공급망 공격 시대, IT 협력업체를 다시 검증하는 질문 리스트

공격자가 서드파티 공급업체를 노리는 사례가 점점 더 늘어나고 있다. 고객사는 뒤늦게 피해를 인지하게 된다. CISO는 업체 협상 과정에서 더 적극적인 역할을 맡고, 질문의 강도를 높여야 한다.

IT 서비스 제공업체, 디지털 도구, 서드파티 소프트웨어에 대한 의존도가 높아지면서 기업의 공격 표면은 빠르게 확대되고 있다. 지난 1년간 발생한 여러 사이버 공격은 이런 현실을 분명히 보여줬다.

2025년 10월, 영국 유통업체 마크스앤스펜서는 사이버 공격 이후 타타 컨설턴시 서비스와의 장기 헬프데스크 계약을 종료했다. 해당 공격으로 약 3억 파운드의 손실이 발생했고, 온라인 사업이 일시 중단됐다.

8월에는 중국 기반 위협 그룹이 서드파티 플랫폼 세일즈로프트 드리프트에서 탈취한 OAuth 토큰을 악용해 최대 700개 기업에서 민감한 비즈니스 데이터를 유출했다. 유출 대상에는 아마존웹서비스 키, 스노우플레이크 토큰, 비밀번호 등이 포함됐다. 앞서 사이니헌터스라는 사이버 범죄 기업은 IT 지원 직원을 사칭해 사용자를 속이고 세일즈포스 데이터 로더의 악성 버전에 연결하게 만든 뒤 데이터를 탈취했다. 이 공격으로 총 15억 건의 세일즈포스 레코드가 유출됐다고 주장됐다.

4월에는 SAP 넷위버에서 발생한 치명적인 제로데이 취약점이 기업 자원 관리 플랫폼을 겨냥한 대규모 공격 사례로 기록됐다. 해당 사건은 엔터프라이즈 소프트웨어가 침해될 경우 기업의 매출, 운영, 평판에 직접적인 영향을 미친다는 점을 보여줬다.

스트라타스케일 최고정보보안책임자 케이시 코코란은 “공격자는 가장 저항이 적은 경로를 지속적으로 악용하며, 기술적 통제를 우회하기 위해 서드파티 공급업체와 인간적 취약점을 노리고 있다”라고 말했다. 코코란은 “신뢰받는 업체를 침해하면 공격자는 여러 기업에 걸쳐 기존 접근 지점을 악용하며 더 오랜 시간 탐지되지 않은 채 활동할 수 있다”라고 설명했다.

이런 공격 경로는 비교적 새로운 영역이기 때문에 많은 기업이 대응에 뒤처지고 있다. 산스 인스티튜트 연구원 조슈아 라이트는 “이런 공격을 신속히 탐지하고 방어할 준비나 도구가 충분하지 않아 많은 기업이 상당한 리스크에 노출돼 있다”라고 말했다.

테라타입 최고보안책임자 존 알퍼드는 기존의 사고방식 역시 문제라고 지적했다. 알퍼드는 “많은 기업은 위협이 정문으로 밀고 들어온다고 가정하지만, 실제로 가장 효과적인 공격자는 감시되지 않는 서비스 통로로 침투한다”라고 말했다. 알퍼드는 “마크스앤스펜서 사례는 기본 신뢰에 의존한 헬프데스크 업무 흐름이 운영 환경으로 이어지는 조용한 통로가 됐음을 보여줬다”라고 덧붙였다. 강력한 발신자 검증 절차나 단계적 확인, 지원 인력이 변경할 수 있는 범위에 대한 통제가 없었다는 설명이다.

알퍼드는 세일즈포스 생태계 침해 사례가 또 다른 공통적인 맹점을 드러냈다고 말했다. 알퍼드는 “공격자가 토큰을 확보하거나 느슨한 통합을 악용하면 신뢰된 내부자와 동일한 권한을 얻게 된다”라고 말했다. 이어 “경계 통제와 다중 인증에만 의존하는 기업은 올바른 지점을 감시하지 않기 때문에 이런 리스크를 인식하지 못한다”라고 지적했다.

IT 업체 검증에서 CSO의 역할

사이버 보안 의무는 이미 IT 서비스 및 서비스형 소프트웨어 계약에 포함돼 있지만, 한계도 분명하다. 메이어 브라운 협력업체 스티븐 릴리는 “기업이 시장에서 일반적으로 통용되는 수준을 넘어서는 사이버 요구사항을 강제하기는 어렵다”라고 말했다. 릴리는 “아무리 성숙한 기업이라도 사이버 사고를 완전히 피할 수 없으며, IT 제공업체 역시 공격 리스크를 완전히 제거할 수는 없다”라고 덧붙였다.

리스크를 완전히 제거할 수는 없지만, 완화는 가능하다. 이 지점에서 CSO의 역할이 중요해진다.

컴티아 최고정보보안책임자 랜디 그로스는 “CSO는 데이터 흐름, 의존성, 하위 영향까지 비즈니스 전반을 조망할 수 있는 위치에 있지만, 많은 기업이 의존도가 커지는 상황에서도 그 시각을 활용해 서드파티 리스크를 재평가하지 않는다”라고 말했다. 또한 조달, 법무, IT, 사업 부서와 초기부터 협력해 보안과 복원력, 계약 종료 리스크를 사후가 아닌 설계 단계에서 반영해야 한다고 강조했다.

사업 부서 차원에서 계약이 시작되거나 금액 기준 이하로 진행될 경우, CSO가 해당 계약의 존재조차 인지하지 못하는 경우도 있다.

클라크 힐 사이버 보안 책임자 멜리사 벤트론은 “많은 기업에서 보안 책임자는 계약 체결 이후, 혹은 보안 문제가 발생한 뒤에야 참여한다”라고 말했다. 벤트론은 “CSO는 초기부터 참여해야 하며, 해당 참여가 계약 절차를 지연시킬 필요는 없다”라고 덧붙였다.

실제로 CSO는 실질적인 기술 자문 역할을 수행하며, 보안 관점에서 핵심 정보를 확인할 수 있다.

CISO가 IT 업체에 던져야 할 핵심 질문

보안 책임자와 전문가는 IT 협력업체에 다음과 같은 질문을 던질 것을 권고한다.

1. - 적절한 보안 통제가 구축돼 있음을 입증하기 위해 어떤 인증을 제공할 수 있는가?

오나프시스 최고기술책임자 후안 파블로 페레스에체고옌은 해당 질문이 필수적이라고 말했다. 대표적인 인증은 다음과 같다.

• SOC 2 타입 2 보고서: IT 및 클라우드 서비스 제공업체의 사실상 표준 감사

• ISO/IEC 27001 인증: 정보보안 국제 표준
• 클라우드 시큐리티 얼라이언스 STAR: 클라우드 위험 통제 매트릭스를 결합한 등록 체계
• 산업별 인증: 의료 데이터의 경우 HIPAA/HITRUST, 결제 카드 데이터의 경우 PCI DSS

2. - 사이버 보안 통제를 어떻게 유지·업데이트하며, 중대한 변경 사항은 어떤 방식으로 통보되는가?

벤트론은 IT 협력업체에 상세한 실사 설문을 요구하고, 해당 답변에 영향을 미치는 중대한 변경 사항이 발생할 경우 이를 통지하도록 계약에 명시해야 한다고 조언했다. 벤트론은 “최소한 IT 업체는 시스템과 데이터의 보안 수준을 저하시키는 방향으로 통제를 변경하지 못하도록 제한돼야 한다”라고 말했다.

3. - 우리 회사의 아이덴티티 상태를 변경할 수 있는 인원은 누구이며, 사회공학 공격이 해당 변경으로 이어지지 않도록 어떤 장치가 마련돼 있는가?

코코란은 “제공업체 인력이 고객 시스템과 데이터에 어떤 접근 권한을 갖는지, 해당 접근이 어떻게 분리·보호되는지부터 확인해야 한다”라고 말했다. 접근 권한은 역할 기반으로 제한되고, 최소 권한 원칙과 다중 인증, 단일 로그인, 네트워크 분리가 적용돼야 한다는 설명이다.

코코란은 “접근은 기록되고 모니터링되며 즉시 회수 가능해야 하며, 최소 권한과 직무 분리를 강조하는 NIST 위험 관리 프레임워크 기준에 부합해야 한다”라고 말했다.

4. - 온보딩·오프보딩·접근 권한 재설정 시 사용하는 업무 흐름을 어떻게 검증할 수 있으며, 지난 분기 해당 절차가 어떻게 작동했는지 증빙을 제시할 수 있는가?

많은 기업이 공급업체에 위임하는 운영상의 신뢰 수준을 과소평가한다. IT 협력업체는 정책 문서뿐 아니라 업무 흐름도, 실행 로그, 테스트 기록을 제공해야 한다.

알퍼드는 “가장 큰 허점은 안전하다고 가정한 영역에서 발생한다”라고 말했다. 알퍼드는 “ISO/IEC 27001을 충실히 운영하고 PCI DSS 통제를 갖춘 기업, 내부 보안팀이 성숙한 기업조차 업체 업무 흐름 내부에서 발생한 문제로 침해를 겪는 사례를 봐왔다”라고 설명했다. 헬프데스크 재설정, 범위가 과도한 자동화 토큰, 상속된 관리자 권한은 사후 분석에서 반복적으로 드러난 경로였다.

알퍼드는 리스크 평가가 서버와 네트워크에만 국한돼서는 안 되며, 아이덴티티 업무 흐름과 사람이 개입하는 프로세스까지 포함해야 한다고 강조했다. 관점을 넓히면 문서상으로는 강력해 보이지만 실제 운영에서는 다르게 작동하는 통제를 발견하게 된다.

5. - 어떤 독립적인 보안 테스트를 수행하며, 그 주기는 어떻게 되는가?

벤트론은 IT 협력업체가 서드파티를 통해 취약점 스캔, 침투 테스트 등 보안 평가를 수행하고, 최소 연 1회 및 네트워크·인프라·보안 통제에 중대한 변경이 있을 때마다 결과 요약본을 제공해야 한다고 말했다.

스로틀로커 최고경영자 대니 젠킨스는 빈도를 특히 강조했다. 젠킨스는 “위협은 끊임없이 진화하기 때문에 연 1회 감사만으로는 충분하지 않다”라며 “모든 시스템은 정기적인 침투 테스트와 개선 과정을 거쳐야 한다”라고 말했다.

6. - 서비스에 포함된 모든 OAuth 통합과 특권 API 연계를 나열하고, 각각의 권한 범위·갱신·모니터링·회수 방식은 무엇인가?

알퍼드는 “OAuth 통합은 종종 편의 기능으로 취급되지만, 실제로는 고권한 통로”라고 말했다. 알퍼드는 “이는 정문을 우회해 내부 깊숙이 연결되는, 잊힌 터널 네트워크와 같다”라고 설명했다.

기업은 서비스 협력업체에 토큰 목록, 최소 권한 범위, 제한된 수명, 행위 기반 모니터링을 요구해야 한다. 광범위하거나 영구적인 토큰은 명백한 위험 신호다.

7. - 공격자가 시스템을 침해하지 않고 프로세스만 악용했을 경우, 계약 및 운영 측면에서 어떤 책임을 지는가?

알퍼드는 “이런 계약은 공급업체에 아이덴티티 상태 변경, 민감 데이터 접근, 운영 환경 일부 제어 권한을 부여한다”라며 “이는 고위 운영 책임자를 채용하는 것과 같은 수준의 검증이 필요하다”라고 말했다. 또한 비밀번호 재설정이나 OAuth 통합을 관리할 수 있다면, 계약 자체가 통제 문서가 된다고 덧붙였다.

CSO가 개입하지 않으면 계약 조항은 가동률 중심으로 작성되는 경우가 많다. 알퍼드는 “강력한 인증, 변조 방지 로그, 이벤트 단위 가시성을 요구하지 않는 계약이 대부분”이라며, 시스템 침해가 아니라 프로세스 침해에 대한 의무를 명시해야 한다고 강조했다.

8. - 우리 회사의 환경에서 공급업체 직원의 활동은 어떤 통제를 받으며, 특권 세션이 정상 범위를 벗어났을 때 어떻게 탐지되는가?

알퍼드는 “현대 공격은 신뢰 관계와 부드러운 운영 프로세스를 따라 이동한다”라고 말했다. 헬프데스크처럼 위험을 예상하지 않는 지점을 노린다는 설명이다.

이에 따라 세션 기록, 실시간 경보, 직무 분리는 필수적이다. 페레스에체고옌은 “신속한 탐지와 접근 회수 여부가 사고의 성패를 가른다”라며 지속적인 애플리케이션 수준 모니터링, 명확한 사고 대응 절차, 사용자·통합을 즉시 비활성화할 수 있는 능력이 중요하다고 말했다.

9. - 아이덴티티 분리, 자동화 경계, 관리자 분리를 포함해 우리 회사의 자산과 데이터를 다른 고객과 어떻게 분리하는가?

알퍼드는 폭발 반경을 제한하는 아키텍처적 장치와 구체적 메커니즘을 요구해야 한다고 말했다. 또한 IT 협력업체가 자체 업체와 하청업체로 인한 사이버 보안 리스크를 어떻게 관리하는지도 확인해야 한다.

벤트론은 “IT 협력업체는 강력한 업체 관리 프로그램을 갖추고, 자사 공급업체에 대해서도 적절한 실사를 수행해야 한다”라고 조언했다.

10. - 우리 회사의 데이터나 시스템에 영향을 미치는 보안 사고 발생 시, 통보까지 걸리는 시간은 얼마나 되는가?

그로스는 “가장 큰 개선은 기본적인 절차에서 나온다”라며 사고 공개 방식과 장애 대응 절차의 명확화를 강조했다.

코코란은 24~72시간 이내 통보, 검증된 사고 대응 계획, 명확한 침해 보고 일정과 책임을 계약에 명시해야 한다고 말했다.

알퍼드는 “사고 발생 시 IT 협력업체는 고객이 자체 위협 분석을 수행할 수 있을 만큼 충분한 정보를 제공해야 한다”며, 그렇지 않으면 고객은 호스팅 제공업체의 탐지·보고 능력에만 의존하게 된다고 지적했다.

11. - 취약점을 어떻게 식별·우선순위화·조치하는가?

패치 정책과 조치 일정 검토는 필수다. 페레스에체고옌은 “느린 패치 주기는 공급망 중단, 운영 문제, 심지어 파산으로 이어질 수 있다”라며 중요 패치에 대한 서비스 수준 계약과 수정 검증 증빙을 강조했다.

벤트론은 방화벽 관리를 외주 준 기업 사례를 들었다. 취약점이 악용된 뒤 공급업체가 다시 취약한 버전을 복구해 두 번째 침해가 발생했다는 설명이다. 또 다른 사례에서는 VPN에서 랜섬웨어 공격을 겪은 IT 협력업체가 월 1회만 패치를 적용하고 있었다.

벤트론은 “그 수준이 충분하다고 여겨졌다는 사실이 믿기지 않았다”라고 말했다.

12. - 모든 고객사에 미칠 수 있는 영향을 보장할 만큼 충분한 사이버 보험을 보유하고 있는가?

라이트는 “서비스형 소프트웨어 제공업체를 겨냥한 공격이 더 늘어날 것”이라며 “해당 업체가 침해될 경우 접근 권한의 파급 효과가 크고, 랜섬웨어·갈취·직접 괴롭힘으로 이어질 가능성이 높다”라고 말했다.

벤트론은 보험이 공급업체 자체뿐 아니라 다수 고객에 영향을 미치는 사고 전체를 포괄하는지 확인해야 한다고 강조했다.

13. - 우리 회사가 귀사의 프로세스를 직접 테스트할 수 있는가?

라이트는 정기적인 침투 테스트, 24시간 365일 보안 모니터링, 위협 헌팅 등 보안 테스트와 모니터링에 대한 증빙이 필수라고 말했다.

동시에 여기에서 한 단계 더 나아갈 필요가 있다. 알퍼드는 “많은 기업이 설문 기반 검토로 정책 존재만 확인하고 실제 프로세스가 어떻게 작동하는지는 시험하지 않는다”라고 지적했다. 또한 “지원 업체의 검증 절차, 통합 협력업체의 최소 권한 준수, 위임 접근에 대한 로그 수준을 당연하게 가정한다”라고 말했다.

알퍼드는 “증빙, 현실적인 시나리오, 프로세스 테스트를 통한 검증은 모든 것을 바꾼다”라며 “문서가 아니라 공격자의 사고 방식에 맞춘 통제를 설계할 수 있게 해준다”라고 강조했다.

지속적인 관리의 필요성

벤트론은 “최근 사고는 많은 기업이 IT 공급업체 관계 전반에 걸쳐 서드파티 리스크를 충분히 관리하지 못하고 있음을 보여준다”며, 실사가 일회성 절차로 끝나고 시스템 변화에 따라 통제가 적절한지 점검하는 지속적 관리가 부족하다고 지적했다.

코코란 역시 사이버 실사가 종종 사각지대에 놓인다고 말했다. 코코란은 “많은 기업에서 서드파티 리스크 관리는 조달이나 일반 리스크 기능에 분산된 부수 업무로 취급된다”라며 “그 결과 핵심 리스크는 완화되지 않은 채 남고, 공격자는 공급망의 약한 고리를 계속 파고든다”라고 말했다.

dl-itworldkorea@foundryco.com

Stephanie Overby editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지