다뤄지고 있습니다. 모든 부문의 기업과 공공 기관은 더 이상 제품과 솔루션의 보안에 대한 벤더의 말을 있는 그대로 받아들이지 않습니다. 실제로 많은 국가와 지역의 법률은 조직에서 사용되는 제품 및 서비스의 보안에 보다 깊은 인사이트를 가져야 합니다.

시스템의 세부 사항이나 작동 방식을 숨기는 것이 보안을 강화하는 최선의 방법이라고 여겨졌던 "은둔 보안"이라는 아이디어를 믿는 사람은 이제 거의 없습니다. 미국 국립 표준 기술 연구소(NIST)는 "시스템 보안은 구현 또는 구성 요소의 기밀성에 의존해서는 안 된다"고 말합니다.

기술 벤더의 보안 관행에 대한 인사이트는 벤더의 위험을 평가할 때 핵심적인 역할을 합니다. 이를 바탕으로 벤더의 제품이 고객 네트워크 및 연결된 시스템에 미칠 수 있는 잠재적 영향을 조사하고 벤더가 위험을 완화하기 위한 적절한 조치를 취하고 있는지 판단할 수 있기 때문입니다. 

따라서 고객은 공급업체가 최적의 제품 보안을 지원하고 제품 수명 주기 동안 유지하기 위해 취하는 방식에 대해 모든 측면에서 완벽한 투명성을 요구합니다. 이와 같은 고객의 요구는 벤더의 제품이 고객의 보안 자세를 지원할 수 있는지를 파악하고, 벤더, 파트너 및 고객 간의 신뢰를 구축하는 데 있어 기본이기 때문에 공급업체라면 받아들여야 하는 것입니다. 

투명성의 다양한 이점 

기술 제조업체의 보안 관행이 투명하다는 것은 이는 실질적으로 제품 보안을 보장한다는 뜻입니다. 고객이 시스템과 데이터를 보호하기 위해 가능한 한 가장 안전한 방식으로 제품을 사용할 수 있는 보안 기능과 설정도 제공합니다.  

또한 투명성은 고객 및 파트너와의 보다 효과적인 협업 및 정보 공유를 촉진하므로 새로 발견한 소프트웨어 취약점을 신속하게 해결할 수도 있습니다. 

또한 투명성은 제조업체와 고객 모두가 과거의 보안 사고로부터 배우고 전반적인 보안 태도를 개선하는 데 도움이 됩니다. 정보에 입각한 결정은 향후 사고를 방지하고 고객 데이터 및 정보를 지속적으로 보호하는 데도 유용합니다.

사이버 보안 인증 요건보다 더 철저하게

이러한 맥락에서 업계 표준 및 인증은 회사가 사이버 보안을 위해 노력하고 있음을 보여주는 유용한 증표입니다. 법률이 이러한 인증을 요구하는 경우, 공급업체는 명확하게 인증 준수 여부를 입증해야 합니다. 또한 회사가 고객에게 서비스를 제공하기 위해 서로에게 계약상 구속력이 있는 기준선을 정할 때도 유용합니다. 고객 또한 제조업체가 최소 요구사항을 충족하도록 확인하기 위해 조달 프로세스에서 인증 여부를 증거로 사용할 수 있습니다. 

그러나, 사이버 보안에 대한 포괄적인 접근법을 입증하고자 인증을 '특효약'으로 사용하는 것은 지양해야 합니다. 인증은 기업 정보 보안(ISO 27001, 다양한 사이버 보안 수출 규정 등) 또는 제품 중심 보안 인증(FIPS 140, ETSI EN 303 645 및 기타 다양한 국가별 표준)과 관계없이 회사가 특정 시점에 준수하는 최소 기준 보안을 증명하는 것입니다.

또한 표준 및 인증은 종종 특정 산업 및 사용 사례를 포괄하기 위해 광범위할 수 있으므로 항상 전문적인 사용 사례와 관련이 있는 것은 아닙니다. 예를 들어, IEC 62443은 물리적 보안과는 관련이 낮은 산업 자동화 및 제어 시스템에 특히 초점을 맞춘 표준입니다.

상업적 관점에서 볼 때 인증 및 표준 준수는 조달 프로세스에서 경쟁 우위를 확보하기 위한 형식적인 기능이나 전략으로 사용될 위험이 있습니다. '좋은' 사이버 보안을 유지하는 것처럼 보이기 위해 여러 인증을 수집하는 데 그치게 됩니다. 이는 특히 해당 표준 및 기술 요건이 구매 후에만 접근 가능하거나 무료로 공개되지 않는 경우에 해당합니다. 

마지막으로 기술, 공정 및 제품의 발전은 종종 표준화 프로세스보다 훨씬 빠르게 진행되므로 인증에만 의존하는 제조업체는 기술 혁신에 뒤처질 것입니다. 예를 들어, 제품에 IEEE 802.1AE MACsec 네트워크 암호화를 사용하면 네트워크 통신이 크게 강화되지만 네트워크 보안을 위해 MACsec을 사용하는 기술 또는 모범 사례는 현재 표준에 명시되어 있지 않습니다.

간단히 말하자면 인증 및 표준에는 분명 가치가 있지만 목표가 아닌 기준으로만 간주해야 하며 벤더의 광범위한 사이버 보안 관련 활동을 보완하는 용도여야 합니다. 

투명성에 대한 증거 찾기

벤더를 고려할 때 사이버 보안과 관련하여 제품 및 소프트웨어 개발 및 전체 제품 수명 주기에서 투명성을 높이기 위해 어떤 노력을 하는지 알 수 있는 명확한 근거가 있습니다. 여기에는 다음이 포함됩니다.

• 개발, 생산 및 유통 단계부터 구현, 서비스 및 해체에 이르기까지 제품 수명 주기 전반에서 수행하는 보안 활동 및 조치에 대한 인사이트를 고객에게 제공하기. 이러한 인사이트에는 공급업체의 전체 공급망의 보호 방식도 포함되어야 합니다.   
• 제품 개발 및 회사 내부 보안에 관한 벤더의 접근 방식의 기준이 되는 보안 정책 및 관행 게시하기. 사용자 데이터 및 정보를 보호하기 위해 명확하고 공개적인 정책 및 절차가 수립되어 있다는 것은 회사가 보안 및 책임을 위해 노력하고 있다는 뜻입니다.  
• 정기적으로 독립적인 보안 평가 및 감사를 수행하여 잠재적인 보안 취약점을 식별 및 해결하고 고객에게 보안에 대한 회사의 진지한 태도 보여주기. 이는 ISO/IEC 27001 표준 평가와 같은 조직 수준의 평가 또는 타사 침투 테스트와 같은 특정 제품 수준의 평가와 관련될 수 있습니다.
• 제3자 개인, 조직 및 기관이 제품의 보안 자세를 기술적으로 쉽게 평가할 수 있는 제품 제공하기. 여기에는 "은둔 보안"을 위한 장치 소프트웨어 또는 기타 활동의 암호화가 포함되지 않습니다. 모든 소프트웨어 부품을 나타낸 소프트웨어 자재 명세서(SBOM)를 제공하는 것도 필수입니다. 이 SBOM에는 소프트웨어에 존재하는 모든 오픈 소스 및 타사 구성 요소, 해당 구성 요소를 관리하는 라이센스, 소프트웨어에 사용되는 구성 요소의 버전, 보안 유지에 필요한 패치의 상태가 상세히 나와 있습니다.
• 벤더의조직이나 제품과 관련하여 보안 사고가 발생할 때 이를 신고하는 투명성. 벤더는 명확한 취약성 관리 정책을 수립해야 합니다. 이를 통해 사고의 특성, 처음 발견된 방법, 취약성을 해결하기 위해 취한 조치(고객 요구한 작업 포함), 향후 사고를 방지하기 위해 취한 작업 등에 대한 커뮤니케이션을 받을 수 있기 때문입니다.
• 고객 및 파트너에게 회사의 보안 자세에 대한 정기적인 업데이트 제공. 보안 정책 또는 관행의 변경 사항에 대한 정보를 제공하면 최신 정보를 유지할 수 있을 뿐만 아니라, 제품, 서비스 및 프로세스를 보호하기 위한 신속한 작업이 가능합니다. 또한 고객 및 파트너가 보안 알림 서비스를 구독하면 보안 문제가 발생했을 때 적시에 대응할 수 있습니다.
• 고객 및 연구원에게 잠재적인 보안 취약점을 적극적으로 보고하도록 장려할 경우 잠재적인 문제가 악용되기 전에 이를 식별하고 해결하는 데 도움이 됩니다. CVE ID를 공개하기 위한 CVE 프로그램 의 일환으로 버그 바운티 프로그램을 수립하여 벤더의 사이버 보안 성숙도와 투명성 및 보안 개발 프로세스에 대한 신뢰를 입증합니다. 
• 고객이 제품 폐기 및 교체를 계획할 수 있도록 예방적 제품 수명 주기 관리 프로세스 지원하기. 장치 소프트웨어 지원 종료일은 가능한 한 빨리 설명해야 하며 제품 출시 직후에 상세히 설명하는 것이 가장 이상적입니다.  

모든 벤더는 고객 사이버 보안 요구사항을 지원하는 제품을 제공하기 위해 최선을 다해야 합니다. 인증 및 표준이 영원히 유효한 것은 아닙니다. 투명성이 기본이어야 합니다. 관행 및 정책을 게시하고, 정기적으로 독립적인 보안 평가 및 감사를 실시하며, 보안 사고를 공개하는 것이 데이터를 보호하고 강력한 사이버 보안 제품을 제공하는 벤더의 노력을 신뢰할 수 있게 만드는 방법입니다.