본문 바로가기
랜섬웨어 보호

공급망 공격(Supply Chain Attack) 완벽 가이드: 중소기업이 반드시 알아야 할 방어 전략 5가지

KDSys 보안팀
2026-07-13

여러분이 매일 사용하는 소프트웨어의 업데이트 버튼을 눌렀을 뿐인데, 그 안에 악성코드가 숨어 있었다면 어떨까요? 이것이 바로 공급망 공격(Supply Chain Attack)의 핵심입니다. 해커는 여러분의 회사를 직접 공격하는 대신, 여러분이 신뢰하는 소프트웨어 공급업체나 IT 서비스 제공자를 먼저 침투한 뒤, 그 신뢰 관계를 악용하여 최종 목표인 여러분의 시스템에 도달합니다.

2020년 SolarWinds 사건은 전 세계 수만 개 조직이 단 하나의 소프트웨어 업데이트를 통해 동시에 침해된 대표적 사례였습니다. 2021년 Kaseya VSA 사건에서는 IT 관리 소프트웨어가 랜섬웨어 유포 경로로 악용되어 수천 개의 중소기업이 피해를 입었습니다. 이러한 공격은 더 이상 대기업만의 문제가 아닙니다. 공급망의 가장 약한 고리는 보안 투자가 상대적으로 부족한 중소기업인 경우가 많으며, 해커들은 이를 정확히 알고 있습니다.

이 글에서는 공급망 공격이 어떻게 작동하는지, 왜 중소기업이 특히 취약한지, 그리고 제한된 예산과 인력으로도 실행할 수 있는 구체적인 방어 전략을 단계별로 안내합니다.

공급망 공격의 작동 원리: 신뢰를 무기로 삼는 해커

전통적인 사이버 공격은 방화벽을 뚫거나 피싱 메일로 직원을 속이는 방식이었습니다. 반면 공급망 공격은 완전히 다른 경로를 사용합니다. 해커는 여러분의 보안 시스템을 우회하기 위해 이미 허용된 경로—즉, 신뢰받는 소프트웨어의 업데이트 채널, IT 관리 도구의 원격 접속 권한, 오픈소스 라이브러리의 코드 저장소—를 이용합니다.

공급망 공격은 크게 세 가지 유형으로 나뉩니다. 첫째, 소프트웨어 공급망 공격으로, 정상적인 소프트웨어의 빌드 과정이나 업데이트 서버를 침해하여 악성코드를 삽입하는 방식입니다. 둘째, 서비스 공급망 공격으로, MSP(Managed Service Provider)나 클라우드 서비스 제공자를 침투하여 해당 서비스를 이용하는 모든 고객사에 접근하는 방식입니다. 셋째, 하드웨어/펌웨어 공급망 공격으로, 제조 과정에서 칩이나 펌웨어에 백도어를 심는 방식입니다.

특히 중소기업에게 가장 현실적인 위협은 첫 번째와 두 번째 유형입니다. 외부 IT 업체에 시스템 관리를 맡기거나, 다양한 SaaS 도구를 사용하는 중소기업일수록 공격 표면이 넓어지기 때문입니다. 해커 입장에서는 하나의 MSP를 침투하면 그 MSP가 관리하는 수십~수백 개 고객사에 동시 접근이 가능하므로, 투자 대비 수익률(ROI)이 극대화되는 효율적인 공격 방식입니다.

💡 핵심 포인트

공급망 공격은 여러분의 보안이 아무리 강력해도, 여러분이 신뢰하는 제3자의 보안이 취약하면 무력화됩니다. 보안은 가장 약한 고리만큼만 강합니다.

중소기업이 특히 취약한 3가지 구조적 이유

대기업은 전담 보안팀, SIEM(보안 정보 및 이벤트 관리) 시스템, 제로 트러스트 아키텍처 등 다층 방어 체계를 갖추고 있습니다. 반면 중소기업은 구조적으로 공급망 공격에 더 취약할 수밖에 없는 이유가 있습니다.

첫째, 공급업체에 대한 보안 검증 프로세스의 부재입니다. 대부분의 중소기업은 새로운 소프트웨어나 IT 서비스를 도입할 때 기능과 가격만 검토할 뿐, 해당 공급업체의 보안 체계(보안 인증, 코드 서명 방식, 침해 대응 계획 등)를 평가하지 않습니다. 공급업체가 어떤 보안 기준을 따르는지, 침해 발생 시 고객사에 어떻게 통보하는지조차 계약서에 명시하지 않는 경우가 대부분입니다.

둘째, 과도한 권한 부여와 접근 제어 미흡입니다. 외부 IT 업체에 관리자 권한을 부여하면서도, 해당 권한의 범위를 제한하거나 접속 이력을 모니터링하지 않는 경우가 흔합니다. 원격 데스크톱 프로토콜(RDP)이 기본 비밀번호로 열려 있거나, 다중 인증(MFA) 없이 관리 콘솔에 접근 가능한 환경은 공급망 공격의 이상적인 진입점이 됩니다.

셋째, 소프트웨어 업데이트에 대한 무조건적 신뢰입니다. '업데이트는 항상 좋은 것'이라는 인식 때문에, 업데이트 내용을 검증하거나 테스트 환경에서 먼저 적용해 보는 단계 없이 즉시 전사 배포하는 경우가 많습니다. 이는 공급망 공격의 핵심 메커니즘인 '악성 업데이트'에 그대로 노출되는 것입니다.

공급망 공격 방어를 위한 5단계 실행 가이드

예산과 인력이 제한된 중소기업이라도 아래 단계를 순서대로 실행하면 공급망 공격에 대한 방어력을 크게 높일 수 있습니다.

  1. 공급업체 보안 평가 체크리스트 수립
    새로운 소프트웨어나 서비스 도입 시, 공급업체에 보안 관련 질문서를 요청하세요. ISO 27001 인증 여부, 침해 사고 발생 시 통보 절차, 소프트웨어 코드 서명 방식, 정기 취약점 점검 실시 여부 등을 확인합니다. 완벽할 필요는 없지만, 질문을 던지는 것 자체가 공급업체의 보안 수준을 높이는 압력이 됩니다.
  2. 최소 권한 원칙(Principle of Least Privilege) 적용
    외부 업체에 시스템 접근 권한을 부여할 때, 업무 수행에 필요한 최소한의 권한만 부여하세요. 관리자 계정을 공유하지 말고, 개별 계정을 발급하며, 작업 완료 후에는 권한을 즉시 회수합니다. 모든 관리 계정에 다중 인증(MFA)을 의무화하는 것은 가장 비용 대비 효과가 높은 방어 수단입니다.
  3. 네트워크 세분화(Segmentation) 구현
    외부 공급업체가 접근하는 네트워크 영역을 핵심 업무 시스템과 분리하세요. 하나의 진입점이 뚫려도 전체 네트워크로 확산되지 않도록 방화벽 규칙과 VLAN을 설정합니다. 특히 백업 서버는 일반 네트워크와 반드시 분리하여, 랜섬웨어가 백업 데이터까지 암호화하는 최악의 시나리오를 방지해야 합니다.
  4. 소프트웨어 업데이트 배포 정책 수립
    중요 시스템의 업데이트는 테스트 환경에서 먼저 적용하고, 이상이 없음을 확인한 후 프로덕션 환경에 배포하세요. 자동 업데이트를 무조건 켜두기보다는, 중요도에 따라 수동 승인 절차를 추가하는 것이 안전합니다. 업데이트 파일의 해시값이나 디지털 서명을 검증하는 습관도 중요합니다.
  5. 다계층 백업 및 복구 체계 확보
    공급망 공격이 성공하여 랜섬웨어가 배포되더라도, 격리된 백업이 있다면 사업 연속성을 유지할 수 있습니다. 3-2-1 백업 원칙(3개 복사본, 2가지 미디어, 1개 오프사이트)을 따르되, 최소 1개의 백업은 네트워크에서 완전히 분리된(air-gapped) 상태로 보관하세요.
⚠️ 주의사항

한국의 개인정보보호법과 정보통신망법은 제3자에게 개인정보 처리를 위탁할 때 수탁자의 보안 조치를 관리·감독할 의무를 부과합니다. 공급업체 보안 관리는 법적 의무이기도 합니다. 위반 시 과태료는 물론 손해배상 책임이 발생할 수 있습니다.

방어 전략별 비교: 무엇부터 시작할 것인가

모든 방어 전략을 동시에 실행하기는 어렵습니다. 아래 표를 참고하여 도입 우선순위를 결정하세요.

방어 전략도입 난이도초기 비용효과 범위우선순위
다중 인증(MFA) 적용낮음무료~저비용계정 탈취 방지★★★★★ (즉시 실행)
공급업체 보안 평가중간내부 인력 투입공급망 리스크 가시화★★★★☆
다계층 백업 체계중간중간랜섬웨어 피해 복구★★★★★ (즉시 실행)
네트워크 세분화높음중간~높음내부 확산 차단★★★★☆
업데이트 테스트 환경 구축높음중간악성 업데이트 차단★★★☆☆
EDR/XDR 솔루션 도입중간중간~높음이상 행동 실시간 탐지★★★★☆

위 표에서 볼 수 있듯이, MFA 적용과 다계층 백업 체계 구축은 비용 대비 효과가 가장 높은 전략입니다. 이 두 가지를 먼저 실행하고, 이후 공급업체 보안 평가와 EDR/XDR 도입으로 확장하는 것이 현실적인 로드맵입니다.

실제 공급망 공격 시나리오: IT 관리 도구를 통한 랜섬웨어 확산

MSP를 통한 동시 다발 랜섬웨어 감염 시나리오

외부 IT 관리 업체(MSP)를 통해 서버와 PC를 원격 관리하던 중소기업이 있다고 가정합니다. 어느 날 해당 MSP가 사용하는 원격 관리 소프트웨어의 취약점이 발견되기 전에 해커에게 먼저 악용됩니다. 해커는 MSP의 관리 콘솔에 접근하여, 해당 MSP가 관리하는 모든 고객사 시스템에 랜섬웨어를 동시에 배포합니다. 금요일 저녁, 직원들이 퇴근한 직후 실행된 랜섬웨어는 월요일 아침 출근한 직원들이 발견할 때까지 수십 시간 동안 파일을 암호화합니다.

이 시나리오에서 네트워크와 분리된 오프사이트 백업이 있던 기업은 수 시간 내에 핵심 시스템을 복구하여 업무를 재개했습니다. 반면 로컬 백업만 존재하던 기업은 백업 서버까지 암호화되어, 데이터 복구에 수 주가 걸리거나 영구적으로 데이터를 손실했습니다.

이 시나리오는 실제로 발생했던 여러 공급망 공격 사건들의 공통된 패턴을 재구성한 것입니다. 핵심 교훈은 두 가지입니다. 첫째, MSP의 보안이 곧 우리 회사의 보안이라는 점. 둘째, 모든 예방이 실패하더라도 격리된 백업이 최후의 방어선이 된다는 점입니다.

통합 보안과 백업: 공급망 공격 시대의 필수 전략

공급망 공격의 특성상, 기존의 '경계 기반 보안'(방화벽으로 외부 위협을 차단하는 방식)만으로는 대응이 불가능합니다. 신뢰받는 채널을 통해 내부로 들어오는 위협은 방화벽이 탐지하지 못하기 때문입니다. 이에 따라 보안 업계에서는 엔드포인트 수준의 행동 기반 탐지통합 백업/복구 체계를 결합한 접근 방식을 권장하고 있습니다.

Acronis Cyber Protect는 이러한 통합 접근 방식을 구현한 솔루션으로, AI 기반 행동 탐지 엔진이 엔드포인트에서 비정상적인 프로세스 동작(예: 대량 파일 암호화 시도, 레지스트리 변조, 권한 상승 시도 등)을 실시간으로 감지합니다. 동시에 이미지 기반 백업을 통해 시스템 전체를 특정 시점으로 신속하게 복원할 수 있어, 탐지와 복구를 하나의 플랫폼에서 관리할 수 있다는 장점이 있습니다.

특히 중소기업에게 중요한 것은 관리의 단순성입니다. 안티바이러스, 백업 솔루션, 패치 관리 도구를 각각 별도로 운영하면 관리 복잡도와 비용이 증가할 뿐 아니라, 솔루션 간 사각지대가 발생합니다. 통합 플랫폼은 단일 콘솔에서 보안 상태와 백업 상태를 동시에 확인할 수 있어, 전담 보안 인력이 없는 중소기업 환경에 적합합니다.

💡 핵심 포인트

공급망 공격 방어의 핵심은 '예방'과 '복구' 두 축을 동시에 갖추는 것입니다. 100% 예방은 불가능하므로, 공격이 성공하더라도 빠르게 복구할 수 있는 체계가 반드시 필요합니다.

마무리: 공급망 보안, 지금 시작해야 합니다

공급망 공격은 '우리 회사의 보안'만으로는 막을 수 없는, 새로운 차원의 위협입니다. 하지만 위에서 살펴본 것처럼, 중소기업도 체계적인 접근을 통해 충분히 방어력을 높일 수 있습니다. 핵심을 다시 정리하면 다음과 같습니다.

  • MFA를 모든 관리 계정에 즉시 적용하여 계정 탈취 위험을 차단하세요.
  • 공급업체의 보안 수준을 평가하고, 계약서에 보안 요구사항을 명시하세요.
  • 네트워크 분리를 통해 한 지점의 침해가 전체로 확산되는 것을 방지하세요.
  • 격리된 다계층 백업을 구축하여 최악의 상황에서도 사업을 복구할 수 있게 준비하세요.
  • 통합 보안 솔루션으로 탐지와 복구를 하나의 체계로 관리하세요.

KDSys는 Acronis 공인 파트너로서, 중소기업 환경에 최적화된 사이버 보안 및 백업 솔루션 도입을 지원합니다. 공급망 공격 방어 전략 수립부터 Acronis Cyber Protect 구축, 직원 보안 교육까지 원스톱으로 지원하며, 도입 전 무료 보안 진단을 통해 현재 보안 상태의 취약점을 먼저 파악해 드립니다. 더 이상 공급망의 약한 고리가 되지 마세요. KDSys에 문의하여 우리 회사에 맞는 방어 체계를 구축하시기 바랍니다.