문제
**공급망 공격(Supply Chain Attack)**의 공격 벡터를 분류하여 설명하고, 각 벡터별 위험성과 조직이 수행해야 할 구체적인 보안 통제 방안을 서술하시오.
정답
공급망 공격은 신뢰할 수 있는 제3자를 통해 최종 목표를 공격하는 기법으로, 주요 벡터는 다음과 같다. 1) 소프트웨어 공급망: 개발도구, 라이브러리, 업데이트 서버 등을 통한 공격 → 위험성: 광범위한 피해, 탐지 어려움 → 대응: SBOM(Software Bill of Materials) 관리, 코드 서명 검증, 의존성 스캔 도구 활용 2) 하드웨어 공급망: 제조 단계에서 악성 칩 삽입, 펌웨어 변조 → 위험성: 물리적 접근으로 우회 불가 → 대응: 신뢰할 수 있는 공급업체 선정, 하드웨어 무결성 검증, TPM 활용 3) 서비스 공급망: MSP, 클라우드 서비스 제공업체를 통한 공격 → 위험성: 다중 고객 동시 피해 → 대응: 제3자 위험 평가, SLA 보안 조항 포함, 다중 인증 강화 4) 인적 공급망: 내부자, 협력업체 직원을 통한 공격 → 위험성: 내부 권한 악용 → 대응: 배경 조사 강화, 최소 권한 원칙, 업무 분리, 접근 로그 모니터링 종합적으로 Zero Trust 아키텍처 도입과 지속적인 위험 평가가 필요하다.
해설
공급망 공격은 SolarWinds, Kaseya 등 실제 사례에서 보듯이 신뢰 관계를 악용한 고도화된 공격이다. 소프트웨어 공급망에서는 SBOM을 통한 구성요소 가시성 확보가 중요하고, 하드웨어에서는 제조 단계부터의 보안이 필요하다. 서비스 공급망에서는 제3자 리스크 관리가 핵심이며, 인적 요소에 대한 통제도 반드시 고려해야 한다.