공급망 보안이란 무엇인가요?

공급망에 종사하는 많은 사람이 Target과 Home Depot이 서드파티 관계로 인해 몇 개월 이내에 겪었던 주요 데이터 유출 사고를 기억합니다. 6년이 지난 지금도 공급망 보안 침해는 여전히 헤드라인을 장식하고 있습니다. 특히 SolarWinds 침해는 현재 업계 전반에 큰 반향을 불러일으키는 사건입니다. 가장 최근 분석에 따르면 데이터 유출의 평균 비용은 386만 달러로 추정되며, 5천만 건 이상의 기록 도난이 발생한 대규모 유출은 3억 9,200만 달러에 달합니다. 2020년에 공급망 공격이 급증한 것을 감안하면, 분석이 업데이트될 때 그 영향은 짐작만 가능합니다.

그렇다면 공급망 보안을 해결하려면 무엇이 필요할까요?

이러한 과제 중 하나는 공급망 보안에 대한 단일하고 기능적인 정의가 없다는 것입니다. 물리적 위협부터 사이버 위협까지, 트랜잭션 보호부터 시스템 보호까지, 직접적인 비즈니스 네트워크에 있는 당사자와의 위험 완화부터 제3자, 제4자 및 'n'자 관계에서 파생되는 위험 완화에 이르기까지 모든 것을 포함하는 매우 광범위한 영역입니다. 그러나 공급망 보안에는 다면적이고 기능적으로 조정된 접근 방식이 필요하다는 공감대가 확산되고 있습니다.

공급망 리더들은 사이버 위협에 대해 우려하고 있기 때문에 이 블로그에서는 제품 및 서비스의 품질과 제공, 관련 데이터, 프로세스 및 시스템을 보호하기 위한 사이버 보안 측면에 중점을 두려고 합니다.

"공급망 보안은 여러 분야를 아우르는 문제이며 비즈니스, 고객 지원, IT 조직 간의 긴밀한 협업과 실행이 필요하며, 여기에는 고유한 과제가 있습니다. 이를 제대로 이해한 기업은 IT와 안전한 멀티 엔터프라이즈 비즈니스 네트워크로 시작한 다음, 분석 및 가시성 기능에 대한 신중하게 관리되고 안전한 액세스를 구축하고, 여기에서 모든 계층의 비정상적인 행동을 지속적으로 모니터링합니다."

IBM Sterling CTO, Marshall Lamb

공급망 보안이 중요한 이유는 무엇인가요?

공급망은 고객에게 필요한 것을 적절한 가격, 장소, 시간에 제공하는 것이 관건입니다. 제공되는 제품 또는 서비스의 무결성, 교환되는 데이터의 프라이버시, 관련 거래의 완전성에 대한 중단 및 위험은 운영, 재정, 브랜드에 피해를 줄 수 있습니다. 데이터 유출, 랜섬웨어 공격, 내부자 또는 공격자의 악의적인 활동은 공급망의 모든 계층에서 발생할 수 있습니다. 단일 공급업체 또는 타사 공급업체에 국한된 보안 인시던트라도 '계획, 제작, 제공' 프로세스를 크게 방해할 수 있습니다.

"공급망의 강력함은 가장 취약한 구성 요소가 결정합니다. 로스앤젤레스 항구의 사이버 복원력 센터는 공급망에 참여하는 각 구성원이 자신을 더 잘 보호하고 더 나아가 서로를 더 잘 보호할 수 있도록 도울 것입니다."

IBM Security X-Force 부사장, Wendi Whitmore

이러한 위험을 완화하는 것은 계속 변화하는 목표이자 과제입니다. 공급망은 점점 더 복잡한 글로벌 네트워크가 되고 있으며, 데이터에 액세스하고 데이터를 볼 수 있는 사람을 제어할 수 있어야 하는 타사 파트너의 수가 점점 더 많아지고 있습니다. 오늘날 직원과 예산에 대한 새로운 스트레스와 제약, 전략, 파트너, 공급 및 수요 구성의 예상치 못한 급격한 변화로 인해 더 많은 과제와 시급성이 가중되고 있습니다. 동시에 지식이 풍부하고 사회적 의식이 높은 고객과 직원은 구매하거나 지원하는 제품과 서비스에 대한 투명성과 가시성을 요구하고 있습니다. 모든 접점에는 평가, 관리, 완화해야 하는 위험 요소가 추가됩니다.

주요 공급망 보안 문제 5가지

전 세계 및 업계 전반의 공급망 리더들은 다음과 같은 다섯 가지 공급망 보안 문제로 인해 밤에 잠을 못 이루고 있다고 말합니다.

1. 데이터 보호. 데이터는 비즈니스 거래의 핵심이며 침해 및 변조를 방지하기 위해 저장 및 이동 중인 데이터를 보호하고 제어해야 합니다. 안전한 데이터 교환에는 타사 또는 전자 상거래 웹사이트와 같은 다른 소스를 신뢰하는 것도 포함됩니다. 상호 작용하는 대상이 스스로 주장하는 당사자가 맞는지 확신을 갖는 것이 중요합니다.
2. 데이터 지역성. 중요한 데이터는 공급망의 모든 단계에서 존재하며 위치에 관계없이 위치를 파악하고 분류하고 보호해야 합니다. 금융 서비스 및 의료와 같이 규제가 엄격한 산업에서는 운영되는 지역에 따라 다른 업계 표준 및 정부 규정을 준수하여 데이터를 획득, 저장, 관리, 사용, 교환해야 합니다.
3. 데이터 가시성 및 거버넌스. 다중 엔터프라이즈 비즈니스 네트워크는 기업 간의 데이터 교환을 용이하게 할 뿐만 아니라 여러 기업이 데이터에 액세스하여 보고, 공유하고, 협업할 수 있도록 합니다. 참여 기업은 데이터에 대한 통제권을 요구하며, 데이터를 공유할 대상 및 권한이 있는 각 당사자가 볼 수 있는 내용을 결정할 수 있는 기능을 요구합니다.
4. 사기 예방. 한 번의 주문에서 현금화까지의 주기 동안 데이터는 때로는 종이 형식으로, 때로는 전자 형식으로 여러 번 주인을 바꿉니다. 데이터가 당사자 간에 교환되거나 시스템 내에서 이동하는 모든 지점은 악의적이든 실수든 데이터가 변조될 수 있는 기회를 제공합니다.
5. 서드파티 위험. 휴대폰에서 자동차에 이르기까지 일상적인 제품과 서비스가 점점 더 정교해지고 있습니다. 따라서 공급망은 완제품을 배송하기 위해 4단계 이상의 공급업체에 의존하는 경우가 많습니다. 이러한 각 외부 당사자가 자체 취약점을 적절하게 관리하는 능력에 따라 조직이 새로운 위험에 노출될 수 있습니다.

공급망 보안 모범 사례

공급망 보안에는 다면적인 접근 방식이 필요합니다. 만병 통치약은 하나도 없지만, 조직은 계층화된 방어 체계를 조합하여 공급망을 보호할 수 있습니다. 팀이 공급망 보안에 집중하여 위협 행위자가 보안 통제를 모두 뚫기 어렵게 만들면 악의적인 활동을 탐지하고 조치를 취할 수 있는 시간을 더 많이 확보할 수 있습니다. 다음은 조직이 공급망 보안 위험을 관리하고 완화하기 위해 추구하고 있는 가장 중요한 전략 중 일부입니다.

• 보안 전략 평가. 위험과 규정 준수를 평가하려면 데이터 프라이버시, 서드파티 위험, IT 규정 준수 요구 사항 및 격차를 포함한 기존 보안 거버넌스를 비즈니스 과제, 요구 사항, 목표와 비교하여 평가해야 합니다. 보안 위험 정량화, 보안 프로그램 개발, 규정 및 표준 준수, 보안 교육 및 훈련이 핵심입니다.
• 취약점 완화 및 침투 테스트. 취약점 검사를 실행하여 기본적인 보안 문제를 먼저 파악하세요. 잘못된 데이터베이스 구성, 잘못된 비밀번호 정책을 수정하고, 기본 비밀번호를 제거하고, 엔드포인트와 네트워크를 보호하면 생산성이나 다운타임에 미치는 영향을 최소화하면서 위험을 즉시 줄일 수 있습니다. 침투 테스트 전문가를 고용하여 피싱 시뮬레이션과 레드 팀 구성을 통해 신규 및 기존 애플리케이션, 공급망의 기반이 되는 IT 인프라, 심지어 인력까지 모든 측면에서 취약점을 찾아내세요.
• 디지털화 및 현대화. 비즈니스 거래를 위해 종이, 전화, 팩스, 이메일에 의존하는 경우 데이터를 보호하기가 어렵습니다. 필수 수작업 프로세스의 디지털화가 핵심입니다. 종이 기반의 수동 프로세스에서 쉽게 전환하고 거래에 보안, 안정성, 거버넌스를 제공하는 기술 솔루션은 기업 내에서 및 고객 및 거래 파트너와의 안전한 데이터 이동을 위한 기반을 제공합니다. 비즈니스 프로세스와 소프트웨어를 현대화할 때 암호화, 토큰화, 데이터 손실 방지, 파일 액세스 모니터링 및 경보를 활용하고 팀과 파트너에게 보안 인식과 교육을 제공할 수 있습니다.
• 데이터 식별 및 암호화. 데이터 보호 프로그램 및 정책에는 사용하여 보호된 고객 정보, 재무 데이터, 독점 기록이 포함된 데이터베이스 및 파일을 정확히 찾아내는 검색 및 분류 툴이 포함되어야 합니다. 데이터를 찾은 후에는 최신 표준 및 암호화 정책을 사용하여 고객, 재무, 주문, 재고, 사물인터넷(IoT), 상황 및 기타 모든 유형의 데이터를 보호할 수 있습니다. 들어오는 연결의 유효성을 검사하고 파일 콘텐츠를 실시간으로 면밀히 검토합니다. 디지털 서명, 다단계 인증, 세션 중단은 인터넷을 통해 거래할 때 추가적인 제어 기능을 제공합니다.
• 데이터 교환 및 가시성에 대한 권한 제어. 다중 엔터프라이즈 비즈니스 네트워크는 사용자 및 역할 기반 액세스를 위한 도구를 사용하여 전략적 파트너 간의 안전하고 신뢰할 수 있는 정보 교환을 보장합니다. ID 및 액세스 관리 보안 관행은 광범위한 에코시스템에서 독점 및 민감한 데이터를 안전하게 공유하는 동시에 취약점을 찾아 완화하여 부적절한 액세스 및 침해의 위험을 낮추는 데 매우 중요합니다. 데이터베이스 활동 모니터링, 권한 있는 사용자 모니터링 및 경고는 문제를 신속하게 포착할 수 있는 가시성을 제공합니다. 멀티 엔터프라이즈 비즈니스 네트워크에 블록체인 기술을 추가하면 허가된 변경 불가능 공유 기록에 대한 다자간 가시성을 확보할 수 있어 가치 사슬 전반의 신뢰를 강화할 수 있습니다.
• 신뢰, 투명성 및 출처. 블록체인 플랫폼을 사용하면 원장에 추가된 데이터는 조작, 변경 또는 삭제할 수 없으므로 사기를 방지하고 출처를 인증하며 제품 품질을 모니터링하는 데 도움이 됩니다. 여러 기업의 참가자가 소스부터 최종 고객 또는 소비자까지 자재와 제품을 추적할 수 있습니다. 모든 데이터는 상업적으로 이용할 수 있는 최고 수준의 변조 방지 암호화로 보호되는 블록체인 원장에 저장됩니다.
• 서드파티 위험 관리. 공급망 에코시스템 전반에서 기업과 서드파티 간의 연결과 상호 의존성이 증가함에 따라, 조직은 엔드투엔드 보안을 포함하도록 공급업체 위험 관리의 정의를 확장해야 합니다. 기업은 이를 통해 관계의 수명 기간 동안 위험을 평가, 개선, 모니터링 및 관리할 수 있습니다. 먼저 자체 비즈니스 및 기술 팀을 파트너 및 공급업체와 협력하여 규정 준수 위반, 시스템 종료 또는 데이터 유출이 공개되는 경우 중요한 자산과 비즈니스 운영에 대한 잠재적 피해를 파악하세요.
• 인시던트 대응 계획 및 오케스트레이션. 침해, 서비스 종료 또는 중단에 선제적으로 대비하고 강력한 인시던트 대응 계획을 수립하는 것은 매우 중요합니다. 연습과 테스트를 거쳐 쉽게 실행되는 대응 계획과 해결 방법을 통해 수익 손실, 평판 손상, 파트너 및 고객 이탈을 방지할 수 있습니다. 인텔리전스와 계획은 조직과 파트너가 공격이나 인시던트가 다시 발생하지 않도록 의사 결정을 내리는 데 사용할 수 있는 지표와 학습을 제공합니다.

공급망 보안은 계속해서 더욱 스마트해질 것입니다. 예를 들어, 공급망 보안 솔루션은 AI를 통합하여 무단 액세스를 암시하는 이상 징후, 패턴, 추세를 식별하여 의심스러운 행동을 사전에 탐지하기 시작했습니다. AI 기반 솔루션은 사람의 대응에 대한 경보를 보내거나 시도를 자동으로 차단할 수 있습니다.

오늘날 기업들은 어떻게 공급망의 보안을 유지하고 있을까요?

IBM Sterling Supply Chain Business Network는 올해 9월 보안 비즈니스 거래에서 2019년 9월 대비 29% 증가한 새로운 기록을 세웠으며, 전 세계 고객들이 글로벌 팬데믹에도 불구하고 보안과 신뢰를 바탕으로 비즈니스를 재건할 수 있도록 돕고 있습니다.

국제 송금 서비스 제공업체인 Western Union은 2018년에 신뢰할 수 있는 파일 전송 인프라를 통해 소비자 및 기업 고객을 위해 8억 건 이상의 거래를 빠르고 안정적이며 안전하게 완료했습니다.

패션 소매업체 Eileen Fisher는 지능형 옴니채널 이행 플랫폼을 사용해 채널 전반에 걸쳐 단일 재고 풀을 구축함으로써 재고 데이터에 대한 신뢰를 높이고, 보다 유연한 이행을 수행하며, 고객 확보 비용을 절감했습니다.

블록체인 에코시스템 Farmer Connect는 네트워크 및 데이터 보안을 통합하여 신뢰, 안전, 프라버넌스를 높이는 블록체인 플랫폼을 통해 Farmer Connect에서 서비스를 제공하는 소비자와 커피 재배자를 투명하게 연결합니다.

금융 서비스 제공업체 Rosenthal & Rosenthal은 전자 데이터 교환(EDI) 서비스에 대한 다양한 접근 방식을 안전한 클라우드 기반 다중 엔터프라이즈 비즈니스 네트워크로 대체하여 운영 비용을 절감하는 동시에 모든 고객에게 대응성이 뛰어난 고품질 서비스를 제공했습니다.

통합 물류 제공업체인 VLI는 비즈니스와 자산을 보호하고 사용자 접근을 관리하는 통합 보안 솔루션 제품군을 통해 수많은 정부 준수 및 안전 규정을 준수하며, 9,000명의 직원들이 적절한 시기에 적절한 시스템에 접근하여 업무를 수행할 수 있도록 지원하고 있습니다.

세계에서 가장 바쁜 항구 중 하나인 로스앤젤레스 항구는 화물 흐름을 방해할 수 있는 사이버 위협에 대응하기 위해 공급망 에코시스템의 인식과 대응 태세를 강화하기 위한 보안 제품군을 갖춘 최초의 사이버 복원력 센터를 구축하고 있습니다.

공급망 보안 유지를 위한 솔루션

가장 민감한 데이터를 안전하게 보관하고, 신뢰할 수 있는 사람만 볼 수 있으며, 변경할 수 없도록 하여 사기를 방지하고, 서드파티 위험으로부터 보호하세요. 온프레미스, 클라우드, 하이브리드 등 구현 접근 방식에 관계없이 작동하며 실전에서 검증된 보안을 통해 IBM에서 공급망을 보호하실 수 있도록 도와드립니다.