Connect with us

사상 리더

지속적 모니터링: 공급업체 리스크 관리의 보안 격차 메우기

mm
Published
Updated

공급망은 세계 경제를 하나로 묶는 접착제입니다. 또한 사이버 관련 비즈니스 리스크의 주요 원천이기도 합니다. 2021년부터 2024년 사이에 공급업체를 대상으로 한 공격은 431% 급증했으며, 계속 증가할 것으로 예상됩니다. 이는 그들과 거래하는 기업들에게 나쁜 소식입니다. IBM에 따르면 제3자 공급업체 침해는 모든 사고 유형 중 가장 높은 데이터 유출 비용과 연관되어 있습니다: 유출당 490만 달러. 리스크 및 사이버 리더들의 도전 과제는 기존의 리스크 관리 메커니즘이 불완전하다는 점입니다. 이는 느리고, 자원 집약적이며, 사각지대로 가득할 수 있습니다. 진정한 공급업체 리스크 관리는 지속적인 감시와 통제에서 비롯됩니다.

멈출 수 없는 공급망의 성장

복잡하고 파편화된 공급망은 글로벌 상거래를 위해 치러야 할 대가입니다. 지난 10년 이상 동안 공급망은 온라인 쇼핑의 폭발적 증가로 촉진된 소비자들의 더 많은 선택과 더 낮은 비용에 대한 요구를 지원하기 위해 성장해 왔습니다. 동시에, 소프트웨어 as a 서비스(SaaS), 관리 서비스 제공업체(MSP)의 확산과 더 혁신적이고 효율적인 작업 방식에 대한 비즈니스 수요 덕분에 디지털 공급망도 엄청난 성장을 겪었습니다. 결과는? 통찰력이 있어야 할 곳에 불투명함이 존재하며, 이익과 고객의 소중한 신뢰를 위태롭게 할 수 있는 비즈니스 리스크 수준이 점차 높아지고 있습니다. 한 추정치에 따르면, 평균적인 중소기업조차도 800개의 공급업체를 보유하고 있습니다. 공급업체의 공급업체까지 계산하면, 그 수치는 곧 수천 개의 기업에 이릅니다.

위험한 사업

이는 광범위한 공급망에서 비롯되는 불가피한 사이버 보안 리스크를 관리할 방법을 찾아야 하는 CISO와 그들의 팀에게 나쁜 소식입니다. IBM에 따르면, 지난해 데이터 유출의 15%는 공급업체 및 공급망 침해가 원인이었습니다. Verizon은 이 수치가 실제로 지난해 동안 두 배로 증가하여 30%에 달했다고 주장합니다. 실제 총계가 어떻든, 실제 사건들로부터 그들이 초래할 수 있는 피해의 종류는 분명합니다. 아웃소싱 업체 및 전문 서비스 회사와 같은 제3자들은 고객 조직에 속한 매우 민감한 접근 자격 증명 및 기타 데이터를 저장할 수 있습니다. 이는 고객과 직원에 대한 엄격히 규제되는 개인 식별 정보(PII)일 수 있습니다. 또는 지식 재산권, 영업 비밀 또는 비공개 재무 데이터일 수 있습니다. 이 모든 것은 디지털 갈취자들에게 주요 표적이 되어, 그들이 이를 훔치거나 암호화하여 지불을 강요할 수 있습니다. 한 연구에 따르면, 2024년 랜섬웨어 공격의 5분의 2 이상(41%)이 제3자 침해 때문이었습니다. 공급업체가 늘어남에 따라, 비즈니스 이메일 침해(BEC)를 통한 기업 사기와 같은 리스크도 증가합니다. 위협 행위자는 재무 팀 구성원이나 심지어 고위 경영진에게 존재하지 않는 송장에 대한 지불을 요청하는 피싱 이메일을 보낼 수 있습니다. 그들은 클라이언트/공급업체 이메일 계정을 해킹하여 통신을 모니터링하고 송장이 어떻게 생겼는지 이해함으로써 공격 성공 가능성을 높입니다. FBI에 신고된 BEC 손실은 지난해 거의 28억 달러에 달해 두 번째로 수익이 높은 사이버 범죄 유형이 되었습니다. 그리고 공급업체의 공급업체도 있습니다. 한 2023년 보고서에 따르면, 연구 대상 조직의 절반이 지난 2년 동안 침해를 당한 최소 200개의 4차 공급업체와 간접적인 관계를 맺고 있었다고 합니다. 공급업체가 작을수록 모범 사례 사이버 보안에 투자할 수 있는 자원이 더 적을 수 있습니다.

AI는 해커에게 선물

AI 기술은 사이버 범죄자들이 성공률을 높이기 위해 점점 더 많이 활용되고 있습니다. 사실, 영국 정부 전문가들은 올해 이 기술이 “사이버 침입 작전의 요소들을 더 효과적이고 효율적으로 만드는 것을 거의 확실히 계속할 것”이라고 경고했습니다. 생성형 AI가 자연스럽고 완벽한 현지 언어로 피싱 캠페인을 제작할 수 있게 하는 방식에서 이를 볼 수 있습니다. 위협 행위자가 시스템 약점을 탐색하고 표적을 선정하는 데 도움을 줄 수 있는 방식에서 볼 수 있습니다. 그리고 심지어 멀웨어와 악용 코드 생성에 도움을 줄 수 있는 방식에서도 볼 수 있습니다. 이 보고서는 AI가 향후 2년 동안 “사이버 위협의 빈도와 강도의 증가”로 이어질 것이라고 경고하는 이유입니다. 보안 사고의 유형과 범위에 따라, 침해된 공급업체의 고객에게 미치는 영향은 재정적 및 평판 손상부터 규제 리스크 및 운영 중단에 이르기까지 다양합니다. 사고가 발견되지 않는 시간이 길수록, 위협 행위자가 네트워크 내부에 머무는 시간이 더 길어지고, 궁극적으로 정리하고 복구하는 데 더 많은 비용이 듭니다. 불행하게도, IBM에 따르면 공급망 침해는 해결하는 데 가장 오랜 시간이 걸립니다. 최근 수백만 달러 매출을 올리는 BPO 공급업체 Conduent에서 발생한 주요 랜섬웨어 침해 사건 공개가 그 예입니다. 보도에 따르면, 1,100만 명 이상의 미국인들이 사회 보장 번호, 건강 보험 세부 정보 및 의료 정보가 노출되었을 수 있습니다. 그리고 2025년 11월 기준으로 통지를 받기 시작했지만, 해당 회사의 환경은 2024년 10월까지 이미 침해된 것으로 추정됩니다.

지속적 모니터링이 중요한 이유

다행히도, AI는 선의의 사용자들이 공급업체 사이버 리스크 관리의 일반적인 과제를 극복하는 데도 도움을 줄 수 있습니다. 너무 많은 조직들이 지연을 초래하고 가시성 사각지대를 만드는 느리고 수동적인 프로세스와 긴 설문지로 어려움을 겪고 있습니다. 일관성 없는 공급업체 문서는 생태계 전반의 리스크 점수를 비교하고 비즈니스에 가장 중요한 것이 무엇인지 이해하기 어렵게 만듭니다. 대신, 데이터 및 AI 중심 접근 방식을 통해 조직은 온보딩 시점과 그 이후 모두에서 자동화가 힘든 작업을 수행하도록 할 수 있습니다. 후자는 공급업체가 승인된 후에도 리스크가 멈추지 않기 때문에 중요합니다. 리스크는 각각의 새로운 소프트웨어 취약점, 데이터 유출 또는 잘못 구성된 계정과 함께 시간당 또는 일일 기준으로 계속 진화합니다. 공급업체는 새로운 인프라에 투자하여 사이버 공격 표면을 증가시킬 수 있습니다. 그들은 자체적으로 새로운 공급업체를 추가하여 리스크 노출을 변경할 수 있습니다. 그리고 새로운 위협 행위자 캠페인의 표적이 될 수 있습니다. 이 모든 것은 공급업체 설문조사와 문서 수집 및 처리 이상의 보다 적극적인 제3자 리스크 관리 접근법을 요구합니다. 이는 리스크를 실시간으로 식별하는 데 초점을 맞추어야 하며, 조직이 피해가 발생하기 전에 신속하게 조치를 취할 수 있도록 해야 합니다.

AI로 시작하기

이러한 360도 전방위적이고 지속적인 공급업체 사이버 리스크 통찰력을 달성하려면 많은 데이터와 의심스러운 패턴을 표시할 지능형 알고리즘이 필요할 것입니다. 고품질 데이터가 많을수록 가시성이 더 좋아집니다. 여기에는 다크 웹 포럼을 샅샅이 뒤져 침해의 조기 경고 신호를 찾는 위협 인텔리전스 피드가 포함될 수 있습니다. 또는 공급업체 자산에서 누락된 보안 업데이트를 강조하는 취약성 모니터링이 포함될 수 있습니다. 또한 공급업체 재무 부서 간의 이메일 침해 증거를 추적하여 다가오는 BEC 공격을 나타낼 수 있습니다. 또는 심지어 해당 공급업체와 관련된 의심스러운 거래 패턴까지도 추적할 수 있습니다. AI는 즉각적인 조치를 취하기 위해 실시간으로 중요한 리스크를 식별하는 데 활용될 수 있습니다. 그리고 각 공급업체에 대해 클라이언트 정책, 태세 및 비즈니스 중요도에 따라 가중치가 부여된 지속적으로 업데이트되는 리스크 점수를 자동으로 할당하는 데 활용될 수 있습니다. 에이전트 AI 또한 강력한 동맹이 될 수 있으며, SOC 2 보고서 및 내부 보안 정책과 같은 복잡한 공급업체 문서를 자율적으로 수집 및 분석하고, NIST CSF 또는 ISO 27001과 같은 확립된 프레임워크에 통제 항목을 매핑하는 작업을 수행할 수 있습니다. 이는 몇 시간이 아니라 몇 분 만에 규정 준수 가시성을 제공하여 보안 및 리스크 팀이 더 높은 가치의 작업에 집중할 시간을 확보할 수 있습니다. 성숙한 조직에서는 AI 에이전트가 또한 일상적인 문제를 해결하고 수정하기 위해 독립적으로 작동하거나, 적어도 신속한 주의를 기울일 수 있는 적절한 팀 구성원에게 문제를 전달할 수 있습니다.

모든 것을 통합하기

핵심은 공급업체 사이버 리스크 관리를 위한 그러한 시스템이 통합되어 리스크 데이터가 고립되고 사용할 수 없게 되는 것을 방지하는 것입니다. 이상적으로는 동일한 플랫폼이 규정 준수, 지속 가능성, 재무 및 운영과 같은 영역 전반에 걸쳐 다른 유형의 공급업체 리스크 관리도 가능하게 해야 합니다. 이는 더 나은 비즈니스 결정을 내릴 수 있는 종류의 정보를 제공해야 합니다. 무엇보다도, 사이버 리스크는 근본적으로 비즈니스 리스크라는 점을 기억하십시오. 이것은 결코 제거될 수 없습니다. 하지만 더 효과적으로 관리될 수 있습니다.

Related Topics:
mm

As the Chief Information Officer, Vishal Grover is responsible for establishing and maintaining a company-wide information security and risk management program to ensure that the data assets of apexanalytix and our clients are protected.

Vishal has over 20 years of experience in information technology and has had numerous roles across multiple disciplines such as application development, database management, IT infrastructure and information security. His extensive background includes implementing programs for evolving security and compliance requirements (SSAE18, PCI, secure SDLC, GDPR, disaster recovery) to ensure the highest level of security, performance and availability for the largest companies in the world.

Vishal graduated from Delhi University with a degree in Commerce. He also holds an advanced IT diploma from NIIT along with SUN Certification.