공급망 공격 방지

점점 더 복잡해지는 지정학적 환경에서 공급망 보안에 대한 우려가 증가하고 있습니다. 대부분의 조직은 종종 다른 국가에 있는 타사와 협력하여 시스템을 관리하고 제품을 생성, 제조, 제공합니다. 그러나 이는 공급망 취약점이 회사의 운영에 영향을 미칠 수 있는 실제 위협이라는 것을 의미합니다. Open AI, Meta와 같은 클라우드 서비스에 대한 의존도가 높아져 심각한 위협을 야기할 수 있는 기업이 많아짐 에 따라 이 문제는 특히 중요합니다.

많은 국가에서 이제 보안 공급망 관리를 국가의 의제로 두고 이러한 중요한 글로벌 네트워크의 무결성을 보장하기 위한 권장 사항과 법률을 통과시키고 있습니다. 그러나, 특히 많은 비즈니스 기능이 온라인과 클라우드에서 관리되는 경우 공급 네트워크를 효과적으로 관리하는 책임은 회사에 남아 있습니다.

오늘날의 비즈니스 환경에서 가장 심각한 공급망 취약점은 무엇이며 이러한 위험을 완화하는 방법을 살펴 보겠습니다.

공급망 공격이란 무엇입니까?

공급망 공격은 공격자가 공급망의 취약점을 악용하여 조직 네트워크를 위반하는 특정 사이버 위협입니다. 대부분의 회사는 제삼자 공급업체와 협력해야 하지만 이러한 외부 공급업체가 시스템에 통합하는 데 회사에 중요한 데이터가 필요한 경우가 많습니다. 공급업체가 공격을 받을 경우 해당 공급업체의 모든 클라이언트(함께 하는 비즈니스)도 데이터 유출 로 고통 받을 수 있습니다.

공급망 사이버 공격의 유형

공급망 공격은 공격자가 비즈니스를 대상으로 하기로 결정한 정확한 위치와 방법에 따라 여러 모습으로 올 수 있습니다. 공급망 공격의 예는 다음과 같습니다:

• 악성 코드 : 많은 공급망 공격이 바이러스, 랜섬웨어 및 기타 악성 소프트웨어를 통해 실행됩니다.
• 피싱 공격 : 사회 공학 기술을 사용하여 회사 직원을 조작하여 중요한 데이터나 사용자 자격 증명이 공개되도록 하는 것이 포함될 수 있습니다.
• DDoS(분산 서비스 거부) : DDoS 공격은 트래픽이 많은 조직의 네트워크를 차단하여 공급망을 지연시키는 심각한 장애를 일으킵니다.
• 공급 업체 위협 : 이 경우 비즈니스 공급 업체 네트워크의 취약점을 표적으로 하는 공급망 보안이 침해됩니다.
• 공급업체 사기 : 신뢰할 수 없는 공급업체가 공급망 보안이 침해된 제품과 서비스를 제공할 수 있습니다.
• 소프트웨어 변조 : 공격자는 인증된 소프트웨어를 조작하여 나중에 공격을 수행하기 위해 악용될 수 있는 취약점을 도입할 수 있습니다.
• 데이터 조작 : 공격자가 기업의 공급망에 있는 데이터를 고의로 위조하는 경우입니다.
• 네트워크 침해 : 공급업체와 클라이언트 간의 네트워크 또는 상호 연결된 장치를 침해합니다. 여기에는 IoT 장치 및 네트워크 하드웨어가 포함될 수 있습니다.

공급망 취약점

공급 체인이 그 어느 때보다 복잡해짐에 따라 공급 체인의 사이버 보안 문제도 증가하고 있습니다. 다음은 오늘날의 안전한 공급망 관리에서 가장 시급한 문제입니다:

1. 정치적, 재정적 의존도 또는 자연재해 노출로 인해 공급업체 실적이 좋지 않습니다.
2. 수요를 정확히 예측할 수 없기 때문에 발생하는 복잡한 수요 계획입니다.
3. 전 세계적으로 기술 인력의 부족, 공급망 보안 모니터링 및 모범 사례에 대한 이해가 가장 중요합니다.
4. 증가하는 물가와 예측 가능한 가격으로 인해 급변하는 경제로 인해 공급업체와 협상하고 효과적으로 재고를 관리하기가 어렵습니다.
5. 글로벌 및 로컬 제재와 규제가 얽히고설킨 네트워크.
6. 지정학적 긴장은 공급망을 방해하거나 복잡하게 만들 수 있습니다.
7. 공급업체 간의 열악한 환경, 사회, 거버넌스(ESG) 관행으로 인해 평판이 손상될 수 있습니다.
8. 변화하는 기후로 인한 잠재적인 자연 재해.
9. 공급업체와 조직이 클라우드 및 기타 디지털 기술에 대한 과도한 신뢰로 인해 발생하는 사이버 위험.

직원 및 공급망 취약점

직원은 기업의 공급망 공격 방지에서 중요한 방어선이 되어야 합니다. 그들은 회사의 중요 데이터에 접근하거나 이 데이터에 대한 접근을 허용하는 로그인 자격 증명을 가질 수 있습니다. 이러한 이유로 일부 공급망 공격은 직원을 표적으로 삼아 나를 알지 못하는 사이 공격 벡터로 전환합니다. 이러한 공격은 보통 피싱 이메일 과 소셜 엔지니어링을 사용하여 제삼자 공급업체의 네트워크에 접근하고 표적 회사의 네트워크에 침투합니다.

이러한 이유로 회사와 공급망 내에서 작업하는 공급업체는 직원들이 공급망 보안 모범 사례를 이해하도록 하는 것이 중요합니다. 이것이 회사와 고객을 보호합니다.

많은 기업이 공급망 복원력 전략의 일부로 엄격한 직원 인식 교육 프로그램을 구현합니다. 여기에는 다음이 포함될 수 있습니다:

• 공급망 공격의 작동 방식을 보여 주는 실제 예.
• 일반적인 피싱 사기 와 소셜 엔지니어링 기술.
• 학습 효과를 높일 수 있는 대화식 학습.
• 악성 코드 와 같은 특정 위협 .
• 누가 어떤 데이터에 접근해야 하는지 직원들이 알 수 있도록 접근 제어를 구현합니다.
• 보안 요구 사항 설정 및 정기적 감사 수행과 같이 제삼자 공급업체와 안전하게 작업하는 방법을 배웁니다.
• ID 확인을 포함하여 중요한 데이터를 적절하게 관리하고 공유하는 방법.
• 안전한 커뮤니케이션 방법의 중요성.

Kaspersky 공급업체가 공급망의 사이버 보안에 대한 직원의 인식을 제고하는 데 도움이 될 수 있는 여러 교육 프로그램 및 도구를 제공합니다. 예를 들어 Kaspersky Security Awareness Tool은 직원의 사이버 보안 기술을 평가하며, Kaspersky Automated Security Awareness Platform 피싱과 같은 사이버 위협 완화 및 평판 훼손 방지에 대한 유용한 정보를 제공합니다.

공급망 보안의 주요 단계

회사가 비즈니스 내에서 보안 체인 보안을 강화하기 위해 할 수 있는 일은 여러 가지가 있습니다. 다음은 가장 권장하는 조치입니다:

1. 공격 시 미끼의 역할을 하고 조직에 위반 시도에 경고하는 허니 토큰을 구현합니다.
2. 강력한 클라우드 보안 솔루션을 사용합니다.
3. 효과적인 권한 접근 관리 프레임워크를 사용하여 네트워크를 통해 횡으로 이동하여 중요한 데이터에 접근할 수 있는 권한 있는 계정을 찾는 일반적인 공격 시퀀스를 방지합니다. 여기에는 타사 유출 탐지, ID 접근 관리 구현, 모든 내부 데이터 암호화가 포함될 수 있습니다.
4. 피싱 스캠, 소셜 엔지니어링, DDoS 공격, 랜섬웨어를 포함한 일반적인 공급망 보안 위협에 대해 직원을 교육합니다.
5. 연결 요청이 엄격한 평가를 통과한 후에만 지적 재산권에 접근할 수 있는 제로 트러스트 아키텍처를 구현합니다. 이는 원격 작업에서도 유용합니다.
6. 잠재적인 내부 위협 식별 및 완화 – 도전적이고 정기적인 직원 참여와 열린 작업 문화는 직원이 적대적이고 잠재적으로 악의적인 사람이 되기 전에 회사 전체의 문제를 식별하는 데 도움이 될 수 있습니다.
7. 공급업체와 논의하고 잠재적 공격 벡터를 매핑하여 취약한 리소스를 식별합니다.
8. 권한 있는 접근을 최소화하여 중요한 데이터에 대한 접근을 제한하고 중요한 데이터에 접근할 수 있는 모든 직원과 공급업체를 기록합니다.
9. 계약서에서의 데이터 접근 및 사용에 대한 표준과 요구사항을 간략하게 설명하여 공급업체가 내부 보안 조치를 취할 수 있도록 하십시오. 공급업체가 데이터 유출을 겪을 경우 조직에 알려야 한다고 명시적으로 명시합니다.
10. 공급업체를 다각화하여 잠재적 공급망 취약점을 완화합니다.
11. 데이터 유출을 불가피한 것으로 가정하고 침해로부터 직원, 프로세스 및 장치를 보호합니다. 여기에는 안티 바이러스 소프트웨어, 다단계 인증 , 공격면 모니터링 솔루션 사용 등이 포함될 수 있습니다.
12. 글로벌 인력 부족이 공급 체인에 어떤 영향을 미칠 수 있는지 이해하고 이에 대한 공급 체인 복원 전략을 찾으십시오.

합법화 및 공급망 보안

공급망에 대한 대부분의 고려 사항은 기업에 중점을 두고 있지만 많은 정부가 이 점을 인식하고 국가 수준의 보안 조치를 구현하고 있습니다. 공급망 문제가 국가적으로 큰 영향을 미칠 수 있기 때문입니다.

다음은 일부 국가가 공급망 보안을 강화하기 위해 어떤 조치를 취하는지에 대한 개요입니다:

EU

EU는 새로운 NIS2 지침을 통해 안전한 공급망 관리를 강화하기 위해 노력하고 있습니다. 여기에는 공급망 보안 강화를 위한 세 가지 메커니즘이 간략하게 나와 있습니다. 회원국에 대한 국가적 수준의 국가 위험 평가; 및 기업에 대한 내부 위험 평가.

NIS2 지침을 준수하기 위해 기업은 다음을 요구할 수 있습니다:

• 각 공급업체의 사이버 보안 사례를 포함하여 취약점을 고려합니다.
• 제22(1)조에 설명된 대로 중요 공급망에 대한 위험 평가를 수행하고, 더 중요하게는 결과를 고려합니다; 회원 국가/업체가 이를 따르지 않을 경우 재정적 페널티가 발생할 수 있습니다.
• 필수 사업자 목록을 설정 및 업데이트하고 지침의 요구 사항을 준수하는지 확인합니다.
• 국가의 사이버 보안 전략을 이해합니다.
• 인터넷 사용 자산을 모니터링할 수 있는 EU의 CSIRT 네트워크 범위를 이해합니다.
• 데이터 저장 및 처리 소프트웨어 제공업체, 사이버 보안 관리, 소프트웨어 편집기에 대한 이 지침의 강조점에 주의하십시오.
• 위험을 식별하고 적절한 완화 조치를 구현합니다.
• 인시던트 보고를 위한 명확한 프로세스를 마련하고 적시에 이를 보고합니다
• 공급업체와 협력하여 사이버 보안 위험을 식별하고 완화합니다.
• 공급업체와 공급망 보안에 대한 기대치를 설정하고 규정 준수에 대한 정기적 감사를 수행합니다.

영국

영국은 특히 공급망에서 사이버 보안을 매우 중요하게 생각합니다. 국가 사이버 보안 센터는 사이버 위협 완화 전략을 간략하게 설명하는 사이버 평가 프레임워크를 만들었습니다. 프레임워크 클라우드 보안 지침의 원칙 8은 특히 공격에 특히 취약한 공급망 보안 모범 사례 및 클라우드 서비스에 대해 설명합니다.

이 글의 조언은 기업이 다음을 이해하고 있음을 시사합니다:

• 공급 업체와 데이터를 공유하고 사용하는 방법
• 고객 데이터가 여기에 포함되는지 여부
• 공급 업체의 하드웨어 및 소프트웨어에 적절한 보안 조치가있는 방법
• 공급업체의 위험을 평가하는 방법
• 공급업체의 보안 규정 준수를 적용하는 방법

상기 사항을 보장하기 위해 정부 지침에서는 클라우드 서비스를 사용할 때 다음을 포함하여 여러 구현 접근 방식을 제안하고 있습니다:

• 타사 IaaS 또는 PaaS 제품을 기반으로 할 수 있는 클라우드 서비스 내의 분리를 이해합니다.
• 위험 평가를 할 때, 특히 제삼자 서비스를 사용할 때 데이터 민감도를 고려해야 합니다.
• 타사 서비스에서 데이터 공유 관계를 설명하는 방법을 확인하고 이것이 GDPR을 준수하는지 확인합니다.

공급망 공격 방지를 위한 모범 사례 팁

공급망 보안 위협을 제거하는 것은 불가능하지만, 특히 공급업체에 주의를 기울임으로써 위험을 완화할 수 있는 방법은 있습니다. 조직이 다음을 수행하는 데 도움이 될 수 있습니다:

1. 제삼자 공급업체에 대한 공급망 위험 평가를 정기적으로 수행하고 모니터링합니다.
2. 공급망 공격으로 발생할 수 있는 타사 데이터 위반 또는 유출을 식별하고 완화합니다.
3. 각 공급업체에 대한 위험 프로필을 간략하게 설명한 다음 위협의 레벨/유형에 따라 공급업체를 그룹화합니다.
4. 취약점, 데이터에 대한 접근 및 비즈니스에 대한 영향을 기준으로 공급업체의 순위를 지정합니다.
5. 설문 조사 및 현장 방문을 통해 공급망 관리를 평가합니다.
6. 공급 업체 시스템 내의 취약점을 식별하고 개선을 요청합니다.
7. 공급업체가 공급하는 제품 및 서비스의 보안을 평가합니다.

Kaspersky Hybrid Cloud Security 와 같은 신뢰할 수 있는 보안 및 안티 바이러스 프로그램을 사용하는 것도 공급망을 위한 1차 방어선의 일부를 구성해야 합니다.

연관 문서:

• 데이터 유출이란 무엇인가 그리고 이를 방지하는 방법
• 사이버 공격을 방지하는 방법
• 개인 온라인 개인 정보를 보호하는 방법

연관 제품:

• Kaspersky Hybrid Cloud Security
• Kaspersky Next
• Kaspersky Managed Detection and Response