카스퍼스키 ‘2025 공급망 및 신뢰 관계 공격 보고서’ 발표

카스퍼스키가 16일 ‘2025 공급망 및 신뢰 관계 공격 보고서’를 발표하고, 공급망 공격이 가장 일반적인 사이버 위협으로 부상했다고 밝혔다.

16개국 기술 전문가를 대상으로 진행한 카스퍼스키 조사 결과에 따르면 지난 12개월 동안 기업의 31%가 공급망 공격의 영향을 받았다. 이는 다른 어떤 유형의 사이버 위협보다 높은 수치다.

특히 네트워크 연결성이 높은 대기업(직원 2500명 이상)이 공급망 위협에 더 많이 노출된 것으로 나타났다. 대기업의 공급망 공격 경험 비율은 36%로 소규모 및 중견 기업에 비해 높았다.

대기업군은 평균 100여개의 소프트웨어 및 하드웨어 공급업체를 관리하며, 시스템 접근 권한이 있는 외부 계약업체도 130개 이상에 달했다. 이러한 연결성은 잠재적 공격 표면을 크게 확장했다.

조직 간 연결을 악용하는 ‘신뢰 관계 공격’도 가장 흔한 위협 5위 안에 포함됐다. 기업의 25%가 피해를 입었다.

그러나 많은 기업 리더가 공급망 및 신뢰 관계 공격을 과소평가하고 있는 것으로 조사됐다. 이들은 위험도 기준 위협 분류에서 지능형 지속 공격(APT), 랜섬웨어, 내부자 위협 등에 집중하는 경향을 보였다. 공급망 공격과 신뢰 관계 공격을 가장 큰 위협으로 꼽은 기업은 각각 9%, 8%에 그쳤다.

카스퍼스키 이효은 한국지사장은 “많은 조직이 외부 파트너 및 공급업체로부터 발생하는 위험을 과소평가하고 있다”며 “전체 생태계 관점의 보안을 도입해야 한다”고 강조했다.

카스퍼스키는 세부 조치로 ▲계약 체결 전 공급업체 철저 평가 ▲계약상 보안 요구사항 명확화 및 정기 보안 감사 ▲최소 권한 원칙 기반 제로 트러스트 도입 ▲실시간 인프라 모니터링 ▲사고 대응 계획 수립 등을 권장했다.

글. 바이라인네트워크
<이슬찬 기자>seulbae@byline.network