카스퍼스키 "기업 3곳 중 1곳 공급망 위협 경험"
글로벌 사이버보안 기업 카스퍼스키(한국지사장 이효은)가 16일 '2025 공급망 및 신뢰 관계 공격 보고서'를 발표했다. 이에 따르면, 약 3개 기업 중 1개가 지난 12개월 동안 공급망 위협을 경험했다. 멕시코(43%), 중국(40%), 스페인(40%)에서는 글로벌 평균을 상회하는 높은 노출 수준을 보였다. 특히 지난 1년간 기업이 직면한 가장 일반적인 사이버 위협으로 공급망 공격이 부상한 것으로 나타났다. 세계경제포럼(World Economic Forum)에 따르면, 최근 대기업 약 65%가 상호 연결된 디지털 환경에서 사이버 회복탄력성을 저해하는 가장 큰 요인으로 제3자 및 공급망 취약성을 지목했다. 이러한 위협에 대한 조직의 취약성을 평가하기 위해 카스퍼스키 내부 시장조사 기관은 글로벌 연구를 통해 위험의 진화 양상과 전 세계 기업의 노출 수준을 분석했다. 카스퍼스키가 의뢰한 설문조사에 따르면, 지난 12개월 동안 기업의 31%가 공급망 공격의 영향을 받았으며, 이는 다른 어떤 유형의 사이버 위협보다 높은 수치다. 공급망 위협은 네트워크 연결성이 가장 높은 조직을 집중적으로 노리고 있으며, 대기업의 경우 소규모 및 중견기업에 비해 공격 경험 비율이 36%로 가장 높게 나타났다. 주목할 점은 소프트웨어 및 하드웨어 공급업체의 평균 수가 가장 많다고 보고한 그룹이 대기업 그룹이라는 사실이다. 대기업군은 평균 약 100개의 소프트웨어 및 하드웨어 공급업체를 관리하고 있는 것으로 나타났다. 이는 잠재적인 공격 표면을 크게 확장시키는 요인으로 작용한다. 더불어 조직은 다수의 외부 계약업체에 시스템 접근 권한을 부여하고 있는 것으로 나타났는데, 소규모 기업은 평균 약 50개, 대기업은 130개 이상의 계약업체와 연결되어 있어 또 다른 사이버 위협인 신뢰 관계 공격의 위험을 증가시키고 있다. 이는 공격자가 조직 간의 합법적인 연결을 악용하는 방식이다. 지난 1년 동안 신뢰 관계 공격은 가장 흔한 위협 상위 5위 안에 포함되었으며, 전 세계 기업의 25%가 피해를 입었다. 특히 터키(35%), 싱가포르(33%), 멕시코(31%)에서 이러한 공격이 빈번히 발생했다. 그러나 이처럼 공급망 공격과 신뢰 관계 공격은 가장 빈번한 위협 중 하나임에도 불구하고, 많은 기업 리더들이 이를 과소평가하고 있는 것으로 나타났다. 위험도를 기준으로 위협을 분류하도록 했을 때, 조직들은 지능형 지속 공격, 랜섬웨어, 내부자 위협과 같은 복잡한 공격에 집중하는 경향을 보였으며, 실제로 가장 자주 발생하는 위협에 대해서는 상대적으로 낮은 관심을 보였다. 전 세계적으로 공급망 공격을 가장 큰 위협으로 꼽은 기업은 9%에 불과했고, 신뢰 관계 공격은 8%에 그쳤다. 또한 전문가 대다수는 공급망 또는 신뢰 관계 침해가 운영 중단을 초래할 수 있다는 점을 인지하고 있었으며, 절반 이상의 응답자가 이를 주요 결과로 지목했다. 그러나 실제 대응 우선순위에서는 이러한 위협이 상위에 오르지 못하고 있어, 위험 인식과 실제 대응 간의 괴리가 존재하는 것으로 나타났다. 한편 싱가포르(38%), 브라질(36%), 콜롬비아(36%), 멕시코(35%) 기업들은 공급망 공격을 글로벌 평균보다 높은 수준으로 '가장 위험한 3대 사이버 위협' 중 하나로 인식하고 있었다고 밝혔다. 카스퍼스키 이효은 한국지사장은 “공급망 공격과 신뢰 관계 공격은 기업에 있어 점점 더 중요한 숨은 위협으로 자리 잡고 있다. 많은 조직이 눈에 보이는 위협에만 집중하고 외부 파트너 및 공급업체로부터 발생하는 위험을 과소평가하고 있다"면서 "기업은 수동적인 방어에서 벗어나 전체 생태계 관점의 보안을 도입하고, 공급업체 접근 통제와 최소 권한 원칙을 적용하며 지속적인 모니터링을 수행해야 한다. 파트너와의 협력 기반 보안 체계를 구축해야만 이러한 위협을 효과적으로 차단하고 안정적인 비즈니스 운영을 보장할 수 있다”고 말했다. 카스퍼스키 세르게이 솔다토프 SOC 총괄은 “오늘날 디지털 생태계에서는 모든 연결, 모든 공급업체, 모든 통합이 곧 보안 프로파일의 일부가 된다. 조직이 더 많이 연결될수록 공격 노출도 함께 증가한다. 이러한 환경에서는 개별 시스템이 아닌, 비즈니스를 구성하는 전체 관계 네트워크를 보호하는 생태계 기반 접근 방식이 필요하다”고 설명했다. 이어 "조직 전반에 걸친 예방 조치를 시행하고 공급업체 및 계약업체와의 관계를 전략적으로 관리해야만 공급망 리스크를 줄이고 비즈니스 회복탄력성을 확보할 수 있다"고 덧붙였다. 카스퍼스키는 이러한 위험을 완화하기 위해 다음과 같은 6가지 조치를 권장했다. 첫째, 계약 체결 전 공급업체를 철저히 평가하고, 사이버 보안 정책, 과거 사고 이력, 산업 보안 표준 준수 여부를 확인한다. 소프트웨어 및 클라우드 서비스의 경우 취약점 데이터 및 침투 테스트 결과도 검토하는 것이 바람직하다. 둘째, 계약상 보안 요구사항을 명확히 하고, 정기적인 보안 감사와 조직의 보안 정책 및 사고 대응 프로토콜을 준수해야 한다. 셋째, 예방적 기술 조치를 도입한다. 최소 권한 원칙제로 트러스트, 성숙한 신원 관리를 적용해 공급업체 침해 시 피해를 최소화한다. 넷째, 지속적인 모니터링이다. Kaspersky Next 제품군의 일부인 XDR 또는 MXDR 솔루션을 활용해 실시간 인프라 모니터링 및 이상 탐지를 수행한다. 다섯째, 사고 대응 계획을 수립한다. 공급망 공격을 포함하고, 침해 발생 시 신속한 식별 및 차단(예: 공급업체 시스템 연결 차단)을 위한 절차를 포함해야 한다. 여섯째, 공급업체와 보안 협력을 강화한다. 양측의 보호 수준을 높이고 이를 공동의 우선 과제로 설정한다. 일곱째, 공급망 공격 관련 추가 인사이트 및 상세 권고 사항은 링크를 통해 확인할 수 있다. 이번 보고서는 카스퍼스키 내부 시장조사 기관이 수행한 설문조사를 기반으로 이뤄졌다. 500명 이상 규모 기업에 소속된 C레벨, 부사장, 팀장 및 시니어 전문가 등 기술 전문가 1714명을 대상으로 했다. 조사 대상 국가는 독일, 스페인, 이탈리아, 브라질, 멕시코, 콜롬비아, 싱가포르, 베트남, 중국, 인도, 인도네시아, 사우디아라비아, 터키, 이집트, 아랍에미리트, 러시아 등 총 16개국이다.
