Research Review: Managing Cyber Risk in Supply Chains: A Review and Research Agenda

Analyzed Date: 2026.02.23 - 2026.02.27 Keywords: Supply Chain Cyber Risk, Cyber Supply Chain, Points of Penetration, Risk Propagation, C-SCRM Source: Supply Chain Management: An International Journal, 2020, Vol. 25, No. 2, pp. 223-240 https://doi.org/10.1108/SCM-10-2018-0357

Why This Paper?

선정 배경

이 논문을 선택한 이유:

  • 이전 5편이 모두 조직 내부를 다뤘다면, 이 논문은 조직 경계 밖 써드파티 및 공급망으로 시야를 확장하는 첫 논문
  • 보안 컨설팅 실무에서 고객사가 가장 간과하는 영역인 공급망 보안 리스크의 개념적 지형을 제공
  • 리스크 분류, 침투 지점, 전파 경로, 완화 전략의 전 과정을 체계화하여 진단 및 자문 역량 강화
  • SolarWinds, NotPetya 등 공급망 공격 사례가 잦아지는 현실에서 ISMS-P 공급망 보안 통제 항목 대응의 이론적 기반 확보

학습 목표:

  1. 공급망 사이버 리스크의 5가지 유형 분류와 3가지 침투 지점(PoP) 개념 습득
  2. 리스크 전파 모델(1차-2차-3차 전파)과 시간 단계별 완화 전략 프레임워크 이해
  3. IT 보안-조직 보안-공급망 보안의 통합 모델을 컨설팅 진단 도구로 전환하는 역량 확보

Day 1 - Research Context & Motivation

(공급망 통합이 만들어낸 새로운 사이버 리스크 지형)

1. 연구 배경: 공급망 통합이 낳은 새로운 취약성

공급망 사이버 리스크의 중요성

현대 공급망은 IT 인프라를 통해 복수의 조직이 연결된 사이버 공급망(Cyber Supply Chain, CSC)으로 진화했다. 이러한 통합은 운영 효율성을 높이지만, 동시에 모든 연결 노드가 잠재적 위협 경로가 되는 구조적 취약성을 낳는다. 2018년 글로벌 위험 설문(Gartner, AXA, Deloitte 등)에서 사이버 보안과 데이터 침해가 기업의 1위 위험으로 지목되었음에도 불구하고, 공급망 맥락에서의 사이버 리스크 연구는 현저히 부족한 상태였다.

Industry 4.0이 가속화하면서 IoT, 블록체인, AI, 가상현실 등의 기술이 공급망 파트너 간 연결을 심화하고 있다. 이 과정에서 사이버 보안 대응은 디지털화 속도를 따라가지 못하고 있으며, 공급망은 의도치 않게 취약성의 범위를 확장해왔다. Boone(2017)이 지적하듯, 기업들은 다양한 파트너와 무분별하게 협력하는 과정에서 스스로 공격 면적을 넓혀왔다.

현실의 한계

기존 사이버 리스크 연구의 핵심 문제는 기업 내부 관점에 갇혀 있다는 점이다. 대부분의 연구가 단일 조직의 IT 보안, 즉 방화벽, 침입탐지, 데이터 암호화에 집중하면서 파트너 간 경계를 가로지르는 사이버 위협을 다루지 않았다. 또한 기존 분류 체계(Gordon & Ford의 Type I/II, NCSC의 표적/비표적 분류 등)는 의도적 공격자 행위만을 대상으로 하며, 물리적 위협, 시스템 고장, 내부자 위협 등 비의도적 리스크를 포괄하지 못했다. 이 논문이 SLR을 수행한 1990-2017년 사이에 공급망 맥락을 다룬 논문은 전체 검색 결과 중 41편에 불과했으며, 이는 사이버 보안 분야 전체 연구량에 비해 극히 미미한 수준이다.

연구 문제의식

조직들은 공급망 맥락에서 사이버 리스크를 어떻게 관리할 것인가?

이 질문에 답하기 위해 저자들은 리스크 유형 식별, 분류, 평가, 완화라는 전 과정을 체계화하고자 했다.

2. 핵심 개념

개념 정의 컨설팅 맥락에서의 의미
사이버 공급망(CSC) IT 시스템을 활용하여 고객 요구사항을 충족하는 공급망으로, IT 인프라와 기술의 네트워크를 통해 가상 네트워크에서 데이터를 연결·구축·공유하는 구조 고객사가 거래하는 모든 협력사, 클라우드 제공자, SaaS 벤더가 보안 관리 범위에 포함됨을 의미
공급망 사이버 리스크 공급망 인프라의 무결성을 위협하는 우발적 또는 의도적 IT 사건으로, 연쇄적 혼란을 초래하는 것 단일 벤더의 침해가 고객사 전체 운영에 영향을 미칠 수 있음을 고객에게 설명하는 근거
침투 지점(PoP, Points of Penetration) 사이버 리스크가 공급망 네트워크에 진입할 가능성이 가장 높은 취약 지점으로 기술적, 인적, 물리적 차원으로 분류 고객사의 써드파티 위험 진단 시 어느 계층에서 취약성이 발생하는지 식별하는 분석 틀
리스크 전파(Risk Propagation) 사이버 리스크가 발생 지점에서 1차(운영 중단), 2차(공급망 파트너 영향), 3차(사회 전반 영향)로 확산되는 현상 고객사에 보안 투자의 필요성을 설명할 때 피해의 범위와 수준을 단계적으로 제시하는 근거
C-SCRM Cyber Supply Chain Risk Management의 약어로, IT 네트워크·하드웨어·소프트웨어의 설계-개발-생산-통합-배포 전 과정에 걸친 리스크 평가 및 완화 활동 공급망 보안 관리 체계 구축 프로젝트의 범위와 목적을 정의하는 공식 용어

3. 이론적 기반: 체계적 문헌 고찰(SLR)과 텍스트 마이닝

[연구 설계 구조]
IDENTIFICATION (식별 단계)

  • Scopus + ProQuest 검색: 초기 9,493건
  • 중복 제거 후 1,434편 선정

    DATA SCREENING (선별 단계)
  • 제목·초록 스크리닝
  • 외부 전문가 검증
  • 최종 41편 확정

    DATA ANALYSIS (분석 단계)
  • QDA Miner 텍스트 마이닝
  • 연결성 기반 클러스터 분석
  • 덴드로그램 기반 주제 도출

    5개 메타 주제 (Meta Themes)
    ① 사이버 리스크 유형
    ② 침투 지점(PoP)
    ③ 리스크 전파 경로
    ④ 보안 과제
    ⑤ 완화 방안

    통합 개념 모델 도출
    (IT 보안 - 조직 보안 - 공급망 보안의 상호연결 구조)

핵심 아이디어:

이 논문은 단순한 문헌 요약을 넘어 텍스트 마이닝과 클러스터 분석이라는 데이터 기반 방법론을 적용하여 연구자의 편향을 최소화했다. Webster & Watson(2002)의 개념 중심 접근법을 채택하여 특정 저자나 저널이 아닌 개념 자체를 분석 단위로 삼았으며, 이를 통해 공급망 사이버 리스크라는 신흥 분야의 지형을 처음으로 체계화했다.

4. 연구의 핵심 기여

학술적 기여:

  • 공급망 맥락의 사이버 리스크를 다룬 최초의 체계적 문헌 고찰(SLR) 수행
  • 기존 이분법적 분류(의도적/비의도적, 내부/외부)를 넘어 5가지 리스크 유형과 3차원 PoP 분류 체계 제시
  • 리스크 전파 모델을 통해 공급망 연결성이 피해 확산에 미치는 메커니즘 이론화
  • 인적/행동적 요소가 기술적 요소 못지않게 중요한 보안 취약점임을 문헌적으로 확인

실무 기여:

  • 시간 단계별 완화 전략(공격 전-중-후) 분류표(Table III) 제공으로 위험 대응 체계 설계의 실무 기준 제시
  • IT 보안-조직 보안-공급망 보안의 통합 개념 모델(Figure 10)을 통해 간학제적 협력의 필요성과 방향 제시
  • 인적 자원이 공급망에서 가장 예측 불가한 위협 요소임을 실증하고, 인식 교육과 훈련의 우선순위 정당화

5. 컨설팅 관점 인사이트

적용 가능성:

이 논문의 가장 직접적인 컨설팅 활용 가치는 공급망 사이버 리스크 진단의 언어와 구조를 제공한다는 점이다. 고객사가 써드파티 보안을 왜 관리해야 하는지 막연히 느끼더라도, PoP 개념으로 어디서 위험이 들어오는지, 전파 모델로 피해가 얼마나 확산되는지를 시각적으로 설명할 수 있게 된다.

기존 학습과의 연결:

기존 논문 내부 관점 이번 논문과의 연결
Gashgari(2017) 이사회가 내부 보안 의사결정을 통제 써드파티까지 거버넌스 범위 확장
Foorthuis(2011) 조직 내 컴플라이언스 전술 공급망 파트너 간 표준 가이드라인 부재 문제로 연결
Santos-Olmo(2024) 조직 내부 리스크 분석 공급망 맥락의 동적 리스크 분석 필요성으로 확장
Bulgurcu(2010) 개인 직원의 정책 준수 행동 공급망 파트너 직원의 보안 행동이 자사에도 영향을 미침
Slapničar(2022) 내부 감사의 효과성 공급망 보안에서 공급업체 감사(Supplier Audit)의 필요성으로 연결

현실적 고려사항:

공급망 보안 관리는 자사 통제권 밖의 영역을 다룬다는 점에서 근본적 한계가 있다. 논문도 지적하듯, ISO 표준 인증은 직접 공급업체(Tier 1)에만 적용 가능하며 그 이상으로 확장하기 어렵다. 고객사에 공급망 보안 체계를 제안할 때 이 현실적 제약을 솔직히 인정하면서 관리 가능한 범위와 우선순위를 함께 제시해야 한다.

Day 2 - Research Model, Hypotheses, and Methodology

(편향 없는 지형 그리기: 텍스트 마이닝으로 공급망 사이버 리스크 분류 체계 구축)

1. 연구 모델 개요

SLR + 텍스트 마이닝 기반 연구 설계:

입력 → 처리 과정 → 출력
Scopus + ProQuest → 3단계 SLR 프로세스 → 5개 메타 주제
초기 9,493건 → QDA Miner 텍스트 마이닝 → 통합 개념 모델
→ 연결성 기반 클러스터 분석 → (IT보안 - 조직보안 - 공급망보안)
→ 덴드로그램 분석

3단계 SLR 프로세스:

Stage 1: 데이터 소스 식별

  • 검색어 도출 (Boolean 검색)
  • 데이터베이스 선정 (Scopus, ProQuest)
  • 포함/제외 기준 설정

    Stage 2: 데이터 선별 및 종합
  • 제목·초록 스크리닝
  • 텍스트 마이닝으로 주제 개발
  • 데이터 추출 및 종합

    Stage 3: 데이터 분석 및 확산
  • 기술적 분석 + 주제별 분석
  • 결과 확산
  • 프레임워크 개발 및 향후 연구 방향 도출

설계 철학:

저자들은 전통적 문헌 고찰이 연구자의 주관적 판단에 따라 방향이 편향될 수 있다는 한계를 인식하고, Webster & Watson(2002)의 개념 중심 접근법을 채택했다. 이를 통해 특정 저자나 저널이 아닌 개념 자체를 분석 단위로 삼아 연구자 편향을 최소화했다. 또한 텍스트 마이닝을 활용하여 수작업으로 선정한 검색어가 데이터에서 실제로 중요한 단어와 일치하는지 교차 검증했다.

2. 연구 가설 (또는 핵심 가정)

이 논문은 가설 검증 연구가 아닌 탐색적 SLR이므로, 연구 설계의 핵심 가정으로 정리한다.

A1. 공급망 사이버 리스크는 단일 조직 내부의 IT 보안 문제와 구별되는 독자적 연구 영역이다

  • 근거: 기존 연구가 기업 내부 관점에만 집중하여 조직 간 경계를 가로지르는 위협을 다루지 않음

A2. 텍스트 마이닝 기반 클러스터 분석이 연구자의 주관적 코딩보다 편향이 적은 주제 분류를 가능하게 한다

  • 근거: Webster & Watson(2002)의 개념 중심 접근법과 Tranfield et al.(2003)의 SLR 방법론 결합

A3. 사이버 리스크는 기술적 위협뿐 아니라 인적·물리적 차원을 포함하는 다층적 현상이다

  • 근거: 기존 분류 체계가 의도적 공격자 행위에만 초점을 맞춰 비의도적 리스크를 배제한 한계

A4. 공급망에서 사이버 리스크는 발생 지점에서 파트너를 거쳐 사회 전반으로 전파되는 연쇄적 특성을 가진다

  • 근거: 공급망 연결성의 본질적 특성 - 모든 노드와 연결이 잠재적 위협 경로가 됨

3. 연구 방법론

A. 데이터 수집

데이터 소스:

Scopus

  • 수집 정보: 6,637건 초기 검색 결과
  • 용도: 학술 논문 광범위 수집

ProQuest

  • 수집 정보: 2,856건 초기 검색 결과
  • 용도: 경영·사회과학 분야 보완

데이터 규모:

초기 검색: 9,493건 (Scopus 6,637 + ProQuest 2,856)
↓ 포함/제외 기준 적용 (동료 심사 학술논문만, 1997-2017)
중복 제거 후: 1,434편
↓ 제목·초록 스크리닝 (1,373편 제외)
전문 검토 대상: 61편
↓ 전문 독해 후 추가 제외 (22편)
1차 선정: 39편
↓ 참고문헌 스크리닝으로 추가 발굴
최종: 41편

포함 기준: 동료 심사 학술논문, 1997-2017년 발표, 공급망 맥락의 사이버 리스크 직접 다룬 논문

제외 기준: 단행본, 학술대회 논문, 편집자 서문, HTML 링크, 회색문헌, 백서

데이터 특성 및 문제점:

공급망 사이버 리스크라는 주제의 신흥성으로 인해 최종 선정 논문이 41편에 불과했다. 이는 해당 분야 연구 자체가 절대적으로 부족하다는 현실을 반영하는 동시에, SLR이 다루는 문헌의 모집단이 제한적임을 의미한다. 또한 빠르게 변화하는 기술 환경에서 2017년까지의 문헌만을 대상으로 한다는 시간적 한계가 존재한다.

B. 핵심 알고리즘/기법

텍스트 마이닝 (QDA Miner)

목적: 수작업으로 선정한 검색어가 실제 문헌에서 중요하게 다루는 개념과 일치하는지 교차 검증하고, 주제 클러스터를 데이터 기반으로 도출하여 연구자 편향을 최소화하기 위함

방법:

  1. 41편의 전문 텍스트를 QDA Miner에 입력
  2. 단어/구문 빈도 분석으로 가장 중요한 용어 식별 (Figure 3)
  3. 수작업으로 선정한 검색어와 텍스트 마이닝 결과를 교차 검증
    → 강한 일치: 연구 설계의 신뢰성 확인
  4. 연결성 기반 클러스터링(계층적 군집 분석) 적용
  5. 덴드로그램으로 분류 관계 시각화 (Figure 5)
  6. 클러스터 분석 결과에서 5개 메타 주제 도출

연결성 기반 클러스터링 (Connectivity-based Clustering)

목적: 개념들 간의 유사성과 차이를 기반으로 자연스러운 그룹을 형성하여 주제 분류 체계를 귀납적으로 구축하기 위함

방법:

  1. 가까운 객체들이 더 강하게 관련되어 있다는 핵심 아이디어 적용
  2. 계층적 네트워크 구조로 군집 형성 (Tan et al., 2017)
  3. 서로 친화성이 높은 하위 영역들이 그룹으로 수렴
  4. 덴드로그램으로 분류학적 관계 시각화
  5. 패턴 분석으로 최종 메타 주제 확정

C. 분석 유형 설계

이 논문은 Tranfield et al.(2003)이 권장하는 이중 보고 방식을 채택했다.

기술적 분석(Descriptive Analysis): 연구 분야의 전반적 개요 제공

  • 출판 연도별 논문 분포
  • 연구 방법론 유형 분포
  • 주요 저널 분포
  • 지리적 분포

주제별 분석(Thematic Analysis): 5개 메타 주제별 심층 분석

  • 사이버 리스크 유형
  • 사이버 리스크 전파
  • 사이버 리스크 침투 지점(PoP)
  • 사이버 보안 과제
  • 완화 방안

D. 5개 메타 주제 분류 체계 (Figure 6)

데이터 분석을 위한 주제 기반 유형론:

Typology for Data Analysis

5개 메타 주제:

1. 사이버 리스크 유형

  • 물리적 위협
  • 시스템 고장
  • 간접 공격
  • 직접 공격
  • 내부자 위협

2. 사이버 리스크 전파

  • 1차 전파
  • 2차 전파
  • 3차 전파

3. 사이버 리스크 PoPs (침투 지점)

  • 기술적 수준
  • 인적 수준
  • 물리적 수준

4. 사이버보안 과제

  • 협업 (Collaboration)
  • 직원 지식 (Employee knowledge)
  • 지속적 헌신 (Continuous commitment)
  • 정부 관여 (Gov. involvement)

5. 완화 방안

  • 공격 전 (Pre-attack)
  • 공격 중 (Trans-attack)
  • 공격 후 (Post-attack)

4. 컨설팅 관점 인사이트

방법론의 실무 적용성:

장점:

  • 텍스트 마이닝으로 연구자 편향을 최소화한 귀납적 분류 체계는 컨설팅 현장에서 고객에게 설명할 때 객관적 근거로 활용 가능하다. 특정 전문가의 주관적 분류가 아닌 데이터 기반 분류임을 명시할 수 있다.
  • 5개 메타 주제는 공급망 보안 진단의 체크리스트로 직접 전환 가능하다. 리스크 유형은 무엇인지, 어디서 침투하는지, 어떻게 전파되는지, 어떤 보안 과제가 있는지, 어떻게 완화할 것인지의 순서로 진단 보고서를 구성할 수 있다.
  • 기술적·인적·물리적 PoP 분류는 기존 보안 진단이 기술 영역에 치우친 한계를 보완하는 논거로 사용 가능하다.

한계:

  • 2017년까지의 문헌만을 다루므로 SolarWinds(2020), Log4Shell(2021) 등 최근 공급망 공격 사례를 반영하지 못한다. 컨설팅 시 이 논문의 분류 체계를 기반으로 하되 최신 사례를 보완해서 활용해야 한다.
  • 41편이라는 제한적 문헌 풀은 이 논문의 발견이 해당 시기의 연구 상황을 반영한다는 점을 의미한다. 공급망 사이버 리스크 연구 자체가 당시 초기 단계였음을 감안해야 한다.

기존 보안 솔루션과의 차별점:

기존 VA/PT (취약점 진단/모의해킹)

  • 접근 방식: 단일 조직 내부 취약점 식별
  • 강점: 기술적 취약점 상세 발견
  • 약점: 파트너 간 경계 위협 미탐지

ISMS-P 인증

  • 접근 방식: 조직 내부 보안 통제 체계 검증
  • 강점: 규제 준수 달성
  • 약점: 공급업체 보안 수준 검증 미흡

Ghadge et al.(2020) - 이 논문

  • 접근 방식: 공급망 전체 사이버 리스크 지형 분류
  • 강점: 조직 경계를 넘는 위협 체계화
  • 약점: 정량적 측정 방법론 부재

Day 3 - Empirical Results and Hypothesis Testing

(공급망 사이버 리스크의 지형: 5가지 유형, 3차원 침투 지점, 3단계 전파, 완화 전략)

1. 평가 환경

분석 설정:

  • 대상 논문: 1997-2017년 발표 동료 심사 학술논문 41편
  • 분석 방법: 기술적 분석(Descriptive Analysis) + 주제별 분석(Thematic Analysis) 이중 구조
  • 주제별 분석은 텍스트 마이닝으로 교차 검증된 5개 메타 주제를 중심으로 수행

분석 전략:
SLR 특성상 통계적 가설 검증이 아닌 문헌 종합을 통한 개념적 분류 체계 구축이 목표다. 기술적 분석은 연구 분야의 전반적 지형을 파악하고, 주제별 분석은 각 메타 주제의 내용을 심층적으로 도출한다.

2. 기술적 분석 결과

연구 분야의 특성:

공급망 사이버 리스크 분야의 첫 학술 논문은 2000년에야 발표되었다. Warren & Hutchinson(2000)은 당시 IT 관리자의 약 60%가 사이버 보안에 대한 인식도 정책도 없다는 조사 결과를 보고했다. 2005-2006년 미국 국토안보부(Homeland Security) 공격 사건이 이후 학술적 관심의 증가를 촉발했다.

지리적 분포:

  • 선정 논문의 약 절반이 미국 또는 영국 기반 연구자 작성
  • 두 나라 모두 정부 주도 사이버 보안 이니셔티브를 통해 학술 연구를 선도
  • 독일, 프랑스, 체코 등 유럽 대륙 국가들은 2011년에야 국가 사이버 보안 전략을 수립

방법론적 분포:

  • 대부분의 연구가 질적 방법론 채택
  • 순수 양적 연구는 전체의 12%에 불과
  • Creswell(2014)에 따르면 질적 연구의 우세는 해당 분야의 미성숙을 나타내는 지표
  • 공급망 사이버 리스크 분야가 당시 여전히 초기 단계임을 시사

3. 주제별 분석 결과

A. 사이버 리스크 유형 (5가지)

기존 분류 체계(Gordon & Ford의 Type I/II, NCSC의 표적/비표적 분류)는 의도적 공격자 행위에만 초점을 맞춰 물리적 위협과 내부 활동을 배제한 한계가 있었다. 이 논문은 문헌 종합을 통해 5가지 포괄적 유형을 도출했다.

1. 물리적 위협 (Physical Threats)

  • 주요 내용: 서버·라우터 등 ICT 장비에 대한 자연재해, 물리적 파괴, 테러 공격
  • 핵심 특성: 많은 리스크 관리자가 간과하는 유형

2. 시스템 고장 (System Failures)

  • 주요 내용: 노후 방화벽, 보안 업데이트 지연 등으로 인한 시스템 또는 자원의 중단
  • 핵심 특성: 예측 가능성이 높으나 파급 효과는 의도적 공격과 동등할 수 있음

3. 간접 공격 (Indirect Attacks)

  • 주요 내용: 바이러스·웜·트로이목마, 위조 제품·소프트웨어·하드웨어, 악성코드, 스푸핑, 피싱 등 미끼를 통한 시스템 침투
  • 핵심 특성: 직원이 미끼를 수용함으로써 공격자가 시스템에 접근하는 구조

4. 직접 공격 (Direct Attacks)

  • 주요 내용: 해킹, 서비스 거부 공격(DoS), 비밀번호 스니핑, 산업 스파이, 지식재산 침해 등 금전적 이익을 위한 직접 침입
  • 핵심 특성: 의도적이고 표적화된 공격

5. 내부자 위협 (Insider Threats)

  • 주요 내용: 직원의 부주의(비밀번호 관리 소홀, 민감 정보 노출)부터 의도적 데이터 오용, 사보타주까지
  • 핵심 특성: 가장 예측 불가하고 탐지하기 어려운 위협 유형

핵심 발견:
내부자 위협은 부주의한 행동과 의도적 범행 모두를 포함하며, Kunnathur(2015)에 따르면 잠재적 사이버 공격자들이 이미 이 취약점을 충분히 인지하고 미래 공격에서 기술적 영역보다 인적 침투 지점을 더 적극적으로 활용할 것으로 예상된다.

B. 침투 지점(PoP) - 3가지 차원

Urciuoli et al.(2013)은 악의적 사이버 공격의 50%가 적절한 보호 조치가 부족한 중소기업을 표적으로 삼는다고 보고했다. 데이터 종합 결과 세 가지 핵심 침투 지점이 도출되었다.

기술적 침투 지점 (Technological PoP):
레거시 또는 노후화되어 관리가 소홀한 시스템이 의도적 공격을 유인한다. 비용 절감을 위한 서버 아웃소싱은 직접 비용을 줄이지만 보안 통제권 상실로 인해 장기적 간접 비용을 크게 높일 수 있다. ICT 시스템과 관련 자원은 성능을 개선하는 동시에 기술 리스크를 증가시키는 이중성을 가진다.

인적 침투 지점 (Human PoP):
Boone(2017)이 지적하듯, 기업의 보안 수준은 공급망 네트워크에서 가장 취약한 이해관계자 수준에 불과하다. 인적 오류는 외부 사건보다 탐지하기 어려우면서도 더 심각한 결과를 초래할 가능성이 높다. 조직 경계를 가로지르는 공급망 구성원들의 상호작용은 이 취약성을 더욱 증폭시킨다. 기술적 보안 솔루션은 보안 분석에 기반하여 설계되지만, 인적 관여에는 동등한 수준의 분석이 이루어지지 않는 경우가 많다.

물리적 침투 지점 (Physical PoP):
건물, 기계류, 주변 환경 등 물리적 객체도 사이버 리스크의 침투 경로가 된다. 노후 방화벽과 부적절한 통제 메커니즘이 공격자에게 생산 라인에 대한 원격 접근을 허용한 식품 산업 사례가 보고되었다. 자연재해는 발생 가능성이 낮고 불가피하다는 인식으로 인해 기업들이 상대적으로 덜 우려하는 경향이 있다.

C. 리스크 전파 - 3단계 확산 모델

공급망 사이버 리스크는 정적이지 않으며, 발생 지점에서 연쇄적·파급적 효과로 관련 영역으로 전파된다(Ghadge et al., 2013; Dolgui et al., 2018).

리스크 전파 3단계:

[사이버 리스크 발생]

[1차 전파: 운영 중단]

  • 운영 연속성 침해
  • 생산성 저하
  • 품질 손상
  • 직원 사기 저하

    [2차 전파: 공급망 파트너 영향]
  • 평판 손상으로 협력사와의 협업 위축
  • 정보·서비스·제품 가용성 상실
  • 연결된 시스템과 기계류 장애
  • 기회비용 및 장기적 평판 피해
  • 기밀 정보(공급업체 DB, 계약, 결제) 유출

    [3차 전파: 사회 전반 영향]
  • 최종 소비자 직접 피해 (예: 자동차 제동 시스템 악성코드 감염)
  • 공중 보건 관련 공급망 공격 시 사회적 파장 (식품, 제약 공급망)
  • 이익률, 시가총액, 브랜드 이미지 손상

주목할 특성:
사이버 공격의 결과는 동적 행동 양식을 보인다. 방어가 강화되면 공격이 다른 곳으로 이동한다. 서버 피해는 즉각적으로 나타나지만, 정보 유출은 인지되는 데 수년이 걸리거나 끝내 공개되지 않을 수 있다.

D. 사이버 보안 과제 - 4가지

1. 조직 간 협업 (Inter-organizational Collaboration):
표준 및 가이드라인의 부재가 강력한 사이버 방어 구축을 저해한다. 공급망 파트너들은 보안에 대해 더 투명하고 보안 자원과 노하우를 공동으로 활용해야 한다. 리스크 전파의 특성상 기업은 자사 보안에만 집중할 수 없고 파트너의 보안 상황도 파악해야 한다.

2. 직원 지식 (Employee Knowledge):
사이버 보안 훈련과 역량을 갖춘 인력 채용이 어렵고, 사이버 위협이 교육 및 연구 이니셔티브를 앞서가고 있다. 이상적인 직원은 반응적(reactive)일 뿐 아니라 사전 예방적(pre-emptive)으로 사이버 PoP 리스크를 식별할 수 있어야 한다.

3. 지속적 헌신 (Continuous Commitment):
Linkov et al.(2013)에 따르면 많은 리스크는 몇 달 또는 수년 후에야 현실화된다. 그러나 단기·중기 성과 목표에 따라 움직이는 관리자들의 주의 지속 기간이 이를 따라가지 못한다. 사이버 보안 시스템의 도입과 유지는 다수 부서의 장기적 헌신을 요구하는 조직 전체의 과제다.

4. 정부 관여 (Governmental Involvement):
공급망의 복잡성이 증가하면서 개별 기업만의 노력으로 총체적 보안을 달성하기 불가능해졌다. 50개 이상의 국가가 국가 사이버 보안 전략을 수립했다. 정부는 사이버 보안 프로젝트를 지원하고 전략 수립을 위한 소통 포럼을 마련해야 한다.

E. 완화 방안 - 시간 단계별 분류

기존 연구의 단순 사전적/사후적 분류를 넘어, 이 논문은 Jones & Horowitz(2012)의 공격 단계 구분을 채택한 3단계 시간 단계별 분류를 제시한다.

공격 전 (Pre-attack) 완화 수단:

기술적 완화 수단:

  • 접근 통제
  • 인증된 하드웨어·소프트웨어 사용
  • 네트워크 감사 (기술/관리)
  • 취약점 점검
  • 무신뢰(Zero-trust) 정책 (기술/정책)

관리적 완화 수단:

  • 보안 표준 인증(ISO/IEC 등) (기술/관리)
  • 공급망 파트너 간 공식 협약
  • 정보 공유
  • 공급업체 감사

인적 완화 수단:

  • 부서 간 교차 소통
  • 리스크 인식 제고 이니셔티브
  • 교육·훈련

구조적/방법론적 완화 수단:

  • 운영 내재화
  • 리스크 분류

공격 중 (Trans-attack) 완화 수단:

  • 데이터 일관성 점검
  • 태스크 포스 운영

공격 후 (Post-attack) 완화 수단:

  • 포렌식 분석
  • 인시던트 문서화
  • 사이버 보험
  • 복구 및 백업 절차

핵심 발견:
기존 문헌의 대부분이 공격 전 단계 대응에만 집중하며, 공격 중·공격 후 단계 완화 방안은 현저히 부족하다. 이는 향후 연구의 우선 과제다.

ISO 표준의 한계:
ISO 표준 인증이 공급망 보안의 대안으로 자주 언급되지만 비판적 시각도 존재한다. Keegan(2014)과 Davis(2015)에 따르면, 표준의 성공적 적용은 직접 공급업체(Tier 1) 수준에서만 가능하며 더 상위 공급망으로는 확장이 불가능하다. 또한 ISO 인증에 유효 기간이 없다는 일반적 오해로 인해 기업들이 지속적 개선을 소홀히 하는 자기만족의 위험이 있다.

4. 통합 개념 모델

이 논문의 핵심 기여인 통합 개념 모델은 IT 보안, 조직 보안, 공급망 보안 세 영역이 강하게 연결되어 있음을 보여준다. SC 통합은 시스템과 프로세스를 정렬함으로써 표준화된 업무 방식, 공유된 보안 목표, 향상된 전반적 소통을 통해 더 나은 성과를 가져온다.

통합 개념 모델 구조:

IT 보안 ←→ 조직 보안 ←→ 공급망 보안

IT 보안:

  • 기술적 통제
  • 시스템 보호

조직 보안:

  • 정책·절차
  • 인적 관리
  • 리스크 인식

공급망 보안:

  • 파트너 간 협력
  • 표준 정렬
  • 정보 공유

5. 컨설팅 관점 인사이트

성공 사례로 활용할 수 있는 발견:

이 논문이 도출한 5가지 리스크 유형과 3차원 PoP 분류는 고객사 공급망 보안 진단의 체계적 틀로 직접 활용 가능하다. 특히 물리적 위협과 시스템 고장이 많은 리스크 관리자들에게 간과된다는 발견은, 고객사 진단 시 기술적 취약점 외에 물리적 보안과 유지보수 체계도 점검해야 함을 정당화하는 근거가 된다.

한계로 인식해야 할 발견:

ISO 표준 인증이 Tier 1 이상으로 확장 불가능하다는 발견은, 고객사에 공급망 보안 체계 구축을 제안할 때 현실적 범위 설정이 반드시 필요함을 보여준다. 인증을 받더라도 지속적 개선 없이는 시간이 지남에 따라 보안 수준이 저하된다는 점도 명확히 전달해야 한다.

고객 환경 적용 시 고려사항:

  • 공격 전 단계에 편중된 기존 접근을 넘어 공격 중·공격 후 대응 체계도 함께 구축해야 한다. 많은 기업이 예방에만 투자하고 탐지와 복구 역량은 미흡하다.
  • 사이버 보험은 완화 방안으로 인정받고 있으나, 공격 자체를 방지하는 것이 아니라 피해 이후 재무적 충격을 완충하는 수단임을 고객에게 명확히 해야 한다.
  • 인적 PoP가 미래 공격의 주요 표적이 될 것이라는 전망은, 기술 솔루션 도입과 함께 직원 교육·훈련 예산 확보를 강력히 권고하는 근거가 된다.

6. 개인 인사이트

핵심 발견: 분류 체계의 실용적 가치

기존 Type I/II 또는 표적/비표적 이분법이 의도적 공격에만 집중한 반면, 이 논문의 5가지 유형 분류는 물리적 위협, 시스템 고장, 내부자 위협까지 포괄함으로써 실무에서 실제로 발생하는 다양한 사건을 설명하는 언어를 제공한다. 컨설팅 현장에서 고객사의 사고 사례를 이 분류로 체계화할 수 있다.

실무 이해: 전파 모델의 설득력

3단계 전파 모델은 고객사에 공급망 보안 투자의 필요성을 설명할 때 강력한 설득 도구다. 단일 협력사의 침해가 2차로 자사 운영에, 3차로 최종 고객과 사회에까지 파급된다는 구조를 시각적으로 제시하면, 보안을 단순한 IT 비용이 아닌 사업 연속성의 문제로 인식하게 만들 수 있다.

의문점: 정량적 측정의 부재

이 논문은 리스크 유형과 전파 경로를 분류하지만, 각 유형이 얼마나 자주 발생하는지, 어느 PoP가 실제로 더 위험한지에 대한 정량적 근거가 없다. 문헌 자체가 질적 연구 중심이어서 발생한 한계다. 실제 컨설팅에서는 이 개념 틀과 함께 산업별 침해 통계 등 보완 자료를 함께 활용해야 한다.

다음 궁금증 (Day 4 Preview):

Day 4에서는 이 논문의 한계와 학술적 영향력을 다룬다. 2017년 이후 공급망 사이버 리스크 연구가 어떻게 발전했는지, SolarWinds나 Log4Shell 같은 최근 사례들이 이 논문의 분류 체계를 어떻게 검증하거나 반박하는지 살펴볼 것이다.

Day 4 - Research Limitations and Scholarly Impact

(초기 지형도의 한계와 공급망 사이버 리스크 연구의 진화)

1. 연구의 한계점

A. 문헌 풀의 절대적 제한

문제: 최종 분석 대상이 1997-2017년 사이 발표된 41편에 불과하다. 논문 자체도 이를 인정하며, 이는 다른 공급망 관련 주제(IoT, 블록체인, 디지털화, 자율운송 등)에 비해 공급망 사이버 리스크가 학술적으로 현저히 주목받지 못한 현실을 반영한다.

영향: 41편이라는 제한된 풀은 분류 체계와 개념 모델이 당시의 연구 상태를 반영한다는 의미다. 특정 유형의 리스크나 산업군이 문헌에서 과소 대표되었을 가능성이 있으며, 이로 인해 일부 결론이 특정 맥락에 편향되어 있을 수 있다.

보완 방향: 저자들은 대규모 데이터 기반 연구의 필요성을 직접 제기한다. 현대적 빅데이터 분석 도구를 활용한 실증 연구가 다음 세대 연구를 이끌어야 한다고 주장한다.

B. 지나치게 일반적인 관점

문제: 이 논문의 대부분 선행 연구들이 범용적(generic) 관점을 채택하고 있으며, 특정 맥락에 따라 차별화된 분석이 부족하다. 네트워크 구성, 기업 규모, 기업 문화, 산업 섹터, 사업 원칙 등 공급망 사이버 취약성에 실질적 영향을 미치는 차원들이 심층적으로 다루어지지 않았다.

영향: 공급망 사이버 리스크 관리 전략이 맥락에 따라 달라져야 함에도 불구하고, 현재 문헌은 상황별로 어떤 완화 방안이 어디서, 언제 가장 효과적인지에 대한 실증적 근거를 제공하지 못한다.

보완 방향: 특정 차원(산업 섹터, 기업 규모 등)을 심층적으로 다루는 맥락화된 연구, 그리고 완화 방안의 효과를 실증적으로 검증하는 연구가 필요하다.

C. 인적·행동적 요소의 학술적 공백

문제: 이 SLR의 주목할 만한 발견 중 하나는 인적·행동적 요인이 사이버 보안에서 핵심적 역할을 함에도 불구하고, 기술적 요소(데이터, 애플리케이션, 네트워크)에 비해 연구가 현저히 부족하다는 점이다. 사이버 리스크가 직원들에게 미치는 영향에 관한 연구 역시 극히 드물다.

영향: Industry 4.0 환경에서 IoT, 블록체인, 분산형 유통을 다루는 직원들이 데이터 보안에 대한 인식이나 훈련 없이 업무를 수행하는 현실이 방치된다. 직원들이 이미 가장 중요한 침투 지점임에도 이에 대한 학술적 이해가 부족하다.

보완 방향: 사이버 리스크가 직원과 조직에 미치는 영향에 대한 연구가 필요하다. 이는 고용주, 직원, 사회 모두에게 점점 중요해지는 영역이다.

D. 완화 방안의 실증 검증 부재

문제: 다양한 완화 방안이 문헌에서 식별되었지만, 특정 방안이 실제로 효과가 있는지 실증적으로 검증한 연구가 거의 없다.

영향: 실무자들이 어떤 완화 방안에 투자해야 하는지 근거 기반의 의사결정을 내리기 어렵다. 특히 공격 중(Trans-attack)과 공격 후(Post-attack) 단계 대응 방안은 연구 자체가 희소하다.

보완 방향: 가설과 모델을 검증할 수 있는 실증 연구, 그리고 완화 방안의 효과를 측정하는 정량적 연구가 필요하다.

E. 시간적 한계

문제: 2017년까지의 문헌만을 대상으로 한다. 이 논문이 출판된 2020년 이전에도 SolarWinds(2020), Kaseya(2021), Log4Shell(2021) 등 공급망을 표적으로 한 대형 사이버 공격 사례들이 연구 범위 밖에 있다.

영향: 이 논문의 분류 체계와 개념 모델은 최근 공격 유형의 진화를 반영하지 못한다. 소프트웨어 공급망 공격(software supply chain attack)은 이 논문의 분류에서 직접 공격과 간접 공격의 경계에 걸쳐 있는 새로운 유형으로, 별도의 분류가 필요할 수 있다.

2. 후속 연구 동향

A. 인용 수와 영향력

학술적 임팩트:

  • 발표: 2020년 (온라인 선출판 2019년)
  • Google Scholar 기준 인용 수: 300회 이상 (2026년 기준)
  • 공급망 사이버 리스크 분야의 기초 참조 문헌으로 자리잡음

비교: 이 논문이 스스로 지적하듯 공급망 사이버 리스크 분야의 첫 SLR이라는 위치가 높은 인용 수의 주요 원인이다. 후속 연구들이 이 논문의 분류 체계와 개념 모델을 출발점으로 삼는다.

요청하신 대로 이모지를 제외하고, 연구 흐름을 한눈에 파악할 수 있도록 깔끔한 텍스트와 구분선을 활용하여 정리해 드립니다.

B. 연구 트렌드의 변화

과거: 2019년 이전 (조직 내부 중심)

  • 연구 부재: 공급망 전체를 관통하는 사이버 리스크 연구가 부족했던 시기
  • 폐쇄적 구조: 단일 조직 내부의 IT 보안 및 인프라 보호에 연구 역량 집중
  • 분류 체계: 주로 의도적인 공격 유형을 식별하고 분류하는 수준에 머무름

전환점: 2020년 (본 논문 시기)

  • 개념 확립: 최초의 체계적 문헌 고찰(SLR)을 통해 공급망 보안의 학술적 틀 제시
  • 프레임워크: 5가지 리스크 유형, 3차원 PoP, 3단계 전파 모델 등 구체적 지표 정립
  • 통합 모델: IT 기술과 조직 운영, 그리고 공급망 전체를 아우르는 통합 보안 모델 제안

현재 및 미래: 2024년 ~ 2026년 (글로벌 규제와 기술 고도화)

  • 위협 실체화: SolarWinds 및 XZ Utils 사례와 같은 소프트웨어 공급망 공격의 치명성 부각
  • 표준화 및 규제: NIST C-SCRM 프레임워크 강화 및 EU Cyber Resilience Act 등 강제성 있는 보안 규제 확대
  • 아키텍처 변화: 공급망 전반에 걸쳐 모든 접근을 검증하는 제로트러스트(Zero-trust) 모델 본격 도입

C. 주요 후속 연구 방향

인적 요소 심화 연구: 이 논문이 인적 PoP의 중요성을 지적했지만 실증 연구가 부족하다고 한계를 인정함으로써, 공급망 보안에서의 인간 행동, 조직 문화, 보안 인식 교육 효과를 다루는 후속 연구들이 활성화되었다.

맥락화된 산업별 연구: 범용적 관점의 한계를 극복하기 위해 제조업, 물류, 금융, 의료, 식품 등 특정 산업 맥락에서의 공급망 사이버 리스크 연구가 진행되었다.

정량적·실증적 모델 개발: 질적 연구 우세의 한계를 지적한 이후, 공급망 사이버 리스크를 정량화하고 완화 방안의 효과를 측정하는 실증 연구들이 등장했다.

3. 실무 영향

A. 개념 모델의 산업 채택

이 논문 이전: 공급망 보안은 IT 부서의 문제로 인식되었으며, 조직 보안과 공급망 관리는 별개의 사일로로 운영되었다. 써드파티 보안 리스크는 체계적 관리 대상이 아니었다.

이 논문 이후: IT 보안-조직 보안-공급망 보안의 통합 필요성이 학술적으로 정립되었다. C-SCRM이 독립적 관리 영역으로 인정받기 시작했으며, 써드파티 리스크 관리가 기업 거버넌스 의제로 부상했다.

핵심 개념의 확산: 이 논문의 PoP 개념, 3단계 전파 모델, 시간 단계별 완화 분류는 이후 공급망 보안 프레임워크 설계의 공통 어휘가 되었다.

B. 규제 환경과의 연결

이 논문이 지적한 조직 간 표준 부재, 정부 관여 필요성, Tier 1 이상 인증의 한계 등의 문제의식은 이후 실제 규제 발전으로 이어졌다.

  • NIST SP 800-161 (C-SCRM 가이드라인) 강화
  • EU Cyber Resilience Act의 공급망 보안 조항
  • 미국 행정명령 14028 (소프트웨어 공급망 보안 강화)
  • ISMS-P 인증의 공급망 보안 통제 항목 강화

C. ISO 표준 비판의 실무적 반향

이 논문이 제기한 ISO 표준의 Tier 1 한계와 인증 유효 기간 오해 문제는, 이후 실무에서 인증 획득에서 지속적 모니터링으로 보안 관리 패러다임이 전환되는 흐름을 뒷받침했다.

4. 컨설팅 관점 인사이트

한계를 이해한 컨설팅 전략:

이 논문의 한계를 알고 있다는 것 자체가 고객에게 더 정직하고 신뢰받는 조언을 가능하게 한다. 특히 세 가지를 명확히 해야 한다.

첫째, 이 논문의 분류 체계는 2017년까지의 문헌 기반이므로, SolarWinds 같은 소프트웨어 공급망 공격이나 최근 AI 기반 공격 유형은 별도로 보완해야 한다.

둘째, 완화 방안의 효과에 대한 실증 근거가 부족하므로, 고객사에 특정 방안을 권고할 때 이 논문 외에 산업별 사례 연구나 벤치마크 데이터를 함께 제시해야 한다.

셋째, ISO 인증이 공급망 보안의 완성이 아님을 강조해야 한다. 인증은 출발점이지 목적지가 아니며, 지속적 모니터링과 개선이 필요하다.

적용 가능 시나리오:

  • 제조업 고객사의 공급망 보안 위험 진단 의뢰: 5가지 리스크 유형 × 3차원 PoP 매트릭스로 진단 범위 설계
  • 금융권 고객사의 써드파티 리스크 관리 체계 수립: 3단계 전파 모델로 피해 범위 설명, 시간 단계별 완화 방안으로 대응 체계 설계
  • ISMS-P 컨설팅 시 공급망 통제 항목 강화: Tier 1 한계를 인정하되 계약 조항과 감사로 보완하는 현실적 전략 제시

적용 불가 시나리오:

  • 특정 완화 방안의 정량적 ROI 산출 요청: 이 논문은 실증 데이터가 없으므로 다른 자료로 보완 필요
  • 소프트웨어 공급망 공격(예: 오픈소스 취약점, CI/CD 파이프라인 침해)에 대한 상세 대응 전략: 이 논문의 분류 체계로는 충분히 다루기 어려움

5. 개인 인사이트

한계 인정의 가치:

이 논문은 스스로의 한계를 명시적으로 기술하면서도 그 한계가 향후 연구 의제가 된다는 점을 강조한다. 공급망 사이버 리스크 분야가 초기 단계라는 사실을 인정하면서도, 바로 그 이유로 이 연구의 가치가 더 높아진다. 컨설팅에서도 마찬가지로, 모른다는 것을 인정하고 향후 보완 방향을 제시하는 것이 과장된 자신감보다 신뢰를 쌓는 데 효과적이다.

Trade-off 이해:

이 논문의 핵심 Trade-off는 포괄성과 깊이 사이의 선택이다. 범용적 관점을 채택함으로써 5개 메타 주제를 통합적으로 다룰 수 있었지만, 산업별·기업 규모별 맥락화는 희생되었다. 최초의 SLR로서 지형도를 그리는 역할에 집중한 선택이었고, 그것이 이 논문의 위치이자 한계다.

산업 영향:

41편이라는 극히 적은 문헌 풀을 기반으로 한 연구가 300회 이상 인용되었다는 사실은, 학술적 공백을 처음으로 메운 연구가 갖는 영향력을 보여준다. 공급망 사이버 리스크라는 개념 자체를 학술 의제로 올린 것이 이 논문의 가장 큰 기여다.

다음 읽을 논문 방향:

이 논문의 한계를 보완하는 두 방향이 있다. 하나는 인적 요소를 심화하는 방향, 즉 공급망 보안에서 직원 행동과 조직 문화가 어떻게 작용하는지를 다루는 연구다. 다른 하나는 완화 방안의 실증 검증을 다루는 방향, 즉 C-SCRM 프레임워크 적용 효과를 측정한 Boyson et al.(2021) 같은 연구다.

다음 궁금증 (Day 5 Preview):

Day 5에서는 5일간의 학습을 통합하여 컨설팅 관점의 실용적 프레임워크를 완성한다. 특히 Ghadge의 개념 모델을 이전 5편의 논문에서 쌓은 거버넌스-컴플라이언스-리스크-감사 체계와 어떻게 연결할 것인지, 그리고 고객사에 공급망 보안 체계 구축을 제안할 때 어떤 순서와 논리로 접근할 것인지를 정리한다.

Day 5 - Consulting Perspective and Key Takeaways

(조직 경계를 넘어: 공급망 사이버 리스크 관리의 컨설팅 언어와 실천)

1. 5일간 학습 여정 종합

A. 무엇을 배웠나

Day 1: 공급망 통합이 만들어낸 새로운 취약성

공급망의 IT 통합 = 효율성 + 사이버 취약성 ↓ 기존 연구는 단일 조직 내부에 갇혀 조직 간 경계의 위협을 다루지 않음 ↓ -> 최초의 공급망 맥락 SLR로 개념적 지형도를 제시하는 것이 이 논문의 출발점

Day 2: 편향 없는 지형 그리기

텍스트 마이닝으로 연구자 편향을 최소화한 귀납적 분류 ↓ 연결성 기반 클러스터링 -> 5개 메타 주제 도출 (Figure 6) ↓ -> 분류 체계가 특정 연구자의 주관이 아닌 데이터에서 나왔다는 방법론적 정당성

Day 3: 공급망 사이버 리스크의 실제 지형

5가지 리스크 유형 / 3차원 PoP / 3단계 전파 / 4가지 보안 과제 / 시간 단계별 완화 방안 ↓ 인적 PoP가 미래 공격의 주요 표적 / 공격 전 단계에 편중된 기존 연구의 한계 ↓ -> 기술 솔루션만으로는 충분하지 않으며, 인적 요소와 공격 후 대응도 함께 다뤄야 함

Day 4: 초기 지형도의 한계와 연구의 진화

41편의 제한된 풀 / 범용적 관점의 한계 / 완화 방안 실증 검증 부재 ↓ 인적·행동적 요소의 학술적 공백이 가장 중요한 한계 ↓ -> 한계를 인정하는 것이 컨설팅 신뢰의 기반이며, 보완 자료 활용의 필요성을 정당화함

Day 5: 컨설팅 관점 통합

지금까지 배운 개념 틀을 보안 컨설팅의 실용적 도구로 전환한다. 이전 5편의 논문에서 쌓아온 거버넌스-컴플라이언스-리스크-감사 체계와 연결하고, 고객사와의 실제 대화에서 어떻게 활용할 것인지를 정리한다.

2. 논문에서 배운 핵심 원리 정리

A. 기술적 메커니즘의 본질적 이해

원리 1: 연결성은 효율과 취약성의 동전 양면이다

공급망의 IT 통합은 운영 효율성을 높이지만, 동시에 모든 연결 지점이 잠재적 위협 경로가 된다. Smith et al.(2007)이 지적하듯, 기존의 관료적 장벽들이 IT 통합 과정에서 보호막이 사라졌다. 즉, 디지털화의 편익과 보안 비용은 분리될 수 없다.

왜 작동하는가: 연결성이 높을수록 리스크 전파 경로가 늘어난다. 하나의 노드가 침해되면 연결된 모든 파트너에게 2차, 3차 파급이 발생하는 구조적 특성이다.

왜 한계가 있는가: 공급망 전체를 단일 보안 통제 하에 두는 것은 불가능하다. 특히 Tier 2 이상의 공급업체에는 보안 요구사항을 강제하기 어렵다.

원리 2: 인적 침투 지점은 기술적 방어의 사각지대다

기업들은 사이버 보안을 기술적 문제로만 인식하는 경향이 있지만, 기술적 보안이 강화될수록 공격자는 더 취약한 인적 경로로 이동한다. Kunnathur(2015)는 미래의 의도적 공격이 기술적 영역보다 인적 PoP 를 더 집중적으로 활용할 것이라 예측했다. 조직 경계를 가로지르는 공급망 직원들의 상호작용은 이 취약성을 더욱 증폭시킨다.

원리 3: 사이버 리스크는 정적이지 않고 전파된다

발생 지점에서 운영 중단(1차), 파트너 신뢰 손상(2차), 사회적 파급(3차)으로 확산되는 연쇄적 특성은 단일 기업의 보안 문제를 공급망 전체의 문제로 만든다. 이 전파 메커니즘을 이해하지 못하면 보안 투자의 범위와 우선순위를 잘못 설정하게 된다.

B. 일반화 가능한 원칙

  • 보안의 강도는 가장 취약한 연결 고리에 의해 결정된다. 자사 보안이 아무리 강해도 파트너의 취약점이 위협 경로가 된다.
  • 예방에만 집중하는 보안 체계는 불완전하다. 탐지(Trans-attack)와 복구(Post-attack) 역량이 함께 갖춰져야 한다.
  • 표준 인증은 출발점이지 완성이 아니다. ISO 인증 획득 후 지속적 개선 없이는 시간이 지남에 따라 보안 수준이 저하된다.

3. 기업 환경에서의 적용 가능성 분석

A. 해결하는 비즈니스 문제

보안 측면: 써드파티를 통한 침해, 공급망 연쇄 중단, 위조 부품·소프트웨어 유입, 공급망 파트너를 경유한 내부 시스템 접근

비즈니스 측면: 공급망 중단으로 인한 매출 손실, 브랜드 평판 손상, 기회비용, 고객 신뢰 훼손

규제 측면: ISMS-P 공급망 보안 통제 항목, ISO 27036(공급업체 관계 정보 보안), NIST C-SCRM 프레임워크, EU Cyber Resilience Act의 소프트웨어 공급망 보안 조항

B. 적합한 기업 프로필

산업: 제조업(부품 공급망), 금융(핀테크 벤더·클라우드 의존도 높음), 물류(다수 파트너 연결), 의료(의료기기·EMR 공급업체), 유통(대형 플랫폼 기반 운영)

기업 규모: 복수의 공급업체와 거래하는 중견·대기업. 중소기업은 자원 제약으로 완전한 도입이 어렵지만, PoP 진단은 규모와 무관하게 적용 가능하다.

보안 성숙도: 기본적인 내부 보안 통제가 갖춰진 기업으로, 이제 외부 리스크까지 관리 범위를 확장하려는 단계. 보안 성숙도 Level 2~3 수준의 기업에 적합하다.

C. 도입 시 고려사항

범위 설정: Tier 1 공급업체부터 시작하여 점진적으로 확장한다. Tier 2 이상은 계약 조항과 감사로 간접 통제하는 현실적 접근이 필요하다.

인력: C-SCRM 전담 인력 또는 기존 SCRM과 IT 보안 팀의 협업 구조가 필요하다. 이 논문이 강조한 부서 간 교차 소통 체계를 먼저 구축해야 한다.

지속성: 공급망 사이버 보안은 프로젝트가 아니라 지속적 프로세스다. Linkov et al.(2013)이 지적하듯 많은 리스크는 수개월 또는 수년 후에야 현실화된다.

4. 컨설팅 시나리오별 활용 방안

A. 보안 진단/점검

5가지 리스크 유형 × 3차원 PoP 매트릭스를 진단 체크리스트로 전환하면 15개의 교차 점검 항목이 만들어진다. 예를 들어 물리적 위협 × 기술적 PoP는 서버실 물리 접근 통제와 노후 장비 현황을 점검하는 항목이 된다. 이를 통해 고객사가 어떤 유형의 리스크에 어느 PoP 차원에서 취약한지 구조적으로 파악할 수 있다.

추가 점검 항목:

  • 공격 전-중-후 단계별 대응 절차가 각각 존재하는가
  • 공급업체 감사(Supplier Audit) 체계가 있는가
  • 사이버 인시던트 발생 시 파트너사에 통보하는 협약이 있는가
  • 직원 대상 보안 인식 교육이 공급망 파트너 직원까지 포함하는가

B. 보안 체계 수립

공급망 보안 체계 수립 프로젝트에서 이 논문의 통합 개념 모델(IT 보안-조직 보안-공급망 보안)은 체계의 전체 구조를 설계하는 틀이 된다. 세 영역 각각에 대한 통제를 수립하되, 세 영역이 서로 연결되는 접점을 별도로 관리해야 함을 고객에게 설명할 수 있다.

적용 예시:

  • IT 보안 영역: 공급업체 접근 통제, 인증된 소프트웨어·하드웨어 사용, 네트워크 감사
  • 조직 보안 영역: 직원 보안 인식 교육, 제로트러스트 정책, 공급망 보안 책임자 지정
  • 공급망 보안 영역: 공급업체 감사, 파트너 간 보안 협약, 정보 공유 체계 구축

C. 기술 자문

질문 1: 협력사가 많은데 어디서부터 보안 관리를 시작해야 하나?

답변: 직접 거래하는 Tier 1 공급업체부터 시작하는 것이 현실적이다. Keegan(2014)과 Davis(2015)의 연구에 따르면 ISO 표준 같은 인증 요구사항도 Tier 1 이상으로는 확장하기 어렵다. 우선 Tier 1 공급업체의 3가지 침투 지점(기술적, 인적, 물리적)을 점검하고, Tier 2 이상은 계약 조항에 보안 요구사항을 포함하는 방식으로 간접 통제한다.

질문 2: 우리 회사는 ISO 27001 인증을 받았는데 공급망 보안도 충분한 것 아닌가?

답변: ISO 27001 인증은 자사 내부 보안 통제 체계를 검증하는 것이다. 공급업체의 보안 수준은 인증 범위에 포함되지 않는다. 더불어 인증에는 유효 기간이 없다는 오해로 인해 인증 후 지속적 개선이 소홀해지는 경우가 많다. 인증은 출발점이고, 공급망 파트너까지 포괄하는 별도의 C-SCRM 체계가 추가로 필요하다.

질문 3: 공급망 보안 사고가 발생했을 때 피해는 어느 범위까지인가?

답변: 이 논문의 리스크 전파 모델에 따르면 세 단계로 확산된다. 1차는 자사 운영 중단(생산성, 품질, 연속성), 2차는 공급망 파트너와의 신뢰 손상 및 정보 유출, 3차는 최종 소비자와 사회에 대한 파급이다. 자동차 브레이크 시스템 악성코드 감염 사례처럼, 공급망 사이버 공격은 결국 일반 소비자의 안전 문제로도 이어질 수 있다.

5. 프레임워크/규제/표준과의 연계

A. ISMS-P / ISO 27001 관점

통제 항목 논문의 기여 적용 방법
공급자 관계 보안 PoP 3차원 분류로 공급업체 위험 진단 범위 제공 공급업체 감사 항목을 기술/인적/물리 차원으로 구조화
정보보안 사고 관리 3단계 전파 모델로 사고 파급 범위 사전 정의 사고 대응 절차에 공급망 파트너 통보 단계 포함
업무 연속성 관리 시간 단계별(공격 전-중-후) 완화 체계 BCP/DRP에 공급망 사이버 시나리오 포함
접근통제 제로트러스트 정책을 공급망 파트너 접근에 적용 파트너별 최소 권한 원칙 설계

B. 산업별 특화 연결

제조업: 스마트 팩토리의 OT/IT 통합 환경에서 산업 제어 시스템(ICS)에 대한 공급망 경유 공격을 PoP 물리적 차원과 연결하여 진단

금융: 핀테크 벤더, 클라우드 서비스 제공자, API 연동 파트너에 대한 써드파티 리스크 관리 요구(금융보안원 써드파티 리스크 관리 가이드라인)와 직접 연결

의료: 의료기기 제조업체, EMR 시스템 공급업체의 보안 수준이 환자 안전에 직결됨. 3차 전파(사회적 파급)의 실제 사례로 의료 공급망 활용 가능

C. 보안 성숙도 모델 연계

단계 Before After (이 논문 적용)
Level 1 내부 IT 보안만 존재, 공급망 리스크 인식 없음 5가지 리스크 유형 기준으로 공급망 위협 목록 작성
Level 2 Tier 1 공급업체에 ISO 인증 요구하는 수준 PoP 3차원 진단으로 공급업체별 취약점 체계적 파악
Level 3 공급업체 감사 및 계약 조항 관리 공격 전-중-후 대응 체계와 파트너 간 정보 공유 협약 구축

6. 컨설턴트로서 얻은 인사이트

A. 고객 조언 역량

이 논문을 읽기 전: 공급망 보안을 단순히 공급업체에 ISO 인증을 요구하거나 계약서에 보안 조항을 넣는 수준으로만 이해했다. 왜 그것이 충분하지 않은지, 리스크가 어떤 경로로 어디까지 확산되는지를 설명할 언어가 없었다.

이 논문을 읽은 후: 공급망 사이버 리스크의 지형(5가지 유형), 경로(3차원 PoP), 파급(3단계 전파), 대응(시간 단계별 완화)을 하나의 통합된 서사로 설명할 수 있게 되었다. ISO 인증이 Tier 1에서 멈춘다는 구조적 한계, 인적 PoP가 미래 공격의 주요 표적이라는 전망, 공격 후 단계 대응 체계의 필요성을 근거와 함께 말할 수 있다.

구체적 예시:

고객: 협력사가 보안 사고를 당하면 우리한테도 영향이 오나요? 어느 정도까지요?

나: 이 논문의 전파 모델에 따르면 세 단계로 영향이 옵니다. 먼저 협력사의 운영이 중단되면 납기와 품질에 직접 영향이 오고(1차), 침해된 협력사 시스템을 통해 귀사의 네트워크에 공격자가 진입하거나 기밀 정보가 유출될 수 있으며(2차), 최악의 경우 귀사가 공급하는 제품이나 서비스를 통해 최종 고객에게까지 피해가 전달됩니다(3차). 실제로 자동차 제동 시스템에 악성코드가 심어진 사례가 이 세 번째 단계에 해당합니다.

B. 전문성 영역

답할 수 있는 질문:

  • 공급망 사이버 리스크의 유형과 분류 기준
  • 공급업체 보안 진단 시 어떤 차원(기술/인적/물리)을 점검해야 하는가
  • 사이버 사고 발생 시 피해가 어떤 경로로 어디까지 확산되는가
  • 공격 전-중-후 각 단계에서 어떤 완화 방안이 필요한가
  • ISO 인증이 공급망 보안의 충분조건이 되지 않는 이유

아직 보완이 필요한 영역:

  • 산업별 공급망 사이버 리스크의 구체적 특성 및 사례 (이 논문의 범용적 관점의 한계)
  • 완화 방안별 효과의 정량적 근거 (실증 연구 부재)
  • 소프트웨어 공급망 공격(CI/CD 파이프라인, 오픈소스 취약점)에 대한 상세 대응 전략

7. 5일간 리뷰 종합

Day 주제 핵심 학습 컨설팅 활용
Day 1 공급망 통합과 취약성 디지털화는 효율과 취약성을 동시에 가져온다 써드파티 보안 관리 필요성을 설명하는 배경 논리
Day 2 SLR + 텍스트 마이닝 방법론 데이터 기반 귀납적 분류로 편향 최소화 5개 메타 주제가 객관적 근거를 가진 분류임을 설명
Day 3 5가지 유형 / PoP / 전파 / 완화 인적 PoP가 미래 공격의 주요 표적, 공격 후 대응 부족 진단 체크리스트 설계, 고객사 피해 범위 설명
Day 4 한계와 학술적 영향 41편의 한계, 실증 부재, 인적 요소 공백 한계 인정으로 신뢰 구축, 보완 자료 활용 필요성
Day 5 컨설팅 관점 통합 6편의 논문을 하나의 보안 컨설팅 역량으로 통합 거버넌스-컴플라이언스-리스크-감사-공급망의 완성된 체계

8. 최종 개인 인사이트

A. 이 논문이 나의 컨설팅 역량에 기여한 점

핵심 배움 1: 조직 경계 밖으로의 시선 확장

이전 5편의 논문이 모두 조직 내부를 다뤘다면, 이 논문은 처음으로 외부를 봤다. 거버넌스, 컴플라이언스, 리스크 관리, 감사가 모두 자사 내부에서만 작동한다면 공급망을 통해 들어오는 위협에는 무력하다. 조직 경계 밖의 리스크를 관리하는 언어와 체계를 갖추는 것이 공급망 보안의 핵심이다.

핵심 배움 2: 리스크 전파 서사의 설득력

단순히 위협이 있다고 말하는 것과, 그 위협이 어떤 경로로 어디까지 확산되는지를 3단계 서사로 설명하는 것은 전혀 다른 설득력을 가진다. 고객사의 보안 투자 의사결정자에게 1차-2차-3차 전파 모델을 시각적으로 제시하는 것은 추상적인 리스크를 구체적인 사업 위협으로 번역하는 행위다.

핵심 배움 3: 불완전한 도구의 정직한 활용

이 논문은 2017년까지의 문헌에 기반하며, 실증 검증도 부족하다. 그러나 이 한계를 알고 있다는 것 자체가 더 정직한 컨설팅을 가능하게 한다. 이 분류 체계가 최신 소프트웨어 공급망 공격까지 완전히 설명하지는 못한다고 말하면서도, 지금까지 공급망 사이버 리스크 전체를 조망하는 가장 체계적인 개념 틀임을 함께 제시하는 것이 전문가로서의 정직함이다.

B. 6편의 논문을 읽고 나니

논문 핵심 아이디어 강점 약점 적용 시나리오
Foorthuis & Bos (2011) 컴플라이언스 전술 유형론 조직 내 컴플라이언스 행동 분류 체계 조직 간 표준 적용 불가 내부 보안 정책 준수 체계 진단
Santos-Olmo et al. (2024) 통합 리스크 분석 프레임워크 리스크 분석 방법론 종합 공급망 맥락 미포함 조직 내부 리스크 평가 방법론 선택
Bulgurcu et al. (2010) 개인 보안 정책 준수 행동 합리적 행동 이론 기반 실증 조직 경계 내부에만 적용 직원 보안 인식 교육 설계
Gashgari et al. (2017) 전사 보안 거버넌스 프레임워크 거버넌스 구조 설계의 청사진 써드파티 거버넌스 미포함 보안 거버넌스 체계 수립
Slapničar et al. (2022) 사이버 보안 감사 효과성 감사 역량과 감사위원회 역할 실증 공급업체 감사 미포함 내부 감사 역량 강화 자문
Ghadge et al. (2020) 공급망 사이버 리스크 분류와 전파 조직 경계 밖 리스크 체계화 실증 검증 부재, 2017년까지 공급망 보안 진단 및 체계 수립

통합적 이해:

6편을 통해 하나의 연속적 체계가 완성된다. Gashgari는 보안 의사결정의 거버넌스 구조를 설계하고, Foorthuis는 그 구조 안에서 컴플라이언스가 어떻게 실행되는지를 설명하며, Santos-Olmo는 리스크를 분석하는 방법론을 제공하고, Bulgurcu는 개별 직원이 왜 정책을 따르는지를 밝히며, Slapničar는 이 전체 체계가 작동하는지 감사로 검증하는 방법을 다룬다. 그리고 Ghadge는 이 모든 체계가 조직 경계 밖으로도 확장되어야 함을 보여준다.

C. 다음 학습 방향

우선순위 1: 소프트웨어 공급망 보안 심화

  • SolarWinds, XZ Utils 등 소프트웨어 공급망 공격 사례를 Ghadge의 분류 체계로 분석
  • NIST SP 800-161 C-SCRM 가이드라인 심독

우선순위 2: 공급망 보안의 인적 요소 심화

  • Ghadge가 지적한 인적 PoP 연구의 공백을 채우는 방향으로, 공급망 파트너 직원의 보안 행동을 다룬 연구 탐색
  • Bulgurcu의 개인 준수 행동 이론을 조직 간 경계 맥락으로 확장하는 연구

우선순위 3: 공급망 보안 규제 실무

  • EU Cyber Resilience Act 및 ISMS-P 공급망 보안 통제 항목 분석
  • 국내 금융보안원 써드파티 리스크 관리 가이드라인 적용 방법론

장기 목표:

  • 6개월 후: 공급망 보안 진단 방법론을 실제 고객사 가상 시나리오에 적용하여 컨설팅 보고서 초안 작성 역량 확보
  • 1년 후: 조직 내부 보안(거버넌스-컴플라이언스-리스크-감사)과 외부 공급망 보안을 통합한 보안 컨설팅 역량 체계를 실무에서 활용

9. 최종 결론

A. Ghadge et al. (2020)의 의의

학술적 의의: 공급망 사이버 리스크 분야의 최초 체계적 문헌 고찰로, 41편의 분산된 연구를 5개 메타 주제로 통합하여 이 분야의 개념적 어휘와 분류 체계를 처음으로 정립했다. 이후 모든 공급망 사이버 리스크 연구의 출발점이 되었다.

실무적 의의: PoP 3차원 분류, 3단계 전파 모델, 시간 단계별 완화 전략이라는 세 가지 도구는 실무자가 공급망 보안 문제를 구조적으로 이해하고 의사결정을 내리는 데 직접 활용 가능한 프레임워크를 제공했다.

나에게 주는 의의: 이전 5편의 논문이 조직 내부를 향한 렌즈였다면, 이 논문은 조직 경계 밖을 향한 렌즈다. 두 렌즈를 함께 갖춤으로써 비로소 고객사 보안의 전체 지형을 볼 수 있게 되었다.

B. 보안 컨설턴트로서의 다짐

Phase 1 (완료): 논문 이해

  • Foorthuis (컴플라이언스)
  • Santos-Olmo (리스크 분석)
  • Bulgurcu (개인 준수 행동)
  • Gashgari (거버넌스)
  • Slapničar (감사)
  • Ghadge (공급망 사이버 리스크)

Phase 2 (진행 중): 연결

  • 거버넌스 -> 컴플라이언스 -> 리스크 -> 개인 행동 -> 감사 -> 공급망
  • 각 논문의 분류 체계와 프레임워크를 하나의 통합 진단 도구로 연결

Phase 3 (다음): 적용

  • 가상 고객사 시나리오에 통합 프레임워크 적용
  • 공급망 보안 진단 방법론 실전화

Phase 4 (목표): 전문성

  • 조직 내부와 외부를 아우르는 보안 컨설팅 역량 완성

원리를 설명할 수 있는 컨설턴트, 고객 상황에 맞는 조언을 할 수 있는 자문가, 기술과 비즈니스를 연결할 수 있는 전문가. 이론과 실무의 균형은 논문으로 깊이를 쌓고, 사례로 적용 방법을 익히며, 실무에서 검증하고 개선하는 반복 과정에서 만들어진다.

5일간 리뷰 완료

이제 이 지식을 컨설팅 현장에서 활용할 준비가 되었다.

References

[1] Ghadge, A., Weiß, M., Caldwell, N. D., & Wilding, R. (2020). Managing cyber risk in supply chains: A review and research agenda. Supply Chain Management: An International Journal, 25(2), 223-240. https://doi.org/10.1108/SCM-10-2018-0357

[2] Foorthuis, R., & Bos, R. (2011). Compliance with enterprise architecture standards and policies: a review of compliance tactics. Proceedings of the 19th European Conference on Information Systems (ECIS).

[3] Santos-Olmo, A., Sánchez, L. E., Rosado, D. G., Serrano, M. A., Blanco, C., Mouratidis, H., & Fernández-Medina, E. (2024). Towards an integrated risk analysis security framework according to a systematic analysis of existing proposals. Frontiers of Computer Science, 18(3), 183808.

[4] Bulgurcu, B., Cavusoglu, H., & Benbasat, I. (2010). Information security policy compliance: An empirical study of rationality-based beliefs and information security awareness. MIS Quarterly, 34(3), 523-548.

[5] Gashgari, G., Walters, R., & Wills, G. (2017). A proposed best-practice framework for information security governance. Proceedings of the 2nd International Conference on Internet of Things, Big Data and Security (IoTBDS).

[6] Slapničar, S., Vuko, T., Čular, M., & Drašček, M. (2022). Effectiveness of cybersecurity audit. International Journal of Accounting Information Systems, 44, 100548.