여러분의 회사가 사용하는 소프트웨어, 정말 안전합니까? 2020년 말 전 세계를 충격에 빠뜨린 SolarWinds 사태는 IT 업계의 상식을 뒤흔들었습니다. 수만 개 조직이 사용하던 네트워크 관리 소프트웨어의 정상적인 업데이트 파일에 악성코드가 삽입되었고, 이를 통해 정부 기관과 대기업까지 침해당했습니다. 공격자는 소프트웨어 공급업체를 먼저 해킹한 뒤, 그 신뢰 관계를 타고 수천 개의 최종 고객에게 악성코드를 배포한 것입니다.
이런 공급망 공격(Supply Chain Attack)은 더 이상 대기업만의 문제가 아닙니다. 중소기업은 대기업에 비해 보안 인력과 예산이 부족하고, 사용하는 소프트웨어와 서비스의 보안 수준을 독자적으로 검증하기 어렵습니다. 그 결과, 공급망의 가장 약한 고리가 되어 공격자의 표적이 되는 경우가 늘어나고 있습니다. 보안 전문가들은 공급망 공격이 앞으로 가장 빠르게 증가할 사이버 위협 유형 중 하나라고 경고하고 있습니다.
이 글에서는 공급망 공격의 메커니즘을 이해하기 쉽게 분해하고, 중소기업 IT 담당자가 즉시 실행할 수 있는 방어 전략을 단계별로 제시합니다. 또한 랜섬웨어와 결합된 공급망 공격에 대비하는 다층 방어 체계 구축 방법까지 다룹니다.
공급망 공격이란? 기존 해킹과 무엇이 다른가
전통적인 사이버 공격은 표적 조직의 방화벽, 이메일, 웹사이트 등을 직접 공략합니다. 반면 공급망 공격은 표적이 신뢰하는 제3자(소프트웨어 벤더, IT 서비스 제공업체, 오픈소스 라이브러리 등)를 먼저 침해한 뒤, 그 신뢰 관계를 통해 최종 표적에 접근하는 간접 공격 방식입니다.
이 방식이 특히 위험한 이유는 세 가지입니다. 첫째, 정상적인 채널을 통해 악성코드가 유입되므로 기존 보안 솔루션이 탐지하기 극히 어렵습니다. 소프트웨어 업데이트 서버에서 내려받은 파일을 백신이 차단할 리가 없습니다. 둘째, 한 번의 공격으로 수백~수천 개 조직이 동시에 피해를 입을 수 있어 공격의 효율이 극대화됩니다. 셋째, 피해 조직은 자신이 침해당한 사실조차 장기간 인지하지 못하는 경우가 대부분입니다. SolarWinds 사례에서도 악성코드가 수개월간 탐지되지 않았습니다.
공급망 공격의 본질은 '신뢰의 악용'입니다. 우리가 검증 없이 신뢰하는 모든 소프트웨어, 플러그인, 서비스 제공업체가 잠재적 공격 경로가 될 수 있습니다.
공급망 공격의 주요 유형과 실제 공격 경로
공급망 공격은 다양한 형태로 나타납니다. 중소기업이 특히 주의해야 할 유형을 정리하면 다음과 같습니다.
| 공격 유형 | 공격 경로 | 중소기업 위험도 | 대표 사례 |
|---|---|---|---|
| 소프트웨어 업데이트 변조 | 벤더의 업데이트 서버 해킹 → 정상 업데이트에 악성코드 삽입 | 매우 높음 | SolarWinds (2020) |
| 오픈소스 라이브러리 오염 | 널리 사용되는 오픈소스 패키지에 악성코드 주입 | 높음 | event-stream (npm, 2018) |
| MSP/IT 서비스 제공업체 침해 | IT 관리 서비스 업체 해킹 → 고객사 관리 도구를 통한 랜섬웨어 배포 | 매우 높음 | Kaseya VSA (2021) |
| 하드웨어/펌웨어 변조 | 제조 과정에서 악성 칩·펌웨어 삽입 | 중간 | 다수 보고 |
| 코드 서명 인증서 탈취 | 벤더의 코드 서명 키 탈취 → 악성코드에 정상 서명 적용 | 높음 | ASUS Live Update (2019) |
이 중 중소기업에게 가장 현실적인 위협은 MSP/IT 서비스 제공업체 경유 공격입니다. 많은 중소기업이 IT 인프라 관리를 외부 업체에 위탁하는데, 이 업체가 침해당하면 원격 관리 도구(RMM)를 통해 고객사 전체에 랜섬웨어가 동시 배포될 수 있습니다. 2021년 Kaseya VSA 사건에서는 IT 관리 소프트웨어의 취약점이 악용되어 전 세계 수백 개 기업이 REvil 랜섬웨어에 감염되었습니다.
시나리오: 중소기업 A사의 공급망 공격 피해
직원 50명 규모의 제조업체를 상상해 보겠습니다. 이 회사는 IT 관리를 외부 MSP에 위탁하고 있으며, MSP가 제공하는 원격 관리 도구를 통해 보안 패치와 모니터링을 받고 있습니다. 어느 날, MSP의 관리 서버가 공격자에 의해 침해됩니다. 공격자는 MSP의 관리 도구를 통해 이 제조업체를 포함한 MSP의 전체 고객사에 랜섬웨어를 배포합니다. 제조업체의 ERP 시스템, 설계 도면 서버, 공유 폴더가 모두 암호화됩니다. 백업 역시 같은 MSP가 관리했기 때문에 백업 데이터까지 암호화되었습니다. 생산 라인이 멈추고, 복구까지 2주가 걸리며, 그 기간의 매출 손실과 거래처 신뢰 하락은 기업 존속을 위협하는 수준이 됩니다.
이 시나리오는 가상이지만, 실제로 이와 유사한 패턴의 사건들이 전 세계적으로 보고되고 있습니다. 핵심 교훈은 IT 관리를 외부에 위탁했더라도, 보안의 최종 책임은 자사에 있다는 것입니다.
중소기업을 위한 공급망 공격 방어 5단계 전략
공급망 공격을 완전히 차단하는 것은 불가능하지만, 피해 가능성을 크게 줄이고, 만약의 사태에서 빠르게 복구할 수 있는 체계를 갖추는 것은 충분히 가능합니다. 중소기업의 현실적인 리소스를 고려한 5단계 전략을 제시합니다.
-
공급업체 보안 평가 체계 수립
소프트웨어 벤더, IT 서비스 제공업체, 클라우드 서비스 등 외부 공급업체의 보안 수준을 평가하는 기준을 만들어야 합니다. 복잡한 감사(audit)가 아니더라도, 계약 시 보안 인증 보유 여부(ISMS, ISO 27001 등), 사고 발생 시 통지 절차, 데이터 접근 권한 범위 등을 확인하는 체크리스트만으로도 효과적입니다. 한국의 개인정보보호법에서도 수탁업체의 보안 관리 의무를 명시하고 있으므로, 법적 요건 충족을 위해서도 반드시 필요합니다.
-
최소 권한 원칙(Least Privilege) 철저 적용
외부 서비스 제공업체에 부여하는 접근 권한을 최소한으로 제한합니다. MSP에게 도메인 관리자(Domain Admin) 권한을 무한정 부여하는 관행은 매우 위험합니다. 작업에 필요한 최소한의 권한만 부여하고, 작업 완료 후에는 권한을 회수하는 프로세스를 수립해야 합니다. 또한 관리자 계정에는 반드시 다중 인증(MFA)을 적용합니다.
-
네트워크 세분화(Segmentation)와 모니터링
하나의 침해 지점에서 전체 네트워크로 확산되는 것을 막기 위해 네트워크를 세분화합니다. 핵심 업무 서버, 백업 서버, 일반 업무용 PC 네트워크를 분리하고, 각 구간 간 트래픽을 모니터링합니다. 특히 백업 인프라는 반드시 일반 업무 네트워크와 분리하여 랜섬웨어가 백업까지 암호화하는 최악의 상황을 방지해야 합니다.
-
소프트웨어 공급망 가시성 확보
회사에서 사용하는 모든 소프트웨어의 목록을 관리하고, 불필요한 소프트웨어는 제거합니다. 자동 업데이트를 전적으로 신뢰하기보다, 중요 시스템의 업데이트는 테스트 환경에서 먼저 검증 후 적용하는 절차를 도입합니다. 또한 소프트웨어 구성 요소 목록(SBOM, Software Bill of Materials)을 벤더에 요청하여 어떤 오픈소스 컴포넌트가 포함되어 있는지 파악하는 것도 점점 중요해지고 있습니다.
-
다층 방어와 독립적 백업 체계 구축
공급망 공격은 단일 보안 솔루션으로 막을 수 없습니다. 엔드포인트 보호(EDR/XDR) + 이메일 보안 + 네트워크 모니터링 + 독립적 백업의 다층 구조가 필요합니다. 특히 백업은 공급망 공격에 대한 최후의 보루이므로, IT 서비스 제공업체와 별도로 관리되는 독립적인 백업 시스템을 갖추는 것이 핵심입니다.
MSP가 관리하는 백업만 존재하는 경우, MSP 침해 시 백업까지 함께 파괴될 수 있습니다. 반드시 3-2-1 백업 원칙(3개의 데이터 사본, 2종류의 미디어, 1개의 오프사이트 보관)을 준수하고, 최소 1개의 백업 사본은 자사가 독립적으로 관리해야 합니다.
랜섬웨어와 결합된 공급망 공격, 통합 보안으로 대응하기
최근의 공급망 공격은 단순 데이터 유출에 그치지 않고, 랜섬웨어를 최종 페이로드로 배포하는 경향이 뚜렷합니다. 공격자 입장에서는 공급망을 통해 한 번에 수백 개 기업을 감염시키고, 각각에 몸값을 요구할 수 있어 수익성이 극대화되기 때문입니다.
이에 대응하려면 보안(Protection)과 복구(Recovery)를 하나의 체계로 통합하는 접근이 필요합니다. 보안 솔루션이 공격을 탐지·차단하되, 만약 차단에 실패하더라도 즉시 복구할 수 있는 구조를 갖추는 것이 현실적인 방어 전략입니다.
| 방어 계층 | 역할 | 공급망 공격 대응 효과 |
|---|---|---|
| AI 기반 행동 탐지 | 알려지지 않은 악성코드의 비정상 행동 패턴 탐지 | 정상 업데이트로 위장한 악성코드도 실행 시점에서 이상 행동 포착 가능 |
| 이미지 기반 전체 백업 | OS, 애플리케이션, 데이터를 포함한 전체 시스템 이미지 백업 | 랜섬웨어 감염 시 감염 직전 시점으로 전체 시스템을 빠르게 복구 |
| 불변 백업(Immutable Backup) | 일정 기간 동안 수정·삭제가 불가능한 백업 사본 유지 | 공격자가 백업 시스템에 접근하더라도 백업 데이터 파괴 불가 |
| 패치 관리 자동화 | OS 및 주요 소프트웨어의 보안 패치 현황 관리·자동 적용 | 공급망 외 다른 경로의 취약점 악용 차단으로 전체 공격 표면 축소 |
| 통합 관리 콘솔 | 보안·백업·패치 상태를 단일 대시보드에서 모니터링 | 소수 인력으로도 전체 보안 상태를 효율적으로 관리 가능 |
Acronis Cyber Protect는 이러한 다층 방어 계층을 하나의 플랫폼으로 통합한 솔루션입니다. 백업과 보안을 별도의 제품으로 운영할 때 발생하는 관리 복잡성과 보안 공백을 해소하고, 중소기업의 제한된 IT 인력으로도 엔터프라이즈 수준의 보안 체계를 운영할 수 있도록 설계되어 있습니다. AI 기반의 행동 탐지 엔진이 알려지지 않은 위협을 실시간으로 감지하고, 만약 감염이 발생하더라도 이미지 기반 백업을 통해 빠른 시간 내에 업무 복구가 가능합니다.
공급망 보안 자가 점검 체크리스트
지금 당장 여러분의 조직이 공급망 공격에 얼마나 준비되어 있는지 점검해 보십시오. 아래 항목 중 3개 이상 '아니오'에 해당한다면, 공급망 보안 체계를 시급히 보강해야 합니다.
- 사용 중인 소프트웨어·서비스 전체 목록을 관리하고 있는가? — 섀도우 IT(미승인 소프트웨어)가 가장 큰 보안 사각지대입니다.
- 외부 IT 서비스 업체의 접근 권한을 정기적으로 검토·축소하고 있는가? — 계약 종료 후에도 권한이 유지되는 경우가 빈번합니다.
- 모든 관리자 계정에 다중 인증(MFA)이 적용되어 있는가? — MFA 하나만으로도 계정 탈취 위험을 획기적으로 줄일 수 있습니다.
- 백업 시스템이 일반 업무 네트워크와 분리되어 있는가? — 동일 네트워크의 백업은 랜섬웨어에 함께 암호화될 수 있습니다.
- 3-2-1 백업 원칙을 준수하고 있는가? — 특히 오프사이트(또는 클라우드) 백업 사본이 존재하는지 확인하십시오.
- 백업에서 실제 복구 테스트를 정기적으로 수행하고 있는가? — 복구 테스트 없는 백업은 '있는 척'하는 것에 불과합니다.
- 소프트웨어 업데이트 전 테스트 절차가 있는가? — 최소한 중요 서버 업데이트는 테스트 환경에서 먼저 검증해야 합니다.
- 외부 업체와의 계약에 보안 사고 통지 조항이 포함되어 있는가? — 개인정보보호법은 수탁업체의 보안 관리 의무와 사고 통지를 요구합니다.
완벽한 방어는 없습니다. 하지만 '예방 + 탐지 + 복구'의 세 축을 모두 갖춘 조직은 공급망 공격을 받더라도 사업 연속성을 유지할 수 있습니다. 보안 투자의 핵심은 '공격을 100% 막겠다'가 아니라 '공격받았을 때 얼마나 빨리 정상으로 돌아올 수 있는가'입니다.
마무리: 공급망 보안, KDSys와 함께 시작하십시오
공급망 공격은 신뢰를 무기화하는 공격이기 때문에, 기존의 경계 기반 보안만으로는 대응할 수 없습니다. 중소기업이 실행할 수 있는 핵심 전략을 다시 요약합니다.
- 공급업체 보안 평가를 계약 프로세스에 포함하십시오.
- 최소 권한 원칙과 다중 인증(MFA)을 모든 외부 접근에 적용하십시오.
- 네트워크 세분화로 침해 확산을 차단하십시오.
- 독립적인 백업 체계(3-2-1 원칙)를 반드시 구축하십시오.
- 보안과 백업을 통합한 다층 방어 체계를 운영하십시오.
KDSys는 Acronis Cyber Protect를 기반으로 한국 중소기업 환경에 최적화된 사이버 보안·백업 솔루션을 제공합니다. 보안과 백업을 별도로 운영하는 복잡함 없이, 하나의 플랫폼에서 공급망 공격을 포함한 다양한 사이버 위협에 대응할 수 있습니다. KDSys의 전문 엔지니어가 현재 보안 환경을 무료로 진단하고, 귀사에 맞는 공급망 보안 강화 방안을 제안해 드립니다.
공급망 공격으로부터 여러분의 비즈니스를 보호할 준비가 되셨습니까? 지금 KDSys에 문의하여 무료 보안 진단을 받아보십시오.
