글로벌 기업의 42%가 공급망 보안 대응의 핵심 과제로 보안 인력 부족과 보안 작업 우선순위 설정 문제를 지적한 것으로 나타났다.
카스퍼스키는 4일 '공급망 및 신뢰 관계 위험 보고서'를 통해 이같이 밝혔다. 이는 16개국 기술 전문가 1714명을 대상으로 진행한 설문조사 기반이다.
보고서에 따르면 숙련된 IT 보안 인력 부족과 다수의 보안 업무를 동시에 처리해야 하는 구조적 문제가 공급망 공격 대응을 어렵게 하는 주요 요인으로 꼽혔다.
조사 결과 지난 1년간 3개 기업 중 1곳이 공급망 공격을 경험한 것으로 나타났다. 공급망 공격은 기업의 주요 위협으로 부상했으며, 이에 대한 대응 체계의 취약성이 동시에 드러났다는 설명이다.
특히 인력 부족 문제는 아시아태평양(APAC) 지역에서 두드러졌다. 숙련된 보안 인력 부족을 지적한 비율은 싱가포르 34%, 베트남 57% 등으로 나타났다. 말레이시아의 경우 2026년까지 약 2만8068명의 사이버보안 인력이 필요하지만 현재 인력은 약 1만6765명 수준에 그치는 것으로 추정됐다.
보안 업무 우선순위 설정 문제도 주요 장애 요인으로 확인됐다. 인도 54%, 베트남 48%, 싱가포르 47%가 동시에 여러 보안 과제를 처리해야 하는 부담을 지적했다. 이는 공급망 위협 대응이 후순위로 밀릴 가능성을 보여주는 대목이다.
구조적 문제도 존재한다. APAC 지역에서는 계약 시 IT 보안 요구사항이 포함되지 않은 비율이 30~61%에 달했다. 또한 25~38%의 응답자는 비보안 인력이 공급망 위험을 충분히 이해하지 못한다고 답했다.
카스퍼스키는 대응 방안으로 △관리형 보안 서비스 도입 △보안 교육 강화 △공급업체 사전 평가 △계약 내 보안 요구사항 명시 △협력사와의 보안 협력 체계 구축 등을 제시했다.
구체적으로 전담 인력이 부족한 조직은 '관리형 탐지 및 대응(MDR)'과 '침해 대응(Incident Response)' 서비스 도입을 통해 위협 식별부터 대응까지 전 과정을 외부 전문 인력에 맡길 수 있다고 설명했다. 또 실무 중심의 보안 교육 프로그램을 통해 내부 직원의 대응 역량을 높이는 것이 필요하다고 강조했다.
이와 함께 계약 체결 전 공급업체의 보안 정책과 과거 사고 이력, 산업 표준 준수 여부를 사전에 점검하고, 소프트웨어 및 클라우드 서비스의 경우 취약점 정보와 침투 테스트 결과를 확인해야 한다고 밝혔다. 계약서에는 정기 보안 점검, 보안 정책 준수, 사고 발생 시 통지 절차 등 구체적인 보안 요구사항을 명문화해야 한다고 조언했다.
아울러 공급업체와 보안 이슈를 공동 과제로 설정하고 지속적으로 협력하는 체계를 구축함으로써, 공급망 전반의 보안 수준을 함께 강화해야 한다고 설명했다.
박진형 기자 jin@etnews.com
