2025년 한 해 동안 전 세계 3개 기업 중 1곳이 공급망 공격을 받은 것으로 나타났다. 공급망 공격 대응을 위해 숙련된 IT 보안 인재를 키우고 다양한 보안 작업의 우선순위를 설정해야 한다는 분석이 나왔다.
글로벌 사이버 보안 기업 카스퍼스키(한국지사장 이효은)는 4일 이같은 내용을 골자로 한 '공급망 및 신뢰 관계 위험 보고서'를 발표했다.
보고서에 따르면 공급망 공격 및 신뢰 관계 공격 위험을 완화하기 위해 해결해야 할 주요 문제로 숙련된 IT 보안 인력 부족과 다양한 보안 작업의 우선순위 부재 등이 꼽혔다. 해당 두가지 요인은 전 세계 응답자의 42%가 공통적으로 지적한 사항이다.
카스퍼스키는 공급망 공격은 기업의 주요 위협으로 부상했다고 강조했다. 공급망 공격은 타깃으로 삼은 대기업을 직접 공격하는 것이 아니라, 이 대기업과 협력 관계를 맺고 있는 중소기업이나 비교적 규모가 작은 기업을 타깃으로 공격하는 것을 말한다. 보안 수준이 뛰어난 대기업이 아니라 중소기업을 공격함으로써 피해를 확산하는 식이다.
공급망 및 신뢰 관계 위험을 줄이는 데 있어 주요 장애 요인 중 하나로 꼽힌 숙련된 IT 보안 인력의 부족 문제는 생태계 전반에서 제3자 취약점을 지속적으로 접근하고 모니터링할 수 있는 역량을 제한한다. 아시아태평양 지역 시장에서는 숙련된 IT 보안 인력 부족을 지적한 조직 비율이 싱가포르 34%에서 베트남 57%까지 다양하게 나타났다.
다른 주요 장애 요인으로는 다수의 사이버보안 우선순위를 동시에 관리해야 하는 점이 지적됐다. 이는 특히 인도(54%), 베트남(48%), 싱가포르(47%)에서 두드러지게 나타났다. 인력이 부족한 보안 팀에 너무 많은 작업이 몰리면서 공급망 위협을 제대로 대응하지 못하고 있다는 것이다.
관련기사
- 카스퍼스키, 앱마켓 보안 우회하는 '변종 악성코드' 발견2026.04.27
- 카스퍼스키, MDR 제품 강화…위협 탐지·조사 기능 향상2026.04.23
- [글로벌 보안기업] 카스퍼스키 "전세계 1억2000명에게서 공격자 정보 받아"2026.04.19
- 카스퍼스키 "한국서 작년 650만건 웹기반 사이버위협 탐지"2026.04.06
자원 부족 외에도 구조적 문제 역시 팽배하다. 아시아태평양 지역에서는 계약 시 IT 보안 의무가 포함되지 않은 경우가 적게는 30%, 많게는 61로 집계됐다. 많은 조직이 제3자에 대한 명확한 보안 요구사항을 제대로 설정하지 않은 상태로 운영하고 있다는 셈이다.
세르게이 솔다토프 카스퍼스키 보안운영센터(SOC) 총괄은 "보안 팀이 과도한 업무 부담과 인력 부족 상황에서 단기적인 긴급 과제에 집중할 수밖에 없을 경우, 조직은 공급자 생태계를 통해 은밀하게 이동하는 위협에 노출된다"며 "이러한 악순환을 끊기 위해서는 표준화된 협력사 평가와 조직 간 인식 강화 등 보다 통합적이고 일관된 대응 전략이 필요하다. 공급망 보안은 전체 비즈니스 네트워크 전반에서 공유되고 실행 가능한 책임을 질 수 있어야 한다"고 말했다.
