2026년 01월 22일

CISO 역할 강화, IT 업체 검증 필수

Tech

Share

by

서드파티 공급업체 공격 증가 추세: CISO의 역할 강화 및 IT 업체 검증 전략

최근 사이버 공격의 양상이 변화하면서 기업의 보안 전략에도 근본적인 변화가 요구되고 있습니다. 과거에는 기업의 직접적인 시스템을 공격하는 방식이 주를 이루었지만, 현재는 서드파티 공급업체를 통해 우회적으로 공격하는 사례가 급증하고 있습니다. 이는 IT 서비스, 디지털 도구, 서드파티 소프트웨어에 대한 기업의 의존도가 높아짐에 따라 공격 표면이 확대되었기 때문입니다.

서드파티 공격의 심각성: 실제 사례 분석

지난 1년간 발생한 여러 사이버 공격 사례는 서드파티 공급망 공격의 심각성을 여실히 보여줍니다. 영국 유통업체 마크스앤스펜서는 사이버 공격으로 인해 타타 컨설턴시 서비스와의 헬프데스크 계약을 종료하고 막대한 손실을 입었습니다. 중국 기반 위협 그룹은 서드파티 플랫폼에서 탈취한 OAuth 토큰을 악용하여 수백 개 기업의 민감한 데이터를 유출했습니다. 사이니헌터스는 IT 지원 직원을 사칭하여 사용자를 속여 악성 소프트웨어에 연결시킨 후 데이터를 탈취했습니다. SAP 넷위버의 제로데이 취약점은 기업 자원 관리 플랫폼을 겨냥한 대규모 공격으로 이어져 기업의 매출, 운영, 평판에 직접적인 영향을 미쳤습니다.

공격자, 왜 서드파티를 노리는가?

공격자들은 왜 직접적인 공격 대신 서드파티 공급업체를 노리는 것일까요? 그 이유는 간단합니다. 서드파티 공급업체는 종종 보안 수준이 상대적으로 낮고, 여러 기업의 시스템에 접근할 수 있는 통로 역할을 하기 때문입니다. StrataScale의 최고정보보안책임자 케이시 코코란은 "공격자는 가장 저항이 적은 경로를 지속적으로 악용하며, 기술적 통제를 우회하기 위해 서드파티 공급업체와 인간적 취약점을 노리고 있다"라고 설명합니다. 신뢰받는 업체를 침해하면 공격자는 여러 기업에 걸쳐 기존 접근 지점을 악용하며 더 오랜 시간 탐지되지 않은 채 활동할 수 있습니다.

CISO의 역할 변화: 협상 단계부터 적극적인 참여

서드파티 공급망 공격에 효과적으로 대응하기 위해서는 CISO의 역할이 더욱 중요해집니다. 과거에는 보안 시스템 구축 및 운영에 집중했다면, 이제는 IT 업체와의 계약 협상 단계부터 적극적으로 참여하여 보안 요구사항을 명확히 하고, 리스크를 최소화해야 합니다. CompTIA의 최고정보보안책임자 랜디 그로스는 "CISO는 데이터 흐름, 의존성, 하위 영향까지 비즈니스 전반을 조망할 수 있는 위치에 있지만, 많은 기업이 의존도가 커지는 상황에서도 그 시각을 활용해 서드파티 리스크를 재평가하지 않는다"라고 지적합니다. 조달, 법무, IT, 사업 부서와 초기부터 협력하여 보안과 복원력, 계약 종료 리스크를 설계 단계에서 반영해야 합니다.

IT 업체 검증 시 CISO가 던져야 할 핵심 질문

CISO는 IT 업체와의 계약 협상 과정에서 다음과 같은 핵심 질문을 던져야 합니다. 적절한 보안 통제가 구축되어 있음을 입증하기 위해 어떤 인증을 제공할 수 있는가? 사이버 보안 통제를 어떻게 유지, 업데이트하며, 중대한 변경 사항은 어떤 방식으로 통보되는가? 우리 회사의 아이덴티티 상태를 변경할 수 있는 인원은 누구이며, 사회공학 공격이 해당 변경으로 이어지지 않도록 어떤 장치가 마련되어 있는가? 온보딩, 오프보딩, 접근 권한 재설정 시 사용하는 업무 흐름을 어떻게 검증할 수 있으며, 지난 분기 해당 절차가 어떻게 작동했는지 증빙을 제시할 수 있는가? 어떤 독립적인 보안 테스트를 수행하며, 그 주기는 어떻게 되는가? 서비스에 포함된 모든 OAuth 통합과 특권 API 연계를 나열하고, 각각의 권한 범위, 갱신, 모니터링, 회수 방식은 무엇인가? 공격자가 시스템을 침해하지 않고 프로세스만 악용했을 경우, 계약 및 운영 측면에서 어떤 책임을 지는가? 우리 회사의 환경에서 공급업체 직원의 활동은 어떤 통제를 받으며, 특권 세션이 정상 범위를 벗어났을 때 어떻게 탐지되는가? 아이덴티티 분리, 자동화 경계, 관리자 분리를 포함해 우리 회사의 자산과 데이터를 다른 고객과 어떻게 분리하는가? 우리 회사의 데이터나 시스템에 영향을 미치는 보안 사고 발생 시, 통보까지 걸리는 시간은 얼마나 되는가? 취약점을 어떻게 식별, 우선순위화, 조치하는가? 모든 고객사에 미칠 수 있는 영향을 보장할 만큼 충분한 사이버 보험을 보유하고 있는가? 우리 회사가 귀사의 프로세스를 직접 테스트할 수 있는가?

지속적인 관리의 중요성: 일회성 실사로는 부족하다

서드파티 리스크 관리는 일회성 실사로 끝나는 것이 아니라, 시스템 변화에 따라 통제가 적절한지 점검하는 지속적인 관리가 필수적입니다. 기업은 IT 공급업체 관계 전반에 걸쳐 서드파티 리스크를 충분히 관리하고 있는지, 실사가 일회성 절차로 끝나고 시스템 변화에 따라 통제가 적절한지 점검하는 지속적 관리가 부족하지 않은지 확인해야 합니다. 많은 기업에서 서드파티 리스크 관리는 조달이나 일반 리스크 기능에 분산된 부수 업무로 취급되어 핵심 리스크가 완화되지 않은 채 남고, 공격자는 공급망의 약한 고리를 계속 파고듭니다.

맺음말

서드파티 공급망 공격은 더 이상 간과할 수 없는 심각한 위협입니다. CISO는 IT 업체와의 계약 협상 단계부터 적극적으로 참여하여 보안 요구사항을 명확히 하고, 지속적인 관리를 통해 리스크를 최소화해야 합니다. 적극적인 자세로 서드파티 공급업체를 검증하고 관리하는 것이 기업의 보안을 강화하는 핵심 전략입니다.

이것도 좋아하실 수 있습니다...