공급망 공격이란 무엇인가, 서드파티 제공업체를 경계해야 하는 이유

기업 보안의 취약점은 협력업체나 공급업체일 수 있다. 공급망 공격에 대한 위험을 이해하고 이를 완화하는 방법에 대해 알아보자. 
 

공급망 공격이란 

공급망 공격(value-chain attack) 또는 서드파티 공격(third party attack) 공격이라고 하는 공급망 공격은 자사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체나 공급업체를 통해 누군가가 시스템에 침투할 때 발생한다. 지난 몇 년동안 더 많은 공급업체와 서비스 제공업체가 민감한 데이터를 접촉하면서 일반 기업의 공격 표면을 극적으로 변화시켰다.

새로운 유형의 공격, 위협에 대한 대중의 인식 증가, 규제 기관의 감독 증가로 인해 공급망 공격과 관련된 위험이 그 어느 때보다 높아졌다. 한편 공격자는 그 어느 때보다 많은 자원과 도구를 마음대로 사용할 수 있어 이른바 ‘퍼펙트 스톰(Perfect storm)’을 일으키고 있다.  

대형 데이터 유출 사고의 시발점, 공급망   

공급업체에 의해 야기된 주요 사이버 피해는 끝이 없다. 2014년 타겟(Target)의 데이터 유출 사건은 HVAC 공급업체의 허술한 보안으로 인해 발생했다. 에퀴팩스(Equifax)의 2017년 데이터 유출 사건은 사용중인 외부 소프트웨어의 결함으로 밝혔다가 이후 다른 공급업체 웹사이트의 악성 다운로드 링크에서 비롯됐다고 책임을 돌렸다. 

그 다음으로는 주요 기업, 정치인, 유명인의 해외 조세 회피에 대해 자세히 설명하는 1,300만 이상의 파일인 파라다이스 페이퍼스(Paradise Papers)가 있었다. 이 자료의 출처는? 파나마 페이퍼스(Panama Papers)와 마찬가지로 가장 약한 연결고리는 법률업체였다.

 
공급 관계가 끝나도 공급망 공격은 계속된다 

공급망 공격은 단독 사건이 아니다. 2020년 6월, 사이버보안 업체 블루보이언트(BlueVoyant)가 실시한 설문조사에 따르면, 80%의 기관과 기업이 공급업체 가운데 하나에 의해 침해가 발생했다. 응답자의 평균 침해 건수는 2.7건이었다. 공급업체를 통한 침해의 높은 위험에도 불구하고 응답자의 77%는 해당 공급업체에 대한 가시성이 제한적이라고 답했다.  

18%의 기업만이 해당 공급업체가 다른 공급업체와 정보를 공유하는지 알고 있다고 답했다. 이는큰 문제가 될 수 있는데, 고객은 데이터를 잃어버린 것이 회사 자체인지, 회사의 공급업체인지 신경쓰지 않기 때문이다.  

이런 이유로 기업들은 서드파티 위험에 대해 더 많은 신경을 쓰고 있다. 2018년 12월 포네몬연구소 사이버리스크 보고서는 서드파티에 의한 기밀 데이터 오용 또는 무단 공유가 IT 전문가의 보안 우려 사항 가운데 두번째라고 밝혔다. 41%는 지난 24개월 동안 서드파티 관련 사고가 있었다고 답했다. 

공급업체 관계가 종료되어도 위험이 끝나지 않는다는 점을 고려하면 문제는 더욱 심각해진다. 2014년 도미노 호주는 보안 침해가 발생했는데, 이전 공급업체의 시스템이 고객 이름과 이메일 주소를 유출했다고 밝혔다. 프리베일런트(Prevalent, Inc) 서드파티 전략 책임자 브래드 켈러는 “내가 검토하는 대부분의 계약에는 공급업체 해지 프로세스를 관리하기 위한 적절한 세부 사항이 포함되어 있지 않다”라고 지적했다. 

또한 규제 당국은 점점 더 서드파티 위험을 주시하고 있다. 지난해 미국 뉴욕 주 금융감독 당국은 뉴욕에 소재한 금융업체들에게 공급업체의 사이버보안 보호 수준이 최고 수준인지 확인할 것을 요구하기 시작했다. 

EU는 EU 시민으로부터 개인정보를 수집하는 모든 기업에 적용되는 GDPR(General Data Protection Regulation)을 통해 이 같은 조치를 취하고 있다. GDPR의 벌금은 전 세계 총 매출의 최대 4%에 이른다.
  
탈레스 이시큐리티(Thales e-Security)의 전략 및 마케팅 담당 부사장 피터 갤빈은 서드파티 위험 규제가 아직 초기 단계에 있으며, 많은 기업이 이런 위험을 제대로 처리하지 못하고 있다고 말했다. 갤빈은 “금융업체들은 이런 위험에 익숙하고 준비가 잘 되어 있다. 하지만 많은 기업이 위험을 이해하지 못하고 있으며, 이로 인해 침해가 증가하면서 법적 조치가 더 많아지는 것을 보게 될 것이다”라고 경고했다.

전문가들은 더 많은 규제 당국이 기업이 현재보다 서드파티 위험에 대해 더 많은 조치를 취하도록 요구하기 시작할 것으로 예상했다. 포컬 포인트 데이터 리스크(Focal Point Data Risk, LLC) 데이터 개인정보보호 실천 책임자인 에릭 디트리히는 “이는 계속 보아온 지속적인 추세”라고 말했다. 

하드웨어 및 소프트웨어 공급망에 숨어 있는 위험   

거의 모든 기업이 외부 소프트웨어와 하드웨어를 사용한다. 오픈소스 경제의 호황 덕분에 더 이상 모든 기술을 처음부터 새로이 구축하는 이는 없다. 그러나 이런 사고 방식에는 상당한 위험이 따른다. 구매한 각 장치, 다운로드한 각 애플리케이션을 검사하고 잠재적인 보안 위험을 모니터링해야 하며, 모든 패치가 최신 상태여야 한다. 

2018년 4월, 플래시포인트 인텔리전스(Flashpoint Intelligence) 연구진은 범죄자들이 인기있는 오픈소스인 마젠토(Magento) 전자상거래 플랫폼에 대한 공격을 강화하고 비밀번호를 무차별 대입해 신용카드 기록을 긁어오고, 크립토마이닝(Cryptomining)에 초점을 맞춘 악성코드를 설치하고 있다고 밝혔다. 

연구진은 최소 1,000개의 해킹된 마젠토 관리자 패널을 발견했으며, 딥 웹(deep web)과 다크 웹(dark web)에서 이 플랫폼 자체에 대한 관심이 2016년 이후로 줄어들지 않고 있다고 말했다. 또한 파워프론트(Powerfront) CMS와 오픈카트(OpenCart)에 대한 관심도 눈에 띈다.
 
예를 들어, 마젠토 커뮤니티 에디션(Magento Community Edition)의 CSRF 취약점으로 인해 20만 개의 온라인 소매 업체가 위험에 노출됐다. 이 결함을 악용할 경우, 전체 시스템의 해킹을 허용해 민감한 고객 정보가 들어있는 데이터베이스가 노출될 수 있다. 마젠토 상용 버전은 동일한 기본 코드를 공유하기 때문에 기업 운영에도 영향을 미칠 수 있다는 우려가 있었다. 

기업 자체 데이터가 위험에 처할뿐만 아니라 결함이 있는 소프트웨어 또는 하드웨어 구성 요소가 제품에 내장되어 있으면 더 많은 보안 문제가 발생할 수 있다. 보안 백도어에 감염된 컴퓨터 칩, 강력한 인증이 없는 카메라, 또는 불량 소프트웨어 구성 요소는 광범위한 피해를 입힐 수 있다. 예를 들어, 하트브리드(Heartbleed) 버그는 오라클, VM웨어, 시스코를 포함한 많은 주요 공급업체의 소프트웨어뿐 아니라 수백만 개의 웹 사이트와 모바일 기기에 영향을 미쳤다.  

시스코 시스템즈 글로벌 공급망 최고 보안 책임자인 에드나 콘웨이는 “우리는 조작(manipulation)에 대해 걱정하고, 국가 및 산업 수준에서의 스파이 활동에 대해 걱정하고, 중단(disruption)에 대해 걱정한다”라고 말했다. 예를 들어, 하드웨어 또는 소프트웨어 제품이 공급망 어딘가에서 의도적으로 변조됐거나 위조품으로 대체됐을 수 있다.  

콘웨이는 “시스코 또한 서드파티 침해로 인해 기밀정보나 민감한 지적 재산(IP)을 잃을까 걱정하고 있다”라며, “의도된 방식으로 작동하는 솔루션을 제공하기 위해 최선을 다하고 있다. 고객이 만족하지 못하고 평판이 훼손되면 수익에 영향을 미친다. 이 신뢰 요소는 절대적으로 필수적이며, 평판은 신뢰가 드러나는 비즈니스 장소이다”라고 설명했다.
 
많은 기업이 공급업체가 충족해야 하는 품질 표준을 갖추고 있다. 시스코는 보안에 동일한 접근 방식을 사용하고 있다. 콘웨이는 “내가 배포한 방법을 통해 서드파티는 우리에게 제공하는 제품과 서비스의 고유한 특성에 맞게 맞춤화되어 서드파티의 구성원들이 시스코의 가치와 목표를 지켜나가는 수준을 설정할 수 있다”라며, “허용 수준이 있으면 수준 이상인지, 이하인지 측정할 수 있다. 만약 서드파티가 허용 수준을 벗어나면 시스코는 해당 서드파티와 함께 ‘어떻게 하면 이 문제를 해결할 수 있을까’라는 고민을 한다”라고 덧붙였다.

  
클라우드 공급업체의 보안 위험 

선도적인 기업들은 개별 애플리케이션에서 전체 데이터센터에 이르기까지 모든 것이 클라우드 제공업체로 이전한 디지털 에코시스템으로 대체됐다. 보안업체 사이버GRX(CyberGRX) CEO인 프레드 네이프는 “보호해야 하는 것은 환경 외부에 있다. 해커들은 똑똑하다. 그들은 최소한의 저항의 길을 간다”라고 말했다.
 
“이제 하드웨어조차도 클라우드를 지원한다. 자동차 제조라인에서 IoT 용접도구의 기본 설정은 제조업체에 진단을 전송해 예측 유지 보수를 수행하는 것이다. 멋지긴 하지만, 이는 전체 환경으로 들어가는 통로가 될 수도 있다”라고 우려했다.

 
전문 서비스 업체, 훨씬 덜 안전할 수 있다

보안 공급업체인 크라우드스트라이크(CrowdStrike) EMEA 영업 엔지니어링 이사인 존 티트머스는 “보안은 가장 취약한 연결고리만큼만 우수하다. 공급망 공격이 점점 더 확산되고 있으며, 빈도와 정교함이 증가하고 있다. 위험의 특성을 이해하고 이에 대한 보안 로드맵을 개발해야 한다”라고 말했다.
 
미국 공화당 전국위원회가 사용하는 마케팅 업체인 딥 루트 애널리틱스(Deep Root Analytics)는 2017년에 2억 명의 유권자의 개인 데이터를 유출했다. 링크드인(LinkedIn) 프로필에 따르면, 딥 루트 애널리틱스는 직원이 50명 미만인 중소업체로, 실수로 데이터를 공개적으로 접속할 수 있는 서버에 저장했다. 
 
대형 서비스 업체도 취약한 건 마찬가지다. 600만 명의 고객 기록이 포함된 버라이즌 침해는 고객 서비스 분석 제공업체인 나이스 시스템즈(Nice Systems)에 의해 발생했다. 나이스 시스템즈는 계정과 개인정보가 포함된 6개월의 고객 서비스 통화 기록을 퍼블릭 아마존 S3 스토리지 서버에 저장했다. 

직원 수가 3,500명이며, 포천 100대 기업의 85% 이상에게 서비스를 제공하는 나이스 시스템즈는 직원이 25만 명 이상인 회계 법인 딜로이트에 비해 규모가 작다. 딜로이트는 2017년 해커가 일부 우량 고객의 이메일과 기밀 계획에 접속할 수 있음을 인정했다. 보도에 따르면, 공격자들은 관리자 계정에 대한 접근권한을 획득했다. 

카스퍼스키의 수석 보안 연구원 커트 바움가르트너는 "공격자가 최종 목적을 달성하기 위해 더 많은 공급업체을 공격하는 모습은 그리 놀라운 것이 아니다”라고 말했다.
 
서드파티 위험 관리 방법  
서드파티 사이버보안 위험에 대한 적절한 감독은 컴플라이언스 혜택 이상의 이점을 제공한다. 포네몬 보고서에 따르면, 실제로 침해 가능성을 줄인다. 이 보고서를 후원한 오퍼스 글로벌(Opus Global, Inc) 혁신 및 제휴 담당 부사장 도브 골드만은 “보안 침해 사고를 20%까지 줄일 수 있다”라고 말했다. 

특히 기업이 모든 공급업체의 보안 및 개인정보보호 정책을 평가하면 침해 가능성이 66%에서 46%로 떨어진다. 골드만은 “여기에는 모든 공급업체가 포함된다”라고. 골드만은 “큰 관계는 가장 큰 위험이 아닐 수도 있다. 가장 큰 공급업체는 이미 정교한 사이버보안 방어를 갖추고 있을 가능성이 높다. 그러나 중소기업을 살펴보면, 동일한 수준의 사이버보안 제어기능이 없다”라고 설명했다.
 
기업이 모든 공급업체가 누구인지, 어떤 공급업체가 민감한 데이터에 접속할 수 있는지 파악하면, 보안 수준을 평가하는 데 도움이 되는 다양한 도구를 사용할 수 있다. 예를 들어, 일부 기업은 공급업체와의 서비스 수준 계약에 보안을 포함하고 있다.
 
클라우드 보안업체 에비던트 아이오(Evident.io) CEO 팀 프렌더개스트는 “우리는 보안에 대한 약속을 보여주는 제공업체의 동의를 요구하는 움직임을 보고 있다. 기업들은 제공업체에게 파트너에게 유사한 제어를 시행하도록 요청한다. 우리는 이런 계약의 합법적인 단계를 목격하고 있다”라고 말했다.

공급업체는 자체 평가를 수행하거나 고객 방문 및 감사를 허용하거나 사이버 보험에 가입하도록 요청받을 수 있다. 때로는 좀 더 철저한 평가가 필요하다. 쿠델스키 시큐리티 연구책임자 라이언 스패니어는 “많은 기업이 서비스 제공업체에 대한 감사를 수행하는 것을 지켜봤다. 우리가 함께 일하는 한 대형 금융업체는 감사를 필요로 하고 자체 침투 테스트를 실행해 데이터가 어디에 있는지, 데이터가 어떻게 보호되는지 확인한다”라고 설명했다.
 
그러나 중소기업은 이런 영향력이 없을 수 있다. 이들은 단지 서드파티 감사의 증거를 요구할 뿐이며, 결과를 보고 검토에 착수한다. 그러고 나서 이들은 거래를 계속하기 전에 일부 문제를 해결해야 한다. 보안을 잘 수행하고 있는 기업으로 제한할 수도 있는데, 이는 현재 제한을 하는 기업이 그리 많지 않기 때문에 어려운 일이다”라고. 

또한 보안 점수를 제공하는 기업이 있다. 예를 들어, 비트사이트 테크놀로지(BitSight Technologies)와 시큐리티스코어카드(SecurityScorecard)는 외부 공급업체를 살펴보고 기업 네트워크가 공격에 얼마나 안전한지 평가한다.  

더 심층적인 평가를 위해 공급업체의 내부 정책 및 프로세스를 살펴보기 위해 딜로이트와 사이버GRX가 협력해 검토와 지속적인 평가를 수행해 공급업체가 각 고객에게 개별적으로 응답하지 않도록 했다. 에트나(Aetna) CSO 짐 루스는 오늘날 기업은 서드파티 사이버 위험을 지속적으로 관리해야 하는 비즈니스 위험으로 접근해야 한다고 말했다. 

일부 금융 그룹은 이와 비슷한 일을 하고 있다. 11월 아메리칸 익스프레스(American Express), 뱅크오브아메리카(Bank of America), JP모건(JPMorgan), 웰스파고(Wells Fargo)는 제휴를 맺고 트루사이트(TruSight)라는 공급업체 평가 서비스를 만들었다. 

지난 6월 바클레이(Barclays), 골드만 삭스(Goldman Sachs), HSBC, 모건 스탠리(Morgan Stanley)는 IHS 마킷(IHS Markit)의 노우 유얼 서드파티(Know Your Third Party) 위험관리 솔루션의 지분을 인수한다고 발표했다. 

기업은 서드파티가 기밀 데이터에 접속하는 방법을 검토해 적절한 사람만이 승인된 목적으로 데이터에 접속할 수 있도록 해야 한다. 포네몬의 사이버 위험 보고서에 따르면, 응답자의 42%가 기밀 데이터에 대한 서드파티 접속에 대한 제어를 개선한다고 답했다.  

루스는 “최근 서드파티 위험 관리에는 새로운 접근 방식이 필요하다. 기업이 디지털 에코 시스템 내에서 위험이 어디에 있는지 이해하고, 이런 위험에 따라 제어를 조정하고, 서드파티와 협력해 이런 위험을 개선하고 완화할 수 있도록 지원한다”라고 말했다. editor@itworld.co.kr