요새와 문지기: 제3자 사이버 보안 리스크 거버넌스에서의 이행적 신뢰 이론화

분석 플랫폼, 클라우드 서비스, ID 제공업체(identity providers), 소프트웨어 공급업체와 같은 제3자 벤더(third-party vendors)는 디지털 서비스 제공 과정에 점점 더 깊숙이 통합되고 있습니다. 이러한 구조는 규모의 경제와 전문화를 가능하게 하지만, 고객 데이터와 보안 관련 관행을 고객이 거의 보거나 선택하거나 평가할 수 없는 환경으로 이동시키기도 합니다. 본 논문은 2025년 11월에 발생한 OpenAI-Mixpanel 보안 사고에 대한 문서 분석을 통해 이 문제를 조사합니다. 이 사고는 벤더 환경에서 발생한 보안 이벤트가 고객 관계를 유지하는 핵심 조직(focal organization)에게 어떻게 거버넌스 및 책임(accountability) 문제로 전이될 수 있는지를 보여주는 예시적인 사례 역할을 합니다. 조직 신뢰(organizational trust) 연구와 대리인 이론(agency theory)을 바탕으로, 본 논문은 제3자 사이버 보안 리스크가 신뢰 관계인 동시에 위임(delegation) 문제라고 주장합니다. 고객은 눈에 보이는 서비스 제공자를 신뢰하지만, 서비스 제공자는 보안 관행이 부분적으로만 가시화되고 통제 가능한 벤더들에게 의존합니다. 본 논문은 디지털 서비스에 대한 고객의 신뢰가 해당 서비스 제공자에 의해 권한을 부여받은 벤더들의 보안 관행에 달려 있다는 '이행적 신뢰(transitive trust)' 개념을 발전시킵니다. 이어지는 내용으로, 공식적인 조직 소유권만으로는 설명할 수 없는 사이버 보안 거버넌스 경계를 신뢰와 데이터 흐름을 통해 설명하는 '요새와 문지기(Fortress and Gatekeeper)' 프레임워크를 제시합니다. 분석을 통해 벤더 통합(vendor integration), 메타데이터 노출(metadata exposure), 벤더 보증(vendor assurance), 데이터 확산(data proliferation)에 관한 네 가지 명제를 도출합니다. 본 논문은 위임된 데이터 처리(delegated data processing)가 어떻게 고객 대상의 책임을 생성하는지 설명하고, 벤더 계층화(vendor tiering), 데이터 분류(data classification), 계약 설계(contractual design), 지속적 보증(continuous assurance), 데이터 최소화(data minimization)에 대한 시사점을 식별함으로써 사이버 보안 거버넌스 학문에 기여합니다.