공급망 보안(Supply Chain Security)

✅ 조직의 제품이나 서비스가 사용자에게 전달되는 과정에서 발생할 수 있는 보안 위협을 식별하고 예방하기 위한 전략과 활동

✅ 조직의 직접적 시스템 & 외부 공급업체 & 파트너 & 하청업체의 보안까지 포함하여 관리 목표

 

• 공급망은 여러 조직과 시스템이 얽혀있기 때문에 한 곳의 보안 취약점이 전체 조직에 영향을 미칠 수 있음
• Ex.
  • 소프트웨어 개발 및 업데이트 과정에서 악성코드 삽입
  • 제조된 하드웨어 백도어나 악성코드 삽입
  • 공급업체, 협력업체의 취약한 네트워크를 통해 주요 시스템으로 침투(제3자 접근)

[대응방안]

• 공급업체 관리 및 보안수준 평가, 지속적 모니터링
• 위험기반 접근법(공급망 내 중요자산 기준으로 보안 우선순위 설정)
• 침투 테스트
• 소프트웨어 개발 시 Secure SDLC(software development life cycle) 적용

[보안 강화방법]

• 서드파티 벤더 인증수준을 평가
  • 서드파티란 ? (하드웨어 생산자와 직접적인 관계없이 소프트웨어 개발 회사)
• SBOM - 사용하는 소프트웨어의 구성 요소를 명확히 파악하고 관리
• 제로트러스트 적용 - 내외부 구분없이 모든 접근 검증