공급망 사이버 보안에 투자해야 하는 OEM의 과제 모범 사례

전 세계의 거의 모든 산업이 사이버 범죄의 표적이 되고 있습니다. 그러한 범죄를 통해 얻을 수 있는 잠재적인 이득으로는 돈, 컴퓨팅 성능, 기업 및 고객 데이터 등을 들 수 있습니다. 전자 제품 공급망은 특히 취약하기 때문에, 우리 모두는 사이버 보안을 최우선 과제로 삼아야 합니다.

일례로 2025년 2월, 대만의 인쇄 회로 기판(PC 기판) 제조업체인 Unimicron은 Sarcoma 랜섬웨어의 공격을 받았습니다.¹ 이 그룹은 2024년 7월부터 2025년 3월까지 83건의 사이버 공격을 받은 것으로 알려져 있습니다(그림 1).² 이러한 공격을 통해, 사이버 범죄자들은 침해 당시 회사 시스템에서 훔친 것으로 추정되는 파일 샘플을 공개하고, 몸값을 지불하지 않으면 377GB의 SQL 파일과 기업 데이터 문서를 모두 유출하겠다고 협박했습니다.

그림 1: Sarcoma는 제조 및 기술 기업을 포함한 전 세계의 조직을 랜섬웨어 공격의 표적으로 삼았습니다. 지금까지는 북미와 유럽에 집중적으로 공격이 발생했습니다. (이미지 출처: Ransomware.live)

문제의 심각성 증대

Cybersecurity Ventures의 2025년 보고서에 따르면, 사이버 범죄로 인한 비용은 2015년 3조 달러에서 2025년에는 연간 10조 5천억 달러에 달할 것으로 예측됩니다.³ 한 Gartner 소식통은 소프트웨어 공급망에 대한 공격으로 인한 비용만 2023년 460억 달러에서 2031년까지 1,380억 달러로 증가할 것으로 예상했습니다.⁴

보안 침해로 인한 비용도 증가하고 있습니다. IBM의 조사에 따르면, 사이버 보안 침해로 인한 평균 비용은 488만 달러에 달합니다.⁵ 여기에는 브랜드 침식과 같은 잠재적인 소프트 비용을 고려하지 않은 하드 비용만 포함됩니다.

분석가와 전문가들은 사이버 범죄가 급격하게 증가하는 데는 다음과 같이 다양한 원인이 있다고 지적합니다.

• 조직의 소프트웨어 의존도가 계속적으로 높아짐: 전자 산업의 경우, 기업들은 보호 사일로를 만드는 자체 개발 앱에 의존해 왔습니다. 현재 대부분의 조직은 타사 소프트웨어와 오픈 소스 애플리케이션에 의존하고 있기 때문에, 악의적인 공격자가 악성 코드를 삽입하고 문제를 일으킬 수 있습니다(그림 2).
• 원격 근무 또는 하이브리드 근무를 하는 직원이 점점 더 많아짐: 재택근무 또는 다양한 장소에서 근무하는 직원이 증가함에 따라, 잠재적인 공격 표면이 증가하여 취약성이 높아졌습니다.
• 사물 인터넷(IoT)과 클라우드의 확산: IoT 디바이스와 클라우드 인프라는 유용하지만 공격자에게 더 많은 진입 지점을 제공합니다.
• 공격자들이 점점 더 정교해짐: 국가가 후원하는 그룹과 랜섬웨어 공격자들은 점점 더 정교한 기술을 사용하여 조직을 표적화합니다.

그림 2: 오픈 소스 종속성에서 발견되는 악성 요소의 증가 추세에 대한 개요를 보여줍니다. (이미지 출처: Gartner)

안전을 최우선으로 하는 4가지 방법

공격자들은 점점 더 지능적인 방법을 사용하므로 조직은 항상 경계를 늦추지 말아야 합니다. 사이버 보안은 위험을 다루는 거대한 규모의 게임과 같습니다. 조직은 데이터와 기업 시스템에 대한 보호 장치를 구축하는 한편, 악의적인 공격자는 시스템에 침투할 새로운 방법을 찾습니다. 기업은 정기적으로 절차와 기술을 평가하여, 공격자보다 앞서 나가거나 최소한 공격자가 다른 표적으로 이동할 수 있을 정도로 충분히 어렵게 만들어야 합니다. 포털과 네트워크에 대한 보안과 백업이 이루어져야 하며 디지털 문서와 실물 문서 모두가 보호의 대상이 되어야 합니다.

사이버 보안 보험은 반드시 예산에 포함되어야 합니다. 위험을 감수해 보고 싶은 유혹이 있을 수도 있지만, 침해로 인한 비용에 비하면 보험료는 미미합니다. 이 보험금은 조직이 침해 사고에 대처하는 데 드는 법적 수수료와 비용을 회수하는 데 도움이 됩니다. 고객 또는 직원 생산성의 손실로 인한 비용도 보상받을 수 있습니다. Embroker에 따르면, 2024년 기업들은 사이버 보험에 연간 평균 1,200달러 ~ 7,000달러를 지출했으며, 중앙값은 연간 약 2,000달러였습니다.⁶ 예상대로 사이버 보험의 가격은 변동이 심해 2022년에 최고치를 기록했습니다. 그 이후로 이러한 비용은 계속 감소하고 있습니다.

또 다른 필수 전략은 조직 보안 감사입니다. 윤리적 해커 또는 '화이트햇' 해커는 침투 테스트를 수행하여 현재 시스템이 취약한 부분을 확인하고 블랙햇 해커가 허점을 발견하기 전에 이를 찾아낼 수 있습니다.

마지막으로, 조직에서 사이버 보안에 대한 투자의 중요성을 인지하고 있는지 확인해야 합니다. 이러한 노력을 위해서는 해마다 투자를 늘리기 위한 예산 항목을 갖추고 있어야 합니다.

오늘날 전자 제품 공급망의 현실은 조직이 전 세계에 분산되어 있으며, 이에 따라 직면하게 되는 위협도 다양하다는 점입니다. 시간, 비용, 평판 및 규정 준수 위험에 따른 비용과 함께 보안 침해가 증가하고 있으며 앞으로도 계속 증가할 가능성이 높습니다. 조직은 위험에 대비하고 보안에 투자하는 것을 우선순위로 삼아야 합니다. OEM은 주의를 기울이면 공급망 애플리케이션의 이점을 활용하여 가시성, 복원력, 위험 완화를 향상하고 악의적인 행위자의 위험을 피할 수 있습니다.

참고 자료

1: https://www.cm-alliance.com/cybersecurity-blog/february-2025-major-cyber-attacks-ransomware-attacks-data-breaches(영문)

2: https://www.ransomware.live/group/sarcoma(영문)

3: https://cybersecurityventures.com/cybersecurity-in-2025-challenges-risks-and-what-leaders-must-do/(영문)

4: https://www.gartner.com/doc/reprints?id=1-2HZEKAMU&ct=240701&st=sb(영문)

5: https://www.ibm.com/reports/data-breach(영문)

6: https://www.embroker.com/blog/cyber-insurance-cost/(영문)