Genian Cloud NAC로 강화되는 협력사 공급망 보안

공급망 보안의 필요성

산업기술 유출 현황에 따르면 '전·현직 직원에 의한 기술유출'에 이어 '협력업체 직원에 의한 기술유출'이 높게 나타났습니다. 이는 기술유출의 주체가 그 동안 해당 기업의 내부자에서 협력업체로 확대되고 있음을 의미합니다.

[기술유출 주체, 경찰청 자료 재구성]

특히 리스크 분산, 조직 슬림화 등 경영 효율성 추구와 비용절감 차원에서 아웃소싱이 증가하면서 협력·하청업체 임직원에 의한 기술유출이 증가하고 있어 각별한 주의가 요구되고 있습니다. 아웃소싱은 기업의 생존을 위한 전략으로 기업 혁신을 가속화하고, 업무의 신속성과 전문성을 행상시키는 등 장점이 있지만 아웃소싱에 의존함으로써 회사 기밀 및 노하우가 협력업체로 누설될 염려가 있어 핵심기술을 상실할 수도 있다는 점을 고려해야 합니다.

공급망 공격의 증가

최근에는 협력사를 노리는 공급망 공격(Supply Chain Attack)이 증가하고 있습니다. 지난 3월 1일 협력사의 사이버 공격 피해로 자동자 제조업체인 토요타(TOYOTA)가 공장 가동을 중지하는 일이 발생했습니다. 이로 인해 월간 생산량의 5%를 생산하지 못했다고 합니다. 20년 12월에는 네트워크 관리 솔루션 기업인 솔라윈즈가 공격을 받았습니다. 이로 인해 약 1만 8천여 개의 회사가 한번에 잠재적 피해자가 되었습니다. 한 회사를 목표로 한 공격에 다수의 피해가 발생하는 셈 입니다.

[Cyber Security Advisory 2022, 한국인터넷 진흥원]

보안 규제 대응의 어려움

이러한 동반피해를 예방하기 위해서 모기업/상급기관에서는 공급망 협력사에 대한 정보보안 대응 역량을 높이기 위한 조직 및 정보보안 관리체계의 구성 등을 요구하고 있으며 이를 지원하기 위한 다양한 프로그램을 운영하고 있습니다. 그럼에도 중소기업의 경우 충분한 역량을 보유하지 못한 경우가 대부분 입니다. 실제 보안 담당자의 사례는 아래와 같습니다.

* 보안 담당자 윤 차장의 고민

최근 협력업체로 이직한 윤 차장은 이직과 동시에 큰 업무를 맡게 되었습니다. 거래 중이던 모회사와의 거래량이 크게 늘어나게 되면서 모회사 보안 지침을 따라야 하는 상황이 되었습니다. 윤 차장은 모회사의 보안 지침에 따라 사내 보안 수준을 점검하면서 부족한 부분에 대한 대응책을 마련하는 업무를 맡게 되었지만, 부족한 보안 인력으로 인해 효과적으로 수행하기 어려운 상황에 놓였습니다. 부족한 부분을 해결해 줄 수 있는 보안 솔루션들은 많지만 관리 운영 인력이 부족한 상황을 효율적으로 해결할 수는 없을까 고민 입니다.

* 보안 담당자 최 팀장의 고민

금융권 보안 담당자 최 팀장은 고민이 있습니다. 최근 ISMS 의무대상기업으로 지정되어 정해진 기간 안에 ISMS 인증 취득이 필요하기 때문 입니다. 문제는 내부 보안 예산 부족으로 인해 ISMS 인증 취득에 필요한 여러 가지 보안 솔루션을 도입하기 어려운데 있습니다. 적은 예산으로 효율적으로 도입할 수 있는 솔루션은 없을까 고민 입니다.