공급망 공격은 범죄자가 실제 표적에 도달하기 위해 신뢰할 수 있는 타사를 유출(침해)할 때 발생합니다. 해당 타사는 시스템이나 데이터에 대한 접근 권한을 가진 소프트웨어 공급업체, IT 제공업체, SaaS 플랫폼 또는 비즈니스 파트너일 수 있습니다.
중소기업의 경우, 이러한 위험은 과소평가되기 쉽습니다. 귀하의 기업은 복잡한 인프라를 운영하거나 대규모 IT 팀을 보유하고 있지 않을 수 있지만, 급여, 회계, 클라우드 저장공간, 고객 지원, CRM 및 결제 시스템 등 많은 외부 서비스에 의존하고 있을 가능성이 큽니다: 비즈니스 이메일. 연결된 모든 공급업체는 귀하의 환경으로 들어오는 잠재적인 경로를 생성합니다.
공급망 공격이 무엇인지, 이러한 공격이 어떻게 발생하는지, 왜 중소기업(SMB)이 노출되는지, 그리고 타사 공급망 위험을 평가하고 줄이는 방법에 대해 설명해 드리겠습니다.
공급망 공격이란 무엇인가요?
공급망 공격은 신뢰된 외부 관계를 통해 조직에 도달하는 사이버 공격입니다. 범죄자들은 귀하의 비즈니스를 직접 공격하는 대신, 공급업체, 소프트웨어 업데이트, 서비스 제공업체, 통합 또는 타사 계정을 유출하고 해당 접근 권한을 사용하여 다운스트림의 귀하의 고객에게 도달합니다.
공급업체가 귀하의 시스템, 데이터 또는 운영에 연결되어 있다면 조직 외부의 취약점이라도 여전히 영향을 미칠 수 있습니다. 실제로 공급망 사이버 공격에는 다음과 같은 상황이 포함될 수 있습니다:
- 업데이트 메커니즘이 유출된 소프트웨어 공급업체
- 공격자가 고객 데이터에 접근하는 통로가 되는 SaaS 플랫폼
- 관리자 자격 증명을 도난당한 IT 제공업체
- 프로젝트가 종료된 후에도 여전히 접근 권한이 있는 계약업체 계정
- 필요한 것보다 더 많은 권한을 가진 타사 통합
- 고객 시스템에 접근하는 데 사용되는 공급업체 직원 계정
공급망 공격은 신뢰를 기반으로 하며 이를 악용합니다. 귀하의 비즈니스는 공급업체가 정당한 역할을 가지고 있기 때문에 연결을 허용하며, 공격자는 이러한 신뢰를 남용하여 귀하의 데이터, 계정 또는 시스템에 더 가까이 접근합니다.
공급망 공격이 발생하는 방식
공급망 공격은 대개 신뢰된 연결에서 시작됩니다. 공급업체, 소프트웨어 제공업체, 계약업체 또는 통합이 이미 가치 있는 것에 대한 접근 권한을 가지고 있다면, 공격자가 귀하의 비즈니스에 직접 침입할 필요가 없습니다.
경로는 다양할 수 있지만 패턴은 대개 비슷합니다:
- 타사 유출
- 해당 신뢰된 관계를 사용하여 고객 또는 연결된 시스템에 도달
- 귀하의 비즈니스 네트워크로 접근 확장
유출된 공급업체 계정을 통한 방식
공격자는 공급업체, 계약업체, 대행사 또는 관리형 서비스 제공업체의 자격 증명을 훔치거나 추측할 수 있습니다. 해당 타사가 귀하의 시스템에 접근할 수 있는 경우, 공격자는 정당한 계정을 사용하여 신뢰된 경로를 통해 진입할 수 있습니다.
이는 공급업체 계정이 광범위한 권한을 가지거나, 취약한 비밀번호를 사용하거나, 다요소 인증이 없거나, 프로젝트가 종료된 후에도 접근 권한이 삭제되지 않은 경우 특히 위험합니다. 그렇기 때문에 타사 접근 권한은 정기적으로 검토되어야 하며, 더 이상 필요하지 않을 때는 통제된 관리자 프로세스를 통해 즉시 취소되어야 합니다.
소프트웨어 업데이트 및 어플리케이션을 통한 방식
소프트웨어 공급망 공격은 공격자가 어플리케이션의 빌드, 배포 또는 업데이트 방식을 유출할 때 발생할 수 있습니다. 이 경우 귀하의 비즈니스는 업데이트가 승인되지 않음 상태로 무단 변경되었음을 인지하지 못한 채, 신뢰된 공급업체의 소프트웨어를 설치하거나 업데이트할 수 있습니다.
이러한 유형의 공격은 활동이 알 수 없는 소스가 아니라 알려진 소프트웨어 제공업체로부터 오는 것처럼 보이기 때문에 감지하기 어렵습니다.
타사 통합을 통한 방식
많은 서비스형 소프트웨어(SaaS) 도구는 통합, 플러그인, API 및 권한을 통해 서로 연결됩니다. 이러한 연결은 팀이 더 빠르게 일하는 데 도움이 되지만, 숨겨진 접근 경로를 생성할 수도 있습니다.
통합이 유출되거나 필요한 것보다 더 많은 권한을 가진 경우, 공격자는 기존 도구를 넘어 데이터, 계정 또는 워크플로에 도달할 수 있습니다.
공유된 자격 증명 및 관리되지 않는 접근을 통한 방식
공급업체 접근 권한이 공유 로그인, 문서에 저장된 비밀번호 또는 채팅 및 이메일로 전송된 자격 증명에 의존할 때도 공급망 위험이 증가합니다. 이러한 자격 증명 중 하나가 노출되면, 귀하의 비즈니스는 누가 이를 사용했는지, 어디에 공유되었는지, 또는 여전히 얼마나 많은 시스템에 접근할 수 있는지 알지 못할 수 있습니다.
접근 제어는 귀하의 공급망 보안을 보호하기 위한 가장 강력한 메커니즘입니다. 각 공급업체 연결이 더 많이 통제될수록, 문제가 발생했을 때 피해를 제한하기가 더 쉬워집니다.
중소기업이 더 취약한 이유
중소기업은 종종 공급망 공격이 대기업의 문제라고 생각합니다. 하지만 실제로는 공급업체 접근 권한 검토가 덜 형식적이고, 모니터링이 덜 되며, 검토 빈도가 낮기 때문에 타사를 통해 소규모 기업에 도달하기가 더 쉬울 수 있습니다.
모든 SaaS 서비스는 의존성을 추가합니다
이제 대부분의 소규모 기업은 일상적인 업무를 위해 SaaS 서비스에 의존합니다. SaaS 서비스는 기업이 신속하고 유연하게 움직일 수 있도록 돕지만, 비즈니스 데이터를 보유하거나 비즈니스 계정에 연결할 수 있는 시스템의 수도 늘어납니다.
소규모 대행사, 컨설팅 회사, 법률 사무소 또는 스타트업(전원이 켜질 때)은 이를 공급망이라고 부르지 않고도 수십 개의 외부 서비스를 사용할 수 있습니다. 그러나 보안 관점에서 볼 때 이러한 서비스는 공급망의 일부입니다.
소규모 팀에는 공급업체 검토 프로세스가 부족할 수 있습니다
대규모 조직은 종종 조달, 공급업체 위험 설문지, 보안 검토 및 법적 프로세스를 갖추고 있습니다. 반면 중소기업은 비공식적인 신뢰와 속도에 의존할 수 있습니다.
2025년 초부터 Proton의 데이터 보안 사고 관측소는 9억 2백만 개 이상의 기록을 노출시킨 512건의 보안 사고를 식별했습니다. 자격 증명, 연락처 정보 또는 비즈니스 데이터가 노출되면 많은 보안 사고가 한 회사에만 고립되어 남아있지 않기 때문에 이러한 가시성이 중요합니다.
그렇다고 소규모 기업에 대기업 수준의 관료주의가 필요하다는 의미는 아닙니다. 다만 접근 권한을 부여하기 전에 기본적인 질문을 던지고, 업무가 변경된 후에 접근 권한을 검토할 수 있는 실질적인 방법이 필요하다는 뜻입니다.
공급업체 접근 권한은 종종 필요 이상으로 광범위합니다
비즈니스 내에서 공급업체 접근 권한은 대개 실질적인 이유로 확장됩니다. 때로는 계약업체에 공유 드라이브 접근 권한이 필요하거나, 대행사에 분석 또는 광고 계정 접근 권한이 필요할 수 있습니다. 당장으로서는 접근 권한을 부여하는 것이 특히 인력이나 자원이 부족한 소규모 기업에서 업무를 계속 진행할 수 있는 가장 빠른 방법처럼 느껴집니다.
위험은 이러한 권한이 축소, 검토 또는 삭제되지 않을 때에만 나중에 발생합니다. 프로젝트가 종료된 후에도 공급업체가 접근 권한을 계속 유지할 수 있고, 공유 로그인 정보가 계속 유통될 수 있으며, 원래의 필요성이 지난 지 오래된 후에도 통합 기능이 연결된 상태로 유지될 수 있습니다.
공급망 공격의 실제 사례
최근 보안 사고 데이터는 타사 위험이 이론적인 것이 아님을 보여줍니다. 당사의 Data Breach Observatory 연구 중에 타사 또는 공급망 노출과 관련된 여러 사건이 발견되었으며, 이는 영향을 받은 조직이 반드시 최초의 유출 지점이 아니었더라도 어떻게 고객, 직원 또는 비즈니스 데이터가 보안 사고 데이터 세트에 나타날 수 있는지 보여줍니다.
Amtrak
2026년 4월, Data Breach Observatory는 740만 개 이상의 레코드가 노출된 Amtrak 관련 타사 보안 사고를 발견해 등재했습니다. 유출된 데이터에는 이름, 실제 주소, 우편번호, 전화번호, 이메일 주소, 사용자 이름 등이 포함되어 있었습니다.
비즈니스의 경우, 이는 타사 보안 사고가 어떻게 대규모로 신원 및 연락처 데이터를 노출하여 피싱, 사칭 및 자격 증명 기반 공격에 대한 연쇄적인 위험을 초래할 수 있는지를 보여주는 명확한 사례입니다.
Canada Goose
의류 회사 Canada Goose는 2026년 2월 타사 보안 사고의 영향을 받아 921,000개 이상의 레코드가 노출되었습니다. 유출된 데이터에는 이름, 실제 주소, 전화번호, 이메일 주소가 포함되어 있었습니다.
비밀번호가 없더라도 공격자가 연락처 정보를 사용하여 사기, 피싱 시도 및 사회 공학적 기법을 더 그럴듯하게 만들 수 있기 때문에 이러한 종류의 데이터 세트는 여전히 비즈니스 위험을 증가시킬 수 있습니다.
타사 위험을 평가하는 방법
귀하의 비즈니스 위험 평가를 시작하는 데 대규모 위험 대응 팀이나 많은 자원이 필요한 것은 아닙니다. 간단한 목록 작성부터 시작하여 가장 중요한 공급업체에 집중해 보십시오.
1. 공급업체 및 접근 권한 파악
귀하의 시스템 또는 데이터에 접근할 수 있는 공급업체, SaaS 서비스, 계약업체 및 파트너를 나열하십시오. 각 항목에 대해 다음 사항을 기록하십시오:
- 접근할 수 있는 데이터가 무엇인지
- 어떤 계정이나 통합 기능을 사용하는지
- 관리자 권한이 있는지 여부
- 접근 권한이 개인용인지 공유인지 여부
- 다요소 인증이 필요한지 여부
- 내부에서 이 관계를 담당하는 사람이 누구인지
- 접근 권한을 마지막으로 검토한 시기가 언제인지
명확한 소유권, 관리자 시각화, 취소 가능한 접근 권한을 갖춘 통제된 시스템을 통해 공급업체 접근을 관리할 때 이 인벤토리를 유지 관리하기가 훨씬 쉽습니다.
2. 위험도에 따른 공급업체 순위 지정
모든 공급업체에 대해 세부 검토가 필요한 것은 아닙니다. 급여 제공업체, 클라우드 저장 공간 플랫폼, IT 제공업체, CRM 또는 관리 서비스 제공업체는 민감한 데이터가 없는 저위험 서비스보다 더 철저한 조사를 받아야 합니다.
고객 데이터, 자격 증명, 결제, 직원 정보, 프로덕션 시스템 또는 관리자 접근 권한을 처리하는 공급업체를 우선시하십시오.
3. 접근 권한을 부여하기 전에 보안 질문하기
접근 권한을 부여하기 전에, 한 걸음 물러서서 타사가 실제로 필요한지, 타사가 접근해야 하는 시스템이나 데이터가 무엇인지, 그리고 해당 수준의 접근 권한이 정당한지 평가하는 것이 도움이 됩니다. 이 단계에서 많은 조직은 생각했던 것보다 더 많은 공급업체, 통합 기능 및 외부 계정에 의존하고 있음을 발견합니다.
가벼운 공급업체 검토도 여전히 유용할 수 있습니다. 다음과 같이 질문해 보십시오:
- 서비스를 해지하면 당사의 데이터는 어떻게 됩니까?
- 2단계 인증을 지원합니까?
- 고객 데이터를 어떻게 보호합니까?
- 역할 기반 접근 제어를 제공합니까?
- 감사 로그나 활동 보고서를 허용합니까?
- 관련 보안 인증을 보유하고 있거나 공인된 보안 표준을 준수합니까?
- 보안 사고 발생 시 고객에게 어떻게 알립니까?
- 내부적으로 직원의 접근 권한을 어떻게 관리합니까?
- 최소 권한 접근을 지원합니까?
노출을 줄이기 위해 귀하의 비즈니스가 할 수 있는 일
공급망 위험을 줄이는 것은 통제에서 시작됩니다. 실제로 이는 귀하의 비즈니스에 공급업체를 검증하는 방법, 공급업체가 접근할 수 있는 대상, 공급업체의 활동을 모니터링하는 방법, 타사 정보가 유출되는 경우 어떻게 되는지에 대한 명확한 규칙이 필요함을 의미합니다.
타사 공급업체의 보안 관행 검증
공급업체에 비즈니스 시스템이나 민감한 데이터에 대한 접근 권한을 부여하기 전에, 해당 업체의 보안 관행이 위험 수준에 부합하는지 확인하십시오. 고객 기록, 금융 데이터 또는 관리자 접근 권한을 처리하는 공급업체는 기본적인 생산성 앱보다 더 높은 기준을 충족해야 합니다.
2단계 인증 지원, 역할 기반 권한, 감사 로그, 보안 사고 알림 약속, 데이터 보존 제어 및 명확한 오프보딩 프로세스를 확인하십시오.
타사 접근 권한에 최소 권한 적용
최소 권한의 원칙은 공급업체 계정이 유출되었을 때의 피해 범위를 줄여줍니다. 즉, 읽기 전용 접근 권한만으로 충분할 때 관리자 권한을 부여하지 않거나, 특정 폴더만으로 충분할 때 광범위한 공유 폴더를 제공하지 않는 것을 의미합니다.
공급업체에 제로 트러스트 원칙 적용
제로 트러스트는 모든 공급업체를 불신하는 것을 의미하지 않습니다. 이는 신뢰할 수 있는 관계라고 해서 무제한 접근 권한을 생성해야 한다고 가정하지 않는 것을 의미합니다.
공급업체 접근 권한의 경우, 이는 신원 확인, 권한 제한, 주기적인 접근 권한 검토, 2단계 인증 요구, 활동 모니터링, 그리고 모든 연결을 거버넌스가 필요한 대상으로 취급하는 것을 의미합니다.
비정상적인 접근 패턴 모니터링
공급업체에 연결된 계정은 정상적인 사용에 부합하지 않는 동작이 있는지 모니터링해야 합니다. 비정상적인 로그인 위치, 예상치 못한 다운로드, 새로운 관리자 사용자, 권한 변경, 근무 시간 외 활동, 새로운 통합 기능 또는 공급업체의 역할을 벗어난 데이터에 대한 접근이 있는지 주의해서 살펴보십시오.
이러한 신호들이 항상 정보 유출을 증명하는 것은 아니지만, 작은 문제가 더 넓은 보안 사고로 확대되기 전에 귀하의 팀이 조치를 취하는 데 도움이 될 수 있습니다.
타사 정보 유출에 대한 대비
귀하의 사고 대응 요금제에는 협력업체 보안 사고가 포함되어야 합니다. 공급업체가 보안 사고를 보고하는 경우, 귀하의 비즈니스는 다음에 취해야 할 조치를 파악하고 있어야 합니다. 당사는 타사 유출에 대한 귀하의 비즈니스 대응을 체계화하는 데 도움이 될 수 있는 비즈니스용 보안 사고 방지에 관한 글을 작성했습니다.
누가 협력업체에 연락하고, 누가 접근 권한을 검토하며, 누가 로그를 확인하고, 자격 증명 재설정 여부를 누가 결정하며, 필요한 경우 누가 고객 또는 규제 기관과 소통할지 정의하십시오.
모든 협력업체 및 타사 도구에 고유한 자격 증명을 사용하십시오.
고유한 자격 증명은 공급망 피해 범위를 줄이는 가장 간단한 방법 중 하나입니다. 협력업체 포털에 보안 사고가 발생하고 직원이 해당 비밀번호를 다른 곳에서 재사용했다면, 공격자는 이메일, SaaS 플랫폼, 금융 도구 또는 관리자 시스템에 동일한 자격 증명을 사용하여 침입을 시도할 수 있습니다.
협력업체별로 고유한 비밀번호를 사용하면 비밀번호가 직접 재사용되는 것을 방지할 수 있습니다. 또한 사고 대응이 더 명확해집니다. 협력업체가 유출되었을 때, 동일한 비밀번호가 어디에 사용되었을지 고민하는 대신 어떤 자격 증명에 조치가 필요한지 바로 파악할 수 있습니다.
Proton Pass는 귀하의 팀이 모든 협력업체 및 타사 서비스를 위한 강력하고 고유한 비밀번호를 생성하고, 암호화된 보관함에 저장하고, 자동완성을 사용하고, 접근 권한을 안전하게 공유할 수 있도록 지원하는 비즈니스 비밀번호 관리자입니다. 이를 통해 현대 기업들이 의존하는 수많은 외부 서비스 전반에서 자격 증명 위생을 더 쉽게 유지할 수 있습니다.
공급망 공격에서의 자격 증명 연결
공급망 공격은 종종 협력업체에서 시작되지만, 그 영향이 얼마나 널리 퍼질지는 자격 증명에 의해 결정됩니다.
계약업체 계정이 유출되었더라도 접근 권한이 제한되어 있다면 피해가 억제될 수 있습니다. 그러나 동일한 계정이 광범위한 권한을 가지고 있거나, 공유 자격 증명, 재사용된 비밀번호 또는 민감한 시스템에 대한 접근 권한을 보유하고 있다면 공격자가 활동할 수 있는 공간이 더 넓어집니다.
이것이 바로 비밀번호 및 접근 관리가 공급망 리스크 관리에 포함되어야 하는 이유입니다. 모든 협력업체 또는 타사 도구에 대해 귀하의 비즈니스는 다음을 파악하고 있어야 합니다.
- 어떤 자격 증명이 존재하는지.
- 누가 해당 자격 증명에 접근 권한을 가지고 있는지.
- 비밀번호가 고유한지 여부.
- MFA가 활성화되어 있는지 여부.
- 접근 권한이 여전히 필요한지 여부.
- 계정이 공유 계정인지 또는 개인 계정인지 여부.
- 내부에서 누가 해당 계정을 담당하고 있는지.
Proton Pass와 같은 비즈니스 비밀번호 관리자는 이러한 질문에 더 쉽게 답할 수 있도록 도와줍니다. 자격 증명이 스프레드시트, 브라우저 프로필, 채팅 메시지 또는 개인 메모에 흩어져 있는 대신, 협력업체 비밀번호를 안전한 공유와 더 명확한 소유권을 지원하는 통제된 시스템에 저장할 수 있습니다.
그렇다고 해서 협력업체를 조사하거나 활동을 모니터링할 필요가 없어지는 것은 아닙니다. 이는 가장 영향력이 큰 통제 수단 중 하나를 강화하는 것입니다. 즉, 타사 보안 사고가 귀하의 자체 비즈니스 전체에서 비밀번호 재사용 문제로 이어지지 않도록 보장합니다.
일상적인 운영에 타사 보안 구축하기
공급망 공격은 신뢰를 침투 경로로 바꿉니다. 평소 비즈니스를 지원하던 협력업체, 소프트웨어 업데이트, SaaS 계정, 계약업체 또는 통합 시스템이 공격자가 데이터나 시스템에 접근하기 위해 사용하는 경로가 될 수 있습니다.
소규모 기업은 타사를 피할 수 없으며 피할 필요도 없습니다. SaaS 도구, IT 제공업체, 계약업체, 협력업체는 현대적인 비즈니스 방식의 일부입니다. 목표는 철저한 통제를 바탕으로 이러한 관계를 관리하여 단 한 번의 유출이 더 광범위한 보안 사고로 이어지지 않도록 하는 것입니다.
기본부터 시작하십시오. 협력업체를 파악하고, 접근 권한을 평가하고, 보안 질문을 제기하고, 최소 권한을 적용하고, 제로 트러스트 원칙을 사용하고, 비정상적인 활동을 모니터링하며, 타사 유출에 대한 요금제를 세우십시오. 그런 다음 모든 협력업체 및 타사 서비스에 자체 고유 비밀번호를 부여하여 자격 증명 리스크를 줄이십시오.
Proton Pass는 기업이 이러한 통제를 일상적인 업무에 적용할 수 있도록 도와줍니다. 모든 협력업체 로그인에 고유한 자격 증명이 지정되고, 공유된 접근 권한이 암호화된 보관함에 보관되며, 협력 관계가 종료되는 즉시 팀이 접근 권한을 취소할 수 있다면, 단 하나의 비밀번호 보안 사고가 귀하의 비즈니스 계정 전반에서 연쇄 반응을 일으킬 가능성이 훨씬 낮아집니다.
