• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국, 국토안보부 주도로 ‘공급망 보안’ 위한 작업 실시한다 2018.11.19

최근 몇 년 동안 사용자들 위협한 공급망 공격 해결 위해 나선 미국 정부
“제품의 설계와 관리, 고객 지원까지 모두 아우르는 통합적인 보안 꾀할 것”

[보안뉴스 문가용 기자] 지난 7월 미국 국토안보부는 정보통신기술공급망태스크포스(Information Communications Technology Supply Chain Task Force)를 신설한다고 발표한 바 있다. 이 팀의 목적은 공급망에 대한 여러 가지 위협을 망라하고 사건 대응 능력을 갖추고 싶어하는 조직들에게 ‘플레이북’을 제공하는 것이었다.

[이미지 = iclickart]


지난 주말 경 태스크포스 팀의 집행위원회가 처음으로 만남으로써 이 ‘플레이북’ 제작이 공식적으로 시작됐다. 태스크포스 팀은 민간 사업체와 정부 기관에서 광범위하게 멤버들을 끌어 모은 것으로 알려져 있으며, 민간 부문 참여자들은 다음과 같다.

1) 엑센추어(Accenture), 2) AT&T, 3) 센추리링크(CenturyLink), 4) 차터(Charter), 5) 시스코(Cisco), 6) 컴캐스트(Comcast), 7) CTIA, 8) 사이버알엑스(CyberRx), 9) 사이버 시큐리티 콜리션(Cybersecurity Coalition), 10) 사익스테라(Cyxtera), 11) 파이어아이(FireEye), 12) 인텔(Intel), 13) ITI, 14) IT-ISAC, 15) 마이크로소프트(Microsoft), 16) NAB, 17) NCTA, 18) NTCA, 19) 팔로알토 네트웍스(Palo Alto Networks), 20) 삼성, 21) 스프린트(Sprint), 22) 쓰레트 스케치(Threat Sketch), 23) TIA, 24) T-모바일(T-Mobile), 25) US텔레콤(USTelecom), 26) 버라이즌(Verizon).

정부 측에서는 다음과 같은 기관들이 참여했다.
1) 국토안보부, 2) 국방부, 3) 국고부, 4) 사법부, 5) 상무부, 6) 총무청, 7) 미국국가정보국, 8) 사회보장국.

시스코를 대표하여 태스크포스에 참여한 이는 CSO인 에드나 콘웨이(Edna Conway)다. 콘웨이에 의하면 넓은 의미에서 반드시 해결해야 할 공급망 공격에서의 위협 요소는 “1) 속임수, 2) 정찰, 3) 방해 행위”라고 한다. 물론 세상에는 다양한 공급망이 존재하지만, 태스크포스가 제일 먼저 들여다 볼 것은 “제품의 생애주기를 관통하는 시스템들의 보안”이라고 그는 설명한다.

콘웨이는 “제품 생산의 전체 생애주기를 다루는 것이 핵심”이라고 설명하며, “공급망(supply chain)이 아니라 가치망(value chain)을 보완하는 게 본질”이라고 지적한다. “가치망 혹은 가치 사슬이 공급망보다 훨씬 큰 개념이죠. 국토안보부가 ‘공급망’이라는 말을 사용하긴 하지만, 사실 그들이 원하는 건 가치망에 대한 보안입니다.”

그러면서 콘웨이는 제품 생애주기의 가장 처음 단계를 예로 든다. “제품이 처음 탄생되는 건 기획과 설계를 통해서죠. 어떤 제품을 만들 것인가, 설계부터 들어가요. 하지만 공급망이라는 개념에서는 이 설계나 최초 구상 부분이 빠지죠. 제품 관리라는 요소도 마찬가지입니다. 제품의 완성과 배달(공급) 그 사이사이에 들어있거나 그 후에 시작되는 ‘관리’도 공급망에는 없습니다.”

콘웨이의 설명에 따르면 제품이 고객과 만나는 ‘방법’ 혹은 ‘창구’에 대한 개념 역시 가치망에만 존재한다. “고객이 물건을 받고 돈을 지불하는 것으로 제품의 생애주기가 끝나는 게 아닌데, 공급망이라는 개념에서는 그런 것으로 여겨집니다. 고객과 제품이 만나는 또 다른 창구 중 하나는 ‘고객 지원’인데요, 이 역시 공급망에서는 빠져 있는 개념입니다. 그러므로 태스크포스가 실제로 해결해야 하는 건 공급망 보안이 아니라 가치망의 보안입니다.”

그리고 그가 강조하는 건 “이 모든 과정에 들어가는 사이버 보안”이다. “서비스의 지속성과 가용성, 무결성을 제품 전체의 생애 주기에 적용해 추구한다고 했을 때에야 비로소 ‘공급망 관리와 보안’을 제대로 이야기하는 거라고 생각합니다. 그리고 이런 지속성, 가용성, 무결성은 사이버 보안이 추구하는 가치이기도 하죠. 포괄적인 가치망 보안에 대한 이야기가 끝나고 나서부터는 세부적인 부분을 다룰 수 있을 겁니다. 솔루션 가격 문제나 효율성 등이 여기에 포함되겠죠.”

그렇다고 콘웨이가 솔루션 가격을 낮춰야 한다고 주장하는 건 아니다. 태스크포스가 그런 부분에까지 권한을 발휘할 수 있는 것도 아니다. “위험 관리 차원에서 보안 솔루션과 시스템을 다층위(multi-layered)로 배치시켜야 합니다. 즉, 한 가지 솔루션으로 한 문제를 해결하는 게 아니라, 사용 범위를 넓힘으로써 가격 효율을 높이는 것을 연구하는 것이죠. 이 부분은 태스크포스에 다양한 회사들이 참여했으므로 논의가 긍정적으로 이뤄질 수 있을 것으로 기대합니다.”

3줄 요약
1. 미국에서는 공급망 공격에 대한 보호를 위해 정부가 태스크포스 팀 신설.
2. 20개가 넘는 사기업 및 민간 단체와 8개 정부 기관이 함께 참여.
3. ‘공급망 보안’을 위한 것이지만 오히려 ‘가치 사슬 전체 보안’에 가까운 작업 이뤄질 듯.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>