다양한 산업 분야의 기반이 되는 각종 기술이 고도화되면서 자동차, 반도체 등 복잡한 기술사항이 요구되는 제품들은 더 이상 하나의 공급업체가 모든 구성요소 및 소프트웨어를 개발하거나 생산할 수 없게 되었다. 

이에 따라 글로벌의 다양한 공급업체로부터 각 제품 및 소프트웨어를 공급받아 하나의 완성된 제품을 출시하는 공급망(Supply Chain)이 형성되고 있다.

4차 산업혁명의 발전으로 각 산업 분야의 융합이 진행되고 클라우드 기반의 각종 ‘서비스형’ 산업의 범위가 확장되면서 다양한 분야의 협력업체가 증가하게 되어 공급망의 연결 관계는 더욱 복잡해지고 있다.

지난 글에 이어 이번 글에서는 공급망 위협 관리에 대응하는 체계적인 전략을 수행할 수 있도록 지원하는 자동화 플랫폼인 ‘파노레이(Panorays)’에 대해 알아본다.

미국에서는 공급망 위협에 대응할 수 있는 포괄적인 공급망 관리 프로세스 구축을 지원하기 위해 2018년 7월 ‘정보통신기술 공급망 태스크포스(Information Communications Technology Supply Chain Task Force)’ 부서를 신설했다. 

이 부서는 공급망에 걸친 서비스의 지속성과 가용성, 무결성 강화를 통해 사이버보안 기반의 공급망 안정성을 확보할 수 있도록 일종의 가이드북을 제작하여 다양한 분야의 공급망 보안 강화를 지원하는 것을 목표로 운영된다.

현재 시스코, 인텔 등 20여개의 민간기업과 국토안보부, 국방부, 사법부 등 8개의 정부기관이 참여한 것으로 알려졌다. 

이처럼 공급망을 체계적으로 관리하기 위해서는 외부적으로 발생할 수 있는 공급망 위협과 내부적으로 발생할 수 있는 공급망 위협을 종합적으로 점검할 수 있는 통합적이고 유기적인 대응 방안을 구축하는 것이 중요하다. 

쿤텍이 국내 공급하는 공급망 보안 관리 자동화 플랫폼인 ‘파노레이(Panorays)’는 효율적인 공급망 관리를 위해 모든 공급업체에 대한 절대평가 대신 기업과 공급업체 간의 고유한 관계에 따른 컨텍스트 기반의 평가를 수행하여 기업과 공급업체에 대한 상황을 효율적으로 점검한다. 

파노레이의 이러한 보안평가는 일회성에 그치지 않고 지속적으로 공급업체를 모니터링하여 공급업체의 사이버 태세에 대한 변경 사항을 기업에 알리고 이를 토대로 공급업체로 인한 보안 위협에 대한 효과적인 방어가 가능하도록 지원하는 점이 특징이다.

특히 공급업체와 관련된 보안 문제 발생 시 이와 관련된 패치 방법을 제공하여 쉽고 민첩하게 다양한 보안 위협에 대응할 수 있도록 지원한다.

파노레이는 다양한 국내외 산업 및 표준, 규정, OWASP 및 NIST 등의 모범사례를 사용하여 공급업체에 대한 위험 평가를 수행하며 체계적인 체크리스트를 기반으로 공급업체 내부의 보안 상태를 점검하고 해커의 뷰를 반영한 시뮬레이션을 통해 공급업체 외부의 보안 상태를 평가하여 통찰력 있는 보안 등급을 제공하는 것이 강점이다.

SaaS 기반의 플랫폼으로 보안 평가를 위한 별도의 에이전트 설치가 필요하지 않고 공급업체의 물리적 자산을 패시브(Passive) 방식에 따라 평가하기 때문에 공급업체의 실제 자산 및 프로세스에 영향을 주지 않는다.

또 침투 테스트가 아닌 고도화된 공개위협정보(OSINT) 방식을 기반으로 위협 노출 여부를 평가하기 때문에 다양한 산업 분야에 유연하게 적용할 수 있다. 

이외에도 단순 자산에 대한 평가는 물론 공급업체 임직원의 사회망에서의 활동을 점검하는 휴먼팩터(Human Factor) 평가, 해커 포럼 및 딥웹, 다크웹 등에서의 공급업체에 대한 검색을 수행하여 공급업체를 표적으로 하는 잠재적인 공격 가능성에 대해 모니터링할 수 있어 체계적인 공급망 보안 관리체계를 구축할 수 있다.

글: 나 가 진 / TND1팀 팀장 / 쿤텍