(출처=카스퍼스키)

카스퍼스키 “기업 42%, 공급망 보안 장애 요인으로 인력 부족 지목”

카스퍼스키(한국 대표 이효은)는 공급망과 신뢰 관계 위험 대응 현황을 분석한 보고서를 발표했다고 4일 밝혔다.

카스퍼스키는 공급망 공격과 신뢰 관계 공격 위험을 줄이기 위해 기업이 해결해야 할 주요 과제로 숙련된 ‘정보기술(IT) 보안 인력 부족’과 ‘보안 업무 우선순위 설정’을 꼽았다. 두 항목은 전 세계 응답자의 42%가 공통으로 지적했다.

카스퍼스키 조사에 따르면, 지난 1년 동안 3개 기업 중 1곳은 공급망 공격을 경험했다. 공급망 공격은 협력사, 소프트웨어, 서비스 제공업체 등 외부 연결고리를 악용해 기업에 침투하는 공격을 뜻한다. 기업이 내부 보안만 강화해도 협력사나 위탁 시스템에서 취약점이 생기면 피해가 발생할 수 있다.

보고서는 숙련된 보안 인력 부족을 주요 장애 요인으로 제시했다. 인력 부족은 조직이 협력사와 공급업체의 취약점을 지속적으로 점검하고 감시하는 역량을 제한한다. 아시아태평양(APAC) 지역에서는 숙련된 IT 보안 인력 부족을 지적한 조직 비율이 싱가포르 34%에서 베트남 57%까지 차이를 보였다.

말레이시아에서도 사이버보안 인력 수요가 커지고 있다. 말레이시아 디지털부는 2026년까지 약 2만8068명의 사이버보안 전문가가 필요할 것으로 예상했다. 현재 인력 규모는 약 1만6765명 수준으로 추정된다.

여러 보안 업무의 우선순위를 동시에 관리해야 하는 점도 장애 요인으로 꼽혔다. 이 항목은 인도 54%, 베트남 48%, 싱가포르 47%에서 높게 나타났다. 보고서는 보안팀이 여러 업무를 동시에 처리하는 상황에서 공급망 위험 대응이 뒤로 밀릴 가능성을 지적했다.

계약 단계의 보안 요구사항도 미흡한 것으로 나타났다. APAC 시장에서는 계약에 IT 보안 의무가 포함되지 않은 경우가 30~61%로 조사됐다. 또 응답자의 25~38%는 비보안 인력이 공급망 위험을 충분히 이해하지 못한다고 답했다.

글로벌 기준으로는 응답 기업의 85%가 공급망과 신뢰 관계 위험에 대한 보호를 강화해야 한다고 답했다. 현재 보안 조치가 효과적이라고 평가한 기업은 15%에 그쳤다. 국가별로는 독일 6%, 터키 7%, 이탈리아 8%, 브라질 8%, 러시아 8%, 사우디아라비아 9%에서 신뢰 수준이 낮게 나타났다.

APAC 지역에서는 인도 11%, 인도네시아 14%, 싱가포르 14%가 낮은 신뢰 수준을 보였다. 베트남은 21%, 중국은 34%로 상대적으로 높았다.

제3자 위험 대응 방식도 국가별로 차이가 컸다. 가장 일반적인 보호 조치인 이중 인증도 싱가포르 채택률은 28%에 그쳤다. 다른 국가들도 35% 이상이었지만 글로벌 평균보다 낮은 수준으로 조사됐다.

세르게이 솔다토프 카스퍼스키 보안관제센터(SOC) 총괄은 “보안 팀이 과도한 업무 부담과 인력 부족 상황에서 단기적인 긴급 과제에 집중할 수밖에 없을 경우 조직은 공급자 생태계를 통해 은밀하게 이동하는 위협에 노출된다”며 “표준화된 협력사 평가와 조직 간 인식 강화 등 통합적이고 일관된 대응 전략이 필요하다”고 말했다.

아드리안 히아 카스퍼스키 아시아태평양 총괄 사장은 “APAC 지역 조직들이 디지털 생태계를 확장하면서 공급망 보안은 내부 운영과 같은 수준의 관리 체계로 다뤄져야 한다”며 “파트너에 대한 명확한 보안 요구사항을 설정하고 이를 지속적으로 검증해야 한다”고 말했다.

이번 조사는 직원 500명 이상 기업의 기술 전문가 1714명을 대상으로 진행됐다. 응답자는 최고경영진, 부사장, 팀 리드, 시니어 전문가 등으로 구성됐다. 조사 대상 국가는 독일, 스페인, 이탈리아, 브라질, 멕시코, 콜롬비아, 싱가포르, 베트남, 중국, 인도, 인도네시아, 사우디아라비아, 터키, 이집트, 아랍에미리트, 러시아 등 16개국이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.