Research Review: Managing Cyber Risk in Supply Chains: A Review and Research Agenda
Analyzed Date: 2026.02.23 - 2026.02.27 Keywords: Supply Chain Cyber Risk, Cyber Supply Chain, Points of Penetration, Risk Propagation, C-SCRM Source: Supply Chain Management: An International Journal, 2020, Vol. 25, No. 2, pp. 223-240 https://doi.org/10.1108/SCM-10-2018-0357
Why This Paper?
선정 배경
이 논문을 선택한 이유:
- 이전 5편이 모두 조직 내부를 다뤘다면, 이 논문은 조직 경계 밖 써드파티 및 공급망으로 시야를 확장하는 첫 논문
- 보안 컨설팅 실무에서 고객사가 가장 간과하는 영역인 공급망 보안 리스크의 개념적 지형을 제공
- 리스크 분류, 침투 지점, 전파 경로, 완화 전략의 전 과정을 체계화하여 진단 및 자문 역량 강화
- SolarWinds, NotPetya 등 공급망 공격 사례가 잦아지는 현실에서 ISMS-P 공급망 보안 통제 항목 대응의 이론적 기반 확보
학습 목표:
- 공급망 사이버 리스크의 5가지 유형 분류와 3가지 침투 지점(PoP) 개념 습득
- 리스크 전파 모델(1차-2차-3차 전파)과 시간 단계별 완화 전략 프레임워크 이해
- IT 보안-조직 보안-공급망 보안의 통합 모델을 컨설팅 진단 도구로 전환하는 역량 확보
Day 1 - Research Context & Motivation
(공급망 통합이 만들어낸 새로운 사이버 리스크 지형)
1. 연구 배경: 공급망 통합이 낳은 새로운 취약성
공급망 사이버 리스크의 중요성
현대 공급망은 IT 인프라를 통해 복수의 조직이 연결된 사이버 공급망(Cyber Supply Chain, CSC)으로 진화했다. 이러한 통합은 운영 효율성을 높이지만, 동시에 모든 연결 노드가 잠재적 위협 경로가 되는 구조적 취약성을 낳는다. 2018년 글로벌 위험 설문(Gartner, AXA, Deloitte 등)에서 사이버 보안과 데이터 침해가 기업의 1위 위험으로 지목되었음에도 불구하고, 공급망 맥락에서의 사이버 리스크 연구는 현저히 부족한 상태였다.
Industry 4.0이 가속화하면서 IoT, 블록체인, AI, 가상현실 등의 기술이 공급망 파트너 간 연결을 심화하고 있다. 이 과정에서 사이버 보안 대응은 디지털화 속도를 따라가지 못하고 있으며, 공급망은 의도치 않게 취약성의 범위를 확장해왔다. Boone(2017)이 지적하듯, 기업들은 다양한 파트너와 무분별하게 협력하는 과정에서 스스로 공격 면적을 넓혀왔다.
현실의 한계
기존 사이버 리스크 연구의 핵심 문제는 기업 내부 관점에 갇혀 있다는 점이다. 대부분의 연구가 단일 조직의 IT 보안, 즉 방화벽, 침입탐지, 데이터 암호화에 집중하면서 파트너 간 경계를 가로지르는 사이버 위협을 다루지 않았다. 또한 기존 분류 체계(Gordon & Ford의 Type I/II, NCSC의 표적/비표적 분류 등)는 의도적 공격자 행위만을 대상으로 하며, 물리적 위협, 시스템 고장, 내부자 위협 등 비의도적 리스크를 포괄하지 못했다. 이 논문이 SLR을 수행한 1990-2017년 사이에 공급망 맥락을 다룬 논문은 전체 검색 결과 중 41편에 불과했으며, 이는 사이버 보안 분야 전체 연구량에 비해 극히 미미한 수준이다.
연구 문제의식
조직들은 공급망 맥락에서 사이버 리스크를 어떻게 관리할 것인가?
이 질문에 답하기 위해 저자들은 리스크 유형 식별, 분류, 평가, 완화라는 전 과정을 체계화하고자 했다.
2. 핵심 개념
| 개념 | 정의 | 컨설팅 맥락에서의 의미 |
|---|---|---|
| 사이버 공급망(CSC) | IT 시스템을 활용하여 고객 요구사항을 충족하는 공급망으로, IT 인프라와 기술의 네트워크를 통해 가상 네트워크에서 데이터를 연결·구축·공유하는 구조 | 고객사가 거래하는 모든 협력사, 클라우드 제공자, SaaS 벤더가 보안 관리 범위에 포함됨을 의미 |
| 공급망 사이버 리스크 | 공급망 인프라의 무결성을 위협하는 우발적 또는 의도적 IT 사건으로, 연쇄적 혼란을 초래하는 것 | 단일 벤더의 침해가 고객사 전체 운영에 영향을 미칠 수 있음을 고객에게 설명하는 근거 |
| 침투 지점(PoP, Points of Penetration) | 사이버 리스크가 공급망 네트워크에 진입할 가능성이 가장 높은 취약 지점으로 기술적, 인적, 물리적 차원으로 분류 | 고객사의 써드파티 위험 진단 시 어느 계층에서 취약성이 발생하는지 식별하는 분석 틀 |
| 리스크 전파(Risk Propagation) | 사이버 리스크가 발생 지점에서 1차(운영 중단), 2차(공급망 파트너 영향), 3차(사회 전반 영향)로 확산되는 현상 | 고객사에 보안 투자의 필요성을 설명할 때 피해의 범위와 수준을 단계적으로 제시하는 근거 |
| C-SCRM | Cyber Supply Chain Risk Management의 약어로, IT 네트워크·하드웨어·소프트웨어의 설계-개발-생산-통합-배포 전 과정에 걸친 리스크 평가 및 완화 활동 | 공급망 보안 관리 체계 구축 프로젝트의 범위와 목적을 정의하는 공식 용어 |
3. 이론적 기반: 체계적 문헌 고찰(SLR)과 텍스트 마이닝
[연구 설계 구조]
IDENTIFICATION (식별 단계)
- Scopus + ProQuest 검색: 초기 9,493건
- 중복 제거 후 1,434편 선정
↓
DATA SCREENING (선별 단계) - 제목·초록 스크리닝
- 외부 전문가 검증
- 최종 41편 확정
↓
DATA ANALYSIS (분석 단계) - QDA Miner 텍스트 마이닝
- 연결성 기반 클러스터 분석
- 덴드로그램 기반 주제 도출
↓
5개 메타 주제 (Meta Themes)
① 사이버 리스크 유형
② 침투 지점(PoP)
③ 리스크 전파 경로
④ 보안 과제
⑤ 완화 방안
↓
통합 개념 모델 도출
(IT 보안 - 조직 보안 - 공급망 보안의 상호연결 구조)
핵심 아이디어:
이 논문은 단순한 문헌 요약을 넘어 텍스트 마이닝과 클러스터 분석이라는 데이터 기반 방법론을 적용하여 연구자의 편향을 최소화했다. Webster & Watson(2002)의 개념 중심 접근법을 채택하여 특정 저자나 저널이 아닌 개념 자체를 분석 단위로 삼았으며, 이를 통해 공급망 사이버 리스크라는 신흥 분야의 지형을 처음으로 체계화했다.
4. 연구의 핵심 기여
학술적 기여:
- 공급망 맥락의 사이버 리스크를 다룬 최초의 체계적 문헌 고찰(SLR) 수행
- 기존 이분법적 분류(의도적/비의도적, 내부/외부)를 넘어 5가지 리스크 유형과 3차원 PoP 분류 체계 제시
- 리스크 전파 모델을 통해 공급망 연결성이 피해 확산에 미치는 메커니즘 이론화
- 인적/행동적 요소가 기술적 요소 못지않게 중요한 보안 취약점임을 문헌적으로 확인
실무 기여:
- 시간 단계별 완화 전략(공격 전-중-후) 분류표(Table III) 제공으로 위험 대응 체계 설계의 실무 기준 제시
- IT 보안-조직 보안-공급망 보안의 통합 개념 모델(Figure 10)을 통해 간학제적 협력의 필요성과 방향 제시
- 인적 자원이 공급망에서 가장 예측 불가한 위협 요소임을 실증하고, 인식 교육과 훈련의 우선순위 정당화
5. 컨설팅 관점 인사이트
적용 가능성:
이 논문의 가장 직접적인 컨설팅 활용 가치는 공급망 사이버 리스크 진단의 언어와 구조를 제공한다는 점이다. 고객사가 써드파티 보안을 왜 관리해야 하는지 막연히 느끼더라도, PoP 개념으로 어디서 위험이 들어오는지, 전파 모델로 피해가 얼마나 확산되는지를 시각적으로 설명할 수 있게 된다.
기존 학습과의 연결:
| 기존 논문 | 내부 관점 | 이번 논문과의 연결 |
|---|---|---|
| Gashgari(2017) | 이사회가 내부 보안 의사결정을 통제 | 써드파티까지 거버넌스 범위 확장 |
| Foorthuis(2011) | 조직 내 컴플라이언스 전술 | 공급망 파트너 간 표준 가이드라인 부재 문제로 연결 |
| Santos-Olmo(2024) | 조직 내부 리스크 분석 | 공급망 맥락의 동적 리스크 분석 필요성으로 확장 |
| Bulgurcu(2010) | 개인 직원의 정책 준수 행동 | 공급망 파트너 직원의 보안 행동이 자사에도 영향을 미침 |
| Slapničar(2022) | 내부 감사의 효과성 | 공급망 보안에서 공급업체 감사(Supplier Audit)의 필요성으로 연결 |
현실적 고려사항:
공급망 보안 관리는 자사 통제권 밖의 영역을 다룬다는 점에서 근본적 한계가 있다. 논문도 지적하듯, ISO 표준 인증은 직접 공급업체(Tier 1)에만 적용 가능하며 그 이상으로 확장하기 어렵다. 고객사에 공급망 보안 체계를 제안할 때 이 현실적 제약을 솔직히 인정하면서 관리 가능한 범위와 우선순위를 함께 제시해야 한다.