사이버 범죄자가 공급망 파트너를 통해 공격을 시작하는 방법

본질적으로 공급망은 사람과 조직 간의 협력적 파트너십을 필요로 합니다. 이는 공동의 목표를 달성하고 성장을 촉진하는 데 도움이 될 수 있지만 많은 문제를 제기할 수도 있습니다.

이러한 공생 관계를 통해 회사는 자신도 모르게 비즈니스의 민감한 측면을 노출했습니다. 그러나 이러한 간과된 약점으로 인해 사이버 범죄자가 표적 조직에 발판을 마련할 수 있는 기회가 생겼습니다.

이러한 공격의 만연을 강조하는 Opus 및 Ponemon Institute 연구에 따르면 조직의 최소 59%가 타사를 통한 사이버 공격으로 피해를 입었습니다. 더욱 충격적인 사실은 연구에 참여한 조직의 16%만이 제3자의 사이버 보안 위험을 효과적으로 완화한다고 주장했다는 사실입니다.

그러한 위험으로부터 회사를 보호하는 첫 번째 단계는 위험을 식별하는 것입니다. 다음은 실제 사례에서 볼 수 있는 것처럼 악의적인 행위자가 공급망 파트너를 통해 공격을 시작할 수 있는 몇 가지 방법입니다.

거의 모든 조직에서 외부 하드웨어와 소프트웨어를 사용합니다. 처음부터 기술을 구축하려는 사람은 거의 없습니다. 오히려, 오픈 소스 분야의 붐은 비즈니스 운영의 거의 모든 측면에서 대규모 아웃소싱의 물결로 이어졌습니다.

편리함에도 불구하고 이 기회에는 상당한 위험이 따릅니다. 2018년 악명 높은 Equifax 침해 사고는 온라인 데이터베이스 실행을 담당하는 소프트웨어의 결함으로 인해 발생했습니다. Equifax는 또한 다른 공급업체에서 가져온 사이트의 악성 다운로드 링크를 비난했습니다.

공급망의 이러한 취약점으로 인해 범죄자들은 ​​최소 1억 4,300만 명의 개인 데이터를 손에 넣었습니다.

많은 회사들이 인터넷에 연결되어 있지만 적절한 보안 조치가 없는 HVAC(난방, 환기 및 공조) 시스템을 사용합니다. 이는 2014년 대규모 Target 위반의 경우와 마찬가지로 해커에게 기업 시스템에 대한 잠재적인 관문을 제공합니다.

해커는 Target의 HVAC 시스템을 제공하는 회사에 속한 로그인 자격 증명에 액세스할 수 있었습니다. 그런 다음 그들은 로그인하여 결제 시스템에 침입하여 약 7천만 명의 정보를 훔쳤습니다. 여기에는 이름, 실제 주소, 이메일 주소, 전화번호 등의 민감한 데이터가 포함되었습니다.

또 다른 형태의 위험은 회사의 기밀 데이터를 저장하는 클라우드 서비스 제공업체에서 발생합니다. 확실히 그러한 기업은 시스템 보안에 상당한 투자를 하고 있습니다. 평판이 좌우됩니다.

그러나 다른 조직 시스템과 마찬가지로 이러한 시스템도 손상되기 쉽습니다. 2018년 악명 높은 파라다이스 페이퍼스 해킹 사건이 그랬습니다. 약 1,340만 개의 민감한 파일이 유출되어 전 세계의 글로벌 기업과 슈퍼 부자의 민감한 금융 거래를 드러냈습니다. 이 파일 중 최소 절반인 약 680만 개는 해외 법률 서비스 제공업체인 Appleby에서 제공한 것입니다.

비슷한 공격이 2018년 여름에 발생했는데 Deep Root Analytics가 약 2억 유권자의 개인 데이터를 유출했습니다. Deep Root는 공화당과 민주당 모두에서 사용하는 마케팅 회사입니다. 회사가 실수로 공개적으로 액세스할 수 있는 서버에 데이터를 저장하여 위반이 발생했습니다.

직원이 약 50명에 불과한 비교적 작은 회사이지만 비슷한 사건이 대규모 조직에서 발생했습니다. Verizon 침해의 경우 Nice Systems는 공용 Amazon S3 스토리지 서버에 600만 고객 기록을 보관했습니다. 기록은 6개월치의 고객 서비스 통화 기록으로 구성되었습니다. 여기에는 개인 및 계정 정보가 포함되었습니다. Nice에는 3,500명이 넘는 직원이 있습니다.

직원이 250,000명 이상인 Deloitte도 유사한 데이터 유출을 경험했습니다. 2018년 9월에 해커는 일부 우량 고객의 기밀 계획과 이메일에 액세스했습니다. 이 경우의 허점은 관리 계정 중 하나에 대한 약한 액세스 제어였습니다.

대기업의 경우 보안이 내부적으로 철저할 수 있습니다. 그러나 이는 벤더 IT 시스템의 경우에도 해당되지 않을 수 있습니다. 지난 가을 호주 도미노피자에서 있었던 일인 것 같다. 당시 보고서에 따르면 사고는 전 공급업체의 취약한 사이버 보안 시스템에서 비롯됐다. 결과적으로 시스템은 고객 이름과 이메일 주소를 유출했습니다. 침해는 영향을 받는 고객이 개인화된 스팸 이메일을 받기 시작했을 때만 밝혀졌습니다. 도미노는 개인 데이터에 대한 악의적인 해킹이 없었고 시스템에 잘못이 없다고 주장했지만 이미 피해가 발생했습니다.

사이버 범죄자가 악용할 수 있는 또 다른 허점은 사물 인터넷(IoT) 센서입니다. 많은 사업자는 컴퓨터, 전화 및 네트워크 보안 위험에 대해 경계하고 있습니다. 하지만 공격자가 기업 시스템으로 뛰어들 수 있는 IoT 장치를 간과하는 경우가 많습니다.

이러한 장치에는 통신 목적으로 인터넷에 연결하는 센서가 있습니다. 다른 영역 중에서 기계 고장 예측 및 재고 관리를 지원할 수 있으므로 공급망에서 일반적입니다. 기능적 가치에도 불구하고 공격자가 민감한 데이터에 액세스할 수 있도록 하고 방해 공작 및 봇넷 공격을 촉진할 수 있는 인기 있는 공격 벡터입니다.

이러한 공격의 예는 Mirai로 알려진 봇넷을 사용하여 Reddit, Netflix 및 Github에 도메인 이름 서비스를 제공하는 회사인 Dyn을 손상시키는 것입니다. Mirai는 DDOS(분산 서비스 거부) 공격을 수행하도록 설계된 IoT 전용 봇넷입니다.

위의 예는 공격자가 공급망의 취약한 링크를 사용하여 시스템에 액세스할 수 있다는 사실을 입증합니다. 안타깝게도 공급망 파트너가 구현하는 보안 조치를 직접 제어할 수는 없습니다. 하지만 결국 고객은 귀사가 어떻게 침해당했는지 신경 쓰지 않습니다. 그들은 단순히 데이터가 안전하다는 것을 알고 싶어합니다. 따라서 철저한 보안을 보장해야 할 책임이 있습니다.

타사 보안 시스템 및 해당 개인 정보 보호 정책을 평가할 때 실사가 필수적입니다. 지금까지 살펴본 바와 같이 크고 작은 조직이 이러한 전술의 희생양이 될 수 있습니다. 파트너의 규모에 관계없이 보안에 대한 파트너의 약속을 평가하는 것이 중요합니다.

약점이 어디에 있는지 평가하고 모든 허점을 봉인하는 것을 최우선 목표로 삼으세요.

Olivia Scott은 의 마케팅 관리자입니다. VPNpro.com.