기업의 업무는 더 이상 조직 내부에만 머무르지 않습니다. 외부 개발사, 물류업체, 인프라 제공사, 마케팅 대행사까지. 수많은 협력사와 데이터를 주고받고, 시스템을 공유하며 업무를 수행합니다. 그런데 이 과정에서 보안의 허점이 생기면, 공격자는 그 틈을 반드시 노립니다.

국내 제조업의 경우 접근 권한 관리가 미흡하고 보안이 약한 협력사를 통해 악성코드가 다수 유입되고 있으며, 서드파티를 통한 공격이 증가하면서 공급망 보안이 중요한 과제가 됐습니다. 내부 보안이 아무리 철저해도 협력사의 보안이 취약하다면 그것이 전체 시스템의 취약점이 됩니다.

Cybersecurity Ventures에 따르면 공급망 공격은 2025년 전 세계적으로 약 600억 달러의 손실을 초래했으며, 이 수치는 2031년에 약 1,380억 달러로 증가할 것으로 예상됩니다. 공급망 공격은 이제 특정 기업만의 문제가 아닙니다.

1장. 외부 협력사와의 협업에서 발생하는 보안 위협

복수의 보안 보고서를 종합하면 협력사를 통한 보안 위협은 크게 다섯 가지 유형으로 나타납니다.

1. 불충분한 접근제어

협력사 직원이 업무에 필요한 것보다 훨씬 넓은 범위의 데이터에 접근할 수 있는 경우가 많습니다. 프로젝트가 종료됐는데도 접근 권한이 그대로 유지되거나, 협력사 담당자가 바뀌었는데도 이전 담당자의 계정이 방치되는 경우가 대표적입니다. 최근 공격자들은 접근 통제 취약점을 악용해 내부망 침투와 핵심 정보 탈취를 시도하고 있으며, 협력사를 통한 공격 연계가 두드러지고 있습니다.

2. 비암호화 파일 전송

이메일 첨부, USB, 일반 클라우드 링크 등 비암호화된 경로로 민감한 자료를 주고받는 것은 심각한 보안 위협이 됩니다. IT 자산의 중요도에 따른 접근 권한, 암호화 등 적정 보안 정책을 적용하지 않으면 협력사·공급망 등 비즈니스 파트너를 통한 데이터 보안 위협이 현실화됩니다.

3. 랜섬웨어·악성코드 유입 경로

2024년 국내 제조업 침해 사고에서 보안이 약한 협력사를 통해 악성코드가 다수 유입됐으며, 서드파티를 통한 공격이 증가하면서 공급망 보안이 핵심 과제로 부상했습니다. 보안이 취약한 협력사의 시스템이 랜섬웨어 배포 경로로 활용되면 원청사 내부망까지 감염될 수 있습니다.

4. 퇴사자 계정 방치

협력사 담당자가 프로젝트를 떠났는데도 계정이 그대로 살아 있는 경우는 생각보다 흔합니다. 관리 서버 해킹 및 초기 관리자 패스워드 노출 등 계정 관리 취약점이 악용되어 내부망 침투와 핵심 정보 탈취로 이어지는 사례가 지속적으로 증가하고 있습니다.

5. 보안 수준의 불균형

원청사는 보안 체계를 갖추고 있어도 협력사는 자체적인 보안 시스템이 미비한 경우가 많습니다. 공급망 공격자는 일반적으로 공급망에서 가장 취약한 지점을 표적으로 삼고 이를 악용합니다. 보통 서드파티 벤더나 공급업체가 보안 조치가 덜 엄격한 경우가 많습니다.

2장. 안전한 정보 공유를 위한 필수 보안 수칙

2-1. 최소 권한 원칙 적용

협력사에게는 반드시 필요한 정보에만 접근 권한을 부여해야 합니다. 프로젝트 시작 전 어떤 데이터에 접근이 필요한지 명확히 정의하고, 그 범위 내에서만 권한을 부여합니다. 권한 부여 내역은 문서로 남기고, 프로젝트 종료 시 즉시 회수해야 합니다.

특히 다음 항목을 반드시 점검해야 합니다. 협력사 담당자 교체 시 이전 담당자의 계정 즉시 폐지, 프로젝트 종료 후 접근 권한 일괄 회수, 공용 계정 사용 금지 및 개인별 계정 운영이 이에 해당합니다.

2. 보안 서약서 및 NDA 체결

모든 외부 업체와는 정보 보호에 대한 법적 책임을 명시한 문서를 작성해야 합니다. 계약서에 반드시 포함되어야 할 항목은 취급 가능한 정보의 범위와 목적, 보안 사고 발생 시 즉시 통보 의무, 프로젝트 종료 후 데이터 파기 의무 및 방법, 위반 시 법적 책임 범위입니다.

계약 체결 전 협력사의 보안 체계를 사전에 점검하는 것도 중요합니다. 정보보호 정책 보유 여부, ISMS 인증 여부, 개인정보보호 교육 실시 여부 등을 확인하세요.

3. 데이터 파기 기준 사전 합의

프로젝트 종료 시 협력사가 보유한 모든 정보의 폐기 절차를 반드시 사전에 명확히 합의해야 합니다. 구두 약속이 아닌 문서로 남겨야 합니다.

합의서에 포함해야 할 항목은 파기 대상 데이터 범위, 파기 방법(완전 삭제·물리적 파쇄 등), 파기 완료 시한, 파기 확인서 제출 의무입니다. 협력사가 전자 파일을 단순 삭제하거나 PC를 포맷하는 것만으로 파기를 완료했다고 볼 수 없습니다. 복원이 불가능한 방법으로 완전히 파기했다는 증빙이 필요합니다.

4. 암호화된 전송 방식 사용

파일 공유는 이메일 첨부가 아닌 암호화된 클라우드 링크 또는 전용 보안 채널을 이용해야 합니다. 권장 방법으로는 암호화된 파일 전송 솔루션 사용, 파일 공유 링크에 만료일 설정, 전송 후 수신 확인 절차 운영이 있습니다. 사용 완료된 링크는 즉시 비활성화하는 것도 중요합니다.

5. 보안 교육과 인식 제고

협력사 담당자에게도 보안 수칙과 절차를 명확히 안내해야 합니다. 프로젝트 시작 전 간단한 보안 브리핑을 진행하고, 취급 가능한 정보의 범위와 금지 행위를 명확히 전달합니다. 교육 내용과 참석자를 기록으로 남겨두세요.

3장. 현장에서 먼저 확인할 체크포인트

협력사 프로젝트의 보안 관리는 시작부터 종료까지 하나의 흐름으로 관리되어야 합니다.

1. 온보딩 — 프로젝트 시작 전

프로젝트 시작 전 다음 항목을 반드시 확인해야 합니다. 협력사의 정보보호 정책 보유 여부, NDA 및 보안 서약서 체결 완료 여부, 접근 권한 최소화 원칙 적용 여부, 암호화된 전송 경로 확보 여부, 데이터 파기 절차 계약서 명시 여부가 이에 해당합니다.

2. 모니터링 — 프로젝트 진행 중

협력사가 접근하는 데이터 범위가 계약 범위를 벗어나지 않는지 주기적으로 점검해야 합니다. 접속 로그를 정기적으로 확인하고, 이상 행위가 감지되면 즉시 권한을 차단하는 프로세스를 갖춰야 합니다. 협력사 담당자가 교체될 때마다 계정 권한을 재검토해야 합니다.

3. 종료 처리 — 프로젝트 완료 후

프로젝트가 끝났을 때 다음 항목을 빠짐없이 처리해야 합니다. 협력사 직원의 모든 시스템 접근 권한 즉시 회수, 협력사가 보유한 데이터 파기 확인서 수령, 공용으로 사용했던 계정 비밀번호 즉시 변경, 반납 장비의 저장매체 데이터 완전 파기가 이에 해당합니다.

4장. 협력사 반납 장비의 데이터 파기 — 놓치기 쉬운 마지막 단계

1. 장비 회수 시 데이터 처리가 누락됩니다

협력사에 임대하거나 공여한 PC, 노트북, 외장하드, USB를 회수할 때 장비만 돌려받고 내부 데이터는 그대로 남겨두는 경우가 많습니다. 반납 일정이 촉박하거나 담당자가 바뀌는 상황에서 특히 이런 실수가 반복됩니다.

회수 대상 장비 목록에는 사용자, 부서, 자산번호, 처리 상태를 함께 남겨야 합니다. 회수, 보관, 삭제, 반출 단계별 담당자를 지정하고, 각 단계에서 확인 서명을 받는 절차를 운영하는 것이 좋습니다.

2. 단순 포맷·초기화는 파기가 아닙니다

협력사로부터 장비를 회수한 후 간단히 포맷만 하고 재사용하거나 폐기하는 경우가 있습니다. 그러나 포맷은 데이터가 저장된 위치를 가리키는 목차만 삭제하는 것입니다. 전문 복구 소프트웨어를 사용하면 포맷된 드라이브에서도 데이터를 상당 부분 복원할 수 있습니다.

협력사가 다뤘던 내부 정보, 고객 데이터, 영업 자료가 담긴 저장매체는 복원이 불가능한 방법으로 완전히 파기해야 합니다. 파기 후에는 파기 확인서, 파기 전후 사진, 일련번호 기준 파기 목록을 남겨야 감사 대응에서 실질적인 증빙 자료로 활용할 수 있습니다.

협력사 보안도 우리의 책임입니다

기업의 정보 보호는 내부뿐 아니라 외부까지 포함합니다. 협력사와의 정보 공유는 사업을 위해 불가피한 일입니다. 그러나 보안 없는 정보 공유는 기업 전체의 리스크가 됩니다.

접근 권한 관리, 암호화된 전송, 데이터 파기 기준 합의, 계약서 명문화. 이 네 가지가 갖춰져야 협력사와의 정보 공유가 안전하게 이루어집니다. 그리고 프로젝트가 끝난 뒤 협력사로부터 회수한 장비의 데이터까지 완전히 파기하는 것이 마지막 단계입니다.

알테크코리아는 협력사 반납 장비를 포함한 모든 저장매체의 완전 파기와 증적 자료 확보를 함께 지원합니다.

알테크코리아가 함께합니다.