소식

스타워즈 팬이라면 오더 66에 대해 잘 알고 계실 겁니다. 클론의 뇌에 칩을 삽입하여 행동을 조절하고 명령을 입력하도록 했습니다. 이 칩에는 제다이를 제거하라는 명령인 오더 66이 포함되어 있었습니다. 제다이는 카미노인을 고용하여 클론 군대를 건설했지만, 팰퍼틴 황제는 자신의 권력을 이용하여 미래의 이익을 위해 칩의 명령을 조작했습니다. 하드웨어를 시설이나 다른 장비에 설치하기 훨씬 전부터 보호해야 하는 이유를 보여주는 사례입니다.

가트너에 따르면 2019년 스마트 제품의 65%가 "해킹 가능"했습니다. 예를 들어, 2015년 한 장난감 제조업체는 공격에 취약한 것으로 드러난 인터랙티브 인형을 출시했습니다. 사이버 보안 블로그 시리즈에서 다루었듯이, 최근 발생한 주요 공격은 소프트웨어 및 네트워크 수준에 집중되어 있는데, 이는 물리적 접근보다 디지털 접근이 더 쉽기 때문입니다. 하지만 하드웨어 공격 또한 드물지 않으며, 그 결과는 기업에 치명적일 수 있다는 사실도 입증되었습니다.

또한, 저희 블로그에서는 하드웨어 수준에서부터 기업을 보호하기 위해 활용할 수 있는 전략, 기술, 그리고 모범 사례에 대해 논의해 왔습니다. 하지만 공급망에서 하드웨어를 보호하는 방법에 대해서는 아직 다루지 않았습니다.

위에서 언급했듯이 물리적으로 접근하는 것은 어렵지만 불가능한 것은 아니며, 때로는 하드웨어가 제조되는 동안에 이를 조작하고 나중에 취약점을 악용하는 것을 의미하기도 합니다. 마치 클론 군대를 조종했던 팰퍼틴 황제처럼요.

언뜻 보면 팬픽션에 나오는 터무니없는 음모론처럼 들릴지도 모릅니다. 하지만 하드웨어 공격은 기업 운영을 방해하고, 막대한 재정적 손실, 물리적 손상, 회사 평판 훼손 등 여러 가지 파괴적인 결과를 초래할 수 있다는 점을 명심해야 합니다.

공급망의 보안 과제는 무엇인가?

기업들이 자동화 및 디지털 전략을 구현함에 따라 공격 표면과 취약성 위험도 증가합니다. 결과적으로 데이터 및 IT 인프라 보호(애플리케이션, 서버, 네트워크, 고객 데이터, 공급업체 데이터, 부품표, 운송 관리 시스템)는 수년간 공급망 정보 보호의 주요 우선순위였습니다. 그러나 인터넷에 연결되거나 "스마트"하다고 여겨지는 제품의 수가 계속 증가하고 있음에도 불구하고 제품 보호는 우선순위에서 밀려났습니다.

이러한 "스마트" 제품에는 일반적으로 임베디드 코드, 로직 베어링 부품 또는 마이크로컨트롤러가 포함됩니다. 이전에는 첨단 기술 기업만이 공급망에서 제품을 보호하는 문제에 관심을 가졌습니다. 그러나 오늘날 운송, 의료, 소비재가 더욱 스마트해지면서 이러한 제품을 보호해야 할 필요성이 커지고 있습니다.

공급망 보호와 관련된 또 다른 과제는 운영 기술입니다. 엣지 컴퓨팅과 사물인터넷(IoT) 덕분에 사용자와 더욱 가까운 곳에서 컴퓨팅을 경험할 수 있게 되면서 새로운 취약점이 생겨나고 있습니다. 제조 및 물류에 사용되는 장비는 이제 적어도 성능 모니터링 및 문제 예측을 위해 내부 네트워크에 연결되는 경우가 많습니다. 이러한 장비를 인터넷에 연결할 때 발생할 수 있는 위협과 모니터링 소프트웨어 및 하드웨어 설치로 얻을 수 있는 생산성 향상 효과를 분석해야 합니다.

IT 보호, 기술 및 제품 운영으로 인해 거버넌스가 과제로 대두됩니다. 많은 기업에서 각 부서는 각자의 업무를 담당하고 있으며, 보안을 전사적으로 총괄적으로 관리하는 부서 간 협업 팀이 부족합니다. 이는 IT, 엔지니어링, 연구 개발, 시설 및 운영 부서가 각자의 책임 범위 내에서 취약점을 해결하고 제품 보호는 소홀히 한다는 것을 의미합니다. 실제로 일반적으로 IT 부서는 데이터, IT 인프라 및 운영을 담당합니다. 일부 기업에서는 IT 팀과 OT/IoT/물리적 기술 보안을 담당하는 별도의 운영 팀이 있습니다. 일부 기업에서는 IT 팀에 보안 그룹이 소속되어 있는 경우도 있습니다.

공격의 증가와 확산 속도, 그리고 혁신 이니셔티브와 정기적인 운영 간의 균형을 맞추기 위한 끊임없는 노력을 고려할 때 이는 특히 어려운 문제입니다. 공급망 조직은 보안이 그들의 책임 중 하나임을 그 어느 때보다 더 잘 이해해야 합니다. 더 나아가, 조직 전체가 즉각적인 위협이나 공격에 대응하면서 제품을 전체적으로 보호하기 위해 협력해야 합니다.

스마트 제품의 하드웨어 보호

66호 명령 사례처럼, 이 공격의 동기는 하드웨어를 조작하여 운영을 방해하고 재정적 손실, 평판 손상, 사업 중단 등을 초래하는 것일 수 있습니다. 그러나 이러한 공격은 제품 위조나 설계 정보 유출을 통해 시장 선점을 노릴 수 있으며, 이는 결국 사업을 중단시키거나 막대한 매출 손실을 초래할 수 있습니다.

하드웨어 보안 위험은 초기 설계 및 제조부터 재활용 및 폐기에 이르기까지 수명 주기 전반에 걸쳐 존재합니다. 최첨단 집적 회로는 복잡하기 때문에 단일 회사가 칩을 설계, 제조 및 테스트하는 것은 불가능합니다. 결과적으로 칩 제조는 이제 다국적 기업의 부가가치 사슬이 되었습니다.

팬데믹이 시작되기 전부터 기업들은 첨단 저가 전자 제품을 찾아야 한다는 압박을 받았습니다. 이로 인해 하드웨어 아웃소싱이 전례 없는 수준으로 증가했습니다. 지금도 우리는 여행 제한과 사업 중단으로 인한 부품 부족의 부작용을 겪고 있습니다. 결과적으로 전자 시스템을 개발하는 기업들은 수요 충족, 리드타임 단축, 가격 인하를 위해 기존 공급업체 대신 브로커 및 제3자 공급업체와 협력하고 있습니다. 이러한 관행의 위험은 사양에 맞지 않거나 재활용 또는 복제된 위조 칩을 확보하는 것입니다(아이러니하죠!). 이러한 위조 칩은 나중에 민감하거나 중요한 시스템에 설치되어 공격에 취약해질 수 있습니다(스타워즈처럼).

하드웨어 공급망의 취약성을 줄이기 위한 권장 사항

가장 중요한 권고 사항은 제품 보안을 조직 전체의 우선순위로 고려하는 것입니다. 운영, IT, 연구개발, 마케팅, 홍보, 인사 등 다양한 부서가 협력하여 전체 제품 수명 주기의 취약점을 파악하고 해결할 수 있도록 장벽을 제거하십시오.

또한 확장된 공급망이 모든 제품, 특히 "스마트" 제품의 효율성, 비용, 서비스, 품질 및 보안 요구 사항을 설계 단계부터 폐기 및 폐기 단계까지 충족할 수 있도록 보장해야 합니다.

재해 복구 계획과 비즈니스 연속성 평가를 수립하고 실행하십시오. 팬데믹과 같은 외부 요인이나 천재지변은 비즈니스 전략과 니즈를 빠르게 변화시킬 수 있다는 점을 명심하십시오. 변화하는 물류 또는 공급망 상황에 신속하게 적응할 수 있는 방법과 잠재적 위협 및 취약성에 대한 정보를 최소한 수집하십시오. 공급업체 위험 평가 및 관리는 비즈니스 연속성 계획의 일부여야 합니다. 이렇게 하면 정규 공급업체의 리드타임을 기다릴 수 없는 경우, 사전 승인된 안전한 차선책을 확보할 수 있습니다. 마지막으로, 이러한 모든 계획과 평가는 업계에서 승인된 표준을 준수해야 합니다. 이러한 표준은 일반적으로 작업 범위와 기간에 대한 유용한 지침을 제공하기 때문입니다.

하드웨어 OEM이 하드웨어 수준에서부터 보안을 강화하는 데 어떻게 도움을 줄 수 있는지 자세히 알아보려면 이 블로그를 읽어보세요 . 또한, 사이버 보안 블로그 시리즈 도 계속 읽어볼 수 있습니다.