공급망 공격 앞에 무력한 기업들… 보안 인력난과 우선순위 혼선에 ‘이중고’

[산업일보]
최근 1년 사이 글로벌 기업 3곳 중 1곳이 공급망 공격을 경험하며 사이버 보안에 빨간불이 켜졌지만, 정작 현장에서는 인력 부족과 업무 과중으로 인해 대응에 한계를 드러내고 있다.

공급망 위험 대응을 저해하는 가장 큰 장애물로 숙련된 IT 보안 인력의 부재와 산재한 보안 작업 간의 우선순위 설정 문제를 꼽았다.

특히 이러한 전문 인력난은 조직이 협력사나 공급업체 등 제3자 생태계 전반의 취약점을 실시간으로 감시·대응하는 역량을 크게 위축시키고 있다는 분석이다. 글로벌 사이버 보안 기업 카스퍼스키는 이 같은 현황을 담은 ‘공급망 및 신뢰 관계 위험 보고서’를 4일 발표했다.

실제로 보안 인재 부족 현상은 국가적 차원의 문제로 확산되고 있다. 말레이시아의 경우, 올해까지 약 2만 8천여 명의 보안 전문가가 필요할 것으로 예측되지만, 현재 인력은 이에 턱없이 못 미치는 1만 6천여 명에 불과하다.

이와 더불어 인도(54%), 베트남(48%), 싱가포르(47%) 등 아시아 태평양 지역 기업들은 쏟아지는 보안 과제 속에서 정작 중요한 공급망 위협에 자원을 집중하지 못하는 우선순위 관리의 어려움을 호소하고 있는 것으로 조사됐다.

구조적 결함도 심각하다. 아태지역 조직의 30%에서 61%는 파트너와 계약 시 IT 보안 의무를 포함하지 않고 있으며, 비(非) IT 보안 인력의 경우 이러한 위협 자체를 제대로 이해하지 못하는 비중이 25%에서 38%에 달해 보안 사각지대가 확대되고 있다.

전체 기업의 85%가 공급망 보호 강화의 필요성을 절감하고 있음에도 불구하고, 현재의 보안 조치가 실질적으로 효과가 있다고 믿는 기업은 단 15%에 그쳤다.

카스퍼스키는 진화하는 공급망 위협에 대응하기 위해 내부 예방 조치와 외부 협력을 결합한 전략적 접근이 필요하다고 강조했다. 세르게이 솔다토프 SOC 총괄은 인력 부족으로 단기 대응에 치중할 경우 공급망을 통한 침투 위험이 커진다고 지적하며, 협력사 평가 표준화와 통합 대응 체계 구축을 주문했다. 아드리안 히아 아태지역 총괄 사장 역시 파트너에 대한 보안 요구사항을 일상적인 업무 프로세스에 내재화하는 체계적 관리를 당부했다.

이에 따라 카스퍼스키는 관리 및 탐지 대응(MDR) 서비스 활용과 실무형 교육을 통한 내부 역량 강화, 계약 단계부터 보안 감사 및 사고 대응 절차 명문화, 협력사와의 공동 대응 체계 구축 등을 핵심 과제로 제시했다.