공급망 위험 관리(SCRM)란 무엇인가?

현재 디지털 환경에서 공급망 보호는 사이버 보안 방어와 함께 이루어집니다. 조직이 요구 사항을 충족하기 위해 외부 공급업체와 제3자 소프트웨어에 점점 더 의존함에 따라, 우리는 이제 조직의 경계를 벗어난 완전히 새로운 위험에 직면하고 있습니다. 이러한 공급망 위험은 소프트웨어 설계부터 배포된 소프트웨어 제품에 이르기까지 기업 내 모든 요소에 영향을 미칠 수 있습니다.

본 블로그에서는 공급망 위험 관리의 개념과 사이버 보안에서의 역할을 살펴봅니다. 또한 일반적인 위험을 식별하는 방법, 효과적인 평가 방법론 개발 방안, 견고한 보안 전략 수립 방안에 대해 논의할 것입니다. 또한 공급망 보안을 보장하기 위해 조직이 활용할 수 있는 주요 프레임워크, 산업별 사용 사례 및 기타 모범 사례에 대해서도 논의할 것입니다.

공급망 리스크 관리란 무엇인가

공급망 리스크 관리(SCRM)는 조직이 외부 파트너, 공급업체 및 서비스 제공업체와 관련된 위험을 인식하고 평가하며 최소화할 수 있도록 하는 일련의 조치와 프로세스입니다. 이는 제품이나 서비스를 제공하는 디지털 요소들을 포괄합니다.

공급망 리스크 관리는 조직 환경에 진입하기 전에 다양한 구성 요소의 취약점을 점검합니다. 또한 향후 발생할 수 있는 잠재적 문제를 탐지하기 위한 모니터링 체계를 구축합니다. 이 접근 방식은 외부 세계와 내부 시스템 간의 모든 접점에서 보안을 확보하는 것을 목표로 합니다.

SCRM이 효과적으로 작동하려면 보안, IT, 조달, 법무, 비즈니스 팀이 모두 협력해야 합니다. 이러한 다기능적 접근 방식은 공급업체 관계의 전체 보안 위험 스펙트럼을 포괄합니다. 공급업체 선정부터 계약 관리, 정기적인 보안 검토까지 모든 단계를 포함합니다.

공급망 리스크 관리가 중요한 이유는 무엇인가요?

조직이 외부 공급업체와 제3자 라이브러리에 더 많이 의존하는 시대에 공급망 리스크 관리의 중요성이 부각되고 있습니다. 오늘날 대부분의 기업은 비즈니스를 운영하기 위해 수십에서 수백 개의 제3자 업체와 협력하고 있습니다. 모든 협력 관계는 조직의 보안 태세를 변화시킬 수 있는 보안 위험을 동반합니다.

현대적인 소프트웨어 애플리케이션은 다양한 출처의 구성 요소로 만들어집니다. 비즈니스 애플리케이션의 코드에는 일반적으로 수십 개의 제3자 라이브러리와 프레임워크가 포함됩니다. 이러한 구성 요소 중 하나라도 보안 취약점이 존재하면 전체 애플리케이션이 손상될 수 있습니다. 이러한 의존성 문제는 클라우드 서비스, 관리형 공급자, 하드웨어 공급업체에도 동일하게 적용됩니다.

공급망 위험의 일반적인 유형

공급망 위험은 손상된 소프트웨어, 서비스 공격, 내부자 위협, 제3자 접근 등의 형태로 발생할 수 있으며, 각각에 대한 탐지 및 보호 방법이 필요합니다. 가장 흔한 유형은 다음과 같습니다. 코드 삽입 공격 코드 삽입 공격은 개발 또는 배포 과정에서 공격자가 합법적인 소프트웨어에 악성 코드를 삽입하는 것을 의미합니다. 이는 공격자가 소스 코드 저장소, 빌드 시스템 또는 업데이트 서버에 접근할 때 발생할 수 있습니다. 잘 알려진 사례로는 SolarWinds 공격이 있는데, 이 공격에서는 백도어 코드가 소프트웨어 업데이트에 삽입되어 수천 명의 고객에게 전달되었습니다.

손상된 소프트웨어

또 다른 중요한 위험은 손상된 소프트웨어 구성 요소에서 비롯됩니다. 오픈소스 라이브러리는 개발 속도를 높여주며 많은 개발자들이 널리 사용하지만, 취약점이나 악성 코드를 포함할 수도 있습니다. 이러한 손상된 부분이 애플리케이션에 빌드되면 보안 결함도 함께 전달됩니다.

공급업체 보안 침해

조직의 시스템이나 데이터에 접근 권한이 있는 공급업체가 보안 사고를 겪을 때 위험이 발생합니다. 네트워크나 민감한 정보에 접근할 수 있는 사람이 침해당하면, 공격자는 이 관계를 악용하여 고객 환경으로 측면 이동할 수 있습니다.

하드웨어 변조

펌웨어 공급망 공격은 하드웨어 구성 요소에 내장된 소프트웨어를 침해하는 것을 포함합니다. 여기에는 펌웨어 업데이트에 악성 코드를 주입하거나, 장치 드라이버를 침해하거나, 부팅 프로세스를 조작하는 것이 포함될 수 있습니다.

업데이트 메커니즘 악용

업데이트 메커니즘 악용은 실제 소프트웨어 업데이트 전달에 활용되는 채널을 표적으로 삼습니다. 공격자는 신뢰할 수 있는 배포 경로를 침해하여 신뢰할 수 있는 공급업체에서 제공된 것처럼 위장한 악성 코드를 배포할 수 있게 합니다.

공급망 위험 관리의 핵심 구성 요소

공급망 위험 관리에는 함께 사용될 때 효과적인 핵심 구성 요소가 있습니다. 이들은 제3자 공급업체 및 그 구성 요소가 초래하는 위험을 발견, 모니터링 및 관리하기 위한 포괄적인 생태계를 형성합니다.

공급업체 위험 평가 및 관리

공급업체 위험 평가는 공급망 보안의 기초를 마련합니다. 이 프로세스는 신규 및 기존 공급업체에 시스템이나 데이터에 대한 접근 권한을 부여하기 전에 공급업체의 보안 관행을 평가합니다. 좋은 평가는 기술적 통제 및 보안 정책, 과거 사건 검토, 전반적인 보안 성숙도를 검토합니다. 평가 과정에서 조직은 공급업체에 대해 표준화된 설문지와 점수 시스템을 마련해야 하며, 이는 공급업체를 객관적으로 비교하는 데 도움이 될 수 있습니다.

SCA 및 소프트웨어 부품 목록(SBOM)

SCA 도구는 애플리케이션 코드를 스캔하여 사용된 모든 타사 구성 요소를 식별하고 그 안에 알려진 취약점을 찾습니다. 이러한 도구는 모든 소프트웨어 종속성의 포괄적인 목록을 생성하고, 해당 구성 요소 내에서 취약점이 탐지될 경우 팀에 알립니다. SCA는 일반적으로 애플리케이션 내 모든 구성 요소와 그 버전, 구성, 존재할 수 있는 취약점을 요약한 소프트웨어 부품 명세서(SBOM)를 출력합니다.

공급망 공격을 위한 사고 대응 계획 수립

공급망 공격은 모든 사고 대응 계획이 다루지 않는 고유한 요소들을 포함합니다. 따라서 조직은 신뢰할 수 있는 공급업체를 통해 유입되는 침해 사고에 특화된 실행 계획을 마련해야 합니다. 이러한 계획은 장치 격리, 해당 벤더 연락, 침해 범위 파악, 피해 완화 등에 중점을 두어야 합니다. 대응 팀은 침해된 공급업체에 대한 접근을 차단할 시점과 방법, 그리고 사고 종료 후 서비스를 복구하는 방법에 대한 명확한 지침이 필요합니다.

공급망 위험을 식별하고 평가하는 방법?

공급망 위험을 인식하고 분석하기 위한 체계적인 접근 방식이 존재하며, 이는 기술적 자원과 비즈니스 프로세스 분석을 결합한 혼합 접근법입니다. 그러나 조직은 잠재적인 문제가 운영에 영향을 미치기 전에 이를 드러낼 수 있는 명확한 방법을 마련해야 합니다.

조직 전체에서 사용되는 모든 타사 코드, 종속성, 컨테이너 및 클라우드 서비스에 대한 포괄적인 소프트웨어 부품 목록(SBOM)을 구축하는 것이 디지털 공급망 위험 식별의 시작점입니다. 이는 각 애플리케이션에서 사용되는 구성 요소, 버전 정보, 알려진 취약점, 비즈니스 운영에 대한 중요도를 상세히 기록한 자동화된 인벤토리 형태로 구현되어야 합니다.

보안 팀은 스캐닝 도구를 CI/CD 파이프라인과 통합하고 개발 및 IT 팀과 협력하여 의존성, API 또는 마이크로서비스가 누락되지 않도록 해야 합니다.

공급망 위험 완화 기법

조직이 공급망 보안 위험을 줄이기 위해 활용할 수 있는 효과적인 전략이 여러 가지 있습니다. 이러한 기법들은 함께 다층적인 방어 체계를 구축하여 외부 위협으로부터 보호합니다.

공급업체 보안 요구사항

공급업체 계약서에 명확히 정의된 보안 요구사항은 공급망 보안의 견고한 기반을 마련합니다. 이러한 요구사항에는 최소 보안 통제, 규정 준수 인증, 침해 통보 기간, 감사 권한 등이 포함되어야 합니다. 법적 계약을 통해 보안은 협상 불가한 사항으로 규정하고, 조직이 공급업체에 대한 기준을 강제할 수 있도록 하며, 보안 사고 발생 시 공급업체의 책임을 묻도록 해야 합니다. 요구사항은 구체적이고 측정 가능해야 하며, 미준수 시 처벌 조항이 명시되어야 합니다.

코드 무결성 검증

코드의 무결성을 검증하면 환경으로 유입되는 모든 소프트웨어가 변조되지 않았음을 보장합니다. 여기에는 디지털 서명 검증, 해시 출력이 예상값과 일치하는지 확인, 유입 코드의 출처 추적이 포함됩니다. 조직은 설치 전 소프트웨어 업데이트, 제3자 라이브러리 및 애플리케이션 구성 요소의 무결성을 검증하는 자동화 도구를 반드시 배포해야 합니다. 이는 공급망에 악성 코드가 삽입되는 것을 방지할 뿐만 아니라 합법적인 소프트웨어의 무단 수정도 포착합니다.

최소 권한 접근

각 제3자 통합 지점은 기능 수행에 필요한 최소한의 API 권한과 시스템 접근 권한으로만 구성되어야 합니다. 이러한 격리 접근 방식은 침해의 폭발 반경을 제한하여, 침해된 구성 요소가 필요한 범위를 넘어 중요한 시스템에 접근하는 것을 방지합니다.

의존성 중복성

중요한 패키지 및 라이브러리에 대해 중복 소스를 구현하면 조직은 단일 침해된 저장소 또는 컨테이너 레지스트리가 야기할 수 있는 피해를 제한할 수 있습니다. 이 전략은 특정 패키지에서 보안 문제가 발견될 경우 대체 종속성으로 신속하게 전환할 수 있게 합니다. 핵심 종속성에 대해 여러 검증된 소스를 유지하려면 추가 개발 리소스가 필요하므로, 중요하지 않은 구성 요소의 경우 보안 비용 대비 효과가 노력에 비해 정당화되지 않을 수 있습니다.

보안 테스트

제3자 제품 및 서비스에 대한 지속적인 보안 테스트는 제공된 소프트웨어에 대한 침투 테스트, 취약점 스캔, 코드 검토 등 공급업체의 보안 관련 주장을 검증합니다. 가장 높은 위험은 종종 벤더 시스템과 내부 네트워크의 연결 지점에서 발생하므로, 테스트는 이러한 통합 지점을 대상으로 해야 합니다.

공급망 위험 관리 프레임워크 및 표준

여러 확립된 프레임워크와 표준은 조직이 공급망 보안에 대한 체계적인 접근 방식을 구축하는 데 도움을 줍니다.

미국 국립표준기술원(NIST) 사이버 보안 프레임워크

미국 국립표준기술연구소(NIST) 사이버보안 프레임워크에는 공급망 위험 관리를 위한 구체적인 지침이 포함되어 있습니다. NIST 특별 간행물 800-161은 공급망 위험을 식별, 평가 및 대응하기 위한 상세한 지침을 제공합니다. 이 프레임워크는 계층적 접근 방식을 사용하여 조직이 위험 수준과 자원 제약에 맞춰 보안 노력을 조정할 수 있도록 지원합니다.

ISO/IEC 27036

ISO/IEC 27036은 공급업체 관계에서의 정보 보안에 특별히 초점을 맞춥니다. 이 국제 표준은 조달 프로세스 및 지속적인 공급업체 관리에 대한 보안 지침을 제공합니다. 이는 조직이 선정부터 종료까지 공급업체 라이프사이클 전반에 걸쳐 보안 요구사항을 포함하도록 돕습니다.

사이버 보안 성숙도 모델 인증(CMMC)

사이버 보안 성숙도 모델 인증(CMMC) 프레임워크는 방위 산업체 공급망 요구사항을 포함합니다. 공급업체가 취급하는 정보의 민감도에 따라 반드시 구현해야 할 구체적인 통제 사항을 설정합니다. 방위 산업을 위해 설계되었지만, 많은 조직이 자체 공급망 요구사항 모델로 CMMC를 활용합니다.

코드 우수성 소프트웨어 보증 포럼(SAFECode)

코드 우수성 소프트웨어 보증 포럼(SAFECode)은 공급망 내 안전한 소프트웨어 개발을 위한 모범 사례를 제공합니다. 이 업계 주도 노력은 소프트웨어에 처음부터 보안을 구축하기 위한 실용적인 기술에 중점을 둡니다.

공급망 위험 관리와 관련된 과제

효과적인 공급망 위험 관리를 구현하는 데에는 여러 가지 주요 과제가 있습니다. 외부 종속성을 잘 보호하기 위해서는 조직이 이러한 여러 가지 도전 과제를 해결해야 합니다.

가시성 제한

조직이 공급망을 파악하는 능력은 불완전합니다. 대부분의 공급업체는 자체 공급망을 통해 조달하므로 추적하기 어려운 다단계 의존 관계가 형성됩니다. 보안 팀은 오픈소스 의존성이나 제3자 간 관계로 인해 발생할 수 있는 잠재적 위험을 인지하지 못할 수 있습니다. 이로 인해 투명성이 크게 저하되고 모든 위협 지점을 파악하기 어렵습니다.

자원 제약

공급망 보안을 효과적으로 구현하려면 상당한 자원이 필요합니다. 보안 팀은 공급업체 검토의 철저함과 이를 수행할 수 있는 시간 및 예산 사이에서 균형을 맞춰야 합니다. 이로 인해 조직은 주요 의존성과 핵심 코드 저장소에 보안 노력을 집중하는 반면, 소프트웨어 공급망에서 여전히 상당한 보안 위험을 초래할 수 있는 소규모 구성 요소와 마이크로서비스는 소홀히 하는 경우가 많습니다.

보안 대 운영 효율성

엄격한 공급망 통제는 비즈니스 중단과 주요 계획 지연을 초래할 수 있습니다. 보안 검토는 조달 프로세스를 지연시켜 공급업체의 신속한 온보딩이 필요한 사업부와의 심각한 갈등을 유발합니다. 조직은 보안 요구사항과 비즈니스 요구사항 사이에서 균형을 맞춰야 합니다. 반면, 보안에 지나치게 집중하면 경쟁력을 저해하는 병목 현상이 발생할 수 있으며, 속도를 우선시하면 감당하기 어려운 위험이 발생할 수도 있습니다.

레거시 시스템

수많은 조직이 여전히 현대적인 보안 기능을 갖추지 못한 레거시 시스템을 사용하고 있습니다. 이러한 레거시 애플리케이션은 공급업체가 오래전에 지원을 중단한 상태이므로 알려진 취약점이 있는 구식 구성 요소를 사용하고 있을 수 있습니다. 문제는 이러한 시스템을 교체하는 데 비용이 많이 들고 비즈니스에 지장을 준다는 점입니다. 레거시 구성 요소는 결국 교체될 계획이 있어야 하지만, 그 동안 보안 팀은 이를 완화하기 위한 전략이 필요합니다.

일관된 보안 표준

서로 다른 공급업체에 걸쳐 일관된 보안을 구축하는 것은 거의 불가능합니다. 그들은 서로 다른 산업에 속하며, 서로 다른 법규와 보안 성숙도 수준을 가지고 있습니다. 클라우드 서비스 제공업체는 하드웨어 제조업체와 다를 수 있습니다. 보안 보장을 희생하지 않으면서 이러한 차이점을 고려할 수 있을 만큼 민첩한 평가 기법을 만드는 것이 조직의 과제입니다.

공급망 위험 관리를 위한 모범 사례

효과적인 공급망 보안은 일관된 접근 방식과 기록, 정책, 조직의 헌신에 달려 있습니다. 다음 모범 사례는 조직이 공급망 위협에 대한 강력한 방어 체계를 구축하는 데 도움이 됩니다.

공급업체 보안 평가 프로토콜

모든 공급업체가 동일한 방식으로 평가받도록 표준화된 테스트 프로세스를 수립해야 합니다. 여기에는 보안 설문지, 문서 검토, 공급업체 위험 수준에 부합하는 검증 단계 등의 프로토콜이 포함되어야 합니다. 조직은 위험 기반 접근 방식을 수립하고 각 수준에서 수행해야 할 점검 항목을 정의해야 합니다. 즉, 저위험 및 중위험 공급업체에 대한 기본 점검과 핵심 공급업체에 대한 심층 검토를 구분해야 합니다.정기 보안 감사

무작위 감사는 공급업체가 주장하는 바를 실제로 실천하는지 확인합니다. 이러한 검토의 예로는 자동화된 코드 스캔, 동적 API 테스트, 중요 종속성에 대한 저장소 접근 감사 등이 있습니다. 감사는 CI/CD 파이프라인, 컨테이너 레지스트리, 패키지 저장소의 무결성을 검증하여 적절한 보안 통제 구현을 확인해야 합니다.

계약서 내 보안 요구사항

공급업체에 대한 세부 보안 요구사항을 계약서에 명시하면 강제 가능한 의무가 생성됩니다. 해당 조항은 최소 보안 통제 수준, 침해 통보 기간, 감사 권한 및 미준수 시의 결과를 상세히 규정해야 합니다. 법무팀은 보안팀과 협력하여 기술적으로 정확한 조항을 협상해야 합니다. 요구사항은 데이터 보호, 접근 통제, 취약점 관리 및 사고 대응을 포함해야 합니다. 계약서에는 사이버 보안 위반 시 계약 해지 권한도 명시되어야 합니다.

코드 서명 및 검증

소프트웨어의 모든 구성 요소에 코드 서명을 적용하면 생성 후 코드가 변경되지 않도록 보장합니다. 기업은 공급업체로부터 디지털 서명이 적용되고 검증 방법이 마련된 코드를 요구해야 합니다. 서명은 업데이트나 신규 구성 요소 설치 전에 내부 시스템에서 확인되어야 합니다. 이 단계는 코드의 무결성과 진위성을 보장하기 위한 것입니다. 서명되지 않았거나 부적절하게 서명된 모든 코드는 경보를 발생시키고 설치가 금지되어야 합니다.

보안 인식 문화

모든 팀에 걸쳐 직원 인식을 제고하고 공급업체와 상호작용하는 것은 공급망 보안의 인적 측면을 강화합니다. 여기에는 보안 표준에 대한 직원 교육, 개발자에게 구성 요소 출처를 검사하도록 지시, 비즈니스 팀에 공급업체 보안 위험을 경고하는 것이 포함됩니다. 직원들은 새롭게 등장하는 공급망 위협과 공격 기법에 대해 정기적으로 업데이트를 받아야 합니다.

주목할 만한 공급망 공격

아래 보안 사고들은 두 차례의 주요 공급망 공격에서 두드러지게 나타났습니다.

솔라윈즈 공격

침해 발생 한 달도 채 지나지 않아 여러 컴퓨터 보안 업체와 정부 사이버 보안 기관들은 솔라윈즈 공격(2020년 12월 발견)이 지금까지 확인되거나 시도된 공급망 침해 중 가장 정교한 사례 중 하나라고 결론지었습니다.

해커들은 해당 기업의 개발 환경에 침투해 오리온 네트워크 모니터 프로그램에 악성 코드를 심었습니다. 이 악성 코드가 포함된 업데이트는 디지털 서명되어 약 18,000명의 고객에게 배포되었습니다. 설치된 악성코드(SUNBURST로 명명됨)는 백도어를 생성해 공격자가 침해된 네트워크에 진입할 수 있게 했습니다. 이 공격은 수개월간 탐지되지 않은 채 진행되며 미국 정부 기관 다수, 마이크로소프트, 파이어아이, 포춘 500대 기업 등 주요 표적을 공격했습니다.

NotPetya 공격

2017년 6월 발생한 NotPetya 공격은 우크라이나 세무 보고용 회계 소프트웨어 M.E.Doc의 업데이트를 통해 시작되었습니다. 해커들은 해당 소프트웨어 업데이트 서버에 침투할 방법을 찾아내어, 실제 업데이트인 것처럼 위장한 단말기 파괴형 악성코드를 업로드했습니다.

우크라이나 기관만을 공격하도록 설계되었지만, 자가 복제형 악성코드는 네트워크 연결을 통해 전 세계로 급속히 확산되었습니다. 해운 대기업 머스크, 제약사 머크, 택배 서비스 페덱스 등이 심각한 운영 차질을 겪었습니다. 예를 들어 머스크는 45,000대의 컴퓨터와 4,000대의 서버를 교체해야 했으며, 회사 피해액은 3억 달러를 넘어섰습니다.

결론

조직들이 외부 공급업체 및 소프트웨어 의존성을 통해 공격을 받는 경우가 점점 더 많아짐에 따라 공급망 보안은 매우 중요해지고 있습니다. 현대 공급망의 복잡성은 종종 공격자들이 더 적극적으로 악용하려는 보안 취약점을 생성합니다. 조직은 어느 정도 이러한 사이버 위협으로부터 스스로를 보호할 수 있지만, 이는 체계적인 위험 관리 접근 방식이 마련된 경우에만 가능합니다.

공급망 보안은 기술적 통제, 공급업체 평가 프로세스, 조직적 인식의 조합으로 귀결됩니다. 조직은 보안 요구사항과 비즈니스 필요성을 저해하지 않으면서도 외부 의존성에 대한 가시성을 확보해야 합니다. 공급망 공격은 날이 갈수록 정교해지고 있으며, 보안 팀은 이를 효과적으로 탐지하기 위해 차세대 도구가 필요할 것입니다.

FAQs