제조업 보안 비상, 2023 상반기 주요 사이버위협 동향 분석

KISA와 과기정통부가 2023년 상반기 주요 사이버위협 동향 분석을 발표했습니다. 이번 포스팅에서는 분석 리포트에 어떤 내용들이 담겨있고, 주요 시사점들은 어떤 것들이 있는지 정리해 보려고 합니다. 만약 제조업 분야에 종사하시는 분이시라면, 이번 포스팅! 꼭 확인하셔야 합니다.

 

2023 상반기 주요 사이버위협 동향 분석

 

이번 분석 리포트에 따르면, 최근 3년간 침해사고 통계는 2021년 640건에서 2022년 1,142건으로 전년대비 약 2배가 증가했으며, 2023년 상반기 침해사고는 664건으로 전년 동기 대비 약 40%가 증가했습니다.

특히, 침해사고 신고 건수 중 제조업 비중이 전년 상반기 대비 62.5% 증가한 것으로 나타나, 공격자들은 보안 수준이 낮은 소규모 기업들을 집중 공격하고 있다는 것이 드러났습니다. 이 수치가 더욱 위험한 건, 바로 최근 보안 이슈에서 뜨겁게 떠오르고 있는 ‘공급망 보안’ (Supply Chain Security) 때문입니다.

 

보안 수준이 낮은 소규모 기업 공격, 제조업 주요 타깃

 

공급망 경영 방식은 기업에 혁신적인 성과와 가치 창출을 이끌어낼 수 있어 현재 대부분의 기업들이 차용하고 있는 시스템입니다. 공급망(Supply Chain) 사슬 구성에는 다수의 파트너, 협력업체들이 존재하며, 함께 협업하는 내외부의 다양한 조직들이 얽혀 있습니다.

​

사실 규모가 큰 기업 및 기관들은 컴플라이언스 이슈 때문에 상대적으로 견고한 보안 체계를 갖추고 있는 상황입니다. 하지만 공격자들은 절대로 '바위'를 공격하지 않습니다. 바위 사이사이에 함께 끼여 있는 작은 빈틈을 공격합니다. 이번 분석 리포트에서 제기된 ‘보안 수준이 낮은 소규모 기업들을 집중적으로 노린다’는 부분이 바로 이것입니다. 공급망 속에 포함돼 있는 여러 영역들 중 가장 약한 곳을 공격해 침투하고, 연쇄적으로 광범위하게 피해를 넓혀가는 형태인 것이죠. 이런 경우라면 사실 우리 조직만 아무리 견고한 외벽을 쌓는다고 한들 큰 의미가 없게 됩니다.

 

최근 보안 이슈 중 가장 중요한 공급망 보안의 필요성

 

쉽게 설명하면 이런 겁니다. A사가 공급망 공격을 당해 해킹 피해를 입거나 감염이 되면, 협력사인 B가 A사에서 일하다가 감염이 되고, 해당 직원이 돌아가 본사인 B를 감염시키고, B사의 다른 직원들이 또 파트너사인 C와 협업하다가 연쇄적으로 피해가 퍼지는 형태입니다. 이들 중 만약 고객 비즈니스가 메인인 조직이 있다면, 해커는 A사만 공격했을 뿐인데, 해당 공급망과 연결돼 있는 모든 조직까지 한 번에 공격할 수 있는 효과적인 방법이 되는 겁니다.

이번 보고서에서 제조업이 주요 타깃이 된 것도 같은 맥락입니다. 제조업 분야가 곧 공급망이기 때문에 이에 대한 대비가 철저하게 필요한 상황입니다. 미국은 2021년 바이든 정부에서 내린 행정명령에 따라 소프트웨어 공급망 보안 강화를 위해 정부기관에 공급하는 모든 IT제품에 강력한 보호 조치를 취할 것을 공표했습니다. 우리 정부 역시도 국가 사이버안보 기본계획 18개 중점과제 중 하나로 공급망 보안이 포함돼 있으며, 최근까지도 관련 정책 개발을 위해 노력하고 있습니다.

 

제로트러스트 보안 모델과 견고한 공급망 보안 체계

 

2023년 상반기 침해사고 통계를 보면, 상반기에 이미 2021년 전체 건수를 넘어선 상황입니다. 아마도 하반기 통계까지 합산하게 된다면, 역대급으로 침해사고가 많은 해로 기록될 가능성이 매우 높습니다.

보고서 말미에도 각 정보보호주체들이 사이버보안 인식을 높이고, 정보보호 투자를 확대하는 등 적극적인 보안 강화에 대한 노력을 기울여야 한다고 강조하고 있습니다. 공급망 보안 뿐만 아니라, 제로트러스트 보안 모델 도입을 적극 검토해야 한다고 당부하고 있으며, 특히 사이버보안 사각지대에 있는 중소기업 등의 정보보호 역량을 제고하는 방안을 준비하겠다고 밝혔습니다.

https://www.fasoo.com/solutions/fasoo-data-security-platform

제로 트러스트 기반 플랫폼

 

https://www.fasoo.com/solutions/cad-secure-collaboration

외부 협업을 위한 도면 보안

 

파수 역시도 제로트러스트 보안 체계 구축과 공급망 보안을 위한 안전한 외부 협업 플랫폼을 비롯한 다양한 솔루션들을 지원하고 있습니다. 현실적으로 정보보호 투자에 많은 예산을 투입하기 어려운 중소 기업 분들을 위한 합리적인 연간 라이선스 정책도 운영하고 있습니다.

이번 분석 보고서는 많은 것들을 시사하고 있습니다. 가볍게 넘기지 마시고, 지금 바로 변화가 필요하시다면, 파수와 함께 이야기 나눠보세요! 정답이 아닌 해답을 알려 드리겠습니다.

​