M&A 간소화 및 보호
더 빠르고 최신화된 IT 통합 달성
인수합병 전망
경제의 불확실성에 직면한 기업들은 비즈니스 변동성을 완화할 수 있는 새로운 방법을 모색합니다. 예를 들어, 경쟁 위협을 줄이면서 제품군을 다양화할 수 있는 인수합병(M&A)을 추진하는 것도 한 가지 방법입니다. M&A는 또한 인수자가 더 많은 기술 인재를 영입하고 디지털 전환을 가속화하는 데 도움이 될 수 있습니다.
그러나 M&A를 수행하는 기업은 거래 주기 내내 심각한 사이버 보안 위험에 직면할 수 있습니다. 기존의 네트워크 병합을 이용한 통합 때문에 비효율적이고 중복된 시스템이 초래될 수 있으며, 리소스와 데이터가 위험에 처할 수 있습니다. 대안으로, Zero Trust 원칙을 적용하는 최신 M&A IT 통합을 통해 그 효과를 배가할 수 있습니다.
IT, 보안, 규제 준수 위험 최소화
지속적인 비용 절감 및 생산성 향상
혁신적인 기술의 구현 속도 향상
일반적인 IT 위험
M&A 상황에서는 각 조직의 이전 사이버 보안 결정과 기본 IT 시스템이 서로 영향을 미칩니다. 공격자는 더 큰 규모의 인수 회사에 침입하기 위한 방법으로 인수되거나 매각되는 회사의 데이터를 겨냥할 수 있습니다.
랜섬웨어 공격자가 M&A 활동을 악용하는 것에 대한 미국 연방수사국(FBI)의 경고를 예로 들어보겠습니다. 공격자는 트로이 목마 맬웨어를 실행하여 (공개될 경우) 거래를 방해할 수 있는 비공개 정보를 구체적으로 파악한 다음, 이 데이터를 활용하여 금전을 갈취합니다.
인수 기업에서 M&A 기능을 담당하는 임원 3명 중 1명은 "통합 중 M&A 활동으로 인한 데이터 유출"을 경험한 적이 있습니다. 그 주요 요인은 공격면이 넓어지는 것입니다. M&A 과정에서 중요한 파일과 데이터가 여러 제3자와 디지털 방식으로 공유되기 때문입니다. Graduation Alliance Inc.를 1억 3,000만 달러에 인수하는 프로젝트와 관련된 한 사례에서 공격자들은 M&A 로펌의 이메일 주소를 손상시켜 주주들에게 지급해야 할 대금을 유용하고 빼돌렸습니다.
'완료된' IT 통합에도 다음과 같은 위험이 여전히 도사리고 있습니다.
휴면 취약점: 통합 시점에 보안 태세가 동일하지 않으면 한 쪽이 다른 쪽에 부정적인 영향을 미칠 수 있습니다. 예를 들어, 공격자들은 Marriott에서 Starwood 호텔 네트워크를 인수하기 전에 이미 Starwood의 투숙객 예약 시스템을 손상시킨 바 있습니다. 이 유출 사고는 2년 동안 감지되지 않았고, 약 5억 건의 고객 기록이 노출되었습니다.
섀도우 IT: 합병된 회사의 직원들이 새로운 통합 프로세스와 도구에 익숙해지는 데는 시간이 걸립니다. 이러한 전환 과정에서 특정 직원이나 부서에서 승인되지 않은 앱을 채택하거나 새로운 IT 정책을 따르지 않을 수 있습니다.
규제 영향: 두 회사 중 어느 회사가 데이터 개인정보 보호 규정이 더 엄격한 다른 지역이나 업계에 있는 경우, 데이터 공유 규제 준수를 위해 각별하게 주의해야 합니다. 예를 들어, 중국의 개인정보 보호법(PIPL)에는 M&A 시나리오에서 개인 데이터 전송에 대한 특정 통지 및 동의 요건이 있으며, 이를 준수하지 않을 경우 100만 위안(약 $149,000)의 벌금이 부과될 수 있습니다.
과거 연구에 따르면 70~90%의 인수가 실패한다고 합니다. 새로운 사이버 위협에 대비하고 거래 도중 IT 통합을 성공적으로 진행하는 조직은 또 다른 (실패한) M&A 통계 사례가 되지 않을 수 있습니다.
M&A에서의 IT 위험 줄이기
전통적인 IT 합병의 경우, 조직들은 합병하는 두 회사의 모든 리소스에 사용자를 연결하려고 시도합니다. 이는 "성과 해자" 네트워크 보안 모델(네트워크 외부의 누구도 내부의 데이터에 액세스할 수 없지만, 네트워크 내부의 모든 사람은 액세스할 수 있는 모델)을 따릅니다.
예를 들어 방화벽을 사용하여 두 네트워크 간에 트래픽을 전달하거나 중간 연결 지점에서 두 네트워크를 병합할 수 있습니다(예: 데이터 센터 연결을 위한 멀티프로토콜 레이블 스위칭(MPLS). 또는 새로운 가상 사설망(VPN)을 추가하여 새로운 사용자에게 액세스 권한을 안전하게 부여할 수도 있습니다. 과거에는 비즈니스 애플리케이션이 데이터 센터 내에서 온프레미스로 호스팅되고 직원들이 대부분 사무실에서 근무했으므로 이 정도면 충분했습니다.
하지만 현대의 업무 환경에서는 인수한 'A 회사'와 인수된 'B 회사'의 직원들이 모든 기기에서 어디서나 클라우드에서 호스팅되는 거의 무한대에 가까운 SaaS 애플리케이션과 네트워크에 안전하게 연결할 수 있는 옵션이 필요합니다. 하지만 이러한 사용자나 장치 중 하나라도 손상되면 공격자는 비유에 나오는 "해자"를 건널 수 있습니다.
달리 말하자면, 하이브리드 업무 환경이 M&A로 수렴하는 경우 기존의 경계 기반 접근 방식으로는 충분하지 않습니다.
하지만 오늘날의 IT 및 보안 리더에게는 M&A IT 통합 플레이북을 다시 작성할 수 있는 기회가 있습니다. Zero Trust 보안 모델에 기반한 최신 접근 방식은 비즈니스 안팎의 모든 트래픽이 확인되고 승인되도록 보장합니다.
예를 들어, 통합하는 동안 Zero Trust 보안을 구현할 수 있는 기술인 Zero Trust 네트워크 액세스(ZTNA)를 통해 리소스를 보호할 수 있습니다. ZTNA의 이점은 다음과 같습니다.
여러 인증 요소를 요구하여 자격 증명 도용 및 피싱과 같은 위협의 위험을 줄입니다. 또한 마이크로 세분화(Zero Trust 구성 요소 중 하나)는 침입을 하나의 작은 영역으로 제한하므로 공격이 발생하더라도 피해가 최소화됩니다.
여러 ID 공급자와 동시에 통합. 이로써 외부 사용자(즉, "회사 B"의 직원 및 계약자)에 대한 인증을 가속화하고 다양한 기업 또는 개인 계정에서 인증할 수 있습니다.
보편적이고 세분화된 정책을 통해 사용자의 신원 및 컨텍스트에 따라 액세스를 부여하고, 더 위험한 새로운 VPN 연결을 추가하지 않고도 내부 자산을 보호할 수 있습니다.
Zero Trust를 활용하면 네트워크를 결합하는 복잡한 과정 없이 내부 액세스가 용이해지고, 전환하는 직원의 온보딩이 빨라지며, 모든 사용자의 '첫날' 액세스를 보호할 수 있습니다. 이 모든 것이 조직에서 합병의 이점을 더 빠르게 실현하는 데 도움이 되며, M&A에서는 시간이 곧 돈입니다.
속도의 필요성
두 회사가 합병하면 즉시 ROI를 달성해야 한다는 엄청난 압박을 받게 됩니다. Bain & Co.의 분석(10년간의 M&A 활동 추적에 기반)에 따르면 프로세스 및 시스템 통합의 70%가 마지막이 아닌 처음에 실패하는 것으로 밝혀졌습니다. "속도가 아주 중요합니다. 실제로 우리 추정에 따르면 비즈니스 시너지 효과의 절반 이상이 시스템 통합에 의해 좌우되는 경우가 많다고 합니다. 시스템 통합이 빨라지면 이러한 매출 및 비용 시너지 효과가 더 빨리 실현되고 새로운 기술 역량을 더 일찍 도입할 수 있을 뿐만 아니라 고객에게 더 일찍 단일화된 모습을 보여 줄 수 있습니다."
그러나 기업 시스템을 기존 네트워크 병합과 결합하려는 시도에는 몇 가지 문제가 있습니다.
잠재적인 네트워크 비호환성 및 확장성 문제, IP 주소 중복, 기타 IT 복잡성을 해결하는 등 수개월에 걸친 구현 단계로 인해 통합 기간이 길어집니다.
별도의 시스템 관리, 구식(또는 중복) 애플리케이션 유지, 기술 부채 증가(레거시 하드웨어는 대부분 운영을 유지하기 위해 더 많은 오버헤드가 필요함)로 인한 오버헤드 증가.
새로운 VPN 추가, 구성, 유지 관리에 더 많은 시간을 소비하는 등의 활동으로 인한 생산성 저하. 또한 원격 근무자의 경우 클라우드 기반 VPN을 사용하면 원격 근무자와 네트워크 간의 모든 요청에 대기 시간이 추가됩니다.
모든 애플리케이션 주위에 위치한 통합 계층으로서 ZTNA는 허가된 리소스에 접근할 때 모든 사용자에게 안전한 액세스를 제공하며, 그 구현을 간소화해 줍니다. 예를 들어, ZTNA는 다음과 같습니다.
두 회사의 리소스에 액세스하는 새로운 사용자와 장치, 그리고 네트워크 내부와 외부(예: 서로 다른 클라우드 환경)에 저장된 데이터에 대한 액세스를 더 간편하게 제공할 수 있습니다. 대부분의 경우 최종 사용자 소프트웨어가 전혀 필요하지 않습니다.
합병이 업무 성과와 고용 유지에 일시적으로 영향을 미치는 경우가 많다는 점을 고려할 때 중요한 요소인 직원 생산성과 연결성이 유지됩니다. Zero Trust는 덜 거슬리는 보안 검사, 간소화된 인증 워크플로우, 더 빠른 직원 온보딩/오프보딩을 제공합니다.
중복되는 보안 서비스를 클라우드 기반 Zero Trust 플랫폼으로 대체하여 기술 효율성이 개선됩니다. 또한 새로운 인프라를 프로비저닝하고 보호하는 데(또는 레거시 시스템의 취약점을 수정하는 데) 필요한 노력이 줄어들고 IP 충돌과 관련된 문제를 피할 수 있습니다.
기업 분할
Deloitte에서 2023년 1월에 실시한 설문조사에 따르면, M&A 전문가의 절반 가량이 향후 12개월 내에 기업 분할(제품 라인, 사업부, 자회사의 매각 또는 분사)을 추진할 가능성이 높다고 답했습니다. 그러나 다른 M&A 전략과 마찬가지로 기업 분할에 따라 공격자가 중요한 데이터와 영업 비밀에 접근하려고 할 가능성도 높아집니다. 또한 IT 자산이 전환됨에 따라 잘못된 구성과 취약점이 발생할 가능성도 높아집니다.
기업 분할을 통해 분사된 회사는 최신화할 수 있는 새로운 기회를 얻게 됩니다. ZTNA 기술은 기술 부채를 최소화하고 전환 자체의 복잡성을 줄이기 위해 분사되는 회사에서 IT 전환 기간에 도입하기에 적절합니다. ZTNA는 개별 요청을 모두 확인하므로 공격자의 내부망 이동이 차단됩니다. 또한 세분화된 Zero Trust 액세스 정책을 통해 분할된 기업의 애플리케이션과 사용자를 효율적으로 오프보딩할 수 있습니다. 이렇게 하면 두 기업의 논리적 분리가 신속하게 이루어지고 분리 계약 조건을 제때 이행하는 데 도움이 됩니다.
M&A 간소화 및 보호
IDC 분석가들은 ZTNA 시장 분석을 통해 Cloudflare를 리더로 선정했습니다. IDC는 Cloudflare의 장점으로 "기업 보안 요구 사항을 지원하는 공격적인 제품 전략"과 "다양한 단계의 기업 Zero Trust 도입을 지원하는 능력"을 꼽았습니다.
Cloudflare를 이용하면 Zero Trust로 통합을 가장 쉽게 간소화할 수 있습니다. '첫날'에 중요한 애플리케이션과 고위험 사용자 그룹(인수한 회사의 직원 및 계약자 등)을 효율적으로 보호한 다음, 비즈니스가 성장함에 따라 인터넷 네이티브 ZTNA를 나머지 비즈니스에 손쉽게 확장할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
ZTNA 시장에 대한 자세한 분석과 포함된 17개 벤더 중 Cloudflare가 어떤 위치에 있는지 알아보려면 2023 ZTNA를 위한 IDC MarketScape를 읽어보세요.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
인수 합병과 관련된 일반적인 사이버 위험
기존 IT 통합의 복잡성
Zero Trust 보안 적용의 이점