1. 서론

 

공급망(Supply Chain)은 제품이나 서비스를 고객에게 제공하는 과정에서 조직, 자원, 인력, 정보 등에 대한 전반적인 시스템을 의미한다. 정보통신기술(ICT) 제품의 생명주기와 비교하면 수요자의 요구사항에 따라 S/W 및 H/W를 설계한 후 개발업체 또는 제조업체를 통해 개발하고, 배포(Distribution), 획득(Acquisition) 및 배치(Deployment), 운영 및 유지보수, 파기 과정을 거치게 되는데, 이러한 공급망에 침투하여 사용자에게 전달하는 S/W 또는 H/W를 변조하는 공급망 공격이 지속적으로 발생하고 있다. 국내·외에서 발생한 공급망 공격을 살펴보면, 공격자는 S/W 업데이트 서버나 상대적으로 보안이 취약한 개발업체의 개발환경에 침투하여 정상적인 S/W를 변조하여 악성코드를 유포하는 사례가 많았다.

 

그러나 최근 ICT 글로벌 공급망이 복잡해지고, 화웨이·ZTE 등 중국 장비에 대한 보안 우려가 높아지면서 주요국에서는 정부차원 또는 산업 분야별로 S/W 및 H/W, 서비스를 포함한 사이버 공급망 위험관리 방안을 마련하고 있다. 국내에서는 국가·공공기관이 정보보호시스템 및 네트워크 장비 등 보안기능이 있는 IT제품을 도입하는 경우, 도입 대상제품이 CC 인증 등 사전 도입 요건을 만족하였는지를 확인하고 검증이 필요한 제품에 대해서는 보안적합성 검증을 신청하여 미비한 점이 발견되면 조치 후에 제품을 운용한다. 민간 분야의 경우에는 S/W나 정보시스템 개발·구축단계에서의 보안위협을 최소화하기 위한 보안활동이 정의되어 있으며, 주요정보통신기반시설 취약점 분석·평가, 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준 등에서 외부자 보안, 정보시스템 도입 및 개발보안 등에서 개별 제품 중심의 보안대책을 요구하고 있다. 그러나 이와 같은 보안관리체계는 5G, IoT 기기, 클라우드 서비스 등 모든 ICT 제품과 서비스를 포함하여 전반적인 공급망 위험을 관리하기에는 한계점이 있다.

따라서 본고에서는 사이버 공급망 위험관리(Cyber Supply Chain Risk Management, 이하 C-SCRM)를 IT/OT 제품 및 서비스를 안전하게 공급하기 위해 공급망에서의 발생 가능한 위험을 식별하고 평가·완화하는프로세스로 정의하고, 미국과 일본을 중심으로 정부기관 및 산업 분야별 사이버 공급망 위험관리 정책 동향을 살펴본다. 또한 주요국의 공급망 보안 관련 지침 분석을 통해 C-SCRM의 주요 활동을 파악하여 사이버 공급망 위험관리체계 수립 시 고려사항 등을 도출하고자 한다.

 

2. 주요국 사이버 공급망 위험관리(C-SCRM) 정책 동향 분석

 

(1) 미국

 

미국 정부는 2008년부터 사이버보안 관련 국가계획·전략, 대통령 행정명령 등에 따라 연방정부기관 중심의 정보통신기술 공급망 위험관리(ICT SCRM) 정책을 추진하였다. 즉 연방정부기관이 관리하는 S/W 및 H/W를 포함한 모든 ICT 제품과 서비스의 전 생명주기를 대상으로 공급망의 무결성을 확보하기 위한 위험관리체계를 구축하는데 초점을 맞추었다. 또한 ICT 공급망 위험을 제품의 무단 생산, 변조, 도난, 악성 S/W 및 H/W 삽입, 제조 및 개발 보안실무 미흡 등으로 지정하고, 시스템 통합구축 사업자(System Integrator), 공급자(Supplier), 외부 서비스 제공자(External Service Provider) 등 공급망 관계자를 포함하여 공급망 위험을 완화하는 절차와 방안을 마련하고자 하였다. 따라서 연방정부는 먼저 계약에 따라 정부기관의 정보에 접근·처리하는 민간 등 공급자들을 대상으로 조달 요건을 강화하고, 미 국방부(DoD)는 조달계약 참여업체에게 관련 보호지침 준수를 의무화하고 있다.

 

 

구분		주요 내용
공공 부문 (연방 정부)	CNCI (‘08)	글로벌 공급망 위험관리를 위한 다방면의 접근방식 개발 (CNCI #11) NIST IR 7622(‘12) ⇒ NIST SP800-161(‘15) (연방정부기관 SCRM 실무)
	OMB Circular A-130(‘16)	연방정부기관은 NIST SP800-161에 따라 공급망 위험관리 계획 수립
	EO-13556 (‘10)	연방정부와 계약을 체결한 민간 등 공급자들이 처리하는 CUI(Controlled Unclassified Information) 에 대한 정부차원에서의 보호 프로그램 실시 NIST SP800-171 Rev.1(‘16) (민간 등 비연방기관에서 처리하는 CUI에 대한 보호지침)
	EO-13833 (‘18)	정부기관의 CIO에 IT 투자와 조달에 관한 책임 부여
	국가사이버 전략 (‘18)	연방정부의 공급망 위험관리 향상 공급망 위험관리 프로세스, 공급망 위협정보 공유, 공급망 위험이 있는 벤더사 및 제품, 서비스 배제 등
	EO-13873 (‘19)	정보통신기술 및 서비스 공급망 확보 국가안보에 위협이 되는 특정 기업의 정보통신기술과 서비스에 대해 미국 정부 및 기업에서도 취득·설치·거래 및 사용 금지
민간 부문	S/W	SAFECode for S/W Supply Chain Integrity Papers
	IT/OT	Open Trusted Technology Provider ISO/IEC 27036 (공급자와의 관계에서의 보안요구사항) IEC 62443-2-4 (IACS 서비스 제공자에 대한 보안요구사항)
	전력	NERC CIP-013-1 공급망 위험관리 APPA & NRECA 공급망 위험관리 시 고려사항 및 모범사례
민·관 협력	주요기반시설	NIST Cybersecurity Framework(NIST CSF) Ver.1.1 ID.SC(공급망 위험관리): 조직의 우선순위, 제약사항, 위험허용도 등을 고려하여 공급망 위험을 식별 및 평가, 관리하는 프로세스를 마련
	ICT	CISA 산하 ICT SCRM Task Force 정부와 산업계 간의 양방향 공급망 위험정보 공유를 위한 공통된 위험관리 프레임워크 개발 ICT 공급 및 제품, 서비스의 위협을 식별·평가하기 위한 프로세스와 기준 수립 적격 입찰자 및 제조업체 목록을 작성하기 위한 업계와 평가 기준 수립 OEM 또는 공인된 판매업자로부터 ICT 구매 장려, 위·변조된 ICT 조달을 방지하기 위한 정책 권고안 작성

 

민간 부문은 산업계 또는 ISO/IEC 등 국제표준 단체를 중심으로 S/W, IT/OT 등 개별적으로 지침을 개발하거나 관련 표준을 제정하고, 공급망의 무결성과 신뢰성을 확보하고자 노력하였다. 예를 들어, 민간 IT 벤더사는 ICT 제품 및 클라우드 서비스를 포함하여 수요기관과 공급자 간의 보안요구사항을 규정한 국제 표준인 ISO/IEC 27036을 도입하였다. 또한 전력 분야의 경우에는 전력산업의 규제기관인 ‘연방 에너지규제위원회(FERC)의 지시에 따라 공급망 위험관리 기준 개발이 시작되었는데, SW 무결성 및 진정성(Authenticity), 공급자의 원격접근 관리, 정보시스템 계획, 공급자 위험관리 및 조달 통제 등을 고려할 것으로 요구하였다. 이에 따라 NERC에 대규모 전력시스템(BES) 운영과 관련된 ICS의 H/W, S/W, 컴퓨팅 및 네트워크 서비스에 대한 공급망 위험관리 기준을 개발하고, FERC는 해당 기준을 전력 C-SCRM 표준(CIP-013-1)으로 채택하였다. 이와 같이 민간 부문의 ICT 공급망 위험관리 정책은 전력 등 일부 분야를 제외하고는 정부기관이 직접 개입하기 보다는 민간 시장에서의 자발적인 참여에 의해 추진되었음을 알 수 있다.

 

그러나 미국 의회에서 중국 정부가 화웨이 등 자국의 통신장비에 설치된 백도어를 이용하여 스파이 활동을 하고 있다는 의혹을 제기하면서 트럼프 정부에서는 ICT 공급망 위험이 국가 안보는 물론 민간 부문에도 심각한 위협이 될 수 있다고 간주하였다. 2018년 발표된 국가사이버전략을 살펴보면, 연방정부기관의 사이버보안 강화를 위해 공급망 위험관리 향상을 우선 추진과제로 언급하고, 조달 및 위험관리 프로세스 상에 공급망 위험관리 포함, 공급망 위협에 대한 정보공유, 공급망 위험이 있는 벤더사·제품·서비스는 배제하도록 하는 등 공급망의 투명성 확보 및 위험관리에 대한 책임이 강조되었다. 또한 정부기관은 산업계와 ICT SCRM TF를 구성하여 민·관 공동으로 ICT 공급망 위험관리 방안을 마련하기 위한 활동을 시작하였고, 이후 EO-13873을 통해 미국 정부기관은 물론 기업에서도 특정 기업이 설계·개발·제조·공급하는 정보통신기술과 서비스에 대해 취득 및 설치·거래·사용을 금지하면서 국가 안보 차원에서 민간 부문의 ICT 공급망 위험관리 활동에 정부기관이 개입하기 시작한 것을 알 수 있다.

 

(2) 일본

 

일본 사이버 공급망 위험관리 정책은 크게 정부기관의 IT 제품 및 서비스에 대한 공급망 보안과 4차 산업혁명 정책 기조인 ‘Society 5.0’ 및 ‘Connected Industries’ 실현과 연계하여 민간 산업분야의 사이버보안 강화 정책으로 구분할 수 있다.

 

 

구분		주요 내용
공공부문 (정부기관)	IT 제품 또는 서비스의 조달방침 및 절차에 관한 합의(‘18)	23개 정부기관은 정보시스템·기기·서비스 조달 시의 발생 가능한 공급망 위험에 사전 대응 (IT 종합전략실 및 NISC에 검토·자문 요청)
민간부문	제2차 사이버보안전략(‘18) 산업사이버보안 강화를 위한 이행계획(Action Plan)(‘18)	사이버-물리 보안대책 프레임워크(CPSF) 수립 및 분야별 대응 구체화, 국제화 추진 (경제산업성) 공급망을 공유하는 ASEAN 국가의 사이버보안 역량 강화 지원 (미국과 연계하여 공동 훈련 추진, 경제산업성) 사이버-물리 보안에 관한 연구개발 추진 (내각부, 총무성, 경제산업성) 정부기관 및 산·학 연계를 통해 공급망 위험에 대응하기 위한 기술검증체계 방안 마련 (내각관방) 중소기업 사이버보안대책 촉진 (내각관방, 총무성, 경제산업성) 중소기업 대상 사이버보안대책 사례 등 가이드라인 개발, 사이버보험 활용, 사고 발생 시 지원, 인센티브 제공 등 보안투자 촉진

 

먼저, 공급망 위험을 정보통신기장비 등 개발이나 제조 과정에서 정보탈취·파괴, 정보시스템의 정지 등 악의적인 기능이 삽입되거나 도입 이후에도 운영·유지보수 과정에서 공급자의 프로그램 등으로 인해 비인가변조가 발생할 수 있는 가능성으로 정의하고, 사이버보안전략을 통해 공급망 위험에 관한 대책 수립의 중요성을 언급하였다. 또한 정부기관의 정보보호 대책 수립 가이드라인을 살펴보면, 개발 또는 조달 과정에서 악의적인 기능이 포함될 우려가 있는 기기와 공급망 위험 발생 우려가 있는 기업의 장비들을 도입하지 않도록 규정하고 있다. 그러나 일본 정부는 정부기관들이 공급망 위험에 대해 보다 적극적으로 대응하도록 총 9종의 정보시스템 및 기기, 서비스에 대한 조달 절차를 강화하였다.

 

따라서 정부기관은 국가안전보장 및 치안 관련 업무를 수행하는 시스템이나 기밀성이 높은 정보나 대량의 개인정보를 취급하는 시스템, 장애 발생 시 정부기관의 업무수행에 현저한 영향을 미치는 기반 시스템 등에 대해서는 보다 적극적으로 공급망 위험을 고려해야 하며, 공급망 위험 대응에 필요한 조치사항 수립 시에는 IT 종합전략실과 내각사이버보안센터(NISC)에 지원을 요청할 수 있다.

 

일본 정부기관은 이와 같은 신규 조달 규제 정책을 기업 등 민간 부문에게는 강제화하고 있지 않다. 그러나 「주요기반시설 정보보호대책에 관한 제4차 시행계획」에서 주요기반시설 사업자들의 경영층을 대상으로 공급망(비즈니스 파트너, 자회사, 관련 회사)을 포함한 정보보호대책을 마련할 것으로 요구하고 있으므로 정보통신, 전력 등 14개 분야 주요기반시설 사업자를 중심으로 특정 기업의 제품과 서비스를 배제하는 등의 공급망 보안대책을 마련할 가능성이 있다.

 

민간 부문의 사이버 공급망 위험관리 정책은 일본의 경제사회 활성화를 위해 산업 분야의 사이버보안 강화 정책 중 하나로 추진되고 있으며, 대표적으로 사례로 경제산업성 산하 산업사이버보안연구회가 개발한 ‘사이버-물리 보안대책 프레임워크(Cyber-Physical Security Framework, 이하 CPSF)’을 들 수 있다.

 

미국, 영국 등에서는 기존의 공급망, 즉 ICT 제품 및 서비스의 생명주기(설계, 개발 및 생산, 배포, 획득 및 배치, 운영 및 배치, 파기) 상에서 기업들 간의 관계에 따른 정보, 산출물 등의 무결성과 신뢰성, 책임추적성에 초점을 맞추었다면, 일본의 CPSF는 IoT 등으로 제4차 산업혁명 기술을 활용하면서 사이버 공간과 물리적 공간을 모두 고려한 새로운 형태의 공급망을 정의하였다. 이는 기존의 공급망의 개념이 확장된 것으로 ① 기업들 간의 연결(예. IoT 기기 제조 → 판매 → 소비자 구입)뿐만 아니라 ② 사이버 공간과 물리적 공간 간의 연결(예. IoT 기기를 통한 수집한 정보가 클라우드에 저장), ③ 사이버 공간에서의 데이터 연결(예. 맞춤형 서비스 제공을 위해 클라우드에 저장된 정보 분석)이 동시에 발생하면서 공급망을 구성하는 모든 구성요소들(기업, 데이터, 시스템 등) 간에 상호 영향을 미치는 것을 의미한다. 이와 같이 동적 형태의 공급망을 CPSF에서는 ‘가치창출 프로세스’로 정의하고, 이 프로세스의 신뢰성을 확보하기 위해 보안대책을 마련할 것을 요구하고 있다. 또한 CPSF는 발생 가능한 위험을 식별하여 보안대책을 수립하기 위해 3개의 계층으로 구분하고, 가치창출 프로세스(즉, 공급망)의 구성요소를 조직, 인력, 사물, 데이터, 절차, 시스템으로 정의하였다. 이와 같은 3계층 모델을 기반으로 가치창출 프로세스 전체의 보안을 확보하기 위해서는 각 계층별로 신뢰성을 확보하고, 각 주체들은 위험관리 프로세스를 기반으로 계층별 구성요소에 대해 보안대책을 적용해야 한다.

 

 

계층	주요 대상	각 주체가 수행해야 하는 보안대책
3계층: 사이버 공간에서의 데이터 연결(사이버 공간)	데이터	조직·산업계들 간의 데이터 송수신, 가공·분석, 저장 과정에서의 조직, 인력, 시스템, 절차 등에 대한 보안성 확보
2계층: 사이버 공간과 물리적 공간 간의 연결	규칙에 따라 물리 -사이버 공간 간의 변환하는 기능	물리적 공간의 정보를 사이버 공간의 데이터로 정확하게 변환하는 기능을 포함한 사물(S/W, H/W), 시스템 등에 대한 보안성 확보 (안전성(Safety) 포함)
1계층: 기업들 간의 연결 (물리적 공간)	조직	조직이 관리하는 인력, 사물, 데이터, 절차, 시스템에 대해 적절한 보안 관리체계 수립 및 유지

 

따라서 CPSF을 활용하여 신뢰성을 확보하기 위해서는 각 구성요소에 대해 보안요구사항이 만족되었는지 여부(예. 보안요구사항을 충족하는 사물·데이터 생성, 이에 대한 기록 유지, 제3자의 의한 검증 등)를 확인하고, 이와 관련된 사항을 조회(예. 신뢰성 목록 작성 및 관리 등)할 수 있어야 하며, 이와 같은 상호 간의 신뢰 관계를 구축·유지(예. 상호 검증을 통해 추적성 확보, 구축된 신뢰 관계를 위협하는 공격 탐지·대응 등)하는 것이 필요하다.

 

3. 주요국 사이버 공급망 위험관리(C-SCRM) 프레임워크 분석

구분	국제표준	국내	미국	일본	영국	호주
조직 사이버보안	ISO/IEC27001 ISO/IEC27002	정보보호 및 개인정보보호 관리체계 (ISMS-P)주요정보통신 기반시설 취약점 분석· 평가 기준	NIST RMF NIST SP 800-53 NIST CSF Ver1.1. (ID.SC)	NISC 정부기관 정보보호 대책에 관한 공통규범경제산업성 사이버보안 경영가이드 라인 V2.0경제산업성 CPSF (CPS.SC)	NCSC Cyber Assessment Framework (Supply Chain)	Cyber security guidelines (Outsourcing)
사이버 공급망 보안	ISO/IEC 27036 ISO/IEC 20243 IEC 62443- 2-4	클라우드 보안인증제 (클라우드 서비스제공자)IoT 보안인증 (IoT제품)	NIST SP 800-161NISTIR 8179FedRAMP (클라우드 서비스제공자)NIST SP 800-171	JASA 공급망 정보보호 관리	NCSC Supply Chain Security GuidanceNCSC Cloud Security Principles	Cyber Supply Chain Risk ManagementCyber Supply Chain Risk Management Practitioner Guide

 

 

 

 

주요국은 공공-민간 부문의 조직이 사이버 공급망 위험을 효과적으로 관리할 수 있도록 관련 지침이나 가이드라인을 개발하여 제공하고 있다. <표 4>에 볼 수 있듯이 조직의 사이버보안 프레임워크의 하위 항목으로 사이버 공급망 보안관리 활동을 제시하거나 또는 별도의 공급망 보안 관련 지침을 개발하였다. 그러나 공급망 위험관리의 필요성이 대두되면서 NIST CSF 등 일부는 개정 과정을 거쳐 ‘공급망 위험관리’를 하위항목을 신설하고, 제3자가 제공하는 제품 및 서비스 등 공급망 전체의 현황을 파악하여 대응 방안을 마련하도록 요구하고 있다.

<그림 1> C-SCRM의 위험관리 프로세스

커뮤니 케이션 및 협의		조직의 미션, 전 생명주기에 걸친 운영 요구사항, 제약사항, 중요도·위험수준 등 기준 정의		모니터링 및 검토
		
	      	위험평가(Risk Assessment) 위험식별  위험분석  위험평가	      
		
		위험대응 (개선과제 추출, 위험완화 등)	

 

주요 지침에서 규정하고 있는 C-SCRM는 <그림 1>와 같이 위험관리 프로세스를 기반으로 공급망 위험을 식별 및 평가하여 대응하고 모니터링을 통한 지속적인 개선활동을 실시한다. C-SCRM의 대상 범위를 살펴보면, 기존에는 정보시스템, S/W 등 ICT 제품 및 서비스, S/W개발·유지보수 등을 수행하는 외부 인력 등에 초점을 맞추었으나, ICT 융합 환경을 고려하여 IT 및 ICS, CPS, IoT 등 네트워크상에 연결된 장치 공급자와 구매자, 조직의 보안 상태에 영향을 미치는 파트너(Non-IT 및 OT 파트너)까지 포함하고 있다. 그러나 조직의 자원은 한정되어 있으므로, 식별한 시스템과 구성요소, 이해관계자들을 대상으로 중요도를 분석하여 우선순위를 선정하는 것이 필요하다. 이 때 중요도를 판단하는 기준으로 시스템의 상호의존성, 개인식별정보 등과 같은 데이터 민감도, 데이터 접근의 용이성, 시스템의 수명, 국가사회적 중요성 등을 들 수 있다. 따라서 미국 NIST CSF, 일본 CPSF, NCSC 및 호주의 공급망 보안 등에서 제시한 공급망 위험관리 활동을 분석하면 <표 5>와 같이 정리할 수 있다.

구분	주요 내용
공통 사항	사이버 공급망 위험관리 프로세스의 수립·운영 및 이해관계자와의 합의 위험평가(Risk Assessment)를 통한 정보시스템 및 구성요소, 공급자, 제3의 파트너 식별·우선순위 선정, 평가 공급자와 제3의 파트너와의 공식적인 계약을 따라 사이버보안대책 수행 (예. 보안사고 보고 등) 정기적 감사 또는 점검 등을 통해 계약상에서 규정한 의무사항 이행 여부 확인 사고대응 및 복구 계획을 수립하거나 훈련 등 테스트를 수행할 때는 공급자와 제3자의 파트너 포함
추가 사항	공급자와의 책임 범위의 명확화 공급망 보안에 관한 교육 및 인식제고 공급자와의 계약 시 제공하는 제품·서비스가 적합한지 확인 위탁업무를 수행하는 인력에 대한 보안 요구사항 수립·운영 감사 또는 점검 등을 통해 결함 발견 시의 조치절차 수립·운영 계약상에서 규정한 의무사항을 이행하고 있음을 증명하기 위한 정보 수집 및 안전하게 보관, 필요 시 적정한 범위 안에서 공개 계약 종료 시(예. 계약기간 만료, 지원 종료)에 수행해야 하는 절차 수립·이행 공급망에 대한 보안대책 기준 및 관련 절차 등 지속적으로 개선 공급업체와의 전략적 파트너십 구축 및 정보공유

 

 

4. 시사점 및 결론

 

최근 ICT 글로벌 공급망이 복잡해지고, 화웨이·ZTE 등 중국 장비에 대한 보안 우려가 높아지면서 사이버 공급망 위험관리의 필요성이 증대되고 있다. 따라서 미국, 일본, EU 등 주요국은 정부차원 또는 산업 분야별로 공급망의 무결성 및 신뢰성을 확보하기 위해 다양한 분야의 모범사례를 토대로 관련 지침 등을 마련하고 있다. 먼저 미국과 일본을 중심으로 정부기관 및 산업 분야별 사이버 공급망 위험관리(C-SCRM) 정책 동향을 분석한 결과 다음과 같은 특징을 도출할 수 있다.

 

첫째, 정부기관은 사이버 공급망 위험으로 인해 국가 안보에 심각한 위협이 될 수 있다고 인식하고, S/W, H/W를 비롯하여 모든 ICT 제품과 서비스에 대한 조달 요건을 강화하였다. 미국은 연방정부의 사이버보안 강화 우선 추진과제 중 하나로 공급망 위험관리 향상을 우선 추진과제로 언급하고, 공급망의 투명성 확보와 위험관리에 대한 책임을 강조하였다. 또한 일본은 조달 규제 대상이 되는 모든 ICT 제품과 서비스, 공급망 위험을 고려해야 하는 시스템 등 기준을 구체적으로 제시하고, 각 정부기관들이 보다 적극적으로 공급망 위험에 대응하도록 절차를 강화하였다. 따라서 정부기관의 C-SCRM 정책은 제품 및 서비스에 대한 위험평가 프로세스 수립·운영, 조달 시의 공급자에 대한 평가기준 강화 등 규제를 기반으로 사이버 공급망 위험관리체계를 구축하고 있음을 알 수 있다.

 

둘째, 민간 부문은 전력 등 일부 분야를 제외하고는 정부기관이 직접 개입하기 보다는 산업계 또는 국제표준 단체를 중심으로 자발적 참여에 의해 공급망 위험관리 정책이 추진되었다. 그러나 일본은 주요기반시설 분야의 사업자들을 대상으로 정부기관의 공급망 위험관리 방침을 전달함으로써 간접적으로 민간 부문에서도 공급망 보안대책을 마련할 것을 요구하였다. 또한 미국 정부기관은 사이버 공급망 위험 문제를 해결하기 위해 민·관 협력체계를 기반으로 TF팀을 구성하여 활동을 시작하고, 행정명령을 통해 정부기관은 물론 민간 기업에서도 특정 기업의 정보통신기술과 서비스에 대한 취득·설치·거래 및 사용을 금지함으로써 정부기관이 민간 부문의 ICT 공급망 위험관리 활동에 직·간접적으로 개입하기 시작한 것을 알 수 있다.

 

셋째, 일본 CPSF 사례 분석을 통해 IoT 등 제4차 산업혁명 기술에 의해 구성된 ICT 융합 환경을 고려하여 기존의 공급망 개념을 확장하여 조직, 인력, 정보, 사물에 이르기까지 통합적인 관점에서의 공급망 위험관리 접근방식을 확인할 수 있었다. CPSF은 사이버공간과 물리적 공간을 모두 고려하여 동적 형태의 공급망을 정의하고, 이와 같은 공급망에서의 발생 가능한 위험을 식별하여 보안대책을 수립하기 위해 3계층 모델과 6개의 구성요소(조직, 인력, 사물, 데이터, 절차, 시스템)를 정의하였다. 공급망 전체의 보안을 확보하기 위해서는 각 계층별로 신뢰성을 확보하는 것이 필요하며, 각 주체들은 위험관리 프로세스를 기반으로 계층별 구성요소에 대해 보안대책을 적용해야 한다. 따라서 스마트시티, 스마트교통 등과 같은 ICT 융합 환경에서의 단일 공급망 위험관리체계 구축 시, 이와 같은 사이버-물리보안의 통합적인 접근 방식의 도입을 고려할 수 있다.

 

다음으로 조직에서 수행할 사이버 공급망 위험관리 활동을 파악하기 위해 주요국의 사이버 공급망 위험관리(C-SCRM) 프레임워크를 분석한 결과, 조직은 위험관리 접근방식을 기반으로 공급망 위험을 식별· 평가하고 완화하는 프로세스를 구축·운영하고, 제품 및 서비스의 전 생명주기를 고려해야 한다. 따라서 조직은 사이버 공급망 위험관리 프로세스에 따라 먼저 공급망을 구성하는 IT 및 ICS, CPS, IoT 등 네트워크상에 연결된 장치, 공급자, 조직의 보안에 영향을 미칠 수 있는 제3의 파트너(예. 재위탁자) 등을 식별하고, 조직 내 중요도를 고려하여 우선순위를 선정하여 공급망 위험평가의 대상 범위를 보다 명확하게 한다. 위험분석 및 평가과정을 거쳐 위험을 완화하는 적절한 보호대책을 수립·운영하고, 모니터링과 검토를 통해 공급망에 대한 보안대책 기준 및 절차를 지속적으로 개선할 수 있는 절차를 마련한다.

 

조직은 공급자와의 공식적인 계약을 체결할 때, 공급자가 준수해야 하는 보안요구사항과 사고발생 시의 보고의무, 보안위협과 관련된 정보공유, 역할 및 책임, 위반 시의 제재 사항 등을 계약서에 명시하고, 공급망 상에 있는 이해관계자들이 이행할 수 있도록 한다. 또한 공급자와의 계약 시 제공하는 제품·서비 스가 보안요구사항을 만족하였는지 여부를 확인하기 위해 조직 내부에서의 검증 절차를 마련하거나 제3자에 의한 평가·인증(예. 클라우드 보안인증제, IoT 보안인증 등)을 활용한다. 주기적으로 감사 또는 점검 등을 통해 계약상에서 규정한 의무사항 이행여부를 확인하고, 취약점 등 보안상의 결함 발견 시의 조치 실시, 증빙자료의 수집 및 확보 방안 등을 마련한다. 계약기간 만료, 지원종료 등에 따라 계약 종료 시에 수행해야 하는 절차(예. OT 환경에서 유지보수 기간이 종료되었으나, 부득이하게 해당 시스템 또는 기기를 사용해야 하는 경우 등)를 수립·이행해야 한다.

 

최근 IoT, 클라우드 등 제4차 산업혁명 기술이 본격적으로 도입되면서 다양한 사물과 서비스, 조직, 시스템 등이 빠르게 공급망에 포함될 것이다. 그러나 아웃소싱의 확대, ICT 글로벌 공급망의 복잡도 증가, 개발·제조 과정 등 공급망의 불투명성 등과 같이 내·외적 요인으로 인해 공급망 위험의 발생 가능성이 높아지고 있다. 따라서 주요국은 정부기관을 중심으로 선제적으로 대응하고자 사이버 공급망 위험관리체계를 구축하고, 관련 지침이나 가이드라인 개발 등을 통해 민간 부문에서도 공급망 위험에 대응할 수 있도록 지원하고 있다. 현재 국내에서는 클라우드 서비스, IoT 등 개별 제품을 중심으로 공급망 보안 활동을 수행하고 있으며, 이는 ICT 융합 환경에서의 다양한 제품 및 서비스, 공급자 등 공급망 전체를 포괄하여 위험에 대응하기에는 한계점가 있다. 따라서 IT/OT 환경 제품 및 서비스에 대한 전 생명주기를 고려하여 전반적인 공급망의 무결성과 신뢰성을 확보하기 위한 사이버 공급망 위험관리체계를 구축하고, 이를 지속적으로 개선하고 유지하는 방안을 마련하여 향후 변화하는 공급망 위험에 대비해야 할 것이다.

[참고문헌]

• 미국 정부 – 정보통신기술 및 서비스 공급망 확보에 대한 행정명령 시행, 인터넷 법제동향 제140호, 2019.05
• 공급망 공격 사례 분석 및 대응 방안, 한국인터넷진흥원, 2019.07
• 손효현, 김광준, 이만희, 미국 공급망 보안관리체계 분석, 정보보호학회논문지 29, No.5, 2019.10
• Supply Chain Risk Management Practices for Federal Information Systems and Organizations(NIST SP800-161), NIST, 2015.04
• National Cyber Strategy of the United States of America, White House, 2018.09
• Cyber Supply Chain Risk Management Practitioner Guide, ACSC, 2019.06
• ICT Supply Chain Risk Management Task Force: Interim Report, CISA, 2019.09
• Ariel (Eli) Levite, ICT Supply Chain Integrity: Principles for Governmental and Corporate Policies, Carnegie Endowment for International Peace, 2019.10
• Cyber Supply Chain Risk Management, ACSC, 2019.11
• サイバーセキュリティ経営ガイドラインVer 2.0, 経済産業省, 2017.11
• 政府機関等の対策基準策定のためのガイドライン（平成 30 年度版), NISC, 2018.07
• IT 調達に係る国の物品等又は役務の調達方針及び調達手続に関する申合せ, NISC, 2018.12
• サイバー・フィジカル・セキュリティ対策フレームワーク 0, 経済産業省 商務情報政策局, 2019.04
• サイバーセキュリティ2019（2018年度報告・2019年度計画), サイバーセキュリティ戦略本部, 2019.05
• https://cisa.gov/
• https://www.cyber.gov.au/
• https://csrc.nist.gov/Projects/Cyber-Supply-Chain-Risk-Management
• https://www.ncsc.gov.uk/
• https://www.nerc.com/
• https://www.nisc.go.jp/
• https://www.meti.go.jp/