Offcanvas

������������

'SCM에서 한 곳만 뚫려도···' 협력사 보안까지 신경써야 하는 이유

가치사슬 공격, 써드파티 공격으로도 하는 공급망 공격은 누군가 보유 시스템과 데이터에 접근할 수 있는 외부 파트너나 공급업체의 접근 권한을 이용해 시스템에 침입하는 것을 가리킨다. 이는 과거 몇 년 동안 기업의 공격 표면을 크게 바꿔 놓았다. 더구나 요주의 데이터에 접근할 수 있는 공급업체와 서비스 공급자의 수가 과거 어느 때보다 증가한 상태다. 새로운 종류의 공격이 출현하고, 위협에 대한 인식이 높아지며, 규제 기관의 감독이 강화되면서, 공급망 공격 위험이 과거 어느 때보다 커졌다. 또한 공격자들이 사용할 수 있는 도구와 리소스가 과거 어느 때보다 증가하면서 공급망 공격이 급증하는 추세다. 공급망 공격 사례와 범위 공급업체 때문에 초래된 대형 사이버보안 침해 사고는 무수히 잦다. 2014년 HVAC 업체의 느슨한 보안 태세 때문에 발생한 타겟(Target) 침해 사고를 예로 들 수 있다. 올해에도 에퀴팩스(Equifax)에서 사용하고 있던 외부 소프트웨어의 취약점 때문에 대형 보안 침해 사고가 발생했다. 에퀴팩스는 해당 사고와 관련해, 다른 업체와 연결된 웹사이트의 악성 다운로드 링크가 문제의 원인이라고 주장했다. 여기서 끝나지 않는다. 유수 기업과 정치가, 유명인의 해외 조세 회피 정보가 담긴 1,300만여 개의 파일이 유출된, 이른바 파라다이스 페이퍼스(Paradise Papers) 문건 유출 사고도 있다. 출처가 어디일까? 지난해 파나마 페이퍼스(Panama Papers)처럼, 로펌이 가장 취약한 연결고리였던 것으로 드러났다. 간혹 발생하는 사고들이 아니다. 포네몬 인스터튜트가 올해 가을 실시한 조사에 따르면, 외부 업체 때문에 침해 사고가 발생한 사례가 있다고 대답한 조직의 비율이 56%에 달했다. 평균을 기준으로 했을 때, 각 기업에서 민감한 정보에 접근할 수 있는 써드파티의 수가 378개에서 471개로 증가했다. 이는 통계로, 실제는 이보다 많을 수도 있다. 민감한 정보를 공유하는 써드파티 리스트를...

SLA 하트블리트 파나마 페이퍼스 파라다이스 페이퍼스 가치사슬 카스퍼스키 랩 포네몬 인스티튜트 사물인터넷 써드파티 협력사 버라이즌 공급망 SCM CISO 딜로이트 시스코 CSO 아마존 S3

2017.12.07

가치사슬 공격, 써드파티 공격으로도 하는 공급망 공격은 누군가 보유 시스템과 데이터에 접근할 수 있는 외부 파트너나 공급업체의 접근 권한을 이용해 시스템에 침입하는 것을 가리킨다. 이는 과거 몇 년 동안 기업의 공격 표면을 크게 바꿔 놓았다. 더구나 요주의 데이터에 접근할 수 있는 공급업체와 서비스 공급자의 수가 과거 어느 때보다 증가한 상태다. 새로운 종류의 공격이 출현하고, 위협에 대한 인식이 높아지며, 규제 기관의 감독이 강화되면서, 공급망 공격 위험이 과거 어느 때보다 커졌다. 또한 공격자들이 사용할 수 있는 도구와 리소스가 과거 어느 때보다 증가하면서 공급망 공격이 급증하는 추세다. 공급망 공격 사례와 범위 공급업체 때문에 초래된 대형 사이버보안 침해 사고는 무수히 잦다. 2014년 HVAC 업체의 느슨한 보안 태세 때문에 발생한 타겟(Target) 침해 사고를 예로 들 수 있다. 올해에도 에퀴팩스(Equifax)에서 사용하고 있던 외부 소프트웨어의 취약점 때문에 대형 보안 침해 사고가 발생했다. 에퀴팩스는 해당 사고와 관련해, 다른 업체와 연결된 웹사이트의 악성 다운로드 링크가 문제의 원인이라고 주장했다. 여기서 끝나지 않는다. 유수 기업과 정치가, 유명인의 해외 조세 회피 정보가 담긴 1,300만여 개의 파일이 유출된, 이른바 파라다이스 페이퍼스(Paradise Papers) 문건 유출 사고도 있다. 출처가 어디일까? 지난해 파나마 페이퍼스(Panama Papers)처럼, 로펌이 가장 취약한 연결고리였던 것으로 드러났다. 간혹 발생하는 사고들이 아니다. 포네몬 인스터튜트가 올해 가을 실시한 조사에 따르면, 외부 업체 때문에 침해 사고가 발생한 사례가 있다고 대답한 조직의 비율이 56%에 달했다. 평균을 기준으로 했을 때, 각 기업에서 민감한 정보에 접근할 수 있는 써드파티의 수가 378개에서 471개로 증가했다. 이는 통계로, 실제는 이보다 많을 수도 있다. 민감한 정보를 공유하는 써드파티 리스트를...

2017.12.07

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31