글로벌 기업 42% "보안 인력 부족과 보안 작업 우선순위 설정 필요성 지적"

글로벌 기업 42%는 공급망 공격 및 신뢰 관계 공격 위험을 완화하기 위해 해결해야할 주요 문제로, 숙련된 IT 보안 인력 부족과 다양한 보안 작업의 우선순위를 설정해야 하는 필요성을 꼽았다.

글로벌 사이버 보안 기업 카스퍼스키는 4일 공급망 및 신뢰 관계 위험 보고서에서 전 세계 응답자의 약 절반이 공통적으로 이같이 지적했다고 밝혔다.

보고서에 따르면, 공급망 공격은 기업의 주요 위협으로 부상했으며, 지난 1년 동안 3개 기업 중 1곳이 이러한 공격을 경험한 것으로 나타났다. 공급망 공격의 심각도와 빈도가 증가함에 따라, 해당 위험을 효과적으로 대응하지 못하는 주요 원인을 파악하는 것이 필요해졌다.

조사에 따르면, 공급망 및 신뢰 관계 위험을 줄이는 데 있어 주요 장애 요인 중 하나는 숙련된 인력의 부족이다. 이러한 인력 부족은 조직이 생태계 전반에서 제3자 취약점을 지속적으로 접근하고 모니터링할 수 있는 역량을 제한한다.

APAC 시장에서는 숙련된 IT 보안 인력 부족을 지적한 조직 비율이 싱가포르 34%에서 베트남 57%까지 다양하게 나타났다.

사이버보안 인재의 부족 문제는 말레이시아에서도 뚜렷하게 나타난다. 말레이시아 사이버보안 전략2025-2030에 따라 국가 차원의 보안 역량 강화가 진행되면서 숙련된 전문가에 대한 수요는 계속 증가하고 있다. 

말레이시아 디지털부(Ministry of Digital)에 따르면, 2026년까지 약 28,068명의 사이버보안 전문가가 필요할 것으로 예상되며, 현재 인력 규모는 약 16,765명 수준으로 추정된다.

다른 주요 장애 요인으로는 다수의 사이버보안 우선순위를 동시에 관리해야 하는 점이 지적됐으며, 이는 특히 인도(54%), 베트남(48%), 싱가포르(47%)에서 두드러지게 나타났다. 

이에 대해 카스퍼스키는 "보안 팀이 동시에 너무 많은 작업을 수행해야 하는 상황에 놓여 있어 공급망 위협이 제대로 대응되지 못할 가능성을 보여준다"고 해석했다.

자원 부족 외에도 구조적 문제도 지적됐다. APAC 시장에서는 계약시에 IT 보안 의무가 포함되지 않은 경우가 30%에서 61%에 이르는 것으로 나타나, 많은 조직이 제3자에 대한 명확한 보안 요구사항을 설정하지 않은 상태로 운영되고 있음을 보여준다. 

또한 25%에서 38%의 응답자는 비 IT 보안 인력이 이러한 위험을 충분히 이해하지 못하고 있다고 답했다.

글로벌 기준으로 보면, 설문에 응답한 기업의 85%가 공급망 및 신뢰 관계 위험에 대한 보호를 강화할 필요가 있다고 인정했으며, 현재 보안 조치가 효과적이라고 평가한 기업은 15%에 불과했다. 이러한 신뢰 수준은 독일(6%), 터키(7%), 이탈리아(8%), 브라질8%), 러시아(8%), 사우디아라비아(9%) 등 주요 국가에서 더욱 낮게 나타났다.

APAC 지역에서는 이러한 패턴이 다소 다양하게 나타난다. 인도(11%), 인도네시아(14%), 싱가포르(14%)는 낮은 신뢰 수준을 보인 반면, 베트남(21%)과 중국(34%)은 상대적으로 높은 신뢰도를 나타냈다.

동시에 설문 결과에 따르면, 제3자 위험에 대한 현재 대응 방식은 여전히 분산되어 있다. 가장 일반적인 보호 조치인 이중 인증조차도 지역별로 채택률에 큰 차이를 보인다. 싱가포르는 28%로 매우 낮은 수준을 기록했으며, 다른 국가들도 35% 이상으로 나타났지만 여전히 글로벌 평균보다 낮은 수준이다.

또한 APAC 시장에서는 사이버보안 체계가 일관되게 수행되지 않아, 조직이 파트너의 보안 상태를 충분히 파악하지 못하고 있으며, 이는 생태계 전반에서 진화하는 취약점에 노출되는 결과를 초래한다.

주목할 점은 이미 공급망 및 신뢰 관계 공격을 경험한 기업들이 더 강력한 보안 습관을 채택하는 경향이 있다는 것이다. 글로벌 기준으로 공급망 사고를 경험한 기업은 침투 테스트 결과를 요구할 가능성이 더 높았으며(56%), 신뢰 관계 침해를 경험한 기업은 산업 표준 준수 여부(56%) 및 협력사의 공급망 정책(53%) 검증을 우선시했다.

카스퍼스키 세르게이 솔다토프 SOC 총괄은 “보안 팀이 과도한 업무 부담과 인력 부족 상황에서 단기적인 긴급 과제에 집중할 수밖에 없을 경우, 조직은 공급자 생태계를 통해 은밀하게 이동하는 위협에 노출된다. 이러한 악순환을 끊기 위해서는 표준화된 협력사 평가와 조직 간 인식 강화 등 보다 통합적이고 일관된 대응 전략이 필요하다. 공급망 보안은 전체 비즈니스 네트워크 전반에서 공유되고 실행 가능한 책임을 질 수 있어야 한다”라고 말했다.

카스퍼스키 아드리안 히아 아시아태평양 총괄 사장은 “APAC 지역 조직들이 디지털 생태를 확장함에 따라 공급망 보안은 내부 운영과 동일한 수준의 관리 체계로 다뤄져야 한다. 이는 파트너에 대한 명확한 보안 요구사항을 설정하고, 이를 지속적으로 검증하며, 일상적인 업무 프로세스에 책임을 내재화하는 것을 의미한다. 체계적인 접근을 통해 조직은 생태계 전반의 신뢰를 강화하고 불필요한 위험을 줄일 수 있다”라고 강조했다.

한편, 이번 보고서를 위해 카스퍼스키의 내부 시장 조사 센터는 500명 이상의 직원을 보유한 기업을 대상으로, C레벨 임원부터 부사장, 팀 리드, 시니어 전문가에 이르는 기술 전문가 1천714명을 설문 조사했다고 밝혔다. 해당 연구는 독일, 스페인, 이탈리아, 브라질, 멕시코, 콜롬비아, 싱가포르, 베트남, 중국, 인도(India), 인도네시아, 사우디아라비아, 터키, 이집트, 아랍에미리트, 러시아 등 16개국을 포함한다. [파이낸셜신문=임권택 기자 ]