[논문]미국 공급망 보안 관리 체계 분석

손효현; 김광준; 이만희

doi:10.13089/jkiisc.2019.29.5.1089

미국 공급망 보안 관리 체계 분석
Analysis of U.S. Supply Chain Security Management System 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.29 no.5, 2019년, pp.1089 - 1097

손효현 (한남대학교) , 김광준 (한남대학교) , 이만희 (한남대학교)

초록
AI-Helper

정보통신기술의 비약적인 발전을 통하여 스마트 제조 시대가 도래하고 있다. 이에 따라 많은 기업은 제조공정의 효율적인 업무를 위해 다양한 하드웨어 및 소프트웨어를 활용하기 시작하였다. 이때 사용되는 하드웨어 및 소프트웨어들은 제조 유통 과정을 거쳐 공급되는데, 이러한 공급 과정에서 각종 보안 위협에 노출되고 있다. 최근 공급망 공격 사례가 증가함에 따라 국외에서는 공급망 관리 체계를 정립하여 공급망 위험을 관리하고 있다. 이에 반해 국내는 일부 분야에 대한 공급망 위험 관리 연구가 진행되었다. 본 논문에서는 공급망 공격 사례를 통하여 공급망 위험 관리의 필요성을 강조하고, 국외 공급망 관리 체계의 동향을 분석하여 국내의 공급망 보안전략 방안의 필요성을 설명한다.

Abstract ▼ AI-Helper

An era of smart manufacturing is coming through the rapid development of information and communication technology. As a result, many companies have begun to utilize a variety of hardware and software for the efficient business of the manufacturing process. At this time, the hardware and software used are supplied through manufacturing and distribution processes. These supply processes are exposed to a variety of security threats. As the recent cases of supply chain attacks have increased, foreign countries are establishing supply chain management systems and managing supply chain risks. In Korea, on the other hand, there was research on supply chain risk management in some fields. In this paper, we emphasizes the necessity of supply chain risk management through supply chain attack cases. In addition, we analyze trends of foreign supply chain management system and explains the necessity of domestic supply chain security strategy.

주제어

표/그림 (5)

그림 Fig. 1. MeDoc Supply-chain Attack Process
그림 Fig. 2. NetSarang Supply-chain Attack Process
표 Table 1. Manufacturing Security Accident Case
그림 Fig. 3. ICT SCRM Risk Management
표 Table 2. List of Executive Committee Organizations on Task Force

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이와 더불어 공급망 보안 분야에서 가장 앞서있는 미국의 공급망 관리 체계 조차 국내에 제대로 소개되지 않고 있는 실정이다. 따라서 본 논문은 미국의 공급망 보안 관리 체계를 분석함으로써 국내 공급망 보안 연구 및 체계 구축의 필요성을 설명한다.
본 절에서는 국내에서 시행중인 공급망 침해 사고 발생 시 적용 가능한 법률을 소개한다. 또한, 미국의 공급망 관리 체계의 지침서인 IR 7622와 SP 800-161 문서에 대해 기술한다.
또한, 이 문서는 다양한 분야에서 기존의 표준화된 관행을 기반으로 하여 ICT 공급망 위험 관리를 수행하도록 하였다. 그에 따라 진보된 ICT 공급망 위험 관리에 초점을 맞추기보다 기존의 관행 수준을 고려하여 ICT 공급망 위험 관리(SCRM)를 진행하고 있으며, 관련 지침들을 기반으로 하여 Fig.
또한, 이 보고서는 국내·외 공급망 공격 사례를 소개하며, 이를 위한 대응방안을 소프트웨어 공급업체 및 사용기관 입장에서 기술하였다.
이를 방지하기 위하여 국외에서는 공급망 관리 체계를 정립하여 시행하고 있다. 본 논문에서는 미국의 공급망 위험 관리 노력을 소개하였다. 미국은 NIST IR 7622와 NIST SP 800-161 지침을 통하여 ICT 공급망 위험 관리의 배경지식을 소개하고 위험 관리 프로세스를 제안하였다.
본 문서는 ICT 공급망 위험 관리 문제 해결을 위해, 여러 분야의 공급망 관리 사례를 제시하였으며, 시스템 및 소프트웨어 엔지니어링, 정보보안, 소프트웨어 보증, 공급망 및 물류, 취득 등에서의 공급망 관리 사례를 포함하였다.
, Public Law) 107-347에 의거 법적 책임을 증진하기 위해 개발되었다[3]. 본 문서는 연방 기관이 ICT 공급망 위험 관리를 위하여 ICT 제품 및 서비스를 도입할 경우 고려해야 할 사항들을 명시하며, 공급망 위험 관리에 대한 전체적인 배경 지식을 제공하는 것을 목표로 한다.
본 절에서는 공급망 공격 사례들을 통하여 공급망 공격의 위험성에 대해 소개한다.
본 절에서는 국내에서 시행중인 공급망 침해 사고 발생 시 적용 가능한 법률을 소개한다. 또한, 미국의 공급망 관리 체계의 지침서인 IR 7622와 SP 800-161 문서에 대해 기술한다.
최근, 공급망 공격은 안전한 보안 인프라가 구축된 네트워크망에 직접 침투하기보다, 상대적으로 보안이 미흡한 제조·납품 업체를 공격하여 우회 침투하기 시작했다. 이에 따라 본 논문에서는 그간 알려진 다양한 공급망 공격 중, 업데이트 서버를 해킹하여 사용자들에게 랜섬웨어를 배포한 MeDoc 공급망 공격 사례와 제품 패키지 과정에 침입하여 제품에 백도어를 삽입한 넷사랑 공급망 공격 사례, 그리고 스마트공장의 제조업에서 발생한 보안사고 사례를 소개함으로써 공급망 공격의 위험성을 강조하였다.

제안 방법

해당 논문은 자동차 보안문제가 대두됨에 따라, 자동차 소프트웨어와 공급망에서의 보안성에 대한 보증방안이 필요함을 강조한다. 그를 위해 미국 NIST SP 800-161 문서에 기반한 효율적인 국내 자동차 공급망 위험 관리 방안을 제시하였다.
또한, 이 문서는 다양한 분야에서 기존의 표준화된 관행을 기반으로 하여 ICT 공급망 위험 관리를 수행하도록 하였다. 그에 따라 진보된 ICT 공급망 위험 관리에 초점을 맞추기보다 기존의 관행 수준을 고려하여 ICT 공급망 위험 관리(SCRM)를 진행하고 있으며, 관련 지침들을 기반으로 하여 Fig.3과 같은 위험 관리 프로세스를 제안하였다.
먼저 기관들은 ICT 공급망 위험 관리를 위하여 운영·임무·기관 요구사항 및 중요도에 따라 위험 기반 의사 결정을 해야 한다. 이를 통해 프레임을 구축한 후 위험도를 평가한다. 이 과정에서 중요성과 위협, 취약점, 악용 가능성, 영향력에 따라 위험도를 판별한다.

대상 데이터

MeDoc은 우크라이나에서 회계 관리 소프트웨어를 개발하는 회사로서, 우크라이나는 모든 정부 기관에 대해 이 소프트웨어의 사용을 의무화하고 있다[2]. 2017년 6월에 발생한 이 사건에서 공격자는 MeDoc의 업데이트 서버를 해킹하여, 업데이트 요청 시 정상 업데이트가 아닌 Petya 랜섬웨어를 배포하도록 변조하였다 (Fig. 1)[18]. MeDoc은 우크라이나의 90%의 기업에서 사용되었던 만큼 피해도 매우 컸으며, FedEx등 국제적 기업에도 피해를 입혀 총 10조원의 손실이 있었던 것으로 알려진다[19].
2017년 8월에 발생한 이 사건에서, 해커는 넷사랑 제품의 패키지 과정을 공격하였다. Fig.
ICT 공급망 위험 관리는 기관에서 관리하는 하드웨어 및 소프트웨어를 포함한 모든 ICT 제품과 서비스의 생명주기 전반을 대상으로 한다. 이때, 관리 대상의 생명주기는 연구개발, 설계, 제조 및 운영 단계부터 처분, 폐기까지의 모든 활동을 포함한다.
2015년 4월에 공개된 NIST SP 800-161은 ICT 공급망 위험을 식별, 평가 및 완화하기 위한 지침을 제공한다[4]. 본 문서는 FISMA의 법정 책임에 따라 개발되었으며, FIPS 199, NIST SP 800-30 Rev.1, NIST SP 800-37 Rev.1, NIST SP 800-39, NIST SP 800-53 Rev.4 문서들을 기반으로 제작되었고, NIST IR 7622 문서는 본 문서의 제작 배경연구로 참조되었다[23][24][25][26][15][3].
본 사례는 소프트웨어 공급망 과정 중 제작 단계를 침투한 공급망 공격이다. 결국, 이 소프트웨어를 공급받아 사용하는 많은 기업들은 개인자료 유출 및 무단접근 공격에 무방비 상태였다고 할 수 있다.

성능/효과

공격 대상 및 공격 방식은 이전에 소개한 공급망 공격 사례와 같이 공급망 과정에 침투하여 공격 대상을 무력화하고 시스템을 제어하였다. 본 공격의 결과, 제품의 제조 및 생산 과정에 차질이 발생하거나 시스템 사용이 불가능해졌음을 볼 수 있다. 그에 따라 한 과정이 공격을 당하더라도 전체적인 제조·생산 과정이 중단되는 결과가 발생한다.

후속연구

스마트공장의 사고 사례의 경우 랜섬웨어 및 악성코드 감염으로 인하여 제어시스템과 각종 관리 PC들이 제 기능을 수행하지 못해 가용성을 확보하지 못하게 되었다. 따라서 스마트공장 또한 산업제어시스템, 생산/제조시스템 등 각 제조과정 별로 공급망 위험 관리 프로세스를 구축하고 지속적인 모니터링을 수행하여 위험 상황 발생 시 조기 대응이 가능하도록 상시 대비한다면, 공급망 공격 노출의 위험성을 감소할 수 있을 것으로 기대한다.
본 지침에서 네트워크 장비 구축 또는 네트워크 장비 운영사업의 계약상대자는 국가정보원의 국가 정보보안 기본지침 및 수요기관 보안업무규정 및 세부지침 등을 준수해야한다. 또한, 세부 보안요구사항을 충족하기 위하여 조치를 취해야 하며, 기능상 보안 취약점 등의 결점을 발견할 경우 개선해야함을 명시한다. 네트워크 장비 내에 백도어 등이 설치 및 운영되지 않도록 주기적인 점검을 진행 할 것을 경고하고 있으며, 보안대책 마련을 권장한다.
이렇듯 국내 공급망 관리 현황의 부족한 점을 보완하여 사전 대응이 가능한 공급망 관리 체제를 정립할 필요성이 있다. 이에 따라 미국의 공급망 위험 관리 프로세스를 기반으로 하여, 국내의 공급망 보안위험 관리 프레임워크를 개발한다면 보다 보안성이 제고된 제품이 공급 및 수요 가능할 것으로 기대된다.
향후 연구로는 미국 외 다양한 국가들에서 시행 중인 공급망 위험 관리 체계를 분석하여 국내 환경에 적합한 공급망 위험 관리 및 검증체계 수립을 위한 연구를 진행할 예정이다. 추가로 국내 정부 기관의 IT 제품 도입 과정에 있어 CC 평가·인증과 더불어 공급망 안전에 대한 사전 검증 기술 및 관리 체계에 대한 연구를 수행할 예정이다.
향후 연구로는 미국 외 다양한 국가들에서 시행 중인 공급망 위험 관리 체계를 분석하여 국내 환경에 적합한 공급망 위험 관리 및 검증체계 수립을 위한 연구를 진행할 예정이다. 추가로 국내 정부 기관의 IT 제품 도입 과정에 있어 CC 평가·인증과 더불어 공급망 안전에 대한 사전 검증 기술 및 관리 체계에 대한 연구를 수행할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	공급망이란?	여기서 공급망이란 일반적으로 제품 혹은 서비스를 공급자로부터 소비자에게 전달되는 과정 중 사람, 정부, 자원, 조직 등에 대한 전반적인 시스템을 의미한다[2]. 이러한 공급망에 침투하여 사용자에게 전달되는 소프트웨어나 하드웨어를 변조하는 형태의 공격을 공급망 공격이라 일컫는다.
	정보통신기술의 급속한 성장이 제조업체에 미친 결과는?	정보화시대가 도래함에 따라 IT는 우리의 일상생활 속에서 매우 밀접한 관계로 활용되고 있다. 정보통신기술의 급속한 성장은 IT 환경의 급격한 변화를 초래하였고, 이에 따라 각종 제조업체는 업무 효율성 증진을 위해 제조과정에 IT 기술을 접목한 스마트 제조화를 추진하고 있다[1]. 이 과정에서 기업들은 제품 설계 및 공정 등 다양한 형태의 업무 시스템과 IT 인프라 구성을 위해 많은 하드웨어 또는 소프트웨어를 구성하여 사용하고 있다.
	미국의 공급망 공격을 방지 및 대응하기 위해 시행한 것은?	이를 방지 및 대응하기 위해 미국은 NIST(National Institute of Standards and Technology) IR 7622[3], NIST SP 800-161[4] 등의 지침을 마련하여 공급망 위험 관리를 시행하고 있다. 그러나 현재 국내는 공급망 공격에 있어 관련 지침 및 법률 일부는 존재하나[5][6], 규제상 제재 수위가 낮고 사전 대응에 대한 법적 근거가 되기 어려우므로 사실상 공급망 보안에 대한 국가적 지침이 없는 실정이다.

참고문헌 (29)

Keun-Hee Han, "Smart Factory based convergence security issue and solution," KISA REPORT, vol. 08, pp. 53-61, Aug. 2018.
KISA, "Cyber-treat Trends Report," Jul. 2018.
National Institute of Standards and Technology, "Notional Supply Chain Risk Management Practices for Federal Information Systems," NIST IR 7622, Oct. 2012.
National Institute of Standards and Technology, "Supply Chain Risk Management Practices for Federal Information Systems and Organizations," NIST SP 800-161, Apr. 2015.
National Law Information Center, "Additional Special Conditions for Network Equipment-Building and Operation Projects," Procurement Service Directive No.5538, Last modified Jun. 2018.
National Law Information Center, "ACT ON PROMOTION OF INFORMATION AND COMMUNICATIONS NETWORK UTILIZATION AND INFORMATION PROTECTION, ETC," Law No. 16021, Last modified Dec. 2018.
Dong-Won Kim, Keun-Hee Han, "Automotive-Software & Supply Chain Assurance," Review of KIISC, 25(1), pp. 39-46, Feb. 2015.
Dong-Won Kim, Keun-Hee Han, In-Seok Jeon, Jin-Yung Choi, "A Study on Supply Chain Risk Management of Automotive," Journal of The Korea Institute of Information Security & Cryptology, 25(4), pp. 793-805, Aug. 2015.

원문보기 상세보기
Soo-Min Lim, A-Ram Kim, Ick-Hyun Shin, "Trends of Cyber Security Regulation of Digital Asset Supply Chain of International Nuclear Power Plants," Review of KIISC, 26(1), pp. 54-60, Feb. 2016.
KISA, "Cyber-treat Trends Report," Jan. 2019.
Symantec, "Internet Security Threat Report," Mar. 2018.
Symantec, "Internet Security Threat Report," Feb. 2019.
Nuclear Regulatory Commission, "Cyber Security Programs for Nuclear Facilities," NRC Regulatory Guide 5.71, Jan. 2010.
Nuclear Regulatory Commission, "Criteria for use of computers in safety systems of nuclear power plants Rev 3," NRC Regulatory Guide 1.152, Jul. 2011.
National Institute of Standards and Technology, "Security and Privacy Controls for Federal Information Systems and Organizations," NIST SP 800.53, Feb. 2014.
International Atomic Energy Agency, "Procurement Engineering and Supply Chain Guidelines in Support of Operation and Maintenance of Nuclear Power Plants," IAEA-TECDOC-919, Dec. 1996.
International Atomic Energy Agency, "Managing Suspect and CounterFeit Items in the Nuclear Industry," IAEA-TECDOC-1169, Aug. 2000.
Wikipedia, "Petya malware" https://en.wikipedia.org/wiki/2017_cyberattacks_on_Ukraine, Oct. 2019.
Wired, "NotPetya" https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/, Oct. 2019.
NetSarang, "NetSarang" https://www.netsarang.com/ko/, Oct. 2019.
Kaspersky, "ShadowPad" https://www.kaspersky.com/about/press-releases/2017_shadowpad-how-attackers-hide-backdoor-in-software-used-by-hundreds-of-large-companies-around-the-world, Oct. 2019.
Kye-Geun Kim, "Smart Factory Security," 2019 KISA REPORT, vol. 05, pp. 27-35, Jun. 2019.
National Institute of Standards and Technology, "Standards for Security Categorization of Federal Information and Information Systems," FIPS 199, Feb. 2004.
National Institute of Standards and Technology, "Guide for Conducting Risk Assessments," NIST SP 800-30 Rev.1, Sep. 2012.
National Institute of Standards and Technology, "Guide for Applying the Risk Management Framework to Federal Information Systems," NIST SP 800-37 Rev.1, Feb. 2010
National Institute of Standards and Technology, "Managing Information Security Risk," NIST SP 800-39, Mar. 2011.
U.S. Department of Homeland Security, "Supply Chain Risk Management" https://www.dhs.gov/, Feb. 2019.
U.S. Department of Homeland Security, "ICT SCRM Task Force" https://www.dhs.gov/cisa/information-and-communications-technology-ict-supply-chain-risk-management-scrm-task-force, Mar. 2019.
U.S. Department of Homeland Security, "ICT Supply Chain Risk Management Task Force," Nov. 2018.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증