카스퍼스키, ‘2025 공급망 및 신뢰 관계 공격 보고서’ 발표
카스퍼스키(지사장 이효은)는 6월 16일, ‘2025 공급망 및 신뢰 관계 공격 보고서’를 발표했다. 보고서에 따르면, 지난 1년간 기업이 직면한 가장 일반적인 사이버 위협으로 공급망 공격이 부상한 것으로 나타났다.
카스퍼스키의 글로벌 조사 결과에 따르면, 약 3개 기업 중 1개가 지난 12개월 동안 공급망 위협을 경험했으며, 멕시코(43%), 중국(40%), 스페인(40%)에서는 글로벌 평균을 상회하는 높은 노출 수준을 보였다.
세계경제포럼(World Economic Forum)의 최근 자료에 따르면, 대기업의 약 65%가 상호 연결된 디지털 환경에서 사이버 회복탄력성을 저해하는 가장 큰 요인으로 제3자 및 공급망 취약성을 지목했다. 이러한 위협에 대한 조직의 취약성을 평가하기 위해 카스퍼스키 내부 시장조사 기관은 글로벌 연구를 통해 위험의 진화 양상과 전 세계 기업의 노출 수준을 분석했다.
카스퍼스키가 의뢰한 설문조사에 따르면, 지난 12개월 동안 기업의 31%가 공급망 공격의 영향을 받았으며, 이는 다른 어떤 유형의 사이버 위협보다 높은 수치다. 공급망 위협은 네트워크 연결성이 가장 높은 조직을 집중적으로 노리고 있으며, 대기업의 경우 소규모 및 중견 기업에 비해 공격 경험 비율이 36%로 가장 높게 나타났다는 것이다.
주목할 점은 소프트웨어 및 하드웨어 공급업체의 평균 수가 가장 많다고 보고한 그룹이 바로 이 대기업 그룹이라는 사실이다. 이러한 대기업군은 평균 약 100개의 소프트웨어 및 하드웨어 공급업체를 관리하고 있는 것으로 나타났으며, 이는 잠재적인 공격 표면을 크게 확장시키는 요인으로 작용한다고 업체 측은 전했다.
더불어 조직은 다수의 외부 계약업체에 시스템 접근 권한을 부여하고 있는 것으로 나타났는데, 소규모 기업은 평균 약 50개, 대기업은 130개 이상의 계약업체와 연결되어 있어 또 다른 사이버 위협인 신뢰 관계 공격의 위험을 증가시키고 있다. 이는 공격자가 조직 간의 합법적인 연결을 악용하는 방식이라는 설명이다.
지난 1년 동안 신뢰 관계 공격은 가장 흔한 위협 상위 5위 안에 포함되었으며, 전 세계 기업의 25%가 피해를 입었다. 특히 터키(35%), 싱가포르(33%), 멕시코(31%)에서 이러한 공격이 빈번하게 발생했다.
그러나 이처럼 공급망 공격과 신뢰 관계 공격은 가장 빈번한 위협 중 하나임에도 불구하고, 많은 기업 리더들이 이를 과소평가하고 있는 것으로 나타났다. 위험도를 기준으로 위협을 분류하도록 했을 때, 조직들은 지능형 지속 공격, 랜섬웨어, 내부자 위협과 같은 복잡한 공격에 집중하는 경향을 보였으며, 실제로 가장 자주 발생하는 위협에 대해서는 상대적으로 낮은 관심을 보였다. 전 세계적으로 공급망 공격을 가장 큰 위협으로 꼽은 기업은 9%에 불과했으며, 신뢰 관계 공격은 8%에 그쳤다.
또한 전문가 대다수는 공급망 또는 신뢰 관계 침해가 운영 중단을 초래할 수 있다는 점을 인지하고 있었으며, 절반 이상의 응답자가 이를 주요 결과로 지목했다. 그러나 실제 대응 우선순위에서는 이러한 위협이 상위에 오르지 못하고 있어, 위험 인식과 실제 대응 간의 괴리가 존재하는 것으로 나타났다.
한편 싱가포르(38%), 브라질(36%), 콜롬비아(36%), 멕시코(35%) 기업들은 공급망 공격을 글로벌 평균보다 높은 수준으로 ‘가장 위험한 3대 사이버 위협’ 중 하나로 인식하고 있었다.
카스퍼스키 이효은 한국지사장은 “공급망 공격과 신뢰 관계 공격은 기업에 있어 점점 더 중요한 숨은 위협으로 자리 잡고 있다”며, “많은 조직이 눈에 보이는 위협에만 집중하고 외부 파트너 및 공급업체로부터 발생하는 위험을 과소평가하고 있다”고 밝혔다.
이어, “기업은 수동적인 방어에서 벗어나 전체 생태계 관점의 보안을 도입하고, 공급업체 접근 통제와 최소 권한 원칙을 적용하며 지속적인 모니터링을 수행해야 한다”며, “파트너와의 협력 기반 보안 체계를 구축해야만 이러한 위협을 효과적으로 차단하고 안정적인 비즈니스 운영을 보장할 수 있다”라고 말했다.
카스퍼스키 세르게이 솔다토프 SOC 총괄은 “오늘날 디지털 생태계에서는 모든 연결, 모든 공급업체, 모든 통합이 곧 보안 프로파일의 일부가 된다”며, “조직이 더 많이 연결될수록 공격 노출도 함께 증가한다. 이러한 환경에서는 개별 시스템이 아닌, 비즈니스를 구성하는 전체 관계 네트워크를 보호하는 생태계 기반 접근 방식이 필요하다”고 설명했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
