지난 3월 19일 노르웨이의 알루미늄 제조·재생 에너지 판매 회사 노스크 하이드로(Norsk Hydro ASA)의 미국/유럽 지역 내 작업이 심각한 사이버 공격을 받았다. 이로 인해 노스크 하이드로는 자동화 제품 라인을 폐쇄하고 수동생산 프로세스를 사용해 제련소를 가동해야만 했다.

노스크 하이드로는 고객에게 지속적인 서비스를 제공하기 위해 특정 시스템을 재시작할 계획이라고 밝혔지만 회사는 사이버 공격으로 인해 고객 주문을 정상적으로 처리할 수 없었다.

하이드로의 CFO인 Eivind Kallevik은 오슬로에서 진행한 인터뷰에서 “시스템을 청소하고 백업을 복원하는 방식으로 데이터를 수집할 수 있고, 경우에 따라서 수동으로 데이터를 복원하고 백업 시스템을 되돌리는 방법을 취할 수도 있습니다. 물론 이는 모든 공장에 큰 과제가 될 것입니다”고 설명했다.

하이드로의 사건을 보면 금속·광산 업계에서 핵심 기술과 자동화가 어떻게 이루어졌는지, 이것이 사이버 공격으로 얼마나 큰 피해를 입을 수 있는지 알 수 있다. 이같이 상호 밀접하게 연결되어 움직이는 공급망의 특성이 비단 금속 산업에만 국한되지는 않을 것이다.

지난 3월 말에도 대만의 컴퓨터 하드웨어 업체인 아수스(Asus)의 서버를 해커들이 침입한 일이 벌어졌다. 일단 내부에 들어온 해커들은 합법적인 디지털 인증서로 서명된 악성 업데이트를 수천 명의 아수스 고객에게 보냈다.

러시아의 다국적 기업 보안업체인 카스퍼스키 랩(Kaspersky Lab)은 아수스에 대한 해커들의 공격을 발견했다. 이들이 파악한 악성 업데이트를 전달받은 사람들의 수는 약 50만 명에 달할 것으로 추정했다.

보안 연구원들이 코드 서명 프로세스의 취약점을 강조한 공급망 공격 소식을 공개한지 하루 만에 문제는 해결됐다. 그러나 최근의 여러 사례를 통해 기업들은 사이버 공격으로 인한 혼란의 위험에 대해 대비하는 것이 중요하고 시스템에 도입하는 자동화 과정이 많을수록 더더욱 시스템에 대한 보호가 필요하다는 점은 더욱 분명해졌다.

<컴퓨터 위클리(computerweekly)>은 지난 4월 2일 ‘사이버 공격은 점차 공급망 약점이 되고 있다(Cyber attacks increasingly exploiting supply chain weaknesses)’라는 기사에서 사이버 공격으로 인한 공급망 취약성은 점차 확산되고 있는 현실이라고 보도했다.

한 연구 결과에 따르면 오늘날의 사이버 공격 중 절반은 그 접근 방식으로 '아일랜드 호핑'을 사용하는 데 이는 타깃 네트워크뿐만 아니라 공급망에 연결된 모든 네트워크를 공격 대상으로 삼는다는 것을 의미한다고 경고했다.

사이버 보안 업체인 카본 블랙(Carbon Black)이 발표한 최근 ‘분기별 글로벌 사건 대응 위협 보고서’에 따르면 공급망은 널리 퍼지는 만큼, 더욱 위험에 노출되고 있다고 발표했다. 이 보고서를 보면, 아일랜드 호핑이 가장 많이 타깃으로 삼는 산업은 금융(47%), 제조(42%), 소매(32%) 분야라고 발표했다.

카본 블랙의 수석 사이버 보안 책임자인 Tom Kellermann은 해커들은 공격 타깃을 한 기업뿐만 아니라 기업에 연계된 고객과 그 회사의 파트너사까지도 공격한다고 설명한다. 그는 "이들은 집안을 침입하는 것뿐만 아니라 이웃집들까지도 침입할 수 있도록 그 자리에 가게를 하나 차리는 것과 같습니다."라고 말했다.

카본 블랙의 IR 파트너사 40곳을 대상으로 한 연구 결과로 이루어진 이 보고서에 따르면, 조직이 아일랜드 호핑에 취약한 주된 이유로 '가시성 부족'을 꼽았다. 카본 블랙의 글로벌 IR 파트너 프로그램을 이끌고 있는 Thomas Brittain 역시 "사이버 공격자들은 공급망에서 가장 약한 고리를 찾아 공격을 지속할 것입니다. 기업은 가깝게 일하고 있는 파트너사들을 마음에 두고, 이들이 사이버 공격으로부터의 대응을 잘하고 있는지 지속적으로 확인해야 할 것입니다"라고 조언했다.

<넥스트고브(nextgov)>는 ‘Supply Chain Attacks Spiked 78 Percent in 2018, Cyber Researchers Found(공급망 공격이 2018년 78% 급등했다)’는 기사에서 해커들이 기존의 피싱과 랜섬웨어 공격에서 벗어나 웹사이트와 소프트웨어 공급망을 통한 스텔스 침입 방식으로 옮겨가고 있다고 전했다.

기사에 따르면 사이버 보안회사인 시만텍(Symantec)의 인터넷 보안 위협에 관한 연례 보고서를 보면 온라인의 악의적 행위자가 상용 소프트웨어와 운영 체제의 취약점을 악용하여 사이버 공격을 시작한다고 보도했다. 타사 서비스에서의 허점을 이용해 대상을 공격하는 공급망 공격은 2017년에서 2018년 사이 78%가 증가했으며 악성 url 및 기타 온라인 무기에 의존하는 웹 공격 또한 56%가 급증했다.

물론 지난 한 해 동안 피싱 시도가 약 7% 감소하여 4년 연속 하락세를 보였고, 랜섬웨어 감염률 역시 20% 줄어 2013년 이후 처음으로 감소했지만 “점점 더 많은 수의 해커들이 운영 중인 컴퓨터를 손상시키는데 관심을 보이는 것으로 파악됐다. 이는 파괴적인 작업을 수행할 수 있는 잠재적 가능성이 크다”고 분석했다.

<인슈런스저널(insurancejournal)>도 지난 4월 24일 ‘How a Business Can Move from Novice to Expert in Cyber Defense Best Practices(기업이 초보자에서 사이버 방어 모범 사례 전문가로 발전하는 방법)’이라는 기사에서 보험사 Hiscox이 조사한 기업의 61%가 지난 해 사이버 공격을 받았으며 2018년에는 45%였다고 보도했다.

또한 사이버 사건 손실의 평균 비용은 229,000달러에서 369,000달러로 급증했다. 손실비용의 증가도 중요하지만 많은 기업이 사이버 사건 발생 건수를 처리할 준비가 아직은 되어 있지 않은 것이 더욱 염려되는 일이라고 Histaox는 말했다.

"사이버 위험이 모든 규모의 비즈니스에 실질적인 위협이라는 메시지는 분명해지고 있고, 이에 대해 점점 더 위험을 인식하고 사이버 보호에 더 많은 리소스를 쏟아붓고 있지만, 아직 이 문제에 대한 인식과 실제 대응이나 효과적인 방위력을 갖추는 것 사이에 엄청난 갭이 있습니다."라고 미국 Hiscox의 사이버 제품 책임자인 Meghan Hannes는 말했다.

그리고 "기업은 적절한 내부 프로토콜, 직원 배치 및 직원 교육을 통해 투자를 극대화 할 수 있도록 전체론적 접근 방식을 취함으로써 인간 방화벽이라는 제1의 방어책을 구비해야 합니다."라고 그녀는 조언했다.

Hiscox의 조사에 응답한 기업 중 72%가 내년에 사이버 보안에 대한 지출을 늘릴 계획이라고 답했지만, Hiscox는 이에 대해 적절한 인프라와 교육 없이 지출만 증가한다면 물이 새는 양동이에 쏟아지는 것과 동일하다고 말했다.

특히 응답자의 11%만이 사이버 위험에 대한 기업 방어의 중요한 구성 요소인 사이버 보안 사고의 결과로 직원 교육 및 문화 변화에 대한 지출 증가를 언급했다는 점을 주목해야 한다.

결과적으로 사이버 공격은 단순히 한 기업의 공급망에 영향을 미치는 것이 아니고 트로이의 목마처럼 연계된 더 큰 손해를 끼칠 잠재적 가능성이 큰 부문이다. 방어에 대한 프로그램의 개발도 물론 중요하지만, 이에 대한 인재의 교육과 적합한 인재의 배치에도 소홀히 하지 않는 것이 더욱 주요한 방책이라고 전문가들은 조언한다.