기업 69%, 공급망 보안 위해 협력업체 투자 의향… 공급망 보안 공동 책임 인식 확대
카스퍼스키는 공급망 보안 투자 분석 보고서를 발표하고, 기업의 69%가 사이버 회복력 강화를 위해 협력업체 및 공급업체의 보안에 투자할 의향이 있다고 밝혔다. 전체 기업의 25%는 이미 협력업체와 보안 비용을 분담하고 있는 것으로 나타났다는 것이다.
카스퍼스키에 따르면, 이는 협력업체를 단순한 외부 공급자가 아닌 하나의 보안 체계를 함께 책임지는 협력 파트너로 인식하기 시작했음을 보여준다.
지난 1년간 공급망 공격이 약 3개 기업 중 1개를 공격하고 신뢰 관계 공격이 기업의 4분의 1에 영향을 미치면서, 조직들은 내부 보안 접근 방식을 재검토하고 있다. 특히 자사 인프라와 시스템에 접근 권한을 가진 협력업체의 보안 수준이 기업의 사이버 리스크와 직결된다는 인식이 확산되고 있다.
조사 결과 응답자의 69%는 자사의 사이버 회복력 강화를 위해 협력업체 보안에 대한 투자를 고려하고 있다고 답했다. 이러한 의지는 인도(83%), 인도네시아(80%), 러시아(80%), 브라질(76%)에서 특히 높게 나타났다고 업체 측은 전했다.
또 전체 기업의 25%는 이미 협력업체와 보안 비용을 분담하고 있으며, 홍콩·대만(33%), 스페인(33%), 터키(31%), 베트남(31%) 등에서는 실제 도입 비율이 더욱 높은 것으로 조사됐다.
카스퍼스키 세르게이 솔다토프 보안운영센터(SOC) 책임자는 “보안은 더 이상 조직 내부 경계에서 끝나서는 안 되며 전체 생태계로 확장돼야 한다”며, “대기업이 자원과 전문성을 공유해 협력업체의 보안 역량을 높이는 것이 공급망 전체의 사이버 회복력을 강화하는 핵심”이라고 말했다.
카스퍼스키코리아 이효은 지사장은 “제3자 파트너와 협력업체는 이제 보안 생태계의 핵심 연결 고리”라며, “공급업체와의 적극적인 협력과 보안 전문성 공유를 통해 가치사슬 전반의 회복력을 강화해야 한다”고 말했다.
카스퍼스키는 공급망 리스크를 줄이기 위해 공급업체에 대한 체계적인 보안 평가와 계약 단계에서의 보안 요구사항 반영이 필요하다고 강조했다. 또한 공급업체의 보안 정책과 사고 이력, 산업 보안 표준 준수 여부를 사전에 검토하고, 소프트웨어와 클라우드 서비스의 취약점 및 침투 테스트를 수행하는 등 증거 기반의 검증 절차를 마련해야 한다고 설명했다.
이와 함께 최소 권한 원칙과 제로 트러스트(Zero Trust), 강력한 신원 관리 체계 등 선제적인 기술 보안 조치를 적용해 공급망 침해로 인한 피해를 최소화할 것을 권고했다.
<저작권자(c)스마트앤컴퍼니. 무단전재-재배포금지>
