공급망은 가장 큰 사이버 위험 요소이지만, NIST CSF 2.0을 활용하면 이를 효과적으로 관리할 수 있습니다
공급업체와 함께 따라오는 위험
대부분의 ESG 전문가들에게 공급망 리스크에 대해 물어보면, 그들은 공급업체 실사 설문지, 책임 있는 조달 정책, 감사 프로그램, 인권 평가, 환경 영향 평가 등 잘 정립된 실무 분야를 설명할 것입니다. 하지만 같은 전문가들에게 공급망 사이버 리스크에 대해 묻는다면, 그들의 답변은 종종 덜 확신에 차 있습니다. 그러나 대부분의 조직에게 있어 공급망은 가장 심각한 사이버 보안 취약점이 존재하는 곳이며, 이러한 취약점은 점점 더 커지고 있습니다.
그 이유는 구조적인 데 있습니다. 현대의 조직은 고립된 상태에서 운영되지 않습니다. 이들은 소프트웨어 공급업체, 클라우드 서비스 제공업체, 물류 파트너, 전문 서비스 업체, 하청업체, 그리고 이들 공급업체의 하청업체에 이르기까지 수백, 수천 개의 제3자와 데이터, 시스템, 디지털 인프라를 공유합니다. 이러한 각 연결 지점은 사이버 보안 사고의 잠재적 침투 경로가 됩니다. 공격자가 방어 체계가 탄탄한 조직을 직접 표적으로 삼을 때는 종종 실패하지만, 해당 조직의 시스템에 접근 권한을 가진 방어 체계가 취약한 소규모 공급업체를 표적으로 삼을 때는 종종 성공합니다.
NIST CSF 2.0은 이러한 현실을 명시적으로 인정하고 있습니다. 이 프레임워크 역사상 처음으로, 공급망 리스크 관리가 ‘거버넌스(Govern)’ 기능 내의 독립된 범주로 격상되었습니다. 이는 더 이상 기술 부록 속에 묻혀 있지 않고, 거버넌스 프레임워크의 핵심에 자리 잡은 것입니다. 이는 공급망 실사 업무를 수행하는 ESG 전문가들이 진지하게 받아들여야 할 신호입니다.
CSF 2.0이 공급망에 요구하는 사항
CSF 2.0의 ‘거버넌스(Govern)’ 기능에 포함된 ‘사이버 보안 공급망 리스크 관리’ 범주는 조직이 제3자 사이버 리스크에 어떻게 대응해야 하는지에 대한 포괄적인 성과 지표를 제시합니다. 이러한 성과 지표를 이해하면 ESG 전문가들은 기존의 공급망 실사 관행이 사이버 보안 요건과 어떻게 연계되는지, 그리고 어떤 부분에서 미흡한 점이 있는지 파악할 수 있습니다.
이 프레임워크는 사이버 공급망 리스크 관리 체계를 수립하고 문서화하며, 이를 조직의 전반적인 리스크 관리 접근 방식에 통합할 것을 요구합니다. 이는 단순한 IT 차원의 작업이 아닙니다. 이는 조달 정책, 공급업체 온보딩 절차, 지속적인 제3자 관리 프로그램에 반영되어야 하는 거버넌스 요건으로, 바로 ESG 공급망 팀이 이미 관리하고 있는 인프라와 정확히 일치합니다.
이를 위해서는 공급업체 및 기타 제3자를 그들의 역할 중요도와 내재된 위험도를 기준으로 식별하고 우선순위를 매겨야 합니다. 지출 규모, 지역, 산업 분야 또는 인권 위험도에 따라 공급업체를 등급별로 분류하는 데 익숙한 ESG 전문가들에게 이는 새로운 위험 차원에 적용된 익숙한 방법론입니다. 귀사의 시스템에 깊이 관여하는 핵심 기술 공급업체는 귀사의 운영과 디지털적으로 연결되지 않은 주변 공급업체보다 더 철저한 사이버 위험 평가를 받아야 합니다.
이에 따라 공급업체와의 계약 및 협약에는 사이버 보안 요건이 포함되어야 합니다. 여기에는 공급업체가 충족해야 할 최소 기준, 사이버 사고 발생 시의 통지 의무, 감사 권한, 그리고 자체 공급망 위험을 관리할 의무 등이 포함됩니다. 이는 책임 있는 조달 프로그램이 노동 기준이나 환경 규정 준수와 관련해 공급업체에 부과하는 계약상 요건과 직접적으로 유사합니다.
공급망 사이버 보안 실사는 ESG 공급망 실사와 별개의 절차가 아닙니다. 이는 제3자 위험을 평가, 관리 및 모니터링하는 동일한 절차로서, 현재 대부분의 조직에 있어 중요한 위험 범주에 적용되는 것입니다.
공급망 내 ESG와 사이버 보안의 연계
ESG 전문가들에게 있어 실질적인 통찰은, 공급망 내 사이버 보안 위험과 기타 ESG 위험이 근본적으로 동일한 과제를 안고 있다는 점입니다. 즉, 공급업체의 운영 내부에서 무슨 일이 일어나고 있는지 직접 확인할 수 없다는 것입니다. 따라서 위험이 적절히 관리되고 있다는 확신을 얻기 위해 자체 평가, 제3자 감사, 인증 및 계약상 약속에 의존할 수밖에 없습니다. ESG 공급망 프로그램에서 환경 및 사회적 위험을 관리하는 데 사용하는 도구들을 그대로 적용하고 확장하여 사이버 보안 위험에도 대응할 수 있습니다.
공급업체 설문지에는 CSF 2.0의 6가지 기능에 부합하는 사이버 보안 관련 질문이 포함될 수 있습니다. 공급업체가 문서화된 사이버 보안 정책과 거버넌스 프로세스를 갖추고 있습니까? 자산 및 제3자 의존 관계에 대한 목록을 관리하고 있습니까? 검증된 사고 대응 절차를 보유하고 있습니까? ISO 27001과 같은 공인된 사이버 보안 인증을 취득했습니까? 이러한 질문들은 ESG 공급업체 평가에 일상적으로 포함되는 환경 관리 관련 질문들보다 기술적으로 더 까다롭지 않으면서도, 공급업체의 사이버 위험 현황에 대한 의미 있는 정보를 제공합니다.
ESG 공급망 관리의 표준 관행인 공급업체 세분화 및 위험 등급 분류는 사이버 위험 관리에도 직접 적용될 수 있습니다. 민감한 데이터, 핵심 시스템 또는 운영 기술에 접근 권한이 있는 공급업체는 보다 철저한 평가와 구체적인 계약상 보호 조치가 필요합니다. 반면, 귀사와 디지털 통합이 이루어지지 않은 공급업체는 사이버 위험도가 낮으므로 보다 유연한 절차로 관리할 수 있습니다.
사고 통보 및 대응
ESG 전문가들이 간과했을 수 있는 공급망 사이버 위험의 한 가지 측면은 사고 통지 의무입니다. 데이터 유출, 랜섬웨어 공격, 시스템 침해와 같은 사이버 보안 사고를 겪은 공급업체는, 귀사의 시스템이 직접적인 영향을 받지 않았더라도 귀사에 위험이나 법적 책임을 초래할 수 있습니다. 이러한 위험이 재정적, 규제적, 또는 평판상의 위험 중 어느 쪽에 해당하는지는 관련 데이터의 성격과 체결된 계약 조건에 따라 달라집니다.
공급망 맥락에서 적용되는 CSF 2.0의 ‘응답(Respond)’ 기능은 조직이 공급업체로부터 사고 통보를 접수하고 이에 대응하기 위한 명확한 프로세스를 갖추어야 하며, 공급업체 역시 계약상 해당 통보를 지체 없이 제공해야 할 의무가 있음을 요구합니다. 이해관계자 소통 및 공시를 담당하는 ESG 전문가들에게 있어, 규제 당국이나 고객에게 통보 의무를 유발하는 공급업체 사고는 다른 중대한 사고와 동일한 수준의 엄격함을 가지고 관리해야 하는 거버넌스 사건입니다.
기존 업무에 이를 통합하기
ESG 전문가들에게 반가운 소식은, 공급망 사이버 위험 관리 인프라를 처음부터 새로 구축할 필요가 없다는 점입니다. 이는 기존의 공급망 실사 관행을 기반으로 구축할 수 있으며, 기존 평가 도구에 사이버 보안 기준을 추가하고, 기존 공급업체 계약에 사이버 보안 요건을 반영하며, 기존 공급업체 위험 등급 분류 및 모니터링 프로세스에 사이버 보안 위험을 통합함으로써 가능합니다.
NIST CSF 2.0은 어떤 사이버 보안 기준을 적용할지 정의하기 위한 프레임워크를 제공합니다. 이 프레임워크의 ‘거버넌스(Govern)’ 기능 내 공급망 범주는 거버넌스에 대한 기대치를 설정합니다. 또한 ‘식별(Identify)’, ‘보호(Protect)’, ‘탐지(Detect)’, ‘대응(Respond)’, ‘복구(Recover)’ 기능은 공급업체 평가 질문 및 계약상 요구 사항으로 구체화될 수 있는 운영 기준을 제시합니다.
사이버 리스크를 ESG 공급망 실사 과정에 반영하는 기업들은 더욱 강력한 보호를 받게 될 뿐만 아니라, 더 많은 정보를 확보하게 되며, 이러한 사항을 점점 더 세밀하게 따져 묻는 투자자, 규제 당국 및 고객들에게 자사의 거버넌스 수준을 입증할 수 있는 유리한 입지를 확보하게 될 것입니다.
핵심 요점: CSF 2.0은 공급망 사이버 위험을 거버넌스의 최우선 과제로 격상시켰습니다. ESG 공급망 담당자들은 기존 실사 체계(티어링, 설문지, 계약서, 감사 등)를 활용하여 이 문제를 해결할 수 있으며, 기존 업무에 사이버 보안 기준을 추가하면 됩니다.