보안

사이버 공격으로부터 공급망을 보호하기 위한 5가지 핵심 사항

John P. Mello, Jr. | CSO 2019.11.07
SANS 인스티튜트는 최근 기업의 공급망을 안전하게 유지하기 위한 핵심 사항에 대해 정의했다. 업계 전문가들이 각 핵심 사항이 중요하다고 생각하는 이유를 알아보자. 
 
ⓒ Getty Images Bank
     
범죄자들과 국가가 후원하는 해커들이 취약한 곳을 찾으면서 공급망에 대한 사이버공격은 계속 증가하고 있다. SANS 인스티튜트가 최근 성공적인 공급망 보안 패턴에 대한 보고서에서 지적하듯이, 세간에 이목을 끄는 사건들은 공급망 보안을 만들거나 업그레이드가 중요하다는 것을 보여준다. 

지난 4월, 많은 미국기업의 아웃소싱 업체인 위프로(Wipro)는 신뢰할 수 있는 네트워크가 해킹당해 공격자들이 이 회사의 고객에 대한 사이버공격을 시작하는 데 사용됐다. 

지난 5월, 7,000개가 넘는 비즈니스 애플리케이션이 있는 어도비의 마젠토(Magento) 전자상거래 플랫폼과 기타 서드파티 서비스가 해킹 당해 티켓마스터(Ticketmaster)를 포함한 다수 회사의 비밀번호와 다른 민감한 정보들이 도용됐다. 

같은 5월, 서드파티 계약자는 유니버셜 뮤직 그룹(Universal Music Group)의 내부 서버에 민감한 자격 증명을 노출해 해당 서버에 저장된 주요 정보를 위험에 빠뜨렸다. 

지난 7월, 영국 정보 통신국(Information Commissioner)은 영국 항공이 자사 웹사이트와 앱에서 악성코드 감염 이후 약 50만 고객의 민감한 정보가 악의적인 웹사이트로 옮겨진 것에 대해 2017년 순 매출액의 1.5%인 2억 3,000만 달러(2,663억 원)의 벌금을 부과했다.  

이 보고서의 저자인 SANS 이머징 트렌드 책임자 존 페스카토레는 “사이버범죄자들이 주요 표적으로 공급망을 추적하기 시작한 4년 전쯤부터 공급망 보안은 CISO에게 더욱 중요해졌다”고 설명했다. 페스카토레는 최근 러시아와 중국의 공급망 공격에 대해 언론이 관심을 갖고 보도하기 때문에 최근 공급망 보안이 더욱 악명을 떨치고 있다고 말했다. 

미국 시카고에 소재한 컨설팅 업체인 리버티 어드바이저 그룹(Liberty Advisory Group) 대표 아몬드 카글라는 “해커들이 서드파티 공급업체와 하청업체의 약한 방어를 악용하는 것을 점점 더 선호하고 있기 때문에 기업들은 불리한 입장에 놓이게 됐다"고 말했다. 

SANS 보고서는 효과적인 공급망 보안 프로그램의 5가지 핵심 구성 요소를 밝혔다. 


1. 공급망 보안 챔피언 찾기

SANS 보고서에 따르면, 보안은 관리 체계에서 공급망 결정을 담당하는 챔피언이 있어야만 그린 필드보다 높은 수준의 보안을 유지할 수 있다. 이 챔피언은 이사회 임원, CEO, CIO, COO, 또는 조달 책임자일 수 있다. 챔피언을 육성하려면 보안 명령서를 발행하는 대신, CISO나 보안 관리자가 경영진과의 신뢰를 발전시키고 그들과 협력해야 한다. 

카글라는 챔피언이 자신의 의사결정권자에 의해 신뢰할 수 있는 이여야 하며, 다른 경영진 이해당사자들과 함께 테이블에 앉아 있어야 한다고 지적했다. 내부 정치적인 힘이 없다면 대부분의 사업부들이 전통적인 자원 및 예산 부족에 직면했을 때 공급망 프로그램은 위험 완화 노력부터 삭감하는 또다른 비용센터로 좌천될 수 있다고 말했다. 

"챔피언을 확보하는 자체가 중요하긴 하지만, 적절한 챔피언을 확보하는 것이 중요하다"며, "공급망 보안에 있어 적절한 챔피언은 보안에 대한 깊은 지식이 있어야 하지만, 보안이 기반이어서는 안된다. 비즈니스 고려 사항도 살피고 전체적인 프로세스를 개발해야 한다"고 보안업체인 웹루트 엔지니어링 부사장 데이비드 듀푸르는 덧붙였다. 

SANS의 페스카토레는 보안 태세가 성숙한 대기업의 경우, 챔피언이 필요하지 않을 수도 있음을 인정했다. “대기업은 IT 및 IT 보안이 비즈니스 속도에 맞춰 공급망 보안을 수행할 수 있음을 입증해야 할 챔피언이 필요하지 않다."

 
2. 모든 공급업체를 확인 

이 보고서는 성공적인 보안 프로그램의 기반은 자산 관리, 취약점 평가 및 구성 제어에서 시작된다고 설명했다. 자신이 알지 못하는 것을 지켜낼 수 없다며, 그것이 있다는 것을 안다면 위험 상태가 언제 변하는 지 탐지할 수 있어야 한다고 지적했다. 

그래서 포트폴리오 관리는 공급망 관리에 있어 동급으로 취급한다. 이는 1차 파트너에서 확장된 공급업체 네트워크에 이르기까지 모든 공급망 파트너를 발견하고 취약성에 대한 정기적인 평가와 노출 변화 탐지를 의미한다. 하지만 이는 힘든 일이 될 것이다. 

자동화된 위협관리 솔루션업체인 벡트라네트웍스(Vectra Networks) 보안분석 책임자 크리스 모랄레스는 "일부 조직에서는 새로운 공급업체를 얻는 것이 신용카드를 사용하는 것이나 특정 혜택을 제공하는 서비스에 가입하는 것보다 간단한 일일 수 있다. 이는 보안 감사나 보안 팀의 조언을 포함하지 않는 채 매일 이뤄지는 결정이다"고 말했다. 

디지털 위험 보호 솔루션 업체인 디지털 섀도우(Digital Shadows) 전략 담당 부사장 릭 홀랜드는 "공급망 평가는 조직이 취할 수 있는 가장 어려운 위험 관리 노력 가운데 하나"라고 말했다. 글로벌 기업들은 자사의 공급망에 1,000개가 넘는 회사를 둘 수 있다. 디지털 혁신 시대에 공급망의 대부분은 전통적인 온프레미스 공급업체보다 교체하기 쉬운 SaaS 공급업체로 구성된다. 그 결과 지속적으로 발전하는 트래션트 공급망(transient supply chain)이 된다. 

홀랜드는 “점점 더 많은 복잡성이 추가되고 있다. 기업이 M&A 활동이 많을수록 공급망은 더욱 복잡해진다. 이런 모든 요인으로 인해 공급망 위험 관리는 만만치 않은 어려운 작업이 되어버렸다고 말했다. 


3. 여러 공급망 위험 평가 접근 방식을 적용  

이 보고서는 모든 규모의 기업에 대해 하나의 위험 평가 접근법이 적용되지 않을 것이라고 경고했다. 비즈니스 요구 사항을 지원하고 위험 수준을 좀 더 지속적으로 모니터링하기 위해서는 신속한 발견에서부터 상세하고 심층적인 평가에 이르기까지 다양한 기술이 필요할 수 있다고 설명했다. 

이 보고서는 “보안 그룹을 회피하는 공통된 이유는 전사적으로나 공급망 관리 모두에서 보안이 너무 느리게 움직인다는 것이다. 비즈니스 요구 사항을 수용하는 것이 종종 비즈니스 관리자가 시장에 늦을 위험이 더 크기 때문에 증가하는 위험을 수용해야 한다. 그래서 공급망 보안 프로그램은 비즈니스 요구를 지원하기 위해 계층화된 평가를 제공해야 한다"고 설명했다. 

웹 보안 서비스 제공업체인 페리미터X(PerimeterX)의 보안전도사 디팍 파텔은 “보안 팀은 비즈니스와 비즈니스를 성장시키는 요소를 이해해야 한다. 비즈니스에 따라 위협의 우선 순위를 정해야 한다"고 말했다. 

웹루트의 듀푸르는 "많은 보안팀이 너무 느리게 움직인다. 쿠키를 사러 상점에 갈 때에는 자전거만 있으면 되는데, 이들은 다음 태양계까지 가기 위한 우주선을 만든다"고 토로했다. 

사이버보안 업체인 팔로알토 네트웍스 보안 운영 부사장 에릭 홀러는 "너무 느리게 이동하는 것은 나쁜 계획의 명백한 징후가 될 수 있다"고 주장했다. 이는 보안팀이 프로세스에 너무 늦게 참여해 요구 사항을 통합하지 않은 탓이다. 사업부와의 제휴, 초기 참여 및 성과에 대한 조정은 비즈니스 속도 저하를 피하는 가장 좋은 방법이다. 

자동화는 비즈니스 속도 저하를 피하는 또다른 방법일 수 있다. 영국에 본사를 둔 자동차 공유 업체 겟(Gett)은 SANS 보고서를 후원하는 파노레이즈(Panorays)의 자동화된 솔루션을 구축함으로써 공급망 보안 문제를 해결했다. 

겟 CISO 에얄 사슨은 “회사는 새로운 시스템이 설치됐음을 인식해야 했으며, 공급업체와 협력하기 위해서는 보안 심사 프로세스를 거쳐야했다”고 설명했다. 사슨은 “그러나 구현한 솔루션을 한달 동안 사용한 결과, 직원들은 자동화된 솔루션이 제공하는 속도를 고려해 볼 때, 그 프로세스에서 문제가 있다고 느끼지 않았다. 이제 이 플랫폼은 전체 공급업체의 온보딩 프로세스에서 필수적인 단계가 됐다"고 설명했다. 


4. 대시보드와 보고를 비즈니스 부서와 IT 관리자에게 확장 

이 보고서는 공급망 보안 프로세스 및 도구를 사용해 비 보안 직원에게 현재 위험 상태에 대한 가시성을 제공하고 의사 결정 시 위험 정보를 포함할 수 있도록 권장했다. 

또한 보안 시스템은 공급업체와 파트너의 재무 또는 생존 위험을 평가하기 위해 기존 프로세스에 통합되어야 한다고 언급했다. 시스템이 존재하지 않을 경우, 공급망 보안 보고서의 형태나 데이터는 조달, 물류 및 비즈니스 운영 관리자가 알고 있는 것과 최대한 유사해야 한다.
 
LAG의 카글라는 “이런 말을 자주 듣는다. 하지만 보안은 IT 문제가 아니라는 것은 확실한 사실이다. 전사적인 이해 관계자의 수용과 참여가 필요한 일반적인 비즈니스 과제다"고 말했다. 

사업부는 자신의 역할을 대신하는 아웃소싱 서비스 공급업체의 관리를 책임지려는 경향이 있다. 개별 사업부는 대시보드 접근성을 통해 가장 높은 잠재적 위험을 가진 공급업체에 대한 귀중한 데이터를 확보할 수 있게 된다. 또한 이를 통해 사업부는 해당 공급업체와의 지속적인 비즈니스 협상이나 특정 SLA 계약 재협상시 특정 기술이나 관리 제어를 채택할 것을 강력히 요구할 수 있다. 


5. 공급업체와 루프 닫기  

이 보고서는 제조업체들은 품질이 낮은 공급업체만 제거하는 것이 성공적인 품질 관리 프로그램의 역할이 아니라는 사실을 오래 전에 알게됐다고 설명했다. 제조업체들은 루프를 닫아야 한다는 사실을 깨달았다. 모든 공급업체가 좀 더 높은 품질의 프로세스를 채택하도록 장려하기 위해 피드백을 제공해야 한다는 것을 인지했다. 

이는 공급망 보안 프로그램에도 적용된다. 이 보고서는 효과적인 공급망 보안 프로그램은 미해결 문제를 해결하고 전반적인 개선을 추진하기 위해 공급업체에 대한 피드백과 평가, 평가 결과에 대한 가시성을 포함해야 한다고 전했다. 

또한 비즈니스 리더에게 공급망 파트너에 대한 공격이 성공하면 고객들은 공급망이 아니라 사업부를 탓한다는 사실을 상기시켰다. 공급망에 대한 대부분의 직접적인 공격은 기본적인 보안 위생을 통해 없앨 수 있는데, 이는 또 하나의 중요한 추가 요소다. 공급망 보안 프로그램은 조달 결정이 내려진 규모와 속도에 맞춰 운용할 수 있도록 유연성을 가져야 한다. 

좋은 소식은 많은 임원과 고객의 우선순위 목록에서 공급망 보안이 높은 순위에 있다는 것이다. 또한 보안 관리자는 공급망 보안 프로그램을 개선 또는 생성하기 위해 전략적 접근 방식을 통해 공급망 보안을 의미있고 효율적으로 향상시키는 데 필요한 변경 사항을 지원할 수 있다고 덧붙였다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.