공급망 공격 속 인력난…글로벌 기업 42% 대응 어려워

서론

지난 1년간 3개 기업 중 1곳이 공급망 공격을 경험했다. 공급망 위험을 줄이는 과정에서 가장 큰 장애 요인으로 인력 부족이 꼽혔다는 점은 시사적이다. 아시아태평양(APAC) 지역에서는 이 문제가 더 심각하다. 싱가포르 34%에서 베트남 57%까지 국가별로 차이를 보이지만, 전반적으로 인력난이 공급망 보안의 발목을 잡고 있다.

말레이시아의 사례가 대표적이다. 말레이시아 디지털부는 2026년까지 약 2만8068명의 사이버보안 전문가가 필요할 것으로 예상하지만, 현재 인력 규모는 약 1만6765명에 불과한다. 약 1만1000명 이상의 인력 격차가 존재하는 셈이다.

왜 인력 부족이 치명적인가: 구조적 원인 분석

공급망 공격 대응이 인력 부족 때문에 실패하는 구조는 복합적이다.

다중 과제의 부담

사이버보안 과제를 동시에 관리해야 하는 점이 주요 장애 요인으로 지목된다. 인도(54%), 베트남(48%), 싱가포르(47%)에서 이러한 경향이 두드러진다. 보안팀이 과도한 업무를 동시에 수행해야 하는 환경에 놓여 있기 때문이다. 공급망 보안은 보안 업무의 일부일 뿐이다. 동시에 다른 보안 과제를 관리해야 하는 상황에서, 공급망 위험에 집중할 여력이 부족할 수밖에 없다.

계약 구조의 취약성

APAC 지역에서는 계약 시 IT 보안 의무가 포함되지 않은 비율이 30%에서 61%에 달한다. 이는 많은 조직이 제3자에 대한 명확한 보안 요구사항을 설정하지 않은 상태로 운영되고 있음을 보여준다. 또한 25~38%의 응답자는 IT 보안 외 다른 직무 인력이 이러한 위험을 충분히 이해하지 못하고 있다고 답했다.

이중인증 등 제3자 위험에 대한 대응 방식도 충분하지 않았다. 싱가포르는 이중인증 선택률이 28%에 불과하다. 다른 국가들은 35% 이상으로 나타났지만, 글로벌 평균보다는 낮은 수준이다.

인식과 실천의 괴리

전 세계적으로 응답 기업 85%가 공급망 및 신뢰 관계 위험에 대한 보호 강화 필요성을 인정했으나, 현재 보안 조치가 효과적이라고 평가한 비율은 15%에 그쳤다. 독일(6%), 터키(7%), 이탈리아(8%), 브라질(8%), 러시아(8%), 사우디아라비아(9%) 등에서는 신뢰 수준이 더 낮게 나타났다.

필요성은 인정하지만, 실행할 역량이 부족한 상황이다. 이것이 인력난이 만드는 치명적인 악순환이다.

중소·중견 기업을 위한 대응 체크리스트

인력난을 극복하기 위해서는 자동화와 우선순위 기반 접근이 필수적이다. 중소·중견 기업이 실행 가능한 실질적인 체크리스트를 제안한다.

1단계: 우선순위 기반 공급망 리스크 평가

모든 공급망을 동일하게 관리할 필요는 없다. 리스크 수준에 따라 우선순위를 정하고 자원을 집중해야 한다.

[필수] 공급망 인벤토리 작성
- 중요한 공급망 파트너 목록화 (최소 상위 10개)
- 데이터 접근 권한 수준 분류
- 업무 연속성 의존도 평가
- 이미 활용 중인 보안 조치 문서화

[필수] 리스크 매트릭스 도입
- 영향도(데이터 민감도, 비즈니스 영향) × 발생 가능성
- 상위 20% 고위험 공급망에 80% 자원 배분
- 분기별 리스크 재평가

[권장] 공급망 보안 설문조사 도구 활용
- NIST CSF 공급망 리스크 관련 질문지 활용
- ISO 28000 기반 평가 체크리스트 참고
- 표준화된 설문지로 일관성 확보

2단계: SBOM과 벤더 리스크 관리

소프트웨어 공급망의 투명성을 확보하는 것은 인력 효율화의 첫걸음이다.

[필수] SBOM(Software Bill of Materials) 도입
- 주요 오픈소스 컴포넌트 식별
- 자동화된 SBOM 생성 툴 도입 (OWASP Dependency-Check, Snyk 등)
- 취약점 알림 자동화 설정
- SBOM 표준 준수 (CycloneDX 또는 SPDX)

[필수] 벤더 보안 요구사항 명문화
- 계약 시 보안 의무 조항 포함
- 보안 인증 여부 확인 (ISO 27001, SOC 2 Type II 등)
- 연간 보안 평가 보고서 요구
- 보안 사고 발생 시 통지 절차 규정

[권장] 지속적 모니터링 체계 구축
- 공급망 벤더의 보안 인증 유효기간 추적
- 알려진 취약점(VEX) 정보 공유 프로세스
- 자동화된 위협 인텔리전스 피드 활용

3단계: MDR과 자동화 활용

인력 부족을 보완하기 위해서는 외부 전문성과 자동화 도구의 결합이 필요하다.

[필수] MDR(Managed Detection and Response) 서비스 검토
- 24/7 모니터링 가능한 서비스 도입
- 자동화된 대응 플레이북 기반 서비스 선택
- 보안 사고 대응 시간(SLA) 명확화
- 내부 팀과의 협업 프로세스 정립

[필수] 보안 자동화 도구 도입
- SOAR(Security Orchestration, Automation and Response) 도구 평가
- 반복적인 보안 작업 자동화 (패치 관리, 취약점 스캔 등)
- 알림 및 리포팅 자동화
- 정책 기반 자동 대응 규칙 설정

[권장] 클라우드 네이티브 보안 서비스 활용
- CSP(Cloud Service Provider) 제공 네이티브 보안 기능 활용
- SaaS(Security as a Service) 형태 보안 도구 도입
- 온프레미스 인프라 자동화의 어려움 극복

국내 기업을 위한 실무 권고사항

국내 보안책상 독자의 현실적인 제약 조건을 고려한 실질적인 권고사항을 제안한다.

인력 효율화 전략

보안 역할의 명확화
- 공급망 보안 담당자 지정 (전담이 어려우면 겸임 가능)
- 공급망 보안 업무 범위 명확화
- 우선순위 기반 업무 배분
- 정기적인 우선순위 재조정

교육 및 역량 강화
- 공급망 보안 기초 교육 실시 (온라인 코스 활용)
- 자격증 취득 지원 (CISSP, CISM 등 공급망 관련)
- 벤치마크 및 사례 학습
- 인턴/주니어 인력 적극 활용

규제 준수와 실무의 균형

국내 규제 환경 고려
- 개인정보보호법 준수를 위한 공급망 관리
- 금융권의 경우 금융감독원 가이드라인 준수
- 공공부문의 경우 개인정보보호위원회 지침 준수
- ISO 27001, ISMS-P 인증 유지 관리

실무 적용 시 유의사항
- 규제 준수가 곧 보안이 아님을 인지
- 문서화 중심 접근 지양
- 실질적인 리스크 감소에 집중
- 규제 준수와 보안 강화의 시너지 추구

기술적 대응의 현실적 접근

자동화 우선순위 결정
- 빈도가 높고 반복적인 작업부터 자동화
- 쉽게 자동화 가능한 영역부터 시작
- ROI(투자 대비 효과)가 명확한 영역 우선
- 자동화 실패 시 대안 계획 수립

도구 선택 기준
- 도입 및 운영 복잡도 고려
- 국내 지원 여부 확인
- 비용 대비 효과 평가
- 타 시스템과의 연동성 확인

결론: 자동화와 협업이 열어가는 가능성

공급망 공격 대응을 가로막는 가장 큰 장벽은 인력난이다. 42%의 기업이 겪는 이 문제는 단순히 사람을 더 채용하는 것으로 해결되지 않는다. 오늘 더 효율적으로 일하는 방식, 즉 자동화와 협업의 체계를 구축하는 것이 핵심이다.

카스퍼스키 보고서에서 긍정적인 정후도 발견되었다. 공급망 공격을 경험한 기업일수록 더 강력한 보안 조치를 도입하는 경향이 확인되었다. 공급망 사고를 겪은 기업은 침투 테스트 결과를 요구할 가능성이 높았으며(56%), 신뢰 관계 침해를 경험한 기업은 산업 표준 준수 여부(56%)와 협력사 공급망 정책 검토(53%)를 우선시하는 것으로 나타났다.

사고를 겪은 후 개선하는 것보다, 사전에 체계를 구축하는 것이 낫다. 중소·중견 기업은 제한된 자원으로 최대의 효과를 내야 한다. 우선순위 기반 리스크 평가, SBOM과 벤더 리스크 관리, MDR과 자동화 활용이 그 핵심 도구이다.

국내 기업은 규제 준수와 실무 보안의 균형을 맞춰야 한다. 문서화나 형식적 절차에만 집중하지 말고, 실질적인 리스크 감소에 집중해야 한다. 인력난을 핑계로 보안을 포기할 수 없다. 오늘부터 우선순위를 정하고, 자동화 도구를 도입하며, 외부 전문성을 활용하는 것부터 시작하자. 그것이 인력난의 시대에 공급망 보안을 실현하는 유일한 길이다.

참고문헌

• 보안뉴스: https://www.boannews.com/media/view.asp?idx=143470&page=1&kind=3
• 디지털데일리: https://www.ddaily.co.kr/page/view/2026050409523375419
• CISA SBOM: https://www.cisa.gov/sbom
• NIST Executive Order 14028: https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity-software-security-supply-chains-software-1-

본 콘텐츠는 AI 기술로 작성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하셨으면 댓글을 통해 의견을 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.