세계 최대 은행인 JPMorganChase는 전 세계 조직들이 매일 사용하는 SaaS 기술의 위험성에 대해 경고했습니다. CISO 패트릭 오펫은 공개 서한에서 SaaS의 빠른 채택 속도가 보안 개발을 앞질렀다는 우려를 표명했습니다. 특히, 공급업체들이 보안 아키텍처보다 빠른 기능 제공을 우선시하여 소프트웨어 공급망 전반에 걸쳐 체계적인 취약점을 초래하고 있다고 지적했습니다.

오펫은 AI 기반 일정 최적화 서비스가 ‘읽기 전용 역할’과 ‘인증 토큰’을 통해 기업 이메일 시스템에 직접 통합될 때 생산성을 높일 수 있지만, 만약 이 서비스가 손상된다면 기밀 데이터와 중요한 내부 통신에 대한 전례 없는 접근을 공격자에게 허용할 수 있다고 경고했습니다. 수천 개의 조직이 소수의 서비스 제공업체에 크게 의존하는 생태계에 통합되어 있어, 하나의 서비스가 손상될 경우 그 파급 효과는 치명적일 수 있습니다.

현대의 통합 패턴은 이러한 필수 경계를 해체하고, 현대의 신원 프로토콜(예: OAuth)에 크게 의존하여 제3자 서비스와 기업의 민감한 내부 자원 간에 직접적이고 종종 확인되지 않은 상호작용을 만듭니다. 이러한 통합 모델은 인증(신원 확인)과 권한 부여(권한 부여)를 지나치게 단순화된 상호작용으로 축소하여, 인터넷과 개인 내부 자원 간에 단일 요소의 명시적 신뢰를 효과적으로 만듭니다. 이러한 아키텍처의 퇴보는 내구성이 입증된 기본 보안 원칙을 약화시킵니다.

JPMorganChase는 지난 3년 동안 여러 제3자 침해를 경험했으며, 손상된 파트너를 격리하고 위협을 완화하기 위한 신속한 조치가 필요했습니다. 이러한 사건들은 고도로 연결된 제3자 생태계와 관련된 위험을 강조했습니다. 소프트웨어 공급업체 간의 치열한 경쟁은 견고한 보안보다 빠른 기능 개발을 우선시하게 만들었으며, 이는 종종 포괄적인 보안이 내장되거나 기본적으로 활성화되지 않은 상태로 제품이 서둘러 출시되는 결과를 초래합니다. 시장 점유율을 보안의 대가로 추구하는 것은 전체 고객 생태계를 상당한 위험에 노출시키며 경제 시스템에 지속 불가능한 상황을 초래할 것입니다.

오펫은 또한 토큰 도난, 불투명한 제4자 의존성, 충분한 투명성이 없는 특권 접근으로 인한 새로운 위협을 언급했습니다. “변화를 시작하는 가장 효과적인 방법은 더 나은 솔루션 없이 이러한 통합 모델을 거부하는 것입니다”라고 오펫은 결론지었습니다. “이 문제를 인식하고 결정적이고 협력적이며 즉각적으로 대응하는 데 동참해 주시기 바랍니다.”