서드파티 공격의 증가 이유와 방어 강화를 위한 8가지 팁

사이버 범죄는 흔히 다뤄지는 뉴스거리가 되었습니다. 그러나 최근 몇 년 동안 서드파티 소프트웨어 또는 ’디지털 공급망’을 노리는 해킹과 침해에 대한 보도가 눈에 띄게 증가했습니다. 2023년, 뱅크 오브 아메리카(Bank of America, 영문자료), 홈 디포(Home Depot, 영문자료), T-모바일(T-Mobile, 영문자료), 옥타(Okta, 영문자료), 시트릭스(Citrix, 영문자료) 등 많은 기업들이 이러한 공격의 희생양이 되었습니다. 

클라우드 기반 서비스형 소프트웨어(SaaS) 기업을 겨냥한 랜섬웨어 공격이 늘어나며 우려할 만한 추세가 지속되고 있습니다. 혼란을 극대화하기 위해 성수기를 노려 감행되는 이러한 공격으로 미국 전역의 15,000개 이상의 고객사가 영향을 받았습니다. CBS는 공격으로 인한 운영 중단으로 2024년 6월 매출이 100,000건 이상 감소할 수 있다며 공격의 영향으로 야기된 막대한 피해에 대해 보도했습니다. 이 공격은 기업의 평판에도 타격을 줄 것입니다.

서드파티 벡터 리스크 

왜 이러한 공격이 늘어났을까요? 해커의 관점에서 보면, 공급업체와 클라우드 제공업체를 통해 간접적으로 타깃에 도달하는 것은 상당히 매력적인 일입니다. 사이버 범죄자들은 주요 금융 서비스나 헬스케어 조직 같은 크고 매력적인 타깃들이 자산을 보호하기 위한 강력한 방어 수단을 갖추고 있다는 사실을 알고 있습니다. 그리고 이러한 조직들은 수십 또는 수백 개의 SaaS 애플리케이션과 기타 IT 공급업체와 관계를 맺고 있다는 사실도 알고 있습니다. 

서드파티 소프트웨어 공급업체에서 공격을 시작하면, 다양한 공격 벡터에 액세스하여 한 번의 악용으로 상당한 성과를 얻을 수 있습니다. 데이터와 네트워크에 성공적으로 침입한 후에는 랜섬웨어 공격을 직접 개시하거나 다른 공격자에게 액세스를 판매할 수 있습니다. 

공격의 대상이 되는 모든 기업들의 방어 수준은 비슷할까요? 그럴 수도 있고, 아닐 수도 있습니다. 마찬가지로 중요한 것은 공격 대상이 되는 앱의 고객들이 모든 공급업체를 모니터링하고 감시하며 적절한 보안 조치가 취해지고 있는지 확인할 길이 없다는 것입니다.

리스크 최소화

공급망과 공급업체의 보안은 최근 열린 퓨어스토리지 CISO 라운드테이블 참석자들을 포함해 모든 최고 정보 보호 책임자(CISO)들의 최우선 관심사입니다. CISO들은 이 문제를 자신들이 직면한 주요 정보 보안 도전과제로 꼽았습니다.

주요 조직의 CISO들이 어떻게 조직을 보호하고 리스크를 줄이며 뉴스 헤드라인에서 벗어나고 있는지 살펴보세요.

1. 새로운 위협 환경의 현실 직시 

CISO와 그 팀은 이미 할 일이 많지만, 조달, 감사, 서드파티 공급업체 모니터링과 관련해 새로운 정책과 절차를 수립해야 하는 필수 과제가 추가되었습니다. 임시적인 접근 방식을 취하거나 공급업체가 보호해 주길 바라는 것은 최선책이 아닙니다.

2. 무분별한 SaaS 확산 제어 

추가되는 모든 애플리케이션은 잠재적으로 공격 경로가 될 수 있습니다. 많은 조직들이 SaaS 제공업체들과 다방면으로 통합되어 있습니다. 철저한 평가를 통해 불필요한 앱을 제거하는 방법을 찾을 수 있습니다. 새로 등장한 리스크를 정당화하기엔 제공하는 이점이 부족한 애플리케이션이 있을 수도 있습니다. 어떤 애플리케이션은 사내 애플리케이션 구축을 위한 소모품이었을 수도 있습니다. 마지막으로, 엔지니어와 직원들이 생산성을 향상하기 위해 IT 부서의 승인 없이 서드파티 공급업체를 사용하는 ‘섀도우 IT(Shadow IT)’로 인해 SaaS가 무분별하게 확산될 수 있습니다. 

3. 공급업체에 대한 면밀한 관찰 

네트워크에 연결된 서드파티 공급업체의 보안 수준을 평가하는 절차를 구축해야 합니다. 심도 있는 설문지와 독립적인 감사도 적절할 수 있지만, 그 절차가 철저해야 합니다. 시장에 이러한 작업을 지원하는 새로운 도구들이 나와 있습니다. 서드파티 사이버 보안 리스크 관리(TPCRM) 플랫폼은 평가와 지속적인 모니터링을 관리하는 데 도움이 될 수 있습니다. 

4. 컴플라이언스 맞춤화 

감사를 통해 보안 태세를 파악하고 리스크를 평가할 수 있지만, 이러한 경우 SOC 2(영문자료)나 ISO 27001(영문자료)처럼 확립된 표준에 기반해 컴플라이언스 조치를 시행하는 경우가 많습니다. 하지만 이러한 표준은 기본적인 수준에서 누구에게나 두루 적용될 수 있도록 만든 지침입니다. 비즈니스의 리스크 프로필이 더 복잡하다면, 실제 비즈니스 프로세스에서 도출된 세부 사항을 사용해 공급업체를 선별하고 지속적인 관계를 모니터링하는 컴플라이언스 체계를 자체 개발하는 것을 고려해야 합니다. 나보다 내 ’소유물’(인프라, 앱, 보안 등)을 더 신경 써주는 사람은 없다는 것을 이해하는 게 중요합니다. 대충 선택한 서비스에서 좋은 결과를 기대할 수는 없습니다. 기대한 만큼이 아니라 검사한 만큼 결과를 얻을 수 있습니다.

5. 협업 촉진

서드파티 솔루션의 구매 결정에는 IT, 구매 및 정보 보안 팀 등 수많은 부서가 관여하는 경우가 많습니다. 많은 이해 관계자들이 존재하는 경우, 불필요한 절차를 제한하고 명문화된 계약을 위한 로드맵을 제공하면서 피드백을 허용하는 프로세스를 갖추는 것이 중요합니다.

6. 데이터 액세스에 최소 권한 모델 사용 

대부분의 클라우드 워크플로우에는 액세스 제어 기능이 없기 때문에 사용자에게 작업 수행에 필요한 것보다 더 많은 액세스 권한을 부여합니다. 이는 해커에게 도움이 될 수 있습니다. 해커는 하나의 로그인 정보를 사용해 다른 계정이나 시스템으로 이동하며 침입 범위를 확장할 수 있습니다. 사용자가 액세스할 수 있는 항목을 제한하는 최소 권한 액세스 모델(영문자료)을 사용하면 이러한 상황을 방지할 수 있습니다. 

7. 규제 옹호 

더 많은 규제를 원하는 사람은 없습니다. 하지만 표준, 벤치마크 및 규제를 시행하는 것은 컴플라이언스를 개선하는 데는 물론 서드파티 공급업체와의 관계에서 투명성을 향상하는 데 도움이 되는 것이 사실입니다. 은행, 보험 회사 및 투자 회사 같은 금융 기관의 IT 보안 및 컴플라이언스를 강화하고 표준화하는 EU의 디지털 운영 복원력 법(Digital Operational Resilience Act, 영문자료) 같은 법안을 규제 모델로 활용하는 것도 한 가지 방법입니다.

8. 시프트 레프트(shift left) 방식

책임과 소유권이라는 측면에서, 개발 수명주기의 초기에 보안 테스트를 구현하고 지속적으로 이행하는 데 중점을 두어야 합니다. 보안 테스트를 개발 초기 단계에 통합하는 시프트 레프트 방식과 달리, 시프트 라이트(shift right) 방식은 모니터링을 통해 운영 환경에서 테스트를 하는 데 중점을 둡니다. 시프트 레프트 방식은 팀이 취약점을 조기에 찾아 결함을 수정할 수 있도록 합니다. 개발 보안 운영(DevSecOps) 기술 블로그 시리즈(영문자료)에서 엔터프라이즈급 보안 플랫폼을 구축하는 방법을 알아보세요. 

퓨어스토리지의 독점 CISO 보고서를 통해 CISO가 이러한 문제와 다른 도전과제들을 어떻게 해결해 나가고 있는지 알아보세요.

향후 계획

소프트웨어 제공 업체 CDK와 기타 업계 선두기업들을 표적으로 삼은 최근 공격들은 사이버 범죄가 어떻게 진화하고 있으며, 랜섬웨어 공격이 얼마나 파괴적인지를 여실히 보여줍니다. 랜섬웨어의 리스크를 완전히 제거하는 것은 불가능에 가깝지만, 모범 사례와 최신 기술을 적절히 조합해 구현하면 차이를 만들 수 있습니다. 여기에는 리스크 완화를 향상하는 데이터 스토리지 플랫폼을 확보하고, 데이터의 안전과 보안을 보장하며, 상시 보호 기능을 활용하는 것이 포함됩니다.