JP Morgan이 공론화한 새삼스러운 사실: 항상 취약했던 소프트웨어 공급망

이번 주, JP Morgan의 최고 정보 보안 책임자인 Patrick Opet은 미국 기업들에게 보내는 공개 서한을 통해 소프트웨어 공급망의 보안을 우선시해야 한다고 경고했을 때, 이런 내용을 처음 접한 사람은 거의 없었습니다. 보통 금융 기관이 대담하고 솔직한 발언을 하지 않는다는 점에서, 이 소식의 출처가 자산 기준으로 미국 최대 규모를 자랑하는 은행이자 시가총액 기준으로 세계 최대 규모의 은행이라는 사실은 실로 놀라운 부분입니다.

더욱이 Opet의 서한은 금융과 같이 규제가 더 엄격하고 민감한 부문의 경우 실패로 인한 비용이 수조 달러에 달할 수 있다는 점을 강조합니다. IBM의 2024년 데이터 유출 비용(CODB) 보고서에 따르면, 금융 업계에서 단일 유출로 인한 전 세계 평균 비용은 미화 608만 달러로, 의료 유출 비용인 미화 977만 달러에 이어 두 번째로 큰 것으로 나타났습니다.

Opet은 LinkedIn 게시물에서 "편의는 더 이상 통제를 능가할 수 없다"며, 타사 소프트웨어 제공업체, 보안 리더 및 광범위한 기술 커뮤니티에 "잠재적으로 시스템 전체에 치명적인 결과를 초래할 수 있는" "단일 장애 지점"을 좀 더 자세히 살펴볼 것을 촉구했습니다.

이러한 "편의"는 지연이나 수동 상호 작용 없이 업데이트되는 원활하게 통합된 데이터 및 프로세스 시스템처럼 보일 수 있습니다. 이러한 시스템은 분명 기업이 목표로 하는 바입니다. 그러나 IBM의 AI 보안 및 인프라 부문 CTO인 Nataraj Nagaratnam은 "AI 에이전트로 인해 보다 자율적인 AI 사용이 확산됨에 따라 이러한 혁신에 따르는 위험에 발맞춘 엔터프라이즈의 보안 조치를 마련하는 것이 더욱 더 중요해졌습니다."라고 경고했습니다.

Nagaratnam은 40,000명의 보안 전문가들이 참석한 올해 최대 규모의 사이버 보안 이벤트 중 하나인 샌프란시스코 RSA 이벤트의 행사장에서 IBM Think와 인터뷰를 진행했습니다. 이벤트 내내 화제가 된 Opet의 서한은 업계 전반의 표준 및 이러한 표준 준수 여부를 측정하는 수단을 만들라는 촉구로서 인정받았습니다.

아직 초기 단계인 지금으로서는 이러한 표준과 측정 기준이 정확히 무엇인지에 대한 의견이 분분합니다. 하지만 위험은 더할 나위 없이 큽니다. 한 가지 예로, 미시건주 이스트 랜싱의 컨설팅 회사인 Anderson Economic Group은 자동차 산업에 소프트웨어 서비스를 제공하는 소프트웨어 공급업체인 CDK Global에 대한 랜섬웨어 공격으로 인해 자동차 대리점들에 총 10억 달러 이상의 피해가 발생했다고 추산했습니다. Opet은 “보안을 희생시키면서 시장 점유율을 추구하면 전체 고객 에코시스템을 심각한 위험에 노출시키고 경제 시스템에 지속 불가능한 상황을 초래하게 될 것입니다.”라고 언급했습니다.

여기에서 즉시 얻을 수 있는 교훈은 무엇일까요? IBM의 전문가들은 Opet의 서한과 이를 둘러싼 논쟁에서 나온 세 가지의 행동 촉구를 파악했습니다.

1. 안전하게 설계된 보안: 보안을 뒷전으로 미뤄서는 안 됩니다. "서비스 제공업체는 보안의 우선순위를 시급히 재조정하여 신제품 출시와 동등하거나 그 이상으로 보안을 우선시해야 합니다."라고 Opet은 논했습니다. IBM의 사이버 보안 서비스 글로벌 관리 파트너인 Mark Hughes는 최근 사이버 보안 보고서에서 "기업은 임시방편적 사고방식에서 벗어나 인증 관리를 현대화하고, 다단계 인증의 허점을 막고, 실시간 위협 헌팅을 수행하여 민감한 데이터가 노출되기 전에 숨겨진 위협을 발견하는 등의 사전 예방적 조치에 집중해야 합니다."라고 밝혔습니다. Hughes는 Opet의 서한에 대한 답변으로 작성한 LinkedIn 게시물에서 기업들이 "위험의 진입점이 되기 전에" 기술과 데이터 거버넌스의 격차를 해결할 것을 촉구했습니다.
2. 표준화된 제어: IBM Consulting for Data & AI, Quantum Safe and Application Security Services의 파트너인 Dinesh Nagarajan은 SaaS 및 기타 타사 공급업체는 표준화된 제어를 채택하고 상속해야 한다고 밝혔습니다. 그러나 소프트웨어 공급업체를 측정하는 표준 방법을 제시하는 것만으로는 충분하지 않으며, "의무 또는 통제를 준수하고 있는지"를 모니터링하는 것이 필수적이라고 그는 덧붙였습니다. IBM은 업계 전반의 클라우드 제어 기능을 개발하는 데 기여했을 뿐만 아니라 Cloud Security Alliance와 같은 업계 기관과 협력하여 금융 기관에 특화된 클라우드 제어 기능을 개발했습니다. 이러한 작업을 바탕으로 IBM은 여러 대륙의 은행 10곳과 공동으로 개발한 이 접근 방식을 금융 기관의 생성형 AI 사용을 위해 확장했습니다.
3. 공급망 전반의 거버넌스: SaaS 제공업체와 조직은 사이버 보안을 선제적으로 관리 및 관리하고 규정 준수를 지속적으로 모니터링하기 위해 총체적인 접근 방식을 취해야 한다고 Nagaratnam은 말합니다. 이를 위한 한 가지 방법은 조직이 자체 사이버 보안 플레이북을 개발하고 실행하여 노출을 식별하고, 위험을 평가하고, 인시던트 영향을 완화하는 것입니다. 또한 이러한 인시던트 대응 플레이북은 제3자가 제공하는 생성형 AI 솔루션의 보안에 대한 책임(및 잠재적 책임)과 같은 특정 조치에 대한 책임이 있는 사람을 설명해야 합니다. 타사 구성 요소에 의존하는 경우 엄격한 감독과 제어 그리고 공급업체가 담당 부분뿐만 아니라 전체 소프트웨어 스택을 보호할 책임을 지닌 공동 책임에 대한 이해가 필요합니다.

거버넌스 및 규정 준수에 도움이 되는 새로운 업계 도구도 거의 매주 등장하고 있습니다. 예를 들어, 어제는 AI 거버넌스 플랫폼인 Credo AI와 IBM이 협업하여 AI 사용 사례 소유자와 규정 준수 담당자가 다양한 규정을 더 빠르고 자동화된 방식으로 준수할 수 있도록 지원하는 watsonx.governance Compliance Accelerator를 출시했습니다.

IBM의 Nagarajan은 개별 비즈니스 리더가 사용하는 기술에 대해 책임을 지도록 하면 보안을 개선하는 데 큰 도움이 될 것이라고 말합니다. "비즈니스 리더가 자신이 사용하는 기술, 관리 방법, 목적, 보안 유지 방법에 대해 책임을 지도록 하면 보안이 저절로 향상될 것입니다."