Research Review: Cyber Third-Party Risk Management: A Comparison of Non-Intrusive Risk Scoring Reports
Analyzed Date : 2026.03.23 - 2026.03.27 Keywords : C-TPRM, Vendor Risk, Non-Intrusive Assessment, Risk Scoring, Supply Chain Cybersecurity Source : Electronics (MDPI), 2021, Vol.10, No.10, p.1168
Why This Paper?
선정 배경
도메인 탐색 결과 :
8편의 보안 컨설팅 기반 논문(거버넌스, 컴플라이언스, 리스크 분석, 개인 행동, 감사, 공급망, 보안 투자, 보안 문화)을 완료하고, Bada et al.(2014) 인식 캠페인 논문을 진행 중인 상태에서 서드파티/벤더 리스크 관리 영역의 공백을 메우기 위해 선정.
이 논문을 선택한 이유 :
- Ghadge et al.(2020)이 공급망 사이버 위험의 전파 모델을 다뤘다면, 이 논문은 실제 벤더를 대상으로 한 위험 점수화 방법론의 비교 분석으로 이어지는 실무 연장선
- 보안 컨설팅 현장에서 고객사의 외부자/벤더 보안 수준을 진단하고 평가 체계를 설계하는 자문 역량과 직결
- 벤더 심사 프레임워크 설계, 외부자 보안 통제 구현 등 체계 수립 역량을 강화하는 실증적 근거 제공
- ISMS-P 2.2(외부자 보안) 및 ISO 27001 A.15(공급자 관계) 통제 항목과 직결되는 현행 규제 연관성
학습 목표 :
- C-TPRM ( 사이버 서드파티 리스크 관리 )의 개념 구조와 비침습적 평가 방법론의 원리 이해
- 상용 위험 점수화 도구들이 사용하는 공통 지표 체계를 컨설팅 진단 프레임워크에 적용하는 방법 습득
- 점수화 도구 간 불일치 원인 분석을 통해 고객사 벤더 심사 체계 설계 시 표준화 과제를 조언하는 역량 확보
Day 1 - Research Context & Motivation
(내 조직의 보안이 아무리 강해도, 벤더 하나가 무너지면 전부 무너진다)
1. 연구 배경: 서드파티 의존성과 측정 불가능한 외부 위험
C-TPRM의 중요성
현대 조직은 공급망 전반에 걸쳐 다수의 외부 파트너, 벤더, 서비스 제공업체와 긴밀하게 연결되어 운영된다. 이 연결성은 운영 효율을 높이는 동시에 조직의 사이버 위험 노출 면적을 구조적으로 확장한다. Ponemon Institute 보고서에 따르면 조직의 56%가 데이터 침해를 경험했으며, 그 중 75%는 서드파티 벤더로 인해 발생한 사이버 사고였다. 또한 하나의 조직에 민감 데이터 접근 권한을 가진 서드파티의 평균 수는 471개에 달하지만, 자신의 공급업체가 해당 데이터를 다른 업체와 공유하는지 파악하고 있는 조직은 전체의 20%에 불과하다. PwC의 조사에서는 2014년 기준 전체 사이버 침해의 23%가 현재 서비스 제공업체 및 계약업체로 인해 발생했으며, 과거 파트너로 인한 침해는 45%에 달했다. 서드파티 사이버 위험은 증가하는 반면, 이에 대응하는 규제와 완화 기법은 아직 초기 단계에 머물러 있다.
현실의 한계
기존의 리스크 평가 방법론들(EBIOS, MEHARI, OCTAVE, NIST SP 800-30 등)은 조직 내부의 고유 위험에 초점을 맞추는 경향이 있으며, 벤더와의 연결 또는 의존성에서 발생하는 위험은 충분히 다루지 않는다. 내부 위험을 평가하는 기존 방법론만으로는 외부 파트너로 인한 위험을 포착하는 데 한계가 있다. 기존 C-TPRM 보증 모델과 위험 관리 프레임워크들은 일반적으로 효과성을 검증할 데이터가 부족하다. 더 나아가 현재 시장에 존재하는 여러 비침습적 위험 점수화 서비스들이 각각 다른 방법론과 지표를 사용함에도, 이들의 결과 일관성과 신뢰성에 대한 체계적 비교 분석이 이루어진 적이 없었다.
연구 문제의식
이 논문이 답하려는 핵심 질문은 두 가지다. 첫째, 현재 사이버 서드파티 리스크 관리에서 사용되는 방법론은 무엇인가? 둘째, 서로 다른 점수화 도구가 동일 조직에 대해 산출하는 위험 점수는 얼마나 신뢰할 수 있고 일관성이 있는가?
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| C-TPRM | 사이버 서드파티 리스크 관리(Cyber Third-Party Risk Management). 조직이 모든 외부 파트너, 특히 벤더와의 상호작용을 모니터링하고 관리하는 프로세스. 벤더 사이버 위험, 사이버 공급망 위험과 상호 호환되는 개념 | 고객사 외부자 보안 심사 체계 설계, ISMS-P 2.2 외부자 보안 통제 구현 자문의 이론적 기반 |
| 비침습적 평가 | 대상 조직의 직접적 개입이나 협조 없이 공개적으로 접근 가능한 정보를 수집·분석하여 사이버 위험을 평가하는 방법. 인증서 만료 여부 확인, 봇넷 레지스터에서의 IP 조회, 다크웹 유출 데이터 탐색 등이 포함됨 | 고객사가 벤더의 협조 없이 선제적으로 벤더 보안 수준을 파악할 수 있는 실용적 접근법으로, 초기 진단 단계에서 즉시 활용 가능 |
| 위험 점수화 | 신용 점수와 유사하게, 조직의 사이버 위험 프로필을 단일 수치 또는 등급으로 표현하는 방법. 엔드포인트 행동, 네트워크 설정 오류, 소프트웨어 패치 상태, 웹 도메인, 기업 정보, 과거 침해 이력 등 다수의 지표를 종합하여 산출 | 벤더 계약 전 사전 심사, 사이버 보험 언더라이팅, 지속적 모니터링 등 정량적 의사결정 근거로 활용. 고객사에게 어떤 도구를 선택할지 자문할 때 각 도구의 방법론 차이를 설명하는 데 필요 |
3. 이론적 기반: 비침습적 C-TPRM 방법론 구조
[ 외부 공개 데이터 수집 ]
>> ↓
[ 평가 지표 6개 카테고리 ]
- 엔드포인트 행동
- 네트워크 설정 오류
- 소프트웨어 / 서비스 관리
- 웹 도메인 취약점
- 기업 정보 ( Firmographic )
- 과거 침해 이력
>> ↓
[ 위험 점수 산출 ] 도구별 상이한 알고리즘
- 수치 점수 ( 0 - 100 등 )
- 등급 ( A - F 등 )
>> ↓
[ 벤더 리스크 판단 ]
- 계약 결정
- 보험 언더라이팅
- 지속 모니터링
핵심 아이디어 :
C-TPRM의 핵심은 신용 점수 체계와 유사한 방식으로 조직의 사이버 위험을 외부에서 수치화하는 것이다. 비침습적 방법은 대상 조직의 참여 없이도 공개 데이터만으로 보안 수준을 추정할 수 있어 확장성이 높다. 그러나 이 논문은 현재 시장에 존재하는 도구들이 공통 지표를 일부 공유하면서도 방법론, 독점 데이터, 추가 위험 요소 반영 방식의 차이로 인해 동일 조직에 대해 일관된 결과를 산출하지 못함을 실증적으로 보여준다.
4. 연구의 핵심 기여
학술적 기여 :
- C-TPRM이라는 신흥 분야를 명확하게 개념화하고, 비침습적 위험 점수화 방법론을 체계적으로 비교 분석한 최초의 탐색적 연구 중 하나
- Target, Home Depot, OPM, RSA Security, SolarWinds 등 5개 실제 사고 사례를 C-TPRM 관점에서 분석하여 서드파티 위험의 실증적 근거 제시
- FICO, BitSight, RiskRecon, ComplyScore 4개 상용 도구를 동일 대상 조직에 적용하여 결과를 비교함으로써 점수 수렴 불일치 문제를 실증적으로 규명
- ANOVA, MANOVA 등 통계 기법을 활용한 후속 일관성 분석 방향을 제시하며 연구 의제 설정
실무 기여 :
- 비침습적 C-TPRM에서 공통적으로 사용되는 6개 지표 카테고리(엔드포인트 행동, 네트워크 설정 오류, 소프트웨어/서비스, 웹 도메인, 기업 정보, 과거 침해 이력)를 정리하여 실무 평가 기준으로 활용 가능
- 단일 위험 점수화 도구의 결과만으로 보안 수준을 판단하는 것이 불충분함을 근거와 함께 제시, 복수 도구 활용 필요성 제언
- 각 도구별 특성(FICO의 포괄성, BitSight의 독점 벤치마크 데이터셋, RiskRecon의 고도 커스터마이즈, ComplyScore의 컴플라이언스 중심)을 비교하여 도구 선택 기준 제시
5. 컨설팅 관점 인사이트
적용 가능성 :
고객사 보안 컨설팅 시 외부자/벤더 보안 심사 체계 설계 프로젝트에 직접 활용 가능하다. 특히 이 논문이 정리한 6개 지표 카테고리는 벤더 심사 체크리스트 설계의 기초 구조로 사용할 수 있다. 또한 고객사가 이미 특정 위험 점수화 도구를 사용 중이거나 도입을 검토 중인 경우, 각 도구의 방법론적 차이와 한계를 설명하고 복수 도구 병행 사용 또는 표준화 필요성을 자문하는 근거로 활용할 수 있다.
기존 학습과의 연결 :
- Ghadge et al.(2020)이 공급망 사이버 위험의 전파 메커니즘과 거시적 대응 전략을 다뤘다면, 이 논문은 개별 벤더 수준에서 위험을 어떻게 측정하고 수치화할 것인가의 실무적 문제를 다룬다
- Gordon & Loeb(2002)의 보안 투자 최적화 모델과도 연결되는데, 벤더 위험 점수화는 결국 어떤 벤더에 보안 요구사항을 집중할 것인가를 결정하는 자원 배분 문제이기 때문이다
- Santos-Olmo et al.(2024)의 통합 리스크 분석 방법론과 비교하면, 이 논문은 내부 리스크 분석을 외부(벤더) 영역으로 확장한 사례로 이해할 수 있다
현실적 고려사항 :
비침습적 평가의 한계로 인해 점수화 도구가 포착하지 못하는 내부 보안 통제 항목이 존재한다. 예를 들어 ComplyScore의 경우 이 논문에서 분석한 점수는 비침습적 스캔에 의한 초기 점수일 뿐이며, 현장 방문과 심층 조사를 포함한 완전한 평가 점수는 별도 계약 후 산출된다. 고객사에 도구 도입을 자문할 때 비침습적 도구의 점수는 참고 지표이지 완전한 보안 인증의 대체물이 아님을 명확히 안내해야 한다. 또한 이 논문에서 실증된 바와 같이 동일 조직에 대해 서로 다른 도구가 다른 결과를 산출한다는 점은, 고객사 경영진에게 단일 점수만 제시하는 보고 방식의 위험성을 설명하는 데 유용한 근거가 된다.
References
[1] Keskin, O.F., Caramancion, K.M., Tatar, I., Raza, O., & Tatar, U. (2021). Cyber Third-Party Risk Management: A Comparison of Non-Intrusive Risk Scoring Reports. Electronics, 10(10), 1168.
[2] Ghadge, A., Weiß, M., Caldwell, N.D., & Wilding, R. (2020). Managing cyber risk in supply chains: A review and research agenda. Supply Chain Management: An International Journal, 25(2), 223-240.
[3] Gordon, L.A., & Loeb, M.P. (2002). The economics of information security investment. ACM Transactions on Information and System Security, 5(4), 438-457.
[4] Santos-Olmo, A., et al. (2024). Integrated risk analysis framework.
Tags
보안컨설팅 / SecurityConsulting / C-TPRM / VendorRisk / NonIntrusiveAssessment / RiskScoring / SupplyChainCybersecurity / PaperReview / SKShieldusRookies