외부 협력업체 등 제3자를 통해 발생하는 공급망 공격 보안에 대한 관심이 높아지고 있다. 서비스형 소프트웨어(SaaS) 등 클라우드를 기반으로 하는 외부 업체의 서비스를 활용하는 기업이 늘어나면서, 해커가 타깃 기업을 직접 공격하기보단 해당 기업 외주업체의 보안 허점을 노리기 시작했기 때문이다. 정부도 관련 위협이 커지면서 포럼을 발족하며 보안 강화에 나섰다.

공급망 공격이란 회사의 시스템 및 데이터에 접속할 수 있는 외부 협력업체 소프트웨어 개발자나 공급업체 등을 통해 발생하는 사이버 공격을 뜻한다. 특정 회사에 해커가 직접 침투하는 것이 아니라 제3자의 보안 취약점을 통해 공격하므로 ‘서드파티 공격(third party attack)’이라 불리기도 한다. 예컨대 한 대기업의 마케팅팀에서 외부 스타트업의 데이터 분석 도구를 사용한다고 가정하면, 해커는 보안 수준이 상대적으로 높은 대기업 대신 비교적 보안이 느슨한 스타트업을 해킹해 대기업의 내부 시스템에 우회로 침투할 수 있다는 것이다.

더 많은 기업이 다양한 업무를 진행하기 위해 기업형 소프트웨어 서비스인 SaaS 등을 활용하면서 기업에 해커가 침투할 수 있는 통로가 늘어나고 있다. 29일 IT 비영리 연합체 리눅스 재단에 따르면 최근 3년간 소프트웨어 공급망에 대한 사이버 공격이 연평균 742% 증가했다.
특히 2020년 12월 네트워크 통합 관리 소프트웨어 업체 솔라윈즈가 해킹당하며 발생한 공급망 공격 이후 이에 대한 시장의 관심이 더 커졌다. 당시 솔라윈즈라는 업체 한 곳이 해커로부터 악성 코드 공격을 당하면서 이 회사의 소프트웨어 제품을 이용하는 약 2만개에 달하는 기관과 기업이 자료 유출 피해 등을 봤다. 특히 피해를 본 곳 중엔 마이크로소프트(MS), 인텔, 미국 국방부, 재무부 등 정부 기관도 있었다.

공급망 보안의 중요성이 커지면서 정부 차원에서도 대응책을 마련하기 시작했다. 지난 26일 과학기술정보통신부와 한국인터넷진흥원(KISA)은 서울 강남에서 ‘제로 트러스트·공급망 보안 정책 포럼’ 발족식 열었고 관련 연구를 진행해 이와 관련된 보안 규제의 국가 표준화를 이뤄내겠다고 밝혔다.

이날 박윤구 과기정통부 차관은 “제로 트러스트와 공급망 보안을 위한 새 기준 마련하고 단계별 도입 추진할 시점 왔다”라며 민관과 공공의 협력을 통해 국가 차원의 보안 전략을 마련하겠다고 밝혔다. ‘제로트러스트’는 ‘아무도 신뢰하지 않는다’는 의미의 사이버 보안 시스템을 의미하며 공급망 보안과 함께 최근 보안 주요 트렌드로 꼽힌다.

포럼은 운영위원회, 제로트러스트 2개 분과, 공급망 보안 2개 분과인 ‘정책과 산업’, ‘기술과 표준’으로 구성됐다. 정부는 학계와 업계 전문가들과 함께 공급망 보안 강화를 위한 가이드라인을 제시하고 다양한 연구 개발을 진행할 예정이다.

국가 차원의 공급망 보안 강화는 전 세계적인 흐름이기도 하다. 미국은 앞서 올해 행정명령을 내려 연방 정부 차원에서 제로트러스트 아키텍처를 구현하도록 했다. 또 미국 연방기관에 소프트웨어 제품을 납품하는 경우 명세서 제출을 의무화하는 등 공급망 보안을 강화하고 있다.