글로벌 기업 69%가 협력사 보안 비용 분담 의향 있어
[보안뉴스 강현주 기자] 글로벌 기업들의 4분의 1이 협력업체 및 공급업체의 보안에 예산을 쓰기 시작한 것으로 나타났다. 공급망 보안의 중요성에 대한 인식이 확산됐다는 신호다.
카스퍼스키(한국지사장 이효은)가 발표한 공급망 보안 관련 연구에 따르면, 글로벌 기업들의 69% 이상이 사이버 공격에 대한 대응력을 확보하기 위해 협력업체 및 공급업체의 보안에 투자할 의향이 있다. 25%는 이미 이를 실행하고 있는 것으로 나타났다. 이는 협력업체를 단순한 외부 공급자가 아니라, 하나의 보안 체계를 함께 책임지는 협력 파트너로 인식하기 시작했다는 의미다.
▲카스퍼스키 공급망 보안 관련 조사 내용 일부 [출처: 카스퍼스키]
조사는 500명 이상 규모 기업에 소속된 기술 전문가 1714명을 대상으로 진행됐다. 대상 국가는 독일, 스페인, 이탈리아, 브라질, 멕시코, 콜롬비아, 싱가포르, 베트남, 중국, 인도, 인도네시아, 사우디아라비아, 터키, 이집트, 아랍에미리트, 러시아 등 총 16개국이다.
응답 기업들 가운데 3개 중 1개가 지난 1년간 공급망 공격 경험이 있다고 답했다. 이에 기업들은 공급망 보안 강화 준비에 나서고 있다.
이들은 특히 협력업체 보안에 대한 투자를 고려하고 있다. 인도(83%), 인도네시아(80%), 러시아(80%), 브라질(76%)에서 특히 높게 나타났다. 특히 인도네시아, 브라질, 러시아의 기업들은 다른 국가 대비 협력업체에 대한 신뢰도가 높은데, 이는 해당 국가에서 기업 시스템에 접근 가능한 협력업체 수가 평균보다 많다는 점에서 확인된다.
동시에 전체 기업의 25%는 이미 협력업체와 보안 비용을 분담하기 시작했으며, 이는 단순한 의향을 넘어 실제 실행 단계로 전환되고 있음을 보여준다. 이러한 도입 비율은 홍콩 및 대만(33%), 스페인(33%), 터키(31%), 베트남(31%)에서 더 높게 나타났다.
카스퍼스키는 공급망 리스크를 줄이기 위해 기업이 소프트웨어 공급업체에 엄격한 증거 기반의 평가 등 조직적 보안 조치를 강화할 것을 권장한다. 공급업체의 보안 관행을 평가하고, 소프트웨어 개발 프로세스를 검토하며, 구조화된 평가 프레임워크를 적용함으로써 기업은 내부 인프라에 안전하고 회복력 있는 제품만 도입할 수 있다는 설명이다.
특히 공급업체와 긴밀히 협력하여 보안 수준을 향상시키는 것이 중요하며, 이러한 협력은 상호 신뢰를 강화하고 보안을 공동의 우선 과제로 만든다.
계약 체결 전 전 잠재 공급업체의 보안 수준을 평가하는 것이 필수적이며, 사이버 보안 정책 검토, 과거 사고 이력, 산업 보안 표준 준수 여부 확인이 포함된다.
소프트웨어 제품 및 클라우드 서비스의 경우, 취약점 및 침투 테스트 데이터를 수집하고, 필요 시 동적 애플리케이션 보안 테스트(DAST) 수행이 권장된다.
계약 기반 보안 요구사항 적용:공급업체와의 계약에는 정기 보안 감사, 조직의 보안 정책 준수, 사고 통지 프로토콜 등 구체적인 정보 보안 요구사항이 포함돼야 한다.
최소 권한 원칙, 제로 트러스트, 강력한 신원 관리 체계 등 선제적 보안 조치를 적용하면 공급업체 침해로 인한 심각한 피해를 크게 줄일 수 있다.
카스퍼스키 세르게이 솔다토프 보안 운영 센터(SOC) 책임자는 “기업들은 보안이 더 이상 조직 내부 경계에서 끝나서는 안 되며, 전체 생태계로 확장되어야 한다는 점을 인식하고 있다”며 “중소기업은 대기업 수준의 보안 역량을 갖추지 못한 경우가 많아 추가적인 리스크를 초래할 수 있어 대기업이 자원과 전문성을 공유함으로써 격차를 해소하고, 전체 의존 관계 체인에서 취약 지점을 강화해 글로벌 사이버 회복력을 높이는 핵심 동력이 될 수 있다”라고 말했다.
카스퍼스키코리아 이효은 지사장은 “한국 산업을 겨냥한 고도화된 공급망 공격이 증가하는 상황에서, 사이버 보안은 더 이상 개별 기업만의 문제가 아니다”라며 “제3자 파트너와 협력업체는 보안 생태계의 핵심 연결 고리이며, 하나의 취약점이 전체 시스템 리스크로 이어질 수 있기에 하나의 통합된 생태계로 대응해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
[보안뉴스 강현주 기자] 글로벌 기업들의 4분의 1이 협력업체 및 공급업체의 보안에 예산을 쓰기 시작한 것으로 나타났다. 공급망 보안의 중요성에 대한 인식이 확산됐다는 신호다.
카스퍼스키(한국지사장 이효은)가 발표한 공급망 보안 관련 연구에 따르면, 글로벌 기업들의 69% 이상이 사이버 공격에 대한 대응력을 확보하기 위해 협력업체 및 공급업체의 보안에 투자할 의향이 있다. 25%는 이미 이를 실행하고 있는 것으로 나타났다. 이는 협력업체를 단순한 외부 공급자가 아니라, 하나의 보안 체계를 함께 책임지는 협력 파트너로 인식하기 시작했다는 의미다.
▲카스퍼스키 공급망 보안 관련 조사 내용 일부 [출처: 카스퍼스키]
조사는 500명 이상 규모 기업에 소속된 기술 전문가 1714명을 대상으로 진행됐다. 대상 국가는 독일, 스페인, 이탈리아, 브라질, 멕시코, 콜롬비아, 싱가포르, 베트남, 중국, 인도, 인도네시아, 사우디아라비아, 터키, 이집트, 아랍에미리트, 러시아 등 총 16개국이다.
응답 기업들 가운데 3개 중 1개가 지난 1년간 공급망 공격 경험이 있다고 답했다. 이에 기업들은 공급망 보안 강화 준비에 나서고 있다.
이들은 특히 협력업체 보안에 대한 투자를 고려하고 있다. 인도(83%), 인도네시아(80%), 러시아(80%), 브라질(76%)에서 특히 높게 나타났다. 특히 인도네시아, 브라질, 러시아의 기업들은 다른 국가 대비 협력업체에 대한 신뢰도가 높은데, 이는 해당 국가에서 기업 시스템에 접근 가능한 협력업체 수가 평균보다 많다는 점에서 확인된다.
동시에 전체 기업의 25%는 이미 협력업체와 보안 비용을 분담하기 시작했으며, 이는 단순한 의향을 넘어 실제 실행 단계로 전환되고 있음을 보여준다. 이러한 도입 비율은 홍콩 및 대만(33%), 스페인(33%), 터키(31%), 베트남(31%)에서 더 높게 나타났다.
카스퍼스키는 공급망 리스크를 줄이기 위해 기업이 소프트웨어 공급업체에 엄격한 증거 기반의 평가 등 조직적 보안 조치를 강화할 것을 권장한다. 공급업체의 보안 관행을 평가하고, 소프트웨어 개발 프로세스를 검토하며, 구조화된 평가 프레임워크를 적용함으로써 기업은 내부 인프라에 안전하고 회복력 있는 제품만 도입할 수 있다는 설명이다.
특히 공급업체와 긴밀히 협력하여 보안 수준을 향상시키는 것이 중요하며, 이러한 협력은 상호 신뢰를 강화하고 보안을 공동의 우선 과제로 만든다.
계약 체결 전 전 잠재 공급업체의 보안 수준을 평가하는 것이 필수적이며, 사이버 보안 정책 검토, 과거 사고 이력, 산업 보안 표준 준수 여부 확인이 포함된다.
소프트웨어 제품 및 클라우드 서비스의 경우, 취약점 및 침투 테스트 데이터를 수집하고, 필요 시 동적 애플리케이션 보안 테스트(DAST) 수행이 권장된다.
계약 기반 보안 요구사항 적용:공급업체와의 계약에는 정기 보안 감사, 조직의 보안 정책 준수, 사고 통지 프로토콜 등 구체적인 정보 보안 요구사항이 포함돼야 한다.
최소 권한 원칙, 제로 트러스트, 강력한 신원 관리 체계 등 선제적 보안 조치를 적용하면 공급업체 침해로 인한 심각한 피해를 크게 줄일 수 있다.
카스퍼스키 세르게이 솔다토프 보안 운영 센터(SOC) 책임자는 “기업들은 보안이 더 이상 조직 내부 경계에서 끝나서는 안 되며, 전체 생태계로 확장되어야 한다는 점을 인식하고 있다”며 “중소기업은 대기업 수준의 보안 역량을 갖추지 못한 경우가 많아 추가적인 리스크를 초래할 수 있어 대기업이 자원과 전문성을 공유함으로써 격차를 해소하고, 전체 의존 관계 체인에서 취약 지점을 강화해 글로벌 사이버 회복력을 높이는 핵심 동력이 될 수 있다”라고 말했다.
카스퍼스키코리아 이효은 지사장은 “한국 산업을 겨냥한 고도화된 공급망 공격이 증가하는 상황에서, 사이버 보안은 더 이상 개별 기업만의 문제가 아니다”라며 “제3자 파트너와 협력업체는 보안 생태계의 핵심 연결 고리이며, 하나의 취약점이 전체 시스템 리스크로 이어질 수 있기에 하나의 통합된 생태계로 대응해야 한다”고 말했다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
