카스퍼스키 “기업 69%, 협력업체 보안 비용 분담 의향”

카스퍼스키(한국 대표 이효은)는 세계 16개국 기업의 기술 전문가를 조사한 결과 응답자의 69%가 사이버 회복력을 높이기 위해 협력업체의 보안 비용을 분담할 의향이 있다고 답했다고 25일 밝혔다.

사이버 회복력은 사이버 공격이나 시스템 장애가 발생해도 핵심 업무를 유지하고 정상 상태로 복구하는 능력을 뜻한다.

이번 조사는 카스퍼스키 내부 마켓 리서치 센터가 직원 500명 이상 기업에 근무하는 기술 전문가 1714명을 대상으로 진행했다. 조사 대상은 최고경영진과 부사장, 팀장, 선임 전문가 등이다. 조사 국가는 독일과 스페인, 이탈리아, 브라질, 멕시코, 콜롬비아, 싱가포르, 베트남, 중국, 인도, 인도네시아, 사우디아라비아, 튀르키예 등 16개국이다. 한국은 조사 대상에 포함되지 않았다.

협력업체 보안에 투자할 의향이 있다는 응답은 인도에서 83%로 가장 높았다. 인도네시아와 러시아가 각각 80%, 브라질이 76%로 뒤를 이었다.

전체 응답 기업 중에 25%는 협력업체와 보안 비용을 이미 분담하고 있다고 답했다. 지역별로는 홍콩·대만과 스페인이 각각 33%로 나타났다. 튀르키예와 베트남은 각각 31%였다.

카스퍼스키는 기업 시스템에 접근하는 협력업체나 공급업체의 보안 수준이 발주 기업의 위험으로 이어질 수 있다고 설명했다. 협력업체의 계정이나 시스템이 침해되면 공격자가 이를 경로로 삼아 거래 기업의 내부 시스템에 접근할 수 있기 때문이다.

카스퍼스키는 공급망 위험을 줄이기 위해 계약 체결 전 공급업체의 보안 정책과 사고 이력, 산업 보안 표준 준수 여부를 확인해야 한다고 권고했다.

소프트웨어와 클라우드 서비스를 도입할 때는 취약점 점검과 침투 테스트 자료도 확인해야 한다. 필요하면 실행 중인 애플리케이션을 외부에서 공격하는 방식으로 취약점을 찾는 동적 애플리케이션 보안 테스트(DAST)를 진행할 수 있다.

계약서에는 정기적인 보안 감사와 사고 통지 절차 등 구체적인 보안 요건을 포함해야 한다고 설명했다. 협력업체에는 업무 수행에 필요한 최소한의 권한만 부여하고 접속 주체를 계속 확인하는 제로 트러스트 원칙을 적용할 것도 권고했다.

세르게이 솔다토프 카스퍼스키 보안운영센터(SOC) 책임자는 “중소기업은 대기업 수준의 보안 역량을 갖추지 못한 경우가 많아 추가적인 위험을 초래할 수 있다”며 “대기업이 자원과 전문성을 공유하면 상호 의존 관계에 있는 공급망의 취약 지점을 보완할 수 있다”고 말했다.

이효은 카스퍼스키 한국 대표는 “제3자 파트너와 협력업체는 보안 생태계의 핵심 연결 고리”라며 “공급업체와 보안 전문성을 공유하고 가치사슬 전반에 회복력을 갖춰야 한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network