듀 딜리전스에 보안도 넣어야’ 달라지는 M&A

보안 전문가들은 기업 내부 보안뿐 아니라 외부 협력사의 보안까지도 신경써야 한다고 강력히 권고하고 있다.

많은 사례에서 이는 강력한 권고를 넘어선 명령에 가깝다고 볼 수 있다. 지난해 업데이트된 PCI(payment card industry) 표준은 써드파티 위험을 다시 한 번 환기시켰던 것으로 알려져 있다.

하지만 여전히 보안 노력이 지지부진한 분야가 바로 인수 합병(M&A)이라는 몇 가지 증거들이 있다.

런던에 있는 로펌인 프레쉬필드 브룩하우스 더링저(Freshfields Bruckhaus Deringer)가 수행한 ‘기업, 금융 기관, 투자사, 로펌 등 214개 글로벌 M&A 사례’를 대상으로 한 조사에서 인수 합병 거래에 대한 사이버 보안 위험의 효과에 대해서는 인식이 높지만 (인수 측의 74%와 매각 측의 60%) 응답자의 대다수(78%)는 “사이버 보안이 M&A 실사 과정에서 심도 있게 분석되거나 특별히 수량화되지 않는 것으로 생각했다”고 밝혔다.

이런 인식은 큰 손해를 불러올 수 있다

만약 회사의 가치가 지적 재산권이나 고객 데이터 같은 기타 전용 정보에 기반하고 있으며, 그 정보가 유출을 통해 위태로워졌다면 그 정보가 경쟁사로 흘러 들어가 매각하는 회사의 가치에 큰 손실을 입을 수 있다.

또 만약 인수나 합병에 관여한 한쪽의 기업에서 유출사고가 발생하면 공격자가 두 회사 모두를 공격하기 훨씬 용이해져 두 회사의 가치에 심각한 타격을 입힐 수 있다.

그리고 M&A는 해킹으로 이익을 취하려는 사이버 범죄자들에게 공격할만한 허점들을 제공하고 있다. 보안 업체 파이어아이는 최근 한 블로그 글에서 “미국 내에서 4월과 5월 거의 2,000건의 M&A가 발생했고, 아시아 태평양 지역에서 발생한 M&A 규모는 2015년 상반기 동안 기록적인 3,677억 달러에 이르렀다”고 적었다.

이런 상황은 분명 한가지 의문점을 남긴다. 기업의 재정 상태나 시장점유율은 사이버 보안 태세나 지금까지 기업의 보안 이력에 크게 영향을 받는데, 보안에 대해서는 재정 상태나 시장 점유율만큼 주의 깊게 살피지 않는 걸까?

업계 관계자들에 따르면 그 문제가 해결되고 있긴 하지만 상당한 취약점들이 남아 있으며 중소기업들이 이런 추세를 따라잡는 데는 더 많은 시간이 걸릴 것이다.

로펌 베이커호스테틀러(BakerHostetler)의 변호사 스콧 콜러는 “보안이 사람들의 관심사에 들어오기는 했다. 이전까지는 그저 차선적인 고려사항이었다”고 밝혔다. 이어서 콜러는 “문제는 보안이 충분히 심각한 문제로 인식되지 않거나 위험을 과소평가한다는 점이다”고 전했다.

콜러는 기업의 보안 현황을 평가할 때 단답식 질문들로 평가하고 있다고 지적했다. 예를 들면, “방화벽이 있는가? (체크). 안티-바이러스가 있는가? (체크)”같은 질문들에 v표시하는 것이다.

“하지만 보안에는 조직이 저장한 데이터의 유형과 양, 규정과 법률, 조직에 대한 잠재적 위협 등에 대한 총체적 이해가 필요하다”고 그는 강조했다.

웨스트 몬로 파트너스(West Monroe Partners)의 보안과 인프라 컨설팅 프랙티스 디렉터인 션 큐런(왼쪽 사진)도 많은 회사에서 보안 위협 평가가 “여전히 어떻게 하면 제대로 할 수 있는지 물어올 정도로 생소한 주제”라면서 이에 동의했다.

큐런은 사이버 보안 실사의 목적이 회사가 해킹될 수 있는지를 파악하려는 게 아니라고 지적했다. 그 대신 보안 업계에서는 “세상에는 두 종료의 기업이 존재한다. 해킹 당한지 아는 기업과 해킹 당했는데도 이를 알지 못하는 회사다”라는 말이 있다.

“핵심은 당신이 그 회사를 독특하게 만드는 ‘비밀의 소스’가 무엇인지 즉 어떤 회사를 인수하는 것인지 아는 것이다”고 그는 이야기했다. 이어서 그는 “그 비밀의 소스가 재정, 명성, 법적인 면에 있나? 그리고 그 가치는 어떻게 되나? 유출이 일어난다면 얼마나 가치가 떨어질 것인가?”고 물었다.

크로우 호워스(Crowe Horwath)의 선임 매니저인 마이클 델 기우다이스(왼쪽 사진)는 인수 대상 기업에 유출이 발생했는데 아직도 모르고 있는지에 대해 반드시 조사해 볼 만하다고 전했다. 그는 유통 기업에서 유출을 감지하는데 평균 197일 즉 6개월 이상이 소요된다는 포네몬 인스티튜트(Ponemon Institute) 연구결과를 인용했다.

“만약 잠재적 인수자가 체크 상자식 응답지에 의존한다면 목표 기업이 기업 가치에 큰 영향을 줄 수도 있는 유출에 대해 파악하지 못하고 있을 가능성이 있다”고 그는 지적했다.

파수(Fasoo)의 CMO이자 부회장인 론 아든(오른쪽 사진)의 의견도 호워스와 같다. “인수자는 취득하는 자산과 부채를 이해하고 빚이나 잠재적 피소 위험을 부채로 보듯 적절한 보안 부재를 비즈니스 리스크로 봐야 한다”고 그는 밝혔다.

더 리버사이드 컴퍼니(The Riverside Company)의 CIO 에릭 펠드먼은 이런 수준의 조사는 블랙스톤(Blackstone), 칼라일 그룹(Carlyle Group), TGP 등 운용자산이 750억 달러에서 2,000억 달러에 이르는 대형 사모펀드에 아주 잘 확립돼 있다고 말했다.

“하지만 기업들간에도 큰 차이가 난다. 그래서 중소기업들에서는 사이버 부분이 취약한 경우가 많다”고 그는 전했다.

하지만 중소기업에서도 공공 부문과 민간 부문 모두의 압력 때문에 개선이 일어나고 있다.

공적으로는 연방 SEC(Securities and Exchange Commission)가 미국 기반으로 운용자산 1억 5,000만 달러 이상의 사모펀드들에 대해서 규제 권한을 가지고 있다. “대부분의 사모펀드가 여기 포함된다”고 그는 전했다.

지난 2년간 이 기관의 OCIE(Office of Compliance Inspection and Examinations)는 사이버 보안 개선을 위해 몇 번의 ‘위험 경보’를 발행했다.

그 경보 이후 변화가 일어났다. 펠드먼은 SEC가 부적절한 보안을 이유로 기업에 벌금을 부과하기 시작했다는 점을 언급했다.

실제로 SEC는 고객 10만 명의 개인 정보를 탈취당한 해킹을 방지하는데 실패한 데 대해 R T 존스 캐피탈 에퀴티 매니지먼트(RT Jones Capital Equities Management)에 견책과 함께 7만 5,000 달러의 벌금을 부과했다.

그리고 민간 부문에서도 사모펀드에 크게 투자하는 주요 연기금 같은 유한책임 조합원들은 관리 회사가 핵심적 데이터를 지켜내는 폭넓은 사이버 의식 프로그램을 확실히 정착시키기 위해 어떠한 통제수단을 가지고 있는지 알고 싶어 한다”고 펠드먼은 밝혔다.

콜러는 보안과 보안의 규제가 중요하고 필수적이지만 기업의 사이버 위험이 거래 파기 요인이 되어서는 안된다고 덧붙였다. “탄탄한 재정과 불량한 보안을 갖춘 회사가 불량한 재정과 탄탄한 보안을 갖춘 회사보다 문제를 해결하기 더 쉽다”고 그는 전했다.

그 이외에도 데이터 유출 전력이 있는 기업들은 심지어 큰 유출사고를 당했다 하더라도 쓸모 있는 인수 합병 대상이 될 수도 있다. “한번 혹은 그 이상의 유출사고를 과거에 겪은 조직은 차후 유출사고에 대한 대처가 더 잘 되어있다”고 콜러는 말했다.

큐런도 이에 동의했다. “유출사고로 헤드라인에 오른 회사들 중 시장 점유율이 줄어든 회사는 많지 않다”고 그는 전했다. “공격 당했던 조직이 더 나은 조직이 된다는 인식이 점점 커지고 있기 때문이다. 그런 회사와 비즈니스를 하고 싶다는 것이다”고 큐런은 강조했다.

많은 중소기업들의 경우 인수 협상 과정에서 보안 위험도에 대한 적절한 실사를 수행하기 위한 사내 전문성이 부족하지만, 큐런과 다른 이들은 외부 전문가를 찾는 일이 그리 어렵지 않다고 이야기했다. 그와 그의 회사는 보안 컨설팅을 제공하는 여러 업체들 중 하나다.

“여러 사례들에서 QSA가 관여된 조직들조차도 그들이 범위를 몰랐고 QSA가 다시 압박하지 않아서 준수하고 있지 않는다는 점을 발견했다”고 그는 말했다.

델 기우다이스는 몇몇 대상 기업들이 질문지에 단순히 의존하는 평가를 수행하기에 충분히 낮은 수준의 사이버 위험을 안고 있지만, 그런 질문지는 더 높은 수준의 위험에 처한 기업들에게는 충분치 않다고 덧붙였다.

“실사를 수행하는 기업들은 과거 사고만 조사하는 게 아니라 조직이 사건을 어떻게 파악해 대응하고 파악되지 않은 유출에 대해 어떻게 시스템을 산정하는지, 그리고 조직의 사이버보안 위험 최소화 능력을 어떻게 평가하는지를 이해하는 심층적 현장 분석을 수행을 고려해야 한다”고 그는 강조했다.

인수 전 체크리스트
전문가들은 다른 회사를 인수하기 앞서 물어야 할 공통 질문들이 많으며 다음과 같은 질문들을 제시했다.

• 이 회사에는 기존의 지속되는 유출이 있을 가능성은 어느 정도인가
• 이 회사에 데이터 피해로 이어지건 이어지지 않았건 유출사고가 있었나? 있었다면 그로 인한 영향은 어땠나?
• 이 회사에 보안 사고가 발생한다면 파악할 능력이 있나?
• 만약 유출되었다면 이 회사에는 어떤 손해가 있었을까?
• 보안은 누가 책임지는가?
• 이 회사가 규제 혹은 업계 의무 준수 사항 때문에 보호받는 민감한 데이터를 제3의 회사들과 주고받고 있나?
• 이 회사가 핵심 직원, 기업, 고객 정보를 저장하고 접속하며 처리하는 써드파티 업체를 활용하나?
• 이 회사가 개인 식별 정보를 외국에 있는 기관으로 보내거나 외국에 있는 기관으로부터 개인 식별 정보를 받고 있나?
• 이 회사의 핵심 기능 중에 아웃소싱하는 것이 있나?
dl-ciokorea@foundryco.com