공급망 사이버 위협에 대처하기: 빠르게 진화하는 사이버 환경에서 데이터 보호 및 디지털 공급망 보호하기

주요 내용

• 제조 공급망은 4년 연속 가장 많이 표적이 된 산업 분야로 사이버 범죄자들의 끊임없는 공격에 직면하면서 고부가가치 표적이 되었습니다. 공급망 관련 공격은 2021년 이후 431% 급증했으며, 가장 비용이 많이 들고 해결이 가장 느린 공격 중 하나입니다.
• 공급업체에 대한 감독이 불충분하면 사이버 보안에 심각한 공백이 생깁니다. 많은 제조업체가 제3자 및 제4자 공급업체를 적절히 모니터링하지 않아 위협 행위자가 신뢰할 수 있는 네트워크 연결을 악용하고 공급망의 취약한 링크를 통해 주요 표적에 침투하여 사이버 공격의 범위를 확대하고 공급망 사이버 위험 노출을 증폭시킬 수 있습니다.
• 사이버 회복탄력성은 제조 공급망과 시장 우위를 강화합니다. 보안 설계 원칙, 강력한 공급업체 실사, 사이버 공급망 위험 관리(C-SCRM) 관행을 운영에 통합하면 제조업체는 안전하고 민첩하며 지속 가능한 공급망을 구축하여 오늘날의 위협 집약적인 디지털 환경에서 비즈니스 연속성과 시장 경쟁력을 모두 강화할 수 있습니다.

제조업은 4년 연속 사이버 공격의 가장 많은 표적이 되는 분야입니다.[1] 전 세계 사이버 공격의 26% 이상이 제조업을 표적으로 삼고 있습니다. 공급망이 더욱 디지털화되고 상호 연결됨에 따라 공급망이 표적이 되는 경우가 많습니다. 소프트웨어 공급업체와 물류 제공업체부터 제조업체와 유통업체에 이르기까지 공급망 생태계의 모든 연결 고리를 겨냥한 공격이 점점 더 정교해지면서 위협 환경이 빠르게 변화하고 있습니다.

제조업체가 미국 내 공급망을 구축할 때, 단순히 사업을 확장하는 것이 아니라 장기적인 회복탄력성을 위한 기반을 마련하는 것입니다. 처음부터 사이버 보안 모범 사례를 통합함으로써 기업은 위험 관리를 운영의 경쟁 우위로 전환하고 안전하고 지속 가능한 성장을 보장할 수 있습니다.

공급망에 대한 사이버 공격이 계속 증가하고 있습니다.

공급망 사이버 공격은 유병률, 비용, 해결 시간 측면에서 급격히 증가하고 있습니다. 2021년부터 2023년까지 공급망 관련 공격 건수는 431% 증가했습니다.[2] 작년에는 두 번째로 널리 퍼진 공격 벡터가 되었으며(작년 전체 침해의 15% 차지),[3] 또한 두 번째로 비용이 많이 드는 공격 유형입니다. 미국의 평균 침해 비용은 2025년에 9% 증가한 1 ,022만 달러 (2024년 관련 침해 데이터 기준)로 계속 상승하고 있으며, 공급망 침해의 경우 이보다 더 높습니다.[4] 또한 공급망 공격은 해결하는 데 가장 오랜 시간이 걸립니다. 작년에 공급망에 대한 사이버 관련 침해는 탐지 및 차단에 총 267일이 소요되었습니다.

왜 그럴까요? 연구에 따르면 기업이 공급업체를 적절히 감독하지 않아 사이버 공격이 최종적으로 탐지되었을 때 탐지가 지연되고 비용과 해결 기간이 늘어나는 것으로 나타났습니다. 예를 들어, 세계적인 리서치 및 자문 회사인 Gartner에서 실시한 2024년 설문조사에 따르면 지난 12개월 동안 95%의 조직이 타사 공급업체와 관련된 위험 신호를 발견 했지만, 그 중 약 절반만이 이를 규정 준수 팀에 에스컬레이션한 것으로 나타났습니다[6].

공격자들은 이러한 신뢰 관계와 광범위한 네트워크를 악용합니다. 아래에 자세히 설명된 바와 같이 공격자는 공급업체, 벤더, 제조업체, 고객 간에 구축된 신뢰와 컴퓨터 간 통신을 이용합니다.[7] 또한 제3자 및 제4자 공급업체와 같이 공급망의 더 아래쪽에 있는 연결 고리도 공격 대상으로 삼습니다. 공격자들은 고객과 직속 공급업체가 공급망의 더 아래쪽에 있는 공급업체에 대한 적절한 감독과 규정 준수를 위한 노력을 기울이지 않는 경우가 많다는 사실을 알고 있습니다[8].

공격자들이 계속해서 수법을 개선하고 있기 때문에 이러한 추세는 줄어들지 않을 것으로 보입니다. 이러한 공격에 대응하기 위한 첫 번째 단계는 공격자들의 일반적인 전술을 더 잘 이해하여 기관의 모범 사례를 구현하는 것입니다.

공급망 사이버 공격: 진화하는 기술, 그러나 익숙한 전술

작동 방식

공급망 사이버 공격은 공급 파트너 간의 신뢰 관계를 이용합니다. 모든 조직은 네트워크 내에 해당 기업의 소프트웨어를 설치하여 사용하거나 공급업체로 협력하면서 다른 기업에 대해 어느 정도 암묵적인 신뢰를 가지고 있습니다. 해커는 단일 침해 지점을 통해 여러 조직에 침투할 수 있기 때문에 상호 연결된 에코시스템과 소프트웨어 체인에서 가장 약한 연결 고리를 목표로 삼아 저항이 가장 적은 경로를 선택하는 경우가 많습니다.

따라서 조직이 잘 방어되어 있고 강력한 사이버 보안 프로그램을 갖추고 있더라도 신뢰할 수 있는 공급업체 중 하나가 안전하지 않은 경우 공격자는 해당 공급업체를 표적으로 삼아 공급업체의 조직에 적용된 모든 보안을 우회할 수 있습니다. 공격자는 피싱 계획이나 소셜 엔지니어링 공격을 통해 공급업체 직원의 자격 증명을 손상시킵니다.

공격자가 공급업체의 시스템 내에서 발판을 마련한 후에는 네트워크를 가로질러 측면으로 이동하여 취약점을 탐색하고 악용하는 것을 목격했습니다. 예를 들어, 패치되지 않은 소프트웨어 취약점, 취약한 액세스 제어 또는 잘못 구성된 시스템을 악용하여 권한을 확대하고 침투를 더욱 심화하여 멀웨어 또는 악성 코드를 배포하거나 주요 공격 대상 조직의 네트워크에 액세스하기 위한 발판으로 사용할 수 있습니다. 이 취약 링크 경로는 직접 공격하기 매우 어려운 보안 조치를 우회합니다.

이러한 위협은 전 세계에 영향을 미칩니다. 해커가 직접 표적이 되지 않았더라도 의도적이든 의도적이지 않든 조직의 전체 인프라에 대한 통제권을 확보하는 것을 목격했습니다. 또한 위에서 언급했듯이 한 공급업체가 중단되면 공급망의 여러 당사자에게 영향을 미칠 수 있기 때문에 조직이 걱정해야 하는 것은 직접적인 공급업체뿐만 아니라 제3자 및 제4자 공급업체가 포함된 공급망으로 위험이 훨씬 더 깊숙이 확산될 수 있습니다.

공급망에 영향을 미치는 몇 가지 일반적인 사이버 공격 유형

피싱, 랜섬웨어, 멀웨어와 같은 수법이 여전히 널리 퍼져 있는 가운데 인공지능(AI)의 급속한 발전으로 사이버 보안 환경이 더욱 어려워지고 있습니다. 실제로 2025년에 이미 보고된 데이터 침해 사고의 16%는 어떤 형태로든 AI와 관련이 있습니다.[9] 위협 행위자들은 이제 AI를 활용하여 매우 그럴듯한 딥페이크 사칭을 만들고, 전례 없는 속도로 사실적인 피싱 캠페인을 제작하며, 복잡한 공급망의 취약점을 식별 및 악용하고 있습니다.[10] 예를 들어, 위협 행위자는 AI를 사용하여 공개적으로 액세스할 수 있는 표적 기업의 경영진 프로필을 빠르게 스캔하고 이러한 정보를 사용하여 각 수신자의 역할과 커뮤니케이션 스타일에 맞춘 피싱 이메일을 생성하여 모르는 직원이 권한이 없는 제3자에게 로그인 자격 증명을 노출하는 악성 링크를 클릭하도록 유도할 수 있습니다.

공급망에 대한 세 가지 유명한 사이버 보안 사고는 이러한 전술이 실제로 작동하고 있음을 보여줍니다.

• 에너지 부문에영향을 미치는 랜섬웨어 공격(2024년 1월): 한 다국적 에너지 관리 기업은 캑터스 랜섬웨어 조직과 관련된 것으로 추정되는 위협 공격자들이 VPN 장치와 관련된 취약점을 악용하여 시스템에 대한 초기 액세스 권한을 획득한 후 상당한 규모의 랜섬웨어 공격을 받았습니다. 공격자들은 1.5TB의 민감한 데이터를 유출했다고 주장하며, 이 중 25MB의 데이터를 유출했으며, 여기에는 기밀 유지 계약서 사본과 미국 시민의 여권 스캔본이 포함되어 있습니다. 현재까지 이 공격으로 인한 피해 규모와 피해 고객 수는 알려지지 않았습니다. 하지만 전 세계 2,000명 이상의 고객에게 서비스를 제공하는 기업이라는 점을 고려하면 상당한 규모일 것으로 보입니다.[11]
• 클라우드 기반 데이터 플랫폼 해킹(2024년 4월): 한 유명 클라우드 기반 데이터 플랫폼에서 소프트웨어 엔지니어가 인포스틸러 멀웨어를 통해 훔친 인증 정보를 사용하여 네트워크에 침투하면서 심각한 데이터 유출 사고가 발생했습니다. 이 유출로 인해 총 5억 명 이상의 개인 데이터를 처리하는 165개 고객사의 데이터가 유출되었습니다. 이 글을 쓰는 현재, 유출로 인한 총 피해액은 아직 알려지지 않았습니다[12].
• 글로벌 물류 제공업체 및 화물 운송업체에 대한 랜섬웨어 공격(2024년 8월). 한 주요 글로벌 물류 및 화물 운송 회사가 랜섬웨어 공격을 받아 기술 중단이 발생하고 서비스 제공에 영향을 미쳤습니다. 고객 서비스, 청구, 결제 시스템, 고객 및 공급업체 시스템과의 데이터 통합이 모두 영향을 받았습니다. 중앙 운영 시스템과 고객 대면 포털이 며칠 동안 오프라인 상태가 되었으며, 이로 인해 고객이 실시간으로 배송을 추적할 수 없어 전 세계적으로 물류 문제가 발생했습니다.[13] 이 글을 쓰는 현재, 사고의 총 비용은 아직 알려지지 않았습니다.

공급망 전반의 사이버 위험 완화를 위한 모범 사례

선제적으로 대응하세요. 공급 파트너는 문제가 발생했을 때 대응하는 데 그치지 않고 공급망 위험과 사이버 관련 중단을 관리하고 대비하여 급증하는 위협에 적응해야 합니다. 공급망은 가장 약한 고리만큼만 강해집니다. 내부적으로 그리고 공급망 전반에 걸쳐 보안 프로토콜을 구현하세요. 

1. 설계에 의한 보안. 제품 개발 및 구현 단계에서 설계 원칙에 따라 보안을 구현하세요. 보안 조치를 조기에 포함함으로써 조직은 악용 가능한 결함을 줄이고 공급망 시스템의 복원력을 강화할 수 있습니다.
2. 위험 관리 프레임워크. 사이버 공급망 위험 관리(C-SCRM) 원칙을 통합하는 포괄적인 위험 관리 프레임워크를 구현합니다.[14] C-SCRM은 공급망 전반의 사이버 보안 위험 노출을 관리하고 적절한 대응 전략, 정책, 프로세스 및 절차를 개발하기 위한 체계적인 프로세스입니다. 또한 미국표준기술연구소("NIST")의 사이버보안 프레임워크(CSF) 2.0은 사이버 위험 관리에 대한 구조화된 접근 방식을 제공하며 모든 규모와 분야의 조직이 위험 관리 전략을 개발하는 기반이 될 수 있습니다.[15] CSF 2.0에는 조직이 이러한 위험을 해결하는 데 도움이 되는 추가적인 C-SCRM 결과도 포함되어 있습니다. CSF C-SCRM 카테고리[GV.SC]의 하위 범주는 사이버 보안에 초점을 맞춘 결과와 더 광범위한 C-SCRM 목표를 연결하는 가교 역할을 합니다.
3. AI 및 서비스형 소프트웨어("SaaS") 거버넌스. 모든 내부(예: 직원) 및 외부(예: 공급업체) AI 솔루션과 SaaS 도구의 모든 사용을 목록화하고 제어하여 공급망 전체에서 악용 가능한 취약점을 최소화합니다. AI가 발전함에 따라 조직은 AI 기반 위협에 대한 보안 교육을 업데이트하고, 타사 위험을 평가하고, 보안을 유지하기 위한 AI 거버넌스를 구축해야 합니다. 거버넌스 프로그램은 직원들이 정책과 절차를 올바르게 준수하는 방법을 이해할 때에만 효과적이라는 점을 기억하는 것이 중요합니다.
4. 공급업체 실사. 공급업체를 선정할 때는 철저한 실사를 실시하고 사이버 보안 태세, 사고 대응 능력, 복원력, 데이터 보호 및 보안과 관련된 관련 법률, 규정 및 업계 표준 준수 여부를 평가하세요. 이는 타사 공급업체와 관련된 잠재적 위험을 식별하고 완화하는 데 도움이 됩니다.
5. 기존 공급업체에 대한 철저한 평가. 기존 공급업체에 대한 보안 평가 및 감사를 정기적으로 실시하여 사이버 보안 통제 및 관행의 효과를 평가하고 공급망 수명 주기 전반에 걸쳐 관련 보안 표준 및 기타 해당 법률 및 계약 요건을 준수하는지 확인합니다. 또한 타사 공급업체와 관련된 공급망 위험을 식별하고 완화하기 위해 C-SCRM 관행을 구현하는 것이 좋습니다. 또한 공급업체 관리는 타사 공급업체와 관련된 중대한 문제나 보안 관련 문제가 해결을 위해 적절하게 상부로 에스컬레이션될 수 있도록 조직 전체에서 효과적인 커뮤니케이션이 이루어져야 합니다.
6. 공급업체 계약. 모든 RFP와 주요 공급망 공급업체와의 계약에 최소한 공급업체와의 명확한 책임 및 책임 배분, 공급업체 자체 시스템의 복원력, 직원에 대한 정기적인 교육, 보안 사고에 대한 신속한 통지 및 이와 관련한 귀사와의 지속적인 협력, 정기 감사, 하도급 및 기타 관련 조치 등 관련 법률 및 업계 표준 준수에 필요한 강력한 사이버 보안 요구사항을 포함하거나 다루도록 해야 합니다. 또한 기업은 기존 공급업체 계약을 정기적으로 검토하고 업데이트하여 충분한 사이버 보안 요구사항이 마련되어 있는지 확인하고 미비한 경우 추가 사항을 모색해야 합니다.
7. 지속적인 모니터링 및 탐지. 지속적인 모니터링 및 탐지 메커니즘을 구현하여 사이버 위협을 실시간으로 식별하고 대응하세요. 예를 들어, 조직은 위협 인텔리전스 피드, 보안 정보 및 이벤트 관리(SIEM) 시스템, 침입 탐지/방지 시스템을 활용하여 공급망 내에서 사용되는 시스템 및/또는 소프트웨어와 관련된 의심스러운 활동과 이상 징후를 모니터링하는 것을 고려해야 합니다.
8. 안전한 액세스 제어, 암호화 조치 및 패치 관리. 강력한 액세스 제어 및 데이터 암호화 조치를 구현하여 공급망 내에서 공유되는 민감한 정보를 보호하세요. 미사용 데이터와 전송 중인 데이터를 모두 암호화하면 무단 액세스나 가로채기로부터 데이터를 보호하는 데 도움이 됩니다. 액세스 제어(예: 다단계 인증, 역할 기반 액세스 제어, 최소 권한 원칙 등)는 타사 제공업체의 중요 자산 및 시스템에 대한 액세스를 제한하는 데 도움이 됩니다. 또한 운영 체제 및 애플리케이션을 포함한 모든 소프트웨어를 최신 보안 패치로 최신 상태로 유지하세요. 정기적인 업데이트를 통해 취약점을 즉시 해결하세요.
9. 사고 대응 및 비즈니스 연속성 계획. 기존 사고 대응 계획을 개발하거나 업데이트하여 주요 타사 공급망 제공업체와 관련되거나 이로부터 발생하는 사이버 사고에 대응하는 프로세스를 포함하도록 합니다(공급망별 위협 및 취약성을 해결하기 위해 관련 C-SCRM 관행이 내장된 경우). 또한 공급망 사이버 공격 시 운영의 연속성을 보장하기 위해 비즈니스 연속성 및 재해 복구 계획을 개발하고 정기적으로 테스트하는 것이 현명할 것입니다.
10. 교육 및 인식 제고. 직원, 공급업체 및 이해관계자에게 정기적인 사이버 보안 인식 교육을 제공하여 (i) 일반적인 사이버 위협의 중요성과 모범 사례를 교육하고, (ii) 사이버 위험 완화에 있어 C-SCRM 원칙과 공급망 보안의 중요성에 대한 인식을 고취하고, (iii) 잠재적인 사이버 위협을 인식하고 신고하도록 장려합니다.

결론

미국 내 입지를 확장하는 제조업체의 경우 이제 사이버 보안을 규정 준수 체크박스가 아닌 전략적 지원 요소로 간주해야 할 때입니다. 탄력적인 공급망은 더 안전할 뿐만 아니라 더 스마트하고 민첩하며 장기적인 성공을 위한 더 나은 입지를 확보할 수 있습니다.

그렇지 않고 공급업체 위험 관리를 소홀히 하면 막대한 재정적 손실, 지적 재산 도난, 평판 손상, 사회적 영향 등의 위험이 발생할 수 있습니다. 사이버 위협은 피할 수 없지만, 기업은 강력한 공급업체 위험 관리 프레임워크를 구축하고 보안 조치를 강화함으로써 그 영향을 크게 최소화할 수 있습니다. 이를 통해 기업은 소중한 자산, 평판, 이해관계자 관계를 더욱 효과적으로 보호할 수 있습니다.

[1] IBM X-Force 2025 위협 인텔리전스 인덱스, https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index (2025년 8월 17일 최종 액세스) 참조 .

[2] Cowbell Cyber, 사이버 라운드업 보고서 2024, 4페이지, https://cowbell.insure/wp-content/uploads/pdfs/CB-US-Q4-CyberRoundupReport24.pdf (2025년 8월 17일에 마지막으로 액세스) 참조 .

[3] 같은 책, 17쪽.

[4] 포네몬연구소(IBM이 후원, 분석 및 발행), 데이터 유출 비용 보고서 2025 (2024년 8월)(이하 '데이터 유출 비용 보고서'), 4페이지, https://www.ibm.com/reports/data-breach (콘텐츠에 액세스하려면 등록 필요)(2025년 8월 17일 최종 액세스), 이용 가능.

[5] 같은 책, 18쪽.

[6] Gartner, Gartner, 규정 준수 리더는 제3자 위험을 효과적으로 관리하기 위해 관계 소유자와 일관된 커뮤니케이션이 필요하다고 말하다 (2025년 4월 23일), https://www.gartner.com/en/newsroom/press-releases/2025-04-23-gartner-says-compliance-leaders-need-consistent-communication-with-relationship-owners-to-effectively-manage-tihird-party-work.  

[7] 데이터 유출 비용 보고서, 18페이지 참조.

[8] 아이디 참조.

[9] 같은 책, 38쪽 참조.

[10] 아이디 참조.

[11] 보안 프레임, 20가지 최근 사이버 공격과 사이버 보안의 미래에 대한 시사점 (2025년 7월 15일), https://secureframe.com/blog/recent-cyber-attacks (2025년 8월 17일 최종 액세스).

[12] Ravie Lakshmanan, 눈송이 유출로 165개 고객 데이터 노출, 진행 중인 탈취 캠페인 (2024년 6월 11일), https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html (2025년 8월 17일에 마지막으로 액세스됨).

[13] 세계 경제 포럼, 왜 사이버 복원력이 화물 운송업체의 최우선 순위가 되어야 하는가 (2025년 6월 4일), https://www.weforum.org/stories/2025/06/cyber-resilience-top-priority-for-freight-forwarders/ 참조.

[14] NIST SP 800-161 Rev. 1(2024), https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final.

[15] NIST 사이버보안 프레임워크(CSF) 2.0(2024), https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf.