오늘은 지난 시간에 이어서 비즈니스에서 직면하고 있는 Top 3 중 하나인 공급망 위협과 몇 가지 실행 가능한 권장 사항을 간략하게 살펴보겠습니다.
공급망 위협이란 감염된 소프트웨어 업데이트를 자신도 모르게 다운로드한 수천 명의 고객에게 영향을 미친 것으로 알려진 대규모 SolarWinds 해킹으로 인해 2020년 공급망 공격이 주목을 받았습니다. 정교한 공격은 장기간에 걸쳐 매우 신중하게 조직되고 은밀하게 실행되었기 때문에 우리는 영향의 범위를 완전히 알 수 없었으며, SolarWinds 사건이 발생한 지 얼마 지나지 않아 Kaseya는 다수의 관리 서비스 제공업체(MSP)에서 사용하는 소프트웨어에 영향을 미치는 제로데이 취약점의 영향을 받았습니다. 이는 결국 많은 고객에게 전파되기에 이르렀으며, 2023년이 되어도 헤드라인에는 공급망 공격이 계속해서 등장하고 있습니다.
가장 최근에는 파일 전송에 사용되는 인기 소프트웨어 프로그램인 MOVEit의 제로데이 취약점으로 인해 수백 개의 조직이 영향을 받은 것으로 알려졌습니다. 현재까지 신고된 피해자 명단은 400여 명이 넘는데, 그 중에는 금융권 기관도 포함된 것으로 전해지고 있습니다. SC Media에 따르면 공급망 내 복잡한 관계망으로 인해 영향을 받는 조직은 최대 73,000개에 달하며, MOVEit 침해의 범위가 계속해서 밝혀지고 있는 동안, 악성 오픈 소스 패키지를 사용하여 최소 두 개의 은행을 표적으로 삼은 또 다른 공급망 공격의 초점은 은행 부문인 것으로 보입니다. 공급망 공격은 엄격한 보안 및 테스트 표준이 부족한 소프트웨어 개발 수명주기(SDLC)의 취약성을 드러내고 있습니다. 어느 정도 조직은 개발 인프라를 안전하게 유지하고 사전에 취약성을 식별할 수 있도록 적절한 표준을 시행하도록 공급업체에 의존하고 있습니다.
하지만 아래와 같이 조직이 스스로를 보호하고 공급업체에 책임을 묻기 위해 취할 수 있는 조치가 있습니다.
1.공급업체 실사 수행 (Perform vendor due diligence)
공급업체와 관련된 내역, 재무 안정성 및 보안 위험을 평가하고 보증을 추가하는 독립적인 감사 보고서 검토 실시.
2.계약 협상 (Perform vendor due diligence)
가능한 범위 내에서 공급업체에 책임을 묻고 위반 시 일부 보호를 제공하는 적절한 조항이 계약에 포함되어 있는지 확인.
3.공급업체 성과 모니터링 (Perform vendor due diligence)
공급업체가 합의된 표준을 준수하는지 정기적으로 평가하고 제3자의 보안 상태를 지속적으로 모니터링하는 서비스 고려.
4.공급업체 액세스 제한 (Perform vendor due diligence)
액세스를 제어하고 모니터링하는 PAM(Privileged Access Management) 솔루션을 통한 공급업체에게 네트워크에 대한 무제한 액세스 권한 제한.
이러한 대응으로 공급업체를 통한 리스크는 최소화 할 수 있습니다. 오늘은 지난 시간에 이어서 비즈니스에서 직면하고 있는 Top 3 중 하나인 공급망 위협과 관련한 내용을 알아보았습니다.
'0. IT' 카테고리의 다른 글
| 디지털 신뢰(Digital Trust)에 대해 알아보기. (0) | 2023.08.28 |
|---|---|
| Supercharging Internal Auditors with Data Science 란? (0) | 2023.08.27 |
| 사이버위협에 대해서 알아보기 (피싱, 2/3) Top 3 Cyberthreats Facing Business Phishing (0) | 2023.08.25 |
| 사이버위협에 대해서 알아보기 (랜섬웨어, 1/3) Top 3 Cyberthreats Facing Business Ransomware (0) | 2023.08.24 |
| 개인정보, 가명정보, 익명정보의 차이에 대해 알아보기 (0) | 2023.08.23 |