공급망 기술의 발전과 함께 야기되는 보안 문제

인공 지능(AI), 빅 데이터, 분석, 블록 체인을 포함한 다양한 기술은 공급망의 작동 방식을 급격히 변화시키고 있습니다. 공급망은 그 어느 때보다 더 빠르고 더 정확하며 더 예측 가능합니다. 하지만 좋은 점만 있는 것은 아닙니다. 이러한 발전에는 사이버 보안 위험의 증가라는 한 가지 주요한 문제점이 있습니다. 연결된 공급망은 숙련된 사이버 범죄자들에게 잠재적으로 여러 조직에 걸쳐 더 많은 공격 경로와 더 많은 보상을 제공합니다. 이로 인해 공급망은 거부할 수 없는 표적이 됩니다.

사이버 공격의 불가피성

공급망 사이버 공격이 점점 더 보편화됨에 따라 조직은 공격 예방만을 위해 노력하는 것이 아니라 공격을 예상하고 대응 방법을 계획해야 합니다. 간단히 말해, 사이버 공격은 '만약 발생한다면'이 아니라 '언제 발생하는가'의 문제입니다.

Gartner의 2022 'Thriving Amid Heightened Complexities Supply Chain Survey'¹에 따르면 조사에 참여한 응답자 중 31%가 지난 2년 동안 공급망 운영에 영향을 미치는 사이버 공격을 경험한 적이 있다고 합니다. 이 시장 조사 기관은 이 수치가 2025년까지 45% 상승할 것으로 예측하고 있습니다.² 또한 Verizon의 2024 Data Breach Investigations Report (DBIR)³에 따르면 이메일을 통한 피싱 공격부터 감염된 썸드라이브를 가져와 연결하도록 유도하는 등 인간의 실수는 여전히 일반적인 공격 경로이지만 랜섬웨어 및 기타 갈취 관련 위협도 작년에 비해 180% 증가한 것으로 나타났습니다.

그림 1: 인간은 여전히 가장 취약한 액세스 점이지만 랜섬웨어와 갈취도 점점 일반적인 현상이 되고 있습니다. (이미지 출처: Verizon DBIR)

이러한 종류의 결함은 많은 시간과 비용을 요구합니다. 산업 보안 침입으로 인한 평균 비용은 조직당 1,620만 달러까지 상승했으며 사고 수습에 평균적으로 86일이 걸렸습니다(Ponemon Institute의 2023 Cost of Insider Risks Global Report).⁴ 이 수치는 전년도 통계인 1,540만 달러 및 85일과 비교됩니다. 이러한 통계는 조직 브랜드에 대한 비용은 고려하지 않은 것입니다.

사이버 공격은 헤드라인에 자주 등장하고 있으며 주요 표적은 첨단 기술 및 제조 분야입니다. 작년, 제조 기업은 사이버 범죄자들의 주요 표적이었습니다(그림 2). 최근의 기술 발전으로 이제 사이버 보안은 조직의 성공에 있어 매우 중요합니다. 이를 인지한 회사들은 사이버 보안에 대한 투자를 계속적으로 늘리고 있습니다. 2025년 전 세계적 예산은 2024년보다 15.1% 증가한 총 2,120억 달러로 예상됩니다.⁵

그림 2 : 작년, 제조 조직은 사이버 범죄자들의 주요 표적이었습니다. (이미지 출처: Statistica)

보안 관련 모범 사례

이 역동적이고 변화하는 환경에서 조달 부서는 내부 직원, 고객, 공급망 전반의 벤더를 포함하는 방식으로 사이버 보안 조치의 우선순위를 정해야 합니다. 조직 내에서, 사이버 보안은 최우선 순위여야 하며 정기적인 위험 평가 동안 고려되어야 합니다. 이는 사이버 인식을 강화하고 사이버 보안 회복력에 투자하는 데 필수적입니다. 모범 사례에는 다음이 포함됩니다.

• 데이터 암호화: 고급 암호 표준(AES)을 사용하여 모든 데이터 유형을 암호화합니다. 미국 정부는 기밀 정보를 보호하기 위해 이 대칭 블록 암호를 선택했습니다.
• 직원 자격 증명 및 액세스 보안: 인간은 오류를 범하기 쉬우므로 교육 및 정기적인 알림을 제공합니다. 회사의 첫 번째 방어선인 직원은 피싱 이메일과 의심스러운 링크를 인지하고 로그인을 보호할 수 있어야 합니다.
• 실제 상황에 대비한 교육: 직원들에게 실제 시나리오를 일깨우고 이러한 사이버 공격이 회사와 파트너에게 미치는 영향에 대한 정보를 알립니다. 새로운 공격에 대해 정기적으로 업데이트를 제공합니다(생동감 있는 정보가 기억하기 더 쉽습니다).
• 침입 테스트 수행: 전문가를 고용하여 취약점을 조사하고 침입이 발생하기 전에 이를 처리합니다. 취약한 비밀번호를 업데이트하고 데이터베이스, 엔드포인트, 네트워크를 보안합니다.
• 문제에 대한 계획: 배포 가능한 교정 조치와 함께 사건에 대한 간단하고 실행 가능한 응답 계획을 만들고 유지합니다. 또한 정기적으로 테스트합니다.

파트너를 위한 경로

사내 사이버 보안의 우선순위를 결정하는 것만큼이나 중요한 것은 티어 1 이하 파트너의 정보 보안 전략이 제대로 마련되어 있는지 확인하는 것입니다. 정보 보안 검사 목록을 개발하고 파트너가 이를 준수하도록 하세요. 또한 이러한 모범 사례가 공급망 내에 깊숙이 적용되도록 하세요. CSA Cloud Controls Matrix는 클라우드 보안 및 규정 준수의 중요 측면을 다루는 17개 영역에서 197개의 제어 목표를 제공합니다.⁶ 파트너가 취약한 경우 공격자가 조직에 침입할 수 있는 공격 경로가 될 수 있습니다.

보안은 뜀틀넘기 놀이와 같습니다. 선량한 사람들이 시스템과 데이터를 보호하는 새로운 방법을 고안하는 순간 악당들은 이를 침입할 방법을 찾아냅니다. 첨단 기술의 사용이 증가함에 따라 모범 사례를 준수하며 경계하는 것은 안전을 유지하는 데 매우 중요합니다.

참고 자료

1: https://www.scmr.com/article/tackling_hidden_risks_in_the_supply_chain_insights_for_procurement_leaders - :~:text=According to Gartner’s 2022 Thriving Amid Heightened Complexities Supply Chain Survey, 31%25

2: https://aratum.com/perspective/emerging-threats-in-supply-chain-cybersecurity-in-2024/#:~:text=The%20Most%20Compelling%20Cybersecurity%20Stats%20of%202022%20%7C%20Alert%20Logic

3: https://www.verizon.com/business/resources/reports/dbir/

4: https://ponemonsullivanreport.com/2023/10/cost-of-insider-risks-global-report-2023/

5: https://www.gartner.com/en/newsroom/press-releases/2024-08-28-gartner-forecasts-global-information-security-spending-to-grow-15-percent-in-2025

6: https://cloudsecurityalliance.org/research/cloud-controls-matrix