2017.12.07

'SCM에서 한 곳만 뚫려도···' 협력사 보안까지 신경써야 하는 이유

Maria Korolov | CSO

가치사슬 공격, 써드파티 공격으로도 하는 공급망 공격은 누군가 보유 시스템과 데이터에 접근할 수 있는 외부 파트너나 공급업체의 접근 권한을 이용해 시스템에 침입하는 것을 가리킨다. 이는 과거 몇 년 동안 기업의 공격 표면을 크게 바꿔 놓았다. 더구나 요주의 데이터에 접근할 수 있는 공급업체와 서비스 공급자의 수가 과거 어느 때보다 증가한 상태다.



새로운 종류의 공격이 출현하고, 위협에 대한 인식이 높아지며, 규제 기관의 감독이 강화되면서, 공급망 공격 위험이 과거 어느 때보다 커졌다. 또한 공격자들이 사용할 수 있는 도구와 리소스가 과거 어느 때보다 증가하면서 공급망 공격이 급증하는 추세다.

공급망 공격 사례와 범위
공급업체 때문에 초래된 대형 사이버보안 침해 사고는 무수히 잦다. 2014년 HVAC 업체의 느슨한 보안 태세 때문에 발생한 타겟(Target) 침해 사고를 예로 들 수 있다. 올해에도 에퀴팩스(Equifax)에서 사용하고 있던 외부 소프트웨어의 취약점 때문에 대형 보안 침해 사고가 발생했다. 에퀴팩스는 해당 사고와 관련해, 다른 업체와 연결된 웹사이트의 악성 다운로드 링크가 문제의 원인이라고 주장했다.

여기서 끝나지 않는다. 유수 기업과 정치가, 유명인의 해외 조세 회피 정보가 담긴 1,300만여 개의 파일이 유출된, 이른바 파라다이스 페이퍼스(Paradise Papers) 문건 유출 사고도 있다. 출처가 어디일까? 지난해 파나마 페이퍼스(Panama Papers)처럼, 로펌이 가장 취약한 연결고리였던 것으로 드러났다.

간혹 발생하는 사고들이 아니다. 포네몬 인스터튜트가 올해 가을 실시한 조사에 따르면, 외부 업체 때문에 침해 사고가 발생한 사례가 있다고 대답한 조직의 비율이 56%에 달했다. 평균을 기준으로 했을 때, 각 기업에서 민감한 정보에 접근할 수 있는 써드파티의 수가 378개에서 471개로 증가했다. 이는 통계로, 실제는 이보다 많을 수도 있다. 민감한 정보를 공유하는 써드파티 리스트를 유지하고 있다고 대답한 비율이 35%에 불과하기 때문이다.

이들 업체가 다른 공급업체와 이런 정보를 공유하고 있는 것을 알고 있다고 대답한 비유 또한 18%에 그쳤다. 이는 큰 문제이다. 고객들은 데이터 유출의 책임 소재가 거래 회사인지, 거래 회사의 공급업체(협력업체)인지 상관하지 않기 때문이다.

공급업체와 관계를 끝내도 위험이 계속된다는 점에서 문제가 더 악화된다. 올가을, 호주 도미노(Domino)에 보안 침해 사고가 발생했다. 그런데 호주 도미노의 설명에 따르면, 기존 공급업체의 시스템에서 고객 이름과 이메일 주소가 유출된 사고였다. 프리베일런트(Prevalent, Inc)의 써드파티 전략 담당 시니어 디렉터인 브래드 켈러는 “계약 해지와 관련해 까다로운 프로세스를 관리할 수 있는, 상세하면서도 적절한 정보가 포함되어 있지 않은 업체 계약서가 많다”고 지적했다.

규제 기관들도 써드파티 위험을 더 엄격히 다루기 시작했다. 지난해, 뉴욕 주 금융 규제 당국은 뉴욕주의 금융 기관들이 관계를 맺고 있는 공급업체의 사이버보안 체계를 적절한 수준으로 유지하도록 강제하는 규제를 적용하기 시작했다.

유럽 또한 내년부터 유사한 규제를 도입한다. 유럽인들의 개인 정보를 수집하는 모든 회사에 동일하게 적용되는 GDPR이라는 규제이다. GDPR은 위반 시, 글로벌 총 매출의 최대 4%까지 벌금을 부과할 수 있는 엄격한 규제다.

하지만 써드파티 위험 규제는 아직 초기 단계며, 이런 위험을 제대로 다루지 않는 기업들이 많다. 탈레스 e-시큐리티(Thales e-Security)의 전략 및 마케팅 VP 피터 갤빈은 “금융 기관의 경우 여기에 익숙하며, 훨씬 더 많이 준비되어 있다. 하지만 이런 위험을 이해하지 못하는 기업들이 아주 많다. 따라서 침해 사고가 증가할 것이다. 또한 이로 인한 법적 조치와 행동도 증가할 전망이다”고 말했다.

전문가들은 써드파티 위험과 관련해 기업들이 더 많은 조처를 하도록 요구하는 규제 당국이 증가하리라 전망했다. 포컬 포인트 데이터 리스크(Focal Point Data Risk, LLC)의 데이터 프라이버시 책임자인 에릭 디트리히는 “이런 추세가 계속되고 있다”고 강조했다.

하드웨어와 소프트웨어 공급망에 숨겨져 있는 위험
거의 모든 기업이 외부 소프트웨어와 하드웨어를 사용한다. 이제 더 이상, 자신이 직접 모든 기술을 구축 또는 구현하는 기업은 존재하지 않는다. 구입한 모든 장치, 다운로드 한 모든 애플리케이션에 보안 위험이 없는지 조사하고, 모니터링 해야 한다. 또한 패치를 항상 최신 상태로 유지 및 적용해야 한다.

기업이 보유한 데이터의 위험만 문제가 아니다. 제품의 소프트웨어나 하드웨어 구성요소에 취약점이 있다면, 더 큰 보안 문제가 초래될 수 있다. 보안 백도어에 감염된 컴퓨터 칩, 인증 체계가 미흡한 카메라, 나쁜 소프트웨어가 광범위한 피해를 발생시킬 수 있다. 오라클, VM웨어, 시스코 등 여러 유수 업체의 소프트웨어, 모바일 장치, 웹사이트 수백만 개를 감염시킨 하트블리트 버그(Heartbleed bug)가 이런 위험을 알려준다.

시스코시스템즈의 글로벌 가치사슬 부문 최고 보안 책임자인 에드나 콘웨이는 “국가나 산업 수준에서의 스파이 활동, 조종과 조작을 걱정하고 있다”고 밝혔다. 예를 들어, 공급망에서 하드웨어와 소프트웨어 제품을 조작하거나, 가짜로 대체하는 위험이 존재한다.
또한 시스코는 써드파티 침해 때문에 민감한 지적 재산(IP)이나 비밀 정보를 잃어버리는 일을 걱정하고 있다. 콘웨이는 “우리는 의도한 목적과 용도에 맞게 작동하는 솔루션 전달에 매진하고 있다. 고객이 만족하지 못하면, 그리고 평판이 하락하면 기업 수익에 영향을 준다. 신뢰가 절대적으로 중요하다. 그리고 이런 신뢰가 평판으로 구체화 된다”고 설명했다.

공급업체들이 반드시 준수해야 하는 품질 기준을 운영하는 기업들이 많다. 시스코도 보안에 품질 기준을 적용하고 있다. 콘웨이는 “써드파티 생태계 구성원들에게 적용하는 기준이 있다. 우리가 추구하는 가치 및 목표에 부합하도록 만드는 기준이다. 써드파티가 우리에게 공급하는 제품 및 서비스의 고유한 특성에 맞춘 기준이다. 이런 기준을 갖고 있다면, 기준에 미달하는지, 부합하는지 평가할 수 있다. 기준에 미달하는 경우, 함께 앉아 문제를 해결하는 방법을 논의한다”고 설명했다.

클라우드 공급업체의 보안 위험
단순한 단일 조직 구조가 개별 애플리케이션부터 전체 데이터센터까지 모든 것이 클라우드 공급업체로 이동한 디지털 생태계로 대체됐다. 사이버GRX(CyberGRX)의 CEO 프레드 크나이프는 “이제 기업 환경 밖을 보호해야 한다. 해커들은 영리하다. 저항이 가장 약한 부분, 경로를 공격한다”고 말했다.

이제는 하드웨어까지 클라우드에 연결되어 있다. 그는 “자동차 생산 설비에 사용하는 IoT 용접 도구만 하더라도, 제조업체에 진단 정보를 전송해 예측 유지보수가 가능하도록 기본 설정을 한다. 멋지게 들릴 수도 있지만, 전체 환경에 침입할 수 있는 경로로 악용될 가능성도 있다”고 지적했다.




2017.12.07

'SCM에서 한 곳만 뚫려도···' 협력사 보안까지 신경써야 하는 이유

Maria Korolov | CSO

가치사슬 공격, 써드파티 공격으로도 하는 공급망 공격은 누군가 보유 시스템과 데이터에 접근할 수 있는 외부 파트너나 공급업체의 접근 권한을 이용해 시스템에 침입하는 것을 가리킨다. 이는 과거 몇 년 동안 기업의 공격 표면을 크게 바꿔 놓았다. 더구나 요주의 데이터에 접근할 수 있는 공급업체와 서비스 공급자의 수가 과거 어느 때보다 증가한 상태다.



새로운 종류의 공격이 출현하고, 위협에 대한 인식이 높아지며, 규제 기관의 감독이 강화되면서, 공급망 공격 위험이 과거 어느 때보다 커졌다. 또한 공격자들이 사용할 수 있는 도구와 리소스가 과거 어느 때보다 증가하면서 공급망 공격이 급증하는 추세다.

공급망 공격 사례와 범위
공급업체 때문에 초래된 대형 사이버보안 침해 사고는 무수히 잦다. 2014년 HVAC 업체의 느슨한 보안 태세 때문에 발생한 타겟(Target) 침해 사고를 예로 들 수 있다. 올해에도 에퀴팩스(Equifax)에서 사용하고 있던 외부 소프트웨어의 취약점 때문에 대형 보안 침해 사고가 발생했다. 에퀴팩스는 해당 사고와 관련해, 다른 업체와 연결된 웹사이트의 악성 다운로드 링크가 문제의 원인이라고 주장했다.

여기서 끝나지 않는다. 유수 기업과 정치가, 유명인의 해외 조세 회피 정보가 담긴 1,300만여 개의 파일이 유출된, 이른바 파라다이스 페이퍼스(Paradise Papers) 문건 유출 사고도 있다. 출처가 어디일까? 지난해 파나마 페이퍼스(Panama Papers)처럼, 로펌이 가장 취약한 연결고리였던 것으로 드러났다.

간혹 발생하는 사고들이 아니다. 포네몬 인스터튜트가 올해 가을 실시한 조사에 따르면, 외부 업체 때문에 침해 사고가 발생한 사례가 있다고 대답한 조직의 비율이 56%에 달했다. 평균을 기준으로 했을 때, 각 기업에서 민감한 정보에 접근할 수 있는 써드파티의 수가 378개에서 471개로 증가했다. 이는 통계로, 실제는 이보다 많을 수도 있다. 민감한 정보를 공유하는 써드파티 리스트를 유지하고 있다고 대답한 비율이 35%에 불과하기 때문이다.

이들 업체가 다른 공급업체와 이런 정보를 공유하고 있는 것을 알고 있다고 대답한 비유 또한 18%에 그쳤다. 이는 큰 문제이다. 고객들은 데이터 유출의 책임 소재가 거래 회사인지, 거래 회사의 공급업체(협력업체)인지 상관하지 않기 때문이다.

공급업체와 관계를 끝내도 위험이 계속된다는 점에서 문제가 더 악화된다. 올가을, 호주 도미노(Domino)에 보안 침해 사고가 발생했다. 그런데 호주 도미노의 설명에 따르면, 기존 공급업체의 시스템에서 고객 이름과 이메일 주소가 유출된 사고였다. 프리베일런트(Prevalent, Inc)의 써드파티 전략 담당 시니어 디렉터인 브래드 켈러는 “계약 해지와 관련해 까다로운 프로세스를 관리할 수 있는, 상세하면서도 적절한 정보가 포함되어 있지 않은 업체 계약서가 많다”고 지적했다.

규제 기관들도 써드파티 위험을 더 엄격히 다루기 시작했다. 지난해, 뉴욕 주 금융 규제 당국은 뉴욕주의 금융 기관들이 관계를 맺고 있는 공급업체의 사이버보안 체계를 적절한 수준으로 유지하도록 강제하는 규제를 적용하기 시작했다.

유럽 또한 내년부터 유사한 규제를 도입한다. 유럽인들의 개인 정보를 수집하는 모든 회사에 동일하게 적용되는 GDPR이라는 규제이다. GDPR은 위반 시, 글로벌 총 매출의 최대 4%까지 벌금을 부과할 수 있는 엄격한 규제다.

하지만 써드파티 위험 규제는 아직 초기 단계며, 이런 위험을 제대로 다루지 않는 기업들이 많다. 탈레스 e-시큐리티(Thales e-Security)의 전략 및 마케팅 VP 피터 갤빈은 “금융 기관의 경우 여기에 익숙하며, 훨씬 더 많이 준비되어 있다. 하지만 이런 위험을 이해하지 못하는 기업들이 아주 많다. 따라서 침해 사고가 증가할 것이다. 또한 이로 인한 법적 조치와 행동도 증가할 전망이다”고 말했다.

전문가들은 써드파티 위험과 관련해 기업들이 더 많은 조처를 하도록 요구하는 규제 당국이 증가하리라 전망했다. 포컬 포인트 데이터 리스크(Focal Point Data Risk, LLC)의 데이터 프라이버시 책임자인 에릭 디트리히는 “이런 추세가 계속되고 있다”고 강조했다.

하드웨어와 소프트웨어 공급망에 숨겨져 있는 위험
거의 모든 기업이 외부 소프트웨어와 하드웨어를 사용한다. 이제 더 이상, 자신이 직접 모든 기술을 구축 또는 구현하는 기업은 존재하지 않는다. 구입한 모든 장치, 다운로드 한 모든 애플리케이션에 보안 위험이 없는지 조사하고, 모니터링 해야 한다. 또한 패치를 항상 최신 상태로 유지 및 적용해야 한다.

기업이 보유한 데이터의 위험만 문제가 아니다. 제품의 소프트웨어나 하드웨어 구성요소에 취약점이 있다면, 더 큰 보안 문제가 초래될 수 있다. 보안 백도어에 감염된 컴퓨터 칩, 인증 체계가 미흡한 카메라, 나쁜 소프트웨어가 광범위한 피해를 발생시킬 수 있다. 오라클, VM웨어, 시스코 등 여러 유수 업체의 소프트웨어, 모바일 장치, 웹사이트 수백만 개를 감염시킨 하트블리트 버그(Heartbleed bug)가 이런 위험을 알려준다.

시스코시스템즈의 글로벌 가치사슬 부문 최고 보안 책임자인 에드나 콘웨이는 “국가나 산업 수준에서의 스파이 활동, 조종과 조작을 걱정하고 있다”고 밝혔다. 예를 들어, 공급망에서 하드웨어와 소프트웨어 제품을 조작하거나, 가짜로 대체하는 위험이 존재한다.
또한 시스코는 써드파티 침해 때문에 민감한 지적 재산(IP)이나 비밀 정보를 잃어버리는 일을 걱정하고 있다. 콘웨이는 “우리는 의도한 목적과 용도에 맞게 작동하는 솔루션 전달에 매진하고 있다. 고객이 만족하지 못하면, 그리고 평판이 하락하면 기업 수익에 영향을 준다. 신뢰가 절대적으로 중요하다. 그리고 이런 신뢰가 평판으로 구체화 된다”고 설명했다.

공급업체들이 반드시 준수해야 하는 품질 기준을 운영하는 기업들이 많다. 시스코도 보안에 품질 기준을 적용하고 있다. 콘웨이는 “써드파티 생태계 구성원들에게 적용하는 기준이 있다. 우리가 추구하는 가치 및 목표에 부합하도록 만드는 기준이다. 써드파티가 우리에게 공급하는 제품 및 서비스의 고유한 특성에 맞춘 기준이다. 이런 기준을 갖고 있다면, 기준에 미달하는지, 부합하는지 평가할 수 있다. 기준에 미달하는 경우, 함께 앉아 문제를 해결하는 방법을 논의한다”고 설명했다.

클라우드 공급업체의 보안 위험
단순한 단일 조직 구조가 개별 애플리케이션부터 전체 데이터센터까지 모든 것이 클라우드 공급업체로 이동한 디지털 생태계로 대체됐다. 사이버GRX(CyberGRX)의 CEO 프레드 크나이프는 “이제 기업 환경 밖을 보호해야 한다. 해커들은 영리하다. 저항이 가장 약한 부분, 경로를 공격한다”고 말했다.

이제는 하드웨어까지 클라우드에 연결되어 있다. 그는 “자동차 생산 설비에 사용하는 IoT 용접 도구만 하더라도, 제조업체에 진단 정보를 전송해 예측 유지보수가 가능하도록 기본 설정을 한다. 멋지게 들릴 수도 있지만, 전체 환경에 침입할 수 있는 경로로 악용될 가능성도 있다”고 지적했다.


X