공급망 공격이 전 세계 기업을 겨냥하는 빈도가 높아지는 가운데, 기업들이 자사 보안 경계를 협력업체까지 확장하는 방향으로 전략을 전환하고 있다. 협력업체를 단순 외부 공급자가 아닌 보안 체계를 함께 책임지는 파트너로 바라보는 시각이 확산되고 있다는 분석이다.

카스퍼스키는 25일 ‘공급망 보안 투자 분석 보고서’를 발표하고, 기업의 69% 이상이 사이버 회복력 강화를 위해 협력업체 및 공급업체의 보안에 투자할 의향이 있다고 밝혔다.

이미 보안 비용을 협력업체와 분담하고 있는 기업도 25%에 달하는 것으로 나타났다.

이번 연구는 16개국 500명 이상 규모 기업의 기술 전문가 1,714명을 대상으로 진행됐다.

투자 의향은 인도(83%), 인도네시아(80%), 러시아(80%), 브라질(76%) 순으로 높았다.

실제 비용 분담 비율은 홍콩·대만(33%), 스페인(33%), 터키(31%), 베트남(31%)에서 평균을 웃돌았다.

보고서 배경으로는 지난 1년간 공급망 공격이 약 3개 기업 중 1개를 침해하고, 신뢰 관계 공격이 전체 기업의 4분의 1에 영향을 미친 것으로 조사됐다.

이에 따라 자사 인프라에 접근 권한을 가진 협력업체의 보안 수준이 자사의 사이버 리스크와 직결된다는 인식이 확산되고 있다고 카스퍼스키는 설명했다.

카스퍼스키 세르게이 솔다토프 보안 운영 센터(SOC) 책임자는 “오늘날 기업들은 보안이 조직 내부 경계에서 끝나서는 안 되며, 전체 생태계로 확장되어야 한다는 점을 인식하고 있다”며 “대기업이 자원과 전문성을 공유함으로써 취약 지점을 강화하고 글로벌 사이버 회복력을 높이는 핵심 동력이 될 수 있다”고 말했다.

카스퍼스키는 공급망 리스크 완화를 위해 기업이 실행해야 할 보안 조치로 △공급업체와의 보안 협력 강화 △계약 전 철저한 보안 수준 평가 △소프트웨어 및 클라우드 서비스에 대한 취약점·침투 테스트 수행 △계약에 정기 보안 감사 및 사고 통지 프로토콜 명시 △최소 권한 원칙·제로 트러스트(Zero Trust)·신원 관리 체계 적용을 제시했다.

카스퍼스키코리아 이효은 지사장은 “한국 산업을 겨냥한 고도화된 공급망 공격이 증가하는 상황에서 제3자 파트너와 협력업체는 이제 보안 생태계의 핵심 연결 고리”라며 “하나의 통합된 생태계로 대응할 때만 진화하는 사이버 위협으로부터 한국의 디지털 인프라를 보호할 수 있다”고 밝혔다.