여러분 회사에서 매일 사용하는 소프트웨어가 있습니다. IT 관리 도구, 회계 프로그램, 원격 접속 솔루션 등 업무에 필수적인 도구들입니다. 어느 날 이 소프트웨어의 정상적인 업데이트를 설치했을 뿐인데, 그 안에 랜섬웨어가 숨어 있었다면 어떨까요? 이것이 바로 공급망 공격(Supply Chain Attack)의 핵심 시나리오입니다.
공급망 공격은 최근 몇 년간 사이버 보안 업계에서 가장 빠르게 증가하고 있는 위협 유형 중 하나로 꼽힙니다. 보안 전문가들은 공격자들이 직접 방어가 견고한 최종 타깃을 노리는 대신, 상대적으로 보안이 취약한 공급업체·소프트웨어 벤더·서비스 제공자를 먼저 침투한 뒤 그 신뢰 관계를 악용해 수많은 하위 기업으로 피해를 확산시킨다고 경고합니다. 문제는 중소기업이야말로 이 공격 체인에서 가장 취약한 고리가 되기 쉽다는 점입니다.
"우리 회사는 규모가 작으니 해커의 관심 밖일 것"이라고 생각하신다면, 지금부터 그 오해를 바로잡아 드리겠습니다. 이 글에서는 공급망 공격의 작동 원리, 실제 피해 사례, 그리고 중소기업 IT 담당자가 즉시 실행할 수 있는 방어 전략을 구체적으로 안내합니다.
공급망 공격이란 무엇인가: 신뢰를 무기로 바꾸는 공격
공급망 공격은 한마디로 "신뢰의 악용"입니다. 기업은 소프트웨어 벤더, 클라우드 서비스 제공자, MSP(관리형 서비스 제공자), 하드웨어 공급업체 등 수많은 외부 파트너에 의존합니다. 이 파트너들의 제품이나 서비스에 악성 코드를 심어 넣으면, 최종 사용 기업은 정상적인 업무 과정에서 스스로 악성 코드를 내부에 들여오게 됩니다. 방화벽도, 이메일 보안 필터도 이 공격을 막기 어렵습니다. 왜냐하면 신뢰할 수 있는 경로를 통해 들어오기 때문입니다.
공급망 공격은 크게 세 가지 유형으로 나눌 수 있습니다:
- 소프트웨어 공급망 공격: 소프트웨어 빌드·배포 과정에 악성 코드를 삽입합니다. 사용자는 공식 업데이트를 설치하면서 감염됩니다. 2020년 SolarWinds 사건과 2021년 Kaseya VSA 사건이 대표적입니다.
- 서비스 공급망 공격: MSP나 클라우드 서비스 제공자를 먼저 침투한 뒤, 해당 업체가 관리하는 모든 고객사로 공격을 확산시킵니다.
- 하드웨어/펌웨어 공급망 공격: 장비 제조 또는 유통 과정에서 악성 펌웨어나 칩을 삽입합니다. 탐지가 극도로 어렵지만, 소프트웨어 방식에 비해 실행 난이도가 높아 상대적으로 빈도는 낮습니다.
공급망 공격의 가장 위험한 특성은 "연쇄 효과(Cascade Effect)"입니다. 하나의 소프트웨어 벤더가 침해되면 해당 소프트웨어를 사용하는 수천~수만 개 기업이 동시에 위험에 노출됩니다. 2021년 Kaseya 사건에서는 하나의 MSP 관리 도구를 통해 전 세계 다수의 기업이 동시에 랜섬웨어에 감염되었습니다.
왜 중소기업이 공급망 공격의 주요 피해자인가
대기업은 전담 보안팀, SOC(보안운영센터), 별도의 공급업체 보안 심사 프로세스를 갖추고 있습니다. 반면 중소기업은 다음과 같은 구조적 취약점을 가집니다:
첫째, 제한된 보안 인력과 예산입니다. 직원 10~200명 규모의 기업에서 전담 보안 인력을 두는 경우는 드뭅니다. IT 담당자 1~2명이 네트워크 관리, 사용자 지원, 보안까지 모두 겸임하는 것이 현실입니다. 소프트웨어 공급업체의 보안 수준을 사전에 평가하고 지속적으로 모니터링할 여력이 없습니다.
둘째, 소프트웨어 업데이트에 대한 무조건적 신뢰입니다. "보안 패치는 바로 적용해야 한다"는 원칙 자체는 맞습니다. 하지만 공급망 공격은 바로 이 올바른 관행을 역이용합니다. 중소기업은 업데이트 내용을 검증할 샌드박스 환경이나 스테이징 서버를 별도로 운영하기 어렵기 때문에, 공식 업데이트를 그대로 프로덕션 환경에 적용하는 경우가 대부분입니다.
셋째, 대기업의 공급망 일부로서의 위치입니다. 중소기업은 대기업에 부품, 서비스, 소프트웨어를 납품하는 경우가 많습니다. 공격자는 최종 목표인 대기업에 직접 침투하기 어려울 때, 보안이 상대적으로 취약한 중소 협력업체를 경유지로 활용합니다. 이 경우 중소기업은 피해자인 동시에 공격의 매개체가 되어 사업 관계까지 위험에 처할 수 있습니다.
| 비교 항목 | 대기업 | 중소기업 (10~200명) |
|---|---|---|
| 전담 보안 인력 | SOC 팀, CISO 등 전문 조직 보유 | IT 담당자가 보안 겸임 (1~2명) |
| 공급업체 보안 심사 | 체계적 벤더 리스크 관리 프로세스 | 계약 시 보안 조항 확인 정도 |
| 업데이트 검증 환경 | 별도 스테이징/샌드박스 서버 운영 | 프로덕션 직접 적용이 일반적 |
| 네트워크 분리(세그먼테이션) | 업무·서버·OT 영역 물리적/논리적 분리 | 플랫 네트워크 구조가 대부분 |
| 침해 사고 대응 계획 | 정기 훈련 및 자동화된 대응 절차 | 문서화된 계획 부재가 흔함 |
| 사고 시 비즈니스 영향 | 부서별 분산 대응 가능 | 전사 업무 마비로 직결 |
공급망 공격 방어를 위한 5단계 실행 가이드
공급망 공격은 완벽하게 막는 것이 불가능에 가깝습니다. 하지만 "침해를 전제한 방어(Assume Breach)" 관점에서 피해를 최소화하고 빠르게 복구할 수 있는 체계를 구축하는 것은 충분히 가능합니다. 아래는 중소기업 IT 담당자가 현실적으로 실행할 수 있는 5단계 방어 전략입니다.
-
제로 트러스트(Zero Trust) 원칙 적용
"내부 네트워크이므로 안전하다"는 전제를 버려야 합니다. 모든 사용자, 디바이스, 애플리케이션에 대해 지속적으로 인증·검증하세요. 구체적으로는 최소 권한 원칙(Least Privilege)을 적용해 각 사용자와 소프트웨어에 업무 수행에 필요한 최소한의 권한만 부여합니다. 관리자 계정은 일상 업무에 사용하지 않고, MFA(다중 인증)를 필수로 설정합니다.
-
소프트웨어 공급업체 보안 평가 체계화
새로운 소프트웨어 도입 시 해당 벤더의 보안 인증(ISO 27001, SOC 2 등), 보안 사고 이력, 업데이트 배포 절차의 무결성 검증 방식(코드 서명 등)을 확인하세요. 이미 사용 중인 소프트웨어에 대해서도 연 1회 이상 보안 상태를 점검하는 것이 좋습니다. 소규모 기업에서 이를 체계적으로 하기 어렵다면, 간단한 체크리스트 형태로라도 문서화하는 것이 아무것도 하지 않는 것보다 훨씬 낫습니다.
-
네트워크 세그먼테이션 구현
하나의 시스템이 감염되더라도 전체 네트워크로 확산되는 것을 막으려면 네트워크를 논리적으로 분리해야 합니다. 최소한 업무용 PC 네트워크, 서버 네트워크, 백업 네트워크는 분리하세요. 특히 백업 시스템은 일반 네트워크와 격리하거나, 별도의 인증 없이는 접근할 수 없도록 구성해야 합니다. 랜섬웨어가 백업까지 암호화하면 복구 자체가 불가능해집니다.
-
다층 엔드포인트 보호 + 행동 기반 탐지 도입
전통적인 시그니처 기반 안티바이러스만으로는 공급망 공격을 탐지하기 어렵습니다. 정상 소프트웨어의 프로세스 내에서 악성 행위가 발생하기 때문입니다. AI 기반 행동 분석이 가능한 엔드포인트 보호 솔루션을 도입하면, 정상 프로세스가 비정상적인 파일 암호화, 대량 파일 접근, 권한 상승 등의 행위를 시도할 때 이를 탐지하고 차단할 수 있습니다. Acronis Cyber Protect는 이러한 AI 기반 행동 탐지 기능과 백업/복구 기능을 단일 플랫폼에서 제공하는 것으로 알려져 있어, 별도의 보안 솔루션과 백업 솔루션을 따로 관리해야 하는 중소기업의 부담을 줄일 수 있습니다.
-
이미지 기반 백업 + 불변(Immutable) 백업 전략 수립
공급망 공격이 성공하더라도 확실한 복구 수단이 있으면 비즈니스 중단을 최소화할 수 있습니다. 단순 파일 백업이 아닌 전체 시스템 이미지 기반 백업을 수행하면, 감염된 시스템을 감염 이전 상태로 빠르게 복원할 수 있습니다. 또한 백업 데이터 자체를 랜섬웨어가 변조할 수 없도록 불변 스토리지(Immutable Storage)나 에어갭(Air-Gap) 방식을 적용하는 것이 핵심입니다.
공급망 공격 방어의 핵심은 "예방"과 "복구" 모두를 동시에 준비하는 것입니다. 아무리 강력한 예방 체계를 갖추더라도, 공급망 공격의 특성상 100% 차단은 현실적으로 불가능합니다. 따라서 침해가 발생했을 때 빠르게 탐지하고, 확실하게 복구할 수 있는 체계가 반드시 함께 갖춰져야 합니다.
실제 시나리오로 이해하는 공급망 공격의 위험
시나리오: MSP 관리 도구를 통한 랜섬웨어 확산
2021년 7월, IT 관리 소프트웨어 기업 Kaseya의 VSA 제품이 공급망 공격을 당했습니다. 공격자는 Kaseya VSA 서버의 취약점을 악용해 이 도구를 사용하는 MSP(관리형 서비스 제공자)들을 감염시켰고, 각 MSP가 관리하는 다수의 최종 고객 기업들에게 REvil 랜섬웨어가 배포되었습니다. 단 하나의 소프트웨어 취약점이 전 세계 여러 국가에 걸쳐 수많은 중소기업의 업무를 마비시킨 사건이었습니다.
이 사건에서 주목할 점은, 피해를 입은 최종 기업들은 자신이 잘못한 것이 아무것도 없었다는 것입니다. MSP가 관리하는 정상적인 IT 관리 채널을 통해 랜섬웨어가 배포되었기 때문입니다. 평소 백업 체계를 갖추고 있던 기업들은 상대적으로 빠르게 복구할 수 있었지만, 그렇지 못한 기업들은 장기간 업무 중단과 데이터 손실을 겪어야 했습니다.
이 사건은 중소기업에게 두 가지 교훈을 남깁니다. 첫째, 외부 서비스 제공자의 보안은 곧 우리 회사의 보안이라는 점입니다. MSP, SaaS 벤더, 소프트웨어 공급업체의 보안 수준을 주기적으로 확인해야 합니다. 둘째, 공격 경로가 어디든, 마지막 방어선은 항상 격리된 백업과 빠른 복구 능력이라는 점입니다.
한국 중소기업이 추가로 고려해야 할 법적·규정 요소
한국에서는 개인정보보호법에 따라 개인정보를 처리하는 기업은 기술적·관리적·물리적 안전조치를 이행해야 합니다. 공급망 공격으로 인해 고객 개인정보가 유출될 경우, 기업 규모와 관계없이 과징금 부과, 손해배상 소송, 행정처분의 대상이 될 수 있습니다. 또한 정보통신망법에 따라 정보통신서비스 제공자는 침해사고 발생 시 관계 기관에 신고할 의무가 있습니다.
2023년 개정된 개인정보보호법에서는 개인정보 처리를 위탁하는 경우 수탁자의 안전성 확보 조치를 감독할 의무가 더욱 강화되었습니다. 이는 곧 소프트웨어 공급업체나 클라우드 서비스 제공자의 보안 수준을 확인하는 것이 법적 의무에 해당할 수 있음을 의미합니다. 공급망 보안은 단순히 기술적 선택이 아니라, 컴플라이언스 차원에서도 필수적인 과제입니다.
공급망 공격 대응 체크리스트: 지금 바로 점검하세요
아래 체크리스트를 활용해 현재 우리 회사의 공급망 공격 대응 수준을 진단해 보세요:
- □ 소프트웨어 자산 목록 관리: 현재 사용 중인 모든 소프트웨어와 서비스의 목록이 문서화되어 있는가?
- □ 공급업체 보안 평가: 주요 소프트웨어 벤더의 보안 인증, 사고 이력, 업데이트 서명 방식을 확인했는가?
- □ 업데이트 적용 절차: 중요 시스템의 업데이트를 적용하기 전 테스트 환경에서 먼저 검증하는 절차가 있는가?
- □ 최소 권한 원칙: 모든 사용자 계정과 서비스 계정에 필요 최소한의 권한만 부여되어 있는가?
- □ MFA(다중 인증): 관리자 계정, 원격 접속, 클라우드 서비스에 MFA가 적용되어 있는가?
- □ 네트워크 분리: 업무 네트워크, 서버 네트워크, 백업 네트워크가 분리되어 있는가?
- □ 행동 기반 보안 솔루션: 시그니처 기반 안티바이러스 외에 행동 분석 기반 탐지 기능을 갖춘 보안 솔루션이 적용되어 있는가?
- □ 이미지 기반 백업: 파일 단위가 아닌 전체 시스템 이미지 백업을 정기적으로 수행하고 있는가?
- □ 백업 격리: 백업 데이터가 랜섬웨어로부터 보호되는 격리된 환경(불변 스토리지, 에어갭 등)에 보관되고 있는가?
- □ 복구 테스트: 백업으로부터의 실제 복구 테스트를 분기 1회 이상 수행하고 있는가?
- □ 사고 대응 계획: 공급망 공격을 포함한 침해 사고 발생 시의 대응 절차가 문서화되어 있고, 담당자가 지정되어 있는가?
위 항목 중 체크하지 못한 항목이 3개 이상이라면, 공급망 공격에 대한 대비가 상당히 부족한 상태입니다. 하나씩이라도 개선해 나가는 것이 중요합니다.
마무리: 공급망 보안, 더 이상 미룰 수 없는 과제입니다
공급망 공격은 "우리 회사의 보안만 잘하면 된다"는 전통적 보안 관점을 완전히 무너뜨리는 위협입니다. 신뢰하던 소프트웨어, 의존하던 서비스 제공자가 공격의 통로가 될 수 있기 때문입니다. 이에 대한 방어는 단일 솔루션으로 해결되지 않습니다. 제로 트러스트 원칙, 공급업체 보안 평가, 네트워크 분리, 행동 기반 탐지, 그리고 확실한 백업·복구 체계가 유기적으로 결합되어야 합니다.
특히 중소기업에서는 보안과 백업을 별도로 관리하는 것이 인력·비용 면에서 큰 부담입니다. Acronis Cyber Protect는 엔드포인트 보안, AI 기반 랜섬웨어 탐지, 이미지 기반 백업, 복구를 하나의 통합 플랫폼에서 제공하여 중소기업의 이러한 현실적 어려움을 해결하는 데 적합한 솔루션입니다.
KDSys는 Acronis 공인 파트너로서, 단순한 라이선스 판매가 아니라 기업 환경에 맞는 보안 아키텍처 설계, 백업 정책 수립, 초기 구축, 운영 지원까지 원스톱으로 제공합니다. 공급망 공격을 포함한 최신 사이버 위협에 대비하고 싶으시다면, 지금 KDSys에 무료 보안 진단을 요청해 보세요. 우리 회사의 현재 보안 수준을 정확히 파악하는 것이 방어의 첫걸음입니다.
