Home > 전체기사

공급망 보안을 강화하기 위한 세 가지 방법

  |  입력 : 2017-10-30 15:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
기업 자체적인 보안 넘어 공급업체 보안까지 봐야 보안 가시성 생겨
사업 파트너 및 소프트웨어 공급업체 파악하고, 보안 지표 결정해야


[보안뉴스 오다인 기자] 지난 6월 우크라이나는 회계 소프트웨어 플랫폼 미독(MeDoc)의 업데이트 서버가 공격을 받아 낫페트야(NotPetya) 랜섬웨어의 피해를 크게 입었다. 십여 곳의 유명 기업이 낫페트야에 당했으며, 그 피해액은 이미 5,630억 원(5억 달러)을 넘어서고 있다.

[이미지=iclickart]


낫페트야가 터지던 시기, 시스템 유지 프로그램 씨클리너(CCleaner)의 제조사인 피리폼(Piriform) 네트워크에도 공격자가 침입했다. 공격자는 씨클리너의 두 가지 버전을 감염시켰는데, 이는 탐지되지 않은 채 한 달 만에 230만 대가 넘는 시스템으로 배포됐다. 명령 및 제어(C&C) 서버에서 복구한 파일을 보면, 이 멀웨어는 씨클리너가 배포되던 마지막 4일 동안 총 700,000대의 시스템을 감염시킨 것으로 드러났다. 공격자는 정기적으로 모든 로그를 삭제하면서, 감시되지 않은 26일의 시간 동안 자신들의 흔적을 모두 감춘 것으로 보인다.

또한, 공격자는 시스코(Cisco), 디링크(D-Link), 엡손(Epson), HTC그룹(HTC Group), 인텔(Intel), 링크시스(Linksys), 삼성, 소니(Sony), VM웨어(VMware) 같은 대형 네트워킹 하드웨어 및 사무 전자기기 공급업체들을 겨냥해 공격을 시도하기도 했다. 공격자는 최소 20개의 기업을 대상으로 추가적인 멀웨어 공격을 펼치려 했던 것으로 추정된다.

만일 올 여름까지 자사의 소프트웨어 공급망을 검토하지 않은 기업이 있다면, 앞서 언급한 두 가지 사건에서 교훈을 얻어 지금부터 움직여야 한다. 수많은 기업들이 자체적인 보안 강화에 집중하고 있긴 하지만, 이는 공급업체의 보안 상태와 관련해선 극히 제한된 가시성을 가져다 줄 뿐이다. 기업들은 수백 개에서 수천 개의 공급업체와 협력하고 있다. 많은 경우에 정보 보안 부서는 자사의 공급업체가 어느 곳인지조차 모르고 있다. 모든 기업이 공급망 보안을 위해 취해야 할 일을 다음과 같이 세 가지 단계로 정리했다.

1. 사업 협력업체와 소프트웨어 공급업체를 파악하라
미국 은행의 경우, 9·11 테러 사건 이후 ‘너의 고객을 알라’라는 문구가 통용됐다. 오늘날의 기업들도 이 조건을 가슴에 새겨야 한다. 지난 몇 년간 기업은 같이 사업하는 공급업체에 더 많은 관심을 기울이도록 지시 받았다. 최근 일어난 사건들을 보면 이는 기업 운영 전체에 걸쳐 모든 직접적이고 간접적인 관계 업체에 적용되는 사실이라는 점을 알 수 있다. 회계 부서 같은 조직은 이런 공급업체들에 대해 알고 있을지 모르지만, 보안 부서는 이와 관련해 적절하게 공지 받지 않았을 가능성이 있다.

2. 보안을 측정하고 지표를 선택하라
보안 부서는 가능한 한 빨리 어떤 방법으로 보안을 측정할지 결정해야 한다. 그러나 일반적으로 기업의 보안 상태를 점검하기 위한 지표가 부족한 것도 사실이다. 과거 대부분의 기업들은 모범 사례를 따른다고 보증하는 공급업체의 관리에 의존했다.

현재 BSIMM(Building Security In Maturity Model)이나 OSIMM(Open Group Service Integration Maturity Model), 미국 표준기술개발연구소(NIST)의 사이버 보안 프레임워크 같은 다양한 지표와 모범 사례들이 나와 있다. 게다가 외적인 지표를 바탕으로 보안을 측정하는 기술도 보안 평가 생태계가 빠르게 진화하도록 기여하고 있다.

보안 부서는 공급업체의 보안을 측정하기 위해 관련 프로세스를 채택하는 것과 함께 자체적인 요건에 대해서도 고민해야 한다. 요건은 공급업체 또는 그들의 제품이 기업 네트워크에 접근하는 수준에 따라 달라질 수 있다.

3. 공급업체와 협력해서 선제적으로 대응하라
마지막으로, 기업들은 공급업체와 정기적으로 협력해서 보안을 선제적으로 구축하면서 논의할 필요가 있다. 많은 기업들이 다양한 정책과 기술을 갖고 있지만 공급업체가 이를 준수하고 있는지 정기적으로 확인하지 않는다면 추후 문제가 발생할 가능성이 높다.

공급업체를 모니터링 하는 데 있어서 규모가 큰 기업일수록 더 깊이 있는 보안 전문성을 갖고 있다는 장점이 있다. 그러나 앞으로 보안 요건은 공급업체의 말단까지 적용돼야만 할 것이다. 작은 하청업체들이 보안 요건을 준수하지 않는다면 사업을 중단해야만 한다.

공격자들은 공급업체를 고객 시스템에 침투하는 하나의 관문으로 여기고 집중한다. 그러므로 공급망 보안은 향후 더욱 중요해질 것이다. 기업들은 다음 공격이 닥치기 전에 이 문제를 풀어야만 한다.

글 : 댄 달버그(Dan Dahlberg)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)