공급업체와의 파트너십이 비즈니스 성공에 핵심이 되는 동시에, 보안 위험도 증가하고 있다. 정보기술 연구기관 인포테크 리서치 그룹(Info-Tech Research Group, 이하 인포테크)에 따르면 많은 조직이 사용하는 벤더 보안 평가는 규제 요건이나 실제 위협 수준에 비해 미흡한 수준이며, 일부 평가는 과도하게 부담스러워 공급업체가 입찰을 거부하거나, 사업부가 절차를 우회하는 등 부작용을 초래하고 있다. 기존의 광범위하고 획일적인 접근법은 보안팀과 이해관계자 모두에 부담을 주며, 비즈니스 추진을 지연시키는 원인이 되고 있다.

인포테크는 이러한 문제를 해결하기 위해 ‘벤더 보안 평가 서비스 구축(Build a Vendor Security Assessment Service)’이라는 새로운 연구보고서를 발표하였다. 이 프레임워크는 영향도, 발생 가능성, 조직의 위험 감수 수준에 따라 공급업체 및 서비스 리스크를 단계적으로 평가할 수 있도록 설계되었다. 보안팀이 진화하는 사이버 위협에 효율적으로 대응할 수 있도록 평가 프로세스를 간소화하고, 규정 준수를 강화하며, 전사적인 정보 기반 의사결정을 지원한다.

사이버위협에 대응하는 3단계 평가 방식

인포테크는 조직이 실질적으로 프레임워크를 도입할 수 있도록 다음과 같은 3단계 구조를 제시하였다.

거버넌스 및 프로세스 정의 위험 허용 범위 설정, 역할 및 정책 정의 등 보안 평가의 기초 체계를 확립한다.

평가 방법론 개발 지나치게 광범위하거나 단순 정보 제공 목적의 설문지를 피하고, 서비스 및 공급업체 위험을 평가할 수 있는 맞춤형 도구를 개발한다.

프로세스 실행 및 모니터링 피드백 루프를 통해 지속적으로 서비스를 개선하고, 보안 요건을 계약에 반영하며 정기적 재평가를 수행한다.

프레임워크 내 평가 항목 및 기록 체계

인포테크는 실제 평가 시 다음과 같은 요소들을 기반으로 보안 평가를 수행할 것을 권장한다.

① 서비스 위험: 관련 자산의 중요도와 사고 발생 시 복구 비용을 고려하여 평가한다.

② 공급업체 위험: 사고 발생 가능성을 측정하고, 그에 따라 실사의 깊이를 결정한다.

③ 복합 위험 계산: 서비스와 공급업체 위험을 곱한 점수를 기준으로 리스크 레벨을 산정한다.

④ 위험 처리 매트릭스: 수용, 완화, 거부 등의 전략을 통해 조직의 정책에 맞는 대응을 유도한다.

⑤ 기록 및 재평가 기준: 리스크 수준에 따라 재평가 주기를 설정하고, 모든 결과를 공급업체 재고에 기록한다.

이러한 접근은 단발적인 평가가 아닌, 계약 이후에도 지속적인 모니터링과 실사를 가능케 하여 조직의 보안 태세를 강화하는 데 기여한다.

인포테크의 리서치 애널리스트 아마드 조하르(Amad Johar)는 "위험 기반 접근 방식은 조직이 가장 중요한 요소에 집중하도록 하며, 평가 대상 서비스 유형과 조직의 허용 가능한 위협 수준에 따라 평가 활동을 조정할 수 있게 한다"고 밝혔다. 또한 지속적인 평가 개선이 가능해져 보안 리스크에 보다 민첩하게 대응할 수 있다고 강조했다.

이 프레임워크는 이해관계자와의 협업과 지속적인 개선을 핵심 요소로 삼으며, 단순 평가 절차를 전략적 보안 자산 관리 체계로 전환하는 기반을 제공한다. 조직은 이를 통해 공급업체의 책임을 강화하고 내부 보안 역량을 고도화할 수 있다.

인포테크가 제시한 새로운 위험 기반 프레임워크는 조직이 공급업체 보안 평가를 보다 현실적이고 효율적으로 수행할 수 있도록 돕는다. 이 보고서는 평가 절차의 복잡성을 줄이고, 정보 기반 의사결정을 촉진하며, 민감 정보의 보호와 규정 준수를 동시에 달성할 수 있는 실질적 전략을 제공한다. 보안팀은 이를 통해 빠르게 변화하는 위협 환경에서도 견고한 대응체계를 유지할 수 있다.