조직이 성장하고 현대화됨에 따라 제3자 공급업체에 대한 의존도 역시 증가하고 있습니다. 급여 대행업체, 특허 자문사, 소프트웨어 제공업체, 물류 파트너 등 외부 협력사는 이제 비즈니스 운영에 없어서는 안 될 존재가 되었습니다. 그러나 새로운 공급업체와의 연결 고리가 생길 때마다 새로운 사이버 리스크가 발생하며, 그 중 상당수가 제대로 관리되지 않고 있습니다.
제3자 사이버 보안 리스크는 단순한 이론적 위험이 아니라, 운영 중단, 평판 손상, 규제 리스크로 직결되는 심각한 전사적 위협입니다. 그럼에도 불구하고 많은 조직이 공급업체 리스크 관리를 구매 부서에 일임하고 있으며, 연례 체크리스트나 자체 평가 설문조사 수준에 그치는 경우가 다반사입니다.
이는 시대에 뒤떨어진 접근 방식으로서, 매우 위험합니다.
PwC의 연구에 따르면, 전사적인 공식 프로세스를 통해 공급업체 사이버 보안 리스크를 평가하는 기업은 전체의 31%에 불과한 것으로 나타났습니다. 나머지 기업은 무방비 상태에 가깝습니다. 중견 기업조차 수십, 수백 개의 공급업체 관계를 맺고 있으며, 그 중 다수가 민감한 시스템과 데이터에 대한 액세스 권한을 보유하고 있는 상황에서 이러한 현상을 더 이상 방치해서는 안 됩니다.
제3자 공급업체의 사이버 보안 리스크는 거의 모든 조직에 실존적 위협을 가하는 요소로서, 경영진 차원의 긴급한 대응이 필요합니다.
사이버 취약점을 유발하는 제3자 공급업체 리스크
제3자 공급업체 리스크가 대규모 사이버 보안 문제로 발전한 사례는 이미 수차례 확인되었습니다. 2020년의 SolarWinds 공격과 2013년 Target 침해 사건은 타사 리스크가 기업의 심각한 보안 취약점을 초래할 수 있음을 보여주는 대표적 사례입니다. 이들 사례는 결코 드문 일이 아닙니다. 공격자들은 모든 산업에서 디지털 공급망의 가장 약한 고리를 악용하고 있으며, 그 결과는 막대한 피해로 이어집니다.
오늘날의 공격은 기존의 IT 공급업체에만 그치지 않습니다. 금융 서비스 제공업체, 클라우드 및 통신 파트너는 물론 전력 회사까지도 공격 대상이 될 수 있습니다. 시스템에 직간접적으로 연결된 모든 공급업체는 공격 범위에 포함됩니다. 여기에는 소프트웨어 개발자, OEM, 유통업체는 물론이고 고객이 포함되는 사례도 늘어나고 있습니다.
공격자가 일단 침투에 성공하면, 결코 서두르지 않습니다. 이들은 네트워크 전반을 이동하며 고객 기록, 지적 재산, 자격 증명 등 민감한 데이터를 탐색합니다. 많은 공격자는 API, 브라우저 플러그인, 업데이트 메커니즘에 멀웨어를 심어 신뢰받는 프로세스를 모방함으로써 방어 시스템을 우회합니다.
소프트웨어 공급망은 특히 이러한 위협에 취약합니다. Enterprise Strategy Group의 연구에 따르면, 실제로 조직의 소프트웨어 공급망 중 41%가 제로데이 공격을 받은 바 있으며, 이는 타사 코드의 신규 취약점 또는 알려지지 않은 취약점을 악용한 사례입니다. 또한 40%의 조직은 구성 오류가 있는 클라우드 서비스를 통해 공격을 받았다고 밝혔습니다.
이러한 사례는 예외적인 상황이 아닙니다. 그보다는 명백한 경고 신호에 가깝습니다. 그리고 많은 CISO가 이미 알고 있는 사실을 재차 말해줍니다. 타사 리스크는 단지 사이버 보안 문제가 아니라 조직 수준의 취약점으로서, 지속적 감시와 관리가 필요한 사안입니다.
공급업체 기반 공격의 중대한 결과
제3자 공급업체를 통한 공격은 대개 조용히 진행되며, 발견될 무렵에는 이미 피해가 발생한 이후인 경우가 많습니다.
단 하나의 파트너가 침해되더라도 민감한 데이터가 유출되고 운영이 중단될 수 있으며, 조직은 포렌식 조사, 해결, 복구의 장기적 사이클에 직면하게 됩니다. 이 시점에는 무너지는 것은 시스템뿐만이 아닙니다. 고객, 규제 기관, 파트너, 그리고 일반 대중과의 신뢰가 함께 무너집니다.
규제 차원의 결과만으로도 엄청난 타격을 입을 수 있습니다. 유럽의 GDPR, 브라질의 LGPD, 미국 의료 산업의 HIPAA 등 다양한 데이터 보호 프레임워크는 이제 취약점이 발생한 위치와 관계없이 조직에 책임을 묻고 있습니다. 단지 벌금에서 끝나는 것이 아니라, 장기적인 평판 손상으로도 이어질 수 있는 문제입니다.
타사 리스크가 특히 위험한 이유는 조직의 성장에 따라 확대되기 때문입니다. 새로운 공급업체와 협력하고, 추가적인 통합을 진행하고, 새로운 시장에 진출할 때마다 공격 표면이 확대됩니다. 파트너 에코시스템에 대한 실시간 가시성이 없다면 이러한 공격 표면은 사각지대가 되며, 이를 노리는 사이버 공격은 점점 더 고도화됩니다.
지금 조직에게 필요한 일
타사 리스크의 증가는 단순한 절차적 대응을 넘어 사고방식의 전환을 요구합니다. 외부업체와의 관계를 통해 공격 표면이 지속적으로 확장되는 현대 환경에서 정적 감사, 공급업체 설문조사, 일회성 규정 준수 체크리스트와 같은 기존의 접근 방식으로는 더 이상 충분하지 않습니다.
필요한 변경 사항:
- 비즈니스 중요도에 따라 공급업체를 분류합니다. 모든 공급업체가 동일한 수준의 리스크를 지니는 것은 아닙니다. 따라서 사이버 보안 기준에도 이를 반영해야 합니다. 조직은 계층형 모델을 도입하여 운영 중요도와 시스템 접근 수준에 따라 공급업체를 다양한 리스크 등급으로 분류해야 합니다. 핵심 공급업체의 경우 철저한 신원 확인, 세분화, 지속적 모니터링을 비롯하여 제로 트러스트 정책을 전면적으로 적용하도록 요구해야 합니다. 중간 또는 낮은 리스크 등급의 공급업체에 대해서는 기본적인 보안 통제를 유지하되, 리스크 수준에 따라 요구사항을 조정해야 합니다.
- 특정 시점으로 제한된 일회성 평가에서 실시간 리스크 평가로 전환합니다. 타사 환경은 역동적으로 변화합니다. 오늘은 안전해 보이더라도, 내일은 취약해질 수 있습니다. 리스크 평가도 이에 따라 진화해야 합니다. 기존의 장기 공급업체 관계를 정기적 재평가하는 것은 새로운 공급업체를 검토하는 것만큼 중요합니다.
- 제로 트러스트 원칙을 모든 곳에 적용합니다. 공급업체를 포함하여 확장된 엔터프라이즈 전반에 제로 트러스트 모델을 적용해야 합니다. 파트너사가 접근 권한을 세분화하지 않거나, 모든 진입점의 신원을 검증하지 않거나, 이상 동작을 모니터링하지 않을 경우, 그 취약한 지점이 전체 조직의 약점이 됩니다.
- 조직의 정책 아키텍처에 맞춰 공급업체를 조정합니다. 파트너사는 더 느슨한 프로토콜 하에서 운영되는 경우가 많습니다. 조직은 데이터 처리부터 인시던트 대응에 이르기까지, 공급업체가 내부 정책 프레임워크를 예외 없이 준수하도록 요구해야 합니다.
- 현대적인 위협 인텔리전스와 자동화를 활용합니다. 이제는 타사 리스크에 대한 실시간 가시성을 확보할 수 있지만, 이를 위해서는 지능형 도구에 대한 투자가 필요합니다. AI와 머신 러닝에 실시간 원격 분석 및 위협 인텔리전스를 지속적으로 공급할 경우 문제가 발생하기 전에 취약점을 탐지할 수 있습니다.
- 핵심 공급업체와 위협 인텔리전스를 선제적으로 공유합니다. 조직은 자체 경계를 보호하는 데 그치지 않고 에코시스템 전반의 복원력을 강화해야 합니다. 최소한 핵심 공급업체는 양방향 인텔리전스 공유에 참여해야 하며, 이는 특히 금융 서비스 업계보다 이러한 관행이 뒤처진 에너지, 의료, 소매업계의 경우 더욱 중요합니다. 공급업체의 보안 침해는 결국 조직의 보안 침해로 간주됩니다.
- 에코시스템 전반에 걸쳐 책임을 확대합니다. 타사 공급업체는 단순한 비즈니스 파트너가 아니라 조직의 디지털 경계의 연장선입니다. 그리고 이러한 권한에는 책임이 따릅니다. 지속적 보안 모니터링은 구매 이후에 고려하기보다는 구매 프로세스의 필수 요소로 포함시켜야 합니다.
최종적으로, 가장 중요한 것은 공급업체가 위험에 처해 있는지 여부가 아니라, 위험한 공급업체를 신속하게 식별하고 적절하게 대응하는 것입니다. 규제 감독이 강화되고 사이버 공격이 더욱 고도화되는 지금, 가정이나 기본적 신뢰에 의존할 여지는 거의 없습니다.
타사 리스크 관리 기준을 높이는 것은 단지 다음 보안 침해를 방지하기 위한 것이 아닙니다. 이는 곧 조직이 일궈온 사업을 보호하는 것이며, 결코 잃어서는 안 될 평판을 지키는 일입니다.
Haider의 다른 인사이트가 궁금하신가요? Perspectives에서 그의 다른 글을 확인해 보세요.
1 “How SOC reporting can help assess cybersecurity risk management in third-party relationships—and beyond,” PwC, 2022.
2 The growing complexity of securing the software supply chain, Enterprise Strategy Group, 2024년 5월
