증가하는 공급망(Supply Chain) 위협, 체계적인 보안 관리 전략의 중요성 ①

다양한 산업 분야의 기반이 되는 각종 기술이 고도화되면서 자동차, 반도체 등 복잡한 기술사항이 요구되는 제품들은 더 이상 하나의 공급업체가 모든 구성요소 및 소프트웨어를 개발하거나 생산할 수 없게 되었다. 

이에 따라 글로벌의 다양한 공급업체로부터 각 제품 및 소프트웨어를 공급받아 하나의 완성된 제품을 출시하는 공급망(Supply Chain)이 형성되고 있다.

특히 4차 산업혁명의 발전으로 각 산업 분야의 융합이 진행되고 클라우드 기반의 각종 ‘서비스형’ 산업의 범위가 확장되면서 다양한 분야의 협력업체가 증가하게 되어 공급망의 연결 관계는 더욱 복잡해지고 있다.

지속적으로 보고되는 공급망 위협, 왜 위험한가?
공급망은 다양한 공급업체가 복잡하게 연결되어 있어 관리하는 것이 까다롭기 때문에 보안 허점이 노출될 가능성이 크며 공급망의 범위가 확대되면서 자연스럽게 보안 위협의 대상이 될 수 있는 공격표면도 확대되고 있는 추세다. 

이에 따라 기업이나 기관에 비해 상대적으로 보안 관리가 허술한 외부의 파트너, 협력업체 등 각종 공급업체 통해 기업의 내부 자산에 침투하는 ‘공급망 공격(Supply Chain Attack)’이 증가하고 있다.

대표적인 공급망 위협사례로 미국의 유명 마켓 체인인 코스트코(Costco), 월마트(Walmart), 테스코(Tesco), CVS가 피해를 입은 대규모 개인정보 유출 사건을 들 수 있다. 

이 사건으로 인해 피해를 입은 각 기업은 사진 인화 서비스를 제공하는 플랫폼인 PNI 디지털 미디어(PNI Digital Media)의 서비스를 제공하며 일종의 공급망을 형성하고 있었는데 PNI 디지털 미디어가 악의적인 공격을 받게 되면서 연쇄적인 피해를 입게 된 것이었다.

이러한 공급망 위협은 단순한 기업의 개인정보 유출을 노리는 것에서 그치지 않고 ICT 공급망에 대한 위협으로 공격의 범위를 확대하고 있다. 

2019년에는 대만의 컴퓨터 제조사인 ‘에이수스(ASUS)’가 공급망 위협에 노출되어 1백만 명이 넘는 고객의 컴퓨터에 멀웨어가 전파된 것으로 확인됐다. 

2020년에는 네트워크 관리 소프트웨어 개발업체인 ‘솔라윈즈(SolarWinds)’가 공급망 공격을 받아 미국의 주요 기업은 물론 일부 정부기관까지 악의적인 공격 피해를 입게 되었다. 

이처럼 공급망에 대한 사이버 테러는 일반 기업은 물론 공공기관, 군, 바이러스 백신 업체까지 위협할 수 있기 때문에 천문학적인 대규모 피해가 발생할 수 있다.

또 하나의 공급업체에 대한 공격으로 인해 공급망 전체에 영향을 미치는 연쇄적인 피해가 발생할 수 있어 선제적인 공급망 보안 관리를 통해 공급망 위협을 사전에 차단하는 것이 중요하다.

기존 공급망 보안 관리의 한계
기업 및 기관이 모든 공급업체에 대한 보안을 관리하는 것은 사실상 불가능하고, 공급망 보안은 내부 보안 강화만으로는 해결할 수 없어 체계적인 점검 시스템을 마련해야 한다.

하지만 공급망의 개념이 도입되었을 때부터 공급망에 대한 보안위협이 급격하게 증가하고 있는 현재까지 국내외 주요 기업의 공급망 관리 방안은 그다지 발전하지 못한 것이 현실이다. 

기업의 주요 보안 요구사항 항목을 나열한 엑셀 자료를 공급업체가 작성하게 하거나 각종 보안 컴플라이언스 및 보안 정책과 관련된 질문지를 통해 주요 보안위협에 대해 대응하고 있는지 확인하는 수준에 머물러 있기 때문이다. 

이러한 기존의 공급망 보안 관리 방법은 공급업체의 답변에 전적으로 의존할 수밖에 없기 때문에 보안 현황 평가에 대한 객관성이 떨어지고, 작성 및 전달 과정에서 이미 관련 자료는 과거 이력에 대한 평가 자료가 될 수밖에 없어 효과적인 대응이 어려울 수밖에 없다. 

또한 다양한 비즈니스 관계 및 산업의 특성을 고려하지 않고 동일한 엑셀 자료 또는 질문 항목을 통한 평가를 수행하기 때문에 효과적으로 공급망에 대한 보안 위험 등급이나 우선순위를 제시하지 못해 체계적이고 효과적인 공급망 관리를 지원할 수 없다. 

게다가 오늘날과 같이 공급망에 대한 다양한 보안위협이 지속적으로 증가하는 환경에서 연간 혹은 분기를 기준으로 진행하는 공급망 보안 검증은 실제적인 효과를 기대하기 어렵다.

글: 나 가 진 / TND1팀 팀장 / 쿤텍