- 공급망 공격 경험 기업 3곳 중 1곳…보안 검증·협력사 관리 체계 재정비 요구

 

카스퍼스키가 공급망 및 신뢰 관계 위험 보고서를 발표하며 글로벌 기업의 42%가 보안 인력 부족과 작업 우선순위 충돌로 공급망 위협 대응이 지연된 것으로 나타났다. 지난 1년 동안 3개 기업 중 1곳이 공급망 공격을 경험했으며, 응답 기업의 85%가 보호 수준 강화를 요구했지만 현재 조치가 효과적이라고 평가한 비율은 15%에 그쳤다.

 

공급망 공격 증가…제3자 경로 통해 내부 침투 확대

공급망 공격은 보안 수준이 낮은 제3자를 경유해 내부 시스템으로 침투하는 방식으로 확대된다. 공격자는 협력사 계정과 접근 권한을 활용해 네트워크 내부로 이동하고, 보안팀은 내부 시스템과 외부 파트너를 동시에 점검해야 하는 부담을 안는다. 인력 부족과 작업 분산이 겹치면서 모니터링 범위가 축소되고 공급망 경로에서 탐지 공백이 발생해 위협이 장기간 은밀하게 유지된다.

 

보안 인력 부족…협력사 보안 검증 공백 확대

숙련된 보안 인력 부족은 협력사 보안 점검과 취약점 검증 과정에서 직접적인 제약으로 이어진다. 침투 테스트 결과 확인과 보안 정책 검토, 지속적 위험 평가가 반복적으로 수행되지 못하면서 공급망 전반의 위험 파악 범위가 줄어든다. APAC 지역에서는 해당 문제를 지적한 비율이 싱가포르 34%에서 베트남 57%까지 나타났으며, 말레이시아는 2026년까지 약 2만8068명의 보안 인력이 필요하지만 현재 1만6765명 수준에 머물러 인력 격차가 계속 유지된다.

 

보안 우선순위 충돌…핵심 점검 작업 후순위 밀림

보안팀은 랜섬웨어 대응과 내부 위협 관리, 규제 대응 등 다수의 보안 과제를 동시에 처리한다. 인도 54%, 베트남 48%, 싱가포르 47%가 우선순위 관리 문제를 주요 리스크로 지목했으며, 제한된 자원 안에서 긴급 대응 업무가 먼저 배치되면서 공급망 보안 점검과 협력사 검증 작업이 후순위로 밀린다. 이로 인해 공급망 경로에서 공격 탐지와 대응 시간이 길어지는 현상이 반복된다.

 

계약 단계 보안 요구 부족…협력사 보안 기준 없이 운영 시작

공급망 리스크는 계약 체결 단계에서 협력사 보안 요구사항 설정 여부에 따라 관리 수준이 결정된다. APAC 지역에서는 IT 보안 의무가 계약에 포함되지 않은 비율이 30%에서 61%에 달했으며, 협력사 보안 기준이 정의되지 않은 상태에서 운영이 시작되는 경우가 확인됐다. 비 IT 인력의 보안 이해 부족도 영향을 미쳐 응답자의 25%에서 38%가 공급망 위험을 충분히 인지하지 못한 것으로 나타났다.

 

공격 경험 기업…사전 검증 기준 적용 확대

공급망 공격을 경험한 기업은 협력사 보안 검증 기준을 강화한다. 해당 기업의 56%는 협력사에 침투 테스트 결과 제출을 요구했으며, 신뢰 관계 침해를 겪은 조직은 산업 표준 준수 여부와 공급망 정책 검증을 우선 적용했다. 공격 이후 협력사 선정과 관리 과정에서 사전 검증 절차가 기본 기준으로 자리잡고 있다.

 

카스퍼스키 세르게이 솔다토프 SOC 총괄은 “보안 인력 부족과 과도한 업무 부담이 결합되면 공급망을 통한 침투를 지속적으로 추적하기 어려워진다”며 “협력사 평가 기준을 표준화하고 조직 간 보안 인식을 맞추는 대응이 필요하다”고 밝혔다.

 

카스퍼스키 아드리안 히아 아시아태평양 총괄 사장은 “공급망 보안은 내부 시스템과 동일한 수준으로 관리해야 하며 협력사 요구사항 정의와 지속적인 검증을 운영 기준에 포함해야 한다”고 덧붙였다.

 

카스퍼스키는 관리형 보안 서비스(MDR) 도입, 실무 중심 보안 교육 확대, 계약 전 공급업체 평가 강화, 보안 요구사항 명문화, 협력사 공동 대응 체계 구축을 주요 대응 방안으로 제시했다. 이번 조사는 16개국에서 IT 및 보안 전문가 1714명을 대상으로 진행됐다.

 

#카스퍼스키 #공급망보안 #사이버보안 #MDR #제로트러스트 #보안인력 #제3자위험 #IT보안