CISO는 네트워크를 강화하고, 엔드포인트를 보호하며, 애플리케이션과 클라우드를 지키기 위해 끊임없이 몰아치는 공격에 맞서는 방어 전략에 수많은 시간을 할애합니다. 업계 전반에서는 전통적인 멀웨어부터 생성형 AI(GenAI) 기반의 고도화된 공격에 이르기까지, 모든 위협에 대응하고자 수십억 달러의 투자가 이어지고 있습니다.
하지만 아무리 철저하게 준비된 전략이라 해도 통제 밖에 있는 치명적인 사각지대가 존재합니다. 바로 타사 에코시스템입니다. 이는 공급업체, 유통업체, 리셀러, 서비스 제공업체는 물론 고객까지도 아우르는 복잡한 공급망 네트워크로서 전 세계 상거래의 순환계 역할을 합니다. 모든 노드는 공격자가 침투할 수 있는 잠재적 진입점이 되며, 이들은 한 가지 불편한 진실을 정확히 알고 있습니다. 내부 방어 체계가 아무리 강력해도, 결국 전체 공급망의 안전을 결정하는 것은 가장 취약한 지점의 보안 수준이라는 점입니다.
“이 부분은 이미 대비하고 있다”라고 생각하신다면, 다시 한번 점검해 보시기를 권합니다. 물론 많은 조직이 감사 체크리스트에 타사 리스크를 포함하고 있으며, 공급업체의 컴플라이언스 보고서를 통해 타사 보안을 평가합니다. 하지만 분명히 해야 할 점이 있습니다. 그것은 보안이 아니라, 정기적 서류 작업에 불과합니다.
유사한 사례로, 10여 년 전에도 가상화 환경에서의 안전 불감증이 불러올 안일함의 위험성에 대한 경고가 있었습니다. 당시에도 아키텍처의 일부에만 최신 기술을 적용할 경우, 전체 시스템은 본질적으로 취약했습니다. 지금의 상황도 다르지 않습니다. 정적인 구식 타사 리스크 관리 방식은 현대 환경에 적절하지 않으며, 매우 위험합니다. 공급망 보안을 시급한 과제로 인식하지 않는다면 전체 기업이 위험에 처하게 될 것입니다.
필요한 것: 실시간 감시 및 데이터
공급망의 사이버 보안을 주기적 행사로 취급해서는 안 됩니다. 보안 모니터링, 관리, 유지보수는 상시 운영되는 지속적 체계로 자리잡아야 합니다. 정적 감사와 연례 컴플라이언스 점검은 규제 목적에는 부합할 수 있지만, 제로데이 공격이나 빠르게 확산되는 공급망 침해에는 거의 무력합니다. 시스템의 모든 구성 요소를 업그레이드하지 않는다면, 그 결과는 곧 보안 취약점입니다. 그리고 최종적으로 이는 시스템의 작동 중단을 야기할 수 있습니다. 이처럼 지속적인 접근 방식의 중요성은 2025 Unit 42 인시던트 대응 보고서에서도 명확히 드러납니다. 보고서에 따르면, 초기 침입의 중요한 단서가 로그에 이미 존재한 사례가 전체 인시던트의 75%에 달했습니다. 하지만 단절된 시스템의 복잡성 때문에 이 정보를 손쉽게 파악하거나 효과적으로 활용할 수 없었고, 공격자는 이러한 상황을 악용하여 탐지를 회피할 수 있었습니다. 이는 뚜렷한 격차를 보여줍니다. 대부분의 경우 단서는 이미 존재하지만, 전통적인 주기적 접근 방식으로는 이를 적시에 발견하기 어렵습니다.
이러한 사례는 과거에도 반복되었고, 앞으로도 지속될 것입니다. 그럼에도 불구하고, 많은 조직은 여전히 타사 리스크를 단순한 구매 체크리스트 수준으로 취급하고 있습니다. 실시간으로 변화하는 위협 표면이 아니라 연례 행사처럼 진행되는 공급업체 설문조사 수준으로 접근하는 것입니다.
이것은 매우 위험한 오판입니다. 공급망 리스크는 감사 시즌을 기다려주지 않습니다. 이들은 실시간으로 진화하며, 조직의 방어 체계 역시 그와 같은 속도로 대응해야 합니다.
공급망 리스크에 대해 할 수 있으며, 해야 하는 일
CISO는 정기적 공급업체 점검 방식에서 벗어나 모든 타사 관계 전반에 걸쳐 지속적으로 진행되는 실시간 리스크 모니터링 체계로의 전환을 주도해야 합니다. 이보다 부족한 조치는 운영 중단이라는 리스크를 초래하며, 이사회의 책임 추궁은 물론 이미 알려진 취약점을 방치한 이유에 대한 규제 당국의 엄격한 조사를 받게 될 것입니다.
사실 우리는 너무 오래 정적 감사와 규정 준수 체크리스트에 의존해 왔습니다. 이러한 방식은 과거의 리스크에는 통했을지 몰라도, 오늘날의 공격은 머신의 속도로 전개됩니다. 따라서 우리에게는 환경 변화에 따라 상시 업데이트되며, 공급망의 취약점을 정밀하게 파악할 수 있는 실시간 인사이트가 필요합니다.
이는 결코 쉽지 않은 일이며, 도구와 인력, 시간에 대한 대규모 투자가 필요합니다. 다행히도 CISO는 강력한 도구를 손에 쥐고 있습니다. 바로 AI와 자동화입니다. GenAI, 예측 모델, 고급 머신러닝은 이와 같은 도전 과제에 적합하게 설계되었습니다. AI는 과거 인시던트, 공개 정보, 인증, 행동 기반 신호 등 방대한 데이터를 스캔하여 에코시스템을 구성하는 모든 공급업체의 동적 보안 프로필을 구축할 수 있습니다. 보안 태세의 변화를 추적하고, 새로운 리스크를 경고하며, 유의미하고 정량화된 리스크 점수를 생성할 수 있습니다.
자동화는 이를 더욱 강력하게 뒷받침합니다. 숙련된 사이버 보안 전문가의 부족이 지속되는 가운데, 자동화는 타사 리스크를 지속적으로 평가하고 이상 징후 발생 시 신속한 대응을 뒷받침함으로써 전력을 증폭시켜 줍니다. 정교한 컨텍스트 인식 분석은 공격이 조직 내로 확산되기 전에 이를 탐지하고 문제를 해결할 수 있도록 도와줍니다.
이 과정에서 중요한 것은 바로 효율성과 필수성입니다. 공격은 몇 달이 아닌 몇 분 단위로 발생합니다. 자동 알림 분류 시스템은 문제를 조기에 격리하여 큰 문제로 확대되지 않도록 막아줍니다. 1분, 1초가 중요한 상황에서 담당자가 스프레드시트를 검토하고 있다면 이미 늦은 것입니다. 오늘날의 환경에서 필요한 것은 실시간으로 탐지하고, 판단하며, 방어 조치를 실행하는 AI 기반 시스템입니다.
요점: 침해 발생에 앞선 대응
CISO는 더 이상 공급업체에 대한 무조건적 신뢰에 기대어선 안 됩니다. 다가올 위협 환경은 더욱 날카로운 기준을 요구합니다. 공급업체와 파트너, 공급망의 모든 연결점에 대한 무결점 가시성과 실시간 평가, 강력한 책임 구조를 갖춰야 합니다.
타사 리스크는 이제 이사회 수준에서 통합적으로 다루는 사이버 보안 전략의 핵심 축으로 자리잡아야 합니다. 단순히 구매 부서나 규정 준수 팀에 맡겨서는 안 됩니다. 이사회는 공급망 보안이 전체 기업의 복원력에 어떤 역할을 하는지 이해해야 하며, 이를 광범위한 리스크 관리, 비즈니스 연속성 노력, 규제 대응 전략과 긴밀히 연계해야 합니다. 지금 복원력을 구축하세요. 새로운 위협 환경에서는 주저하는 순간, 리스크가 곧 현실이 됩니다.
조직의 공급망 리스크가 궁금하신가요? 공급망 리스크 평가를 확인해 보세요.
