카스퍼스키, 공급망 위험 대응 현황 보고서 발표

[보안뉴스 한세희 기자] 공급망 보안 강화를 위한 과제로 전문 인력 양성과 보안 업무 효율 제고를 위한 우선순위 설정 등이 꼽혔다.

4일 카스퍼스키가 발표한 공급망 위험 대응 현황 보고서에 따르면, 최근 1년 간 조사 대상 기업 3곳 중 1곳이 공급망 공격을 당한 경험이 있는 것으로 나타났다.

공급망 위협에 효과적으로 대응하지 못하는 이유론 숙련된 인력의 부족과 보안 위협 우선순위 관리의 어려움이 가장 많이 꼽혔다.



숙련된 IT 인력이 부족해 생태계 전반의 취약점을 관리할 역량이 제한된다는 응답이 싱가포르에서 34%, 베트남에서 57%로 나타났다. 말레이시아 정부는 최근 보안 인력이 2만8000명 가량 필요하지만 현재 인력 규모는 1만6765명 수준이라 발표하기도 했다.

다수의 사이버 보안 우선순위를 동시에 관리해야 하는 어려움이 크다는 지적은 인도(54%)와 베트남(48%). 싱가포르(47%) 등에서 높게 나타났다. 보안 팀이 동시에 너무 많은 작업을 수행해야 해 공급망 위협이 제대로 대응하지 못할 가능성을 보여준다.

아시아 태평양(APAC) 시장에선 공급망 보안 위협에 대응하기 어려운 구조적 문제도 있는 것으로 나타났다. 이 지역에선 계약할 때 IT 보안 의무가 포함되지 않은 경우가 30%에서 61%에 이르는 것으로 나타났다. 많은 조직이 제3자에 대한 명확한 보안 요구사항을 설정하지 않은 상태로 운영되고 있음을 보여준다. 25%에서 38%의 응답자는 IT 보안 외 다른 직무 인력이 이러한 위험을 충분히 이해하지 못하고 있다고 답했다.

반면, 이중인증 등 제3자 위협에 대한 대응 방식은 충분하지 않았다. 싱가포르는 이중인증 채택률이 28%에 불과헀다. 다른 국가들은 35% 이상으로 나타났지만, 글로벌 평균보다는 낮은 수준이다.

아드리안 히아 카스퍼스키 아시아태평양 총괄 사장은 “APAC 지역 조직들이 디지털 생태를 확장함에 따라 공급망 보안은 내부 운영과 동일한 수준의 관리 체계로 다뤄져야 한다”며 “이는 파트너에 대한 명확한 보안 요구사항을 설정하고, 지속적으로 검증하며, 일상적 업무 프로세스에 책임을 내재화하는 것을 의미한다”고 말했다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>