공급망 공격의 역설: 보안기업마저 뚫렸다…연쇄 피해 확산

글로벌 사이버 보안 기업들이 공급망 공격에 잇따라 노출되며, '보안의 보안'이 화두로 떠올랐다. 국내에서도 공공 플랫폼의 취약점 방치로 예비 창업자 정보가 유출되는 등 제3자 리스크 관리의 심각한 허점이 드러났다.

---

사례 1: Klue 플랫폼 공격, 보안기업 연쇄 피해

시장 정보 플랫폼 Klue가 사이버 공격을 받아 Abnormal Security, CrowdStrike, Netskope 등 글로벌 사이버 보안 기업들의 민감한 정보가 유출됐다. 공격자는 탈취한 데이터를 다크웹에서 판매하려 시도한 것으로 확인됐다.

Klue는 기업들이 경쟁사 정보를 분석하기 위해 활용하는 B2B 플랫폼이다. 문제는 이 플랫폼에 축적된 정보가 고객사의 영업 전략, 가격 정책, 내부 분석 자료 등 고도로 민감한 비즈니스 인텔리전스라는 점이다. 특히 피해 기업이 사이버 보안을 전문으로 하는 곳들이어서 업계에 상당한 충격을 주고 있다.

보안기업조차 외부 서비스 의존 과정에서 공급망 리스크에 취약할 수 있음을 여실히 보여준 사례다.

---

사례 2: Cyberhaven 확장프로그램 해킹과 국내 공공 플랫폼 취약점 방치

AI 보안기업 Cyberhaven은 피싱 공격으로 개발자 계정이 탈취되면서 400만 사용자가 약 31시간 동안 데이터 탈취 위험에 노출됐다. 공격자는 탈취한 계정으로 악성 코드가 삽입된 확장프로그램 업데이트를 배포했다.

국내에서는 창업진흥원이 운영하는 '모두의창업' 플랫폼에서 IDOR(Insecure Direct Object Reference) 취약점이 1년간 방치된 사실이 뒤늦게 알려졌다. 이로 인해 예비 창업자들의 개인정보와 사업계획서가 외부에 노출될 수 있는 상태로 장기간 유지됐다.

---

공통 패턴: 제3자 리스크와 보안 거버넌스 부재

두 사례에서 드러난 공통점은 명확하다.

첫째, 공급망(Supply Chain)이 새로운 공격 표면이 되었다. 기업이 자체 시스템을 아무리 견고히 해도, 연동된 외부 서비스가 뚫리면 연쇄 피해가 불가피하다.

둘째, 개발자 계정·관리자 권한에 대한 보호가 미흡하다. Cyberhaven 사례는 단 한 명의 계정 탈취가 400만 사용자에게 영향을 미칠 수 있음을 보여줬다.

셋째, 취약점 대응 체계가 형식에 그쳤다. 창업진흥원 사례처럼 알려진 취약점을 1년간 방치한 것은 보안 거버넌스의 근본적 실패다.

---

기업·기관 대응 방안

1. 제3자 위험 평가 의무화 외부 플랫폼·서비스 도입 시 보안 실사를 필수 절차로 포함하고, 정기적인 재평가 체계를 구축해야 한다.

2. 개발자 계정 강화 다중인증(MFA) 적용, 권한 최소화 원칙(Least Privilege), 코드 서명 검증 등을 통해 공급망 무결성을 확보해야 한다.

3. 취약점 관리 프로세스 실효성 확보 취약점 발견부터 조치까지의 SLA를 명확히 하고, 미조치 건에 대한 경영진 보고 체계를 마련해야 한다.

---

📚 CPPG·ISMS-P 시험 연계 포인트

>

ISMS-P 인증기준 2.9.4 '외부자 보안'에서는 외부 서비스 및 위탁업체에 대한 보안 요구사항 명시, 계약 시 보안 조항 포함, 정기적인 보안 점검을 요구한다. 공급망 공격 사례는 이 기준의 실무 적용 사례로 출제 가능성이 높다. 특히 '제3자의 접근 권한 관리'와 '외부 서비스 보안성 검토' 절차를 숙지해야 한다.

---

기사: 백남정 개인정보보호 전문기자