기업이 관리해야 할 사이버 보안 영역이 외부 협력사로 확대되고 있다. 회사 간 공유되는 정보 유출을 막기 위해 강력한 보안 체계 마련과 지속적인 모니터링이 필수 과제로 떠올랐다.
시장조사업체 가트너는 최근 발간한 보고서를 통해 지난 2024년 사이버 사고 중 외부 협력사와 연관된 비중이 약 30%로 전년 대비 15% 포인트(P) 증가했다고 밝혔다.
주요 사례로는 420만명의 금융 데이터를 유출시킨 부실 채권 추심 기관 'FBCS' 해킹사고, 스타벅스 등 글로벌 공급망 물류 대란을 초래한 공급망 관리(SCM) 업체 '블루 욘더' 랜섬웨어 사고, 그리고 608만명의 보험·연금 정보가 탈취된 '인포시스 맥카미시 시스템즈' 사고가 소개됐다.
피해가 커지가 글로벌 규제도 강화되고 있다. 가트너는 지난해 '제3자 사이버 리스크 관리(TPCRM)' 관련 규제 건수가 2020년 대비 2배가량 증가했다고 소개했다.
대표 사례로 유럽연합(EU)의 '디지털 운영 회복탄력성법(DORA)'를 꼽았다. DORA는 금융기관의 제3자 정보통신기술(ICT) 리스크 관리 체계를 강제하는 규제로, 이를 위반할 경우 연간 매출의 최대 6% 또는 1000만 유로(약 170억원)에 달하는 벌금이 부과될 수 있다.
이에 가트너는 규제가 시행된 이후 수동적으로 대응하기보다, 가장 엄격한 글로벌 기준을 선제적으로 반영해 TPCRM 체계를 고도화해야 한다고 조언했다.
구체적으로 가장 엄격한 글로벌 규제를 기준으로 TPCRM 투자 우선순위를 재정립하고, 현행 운영 체계와 규제 요구사항 간의 격차를 경영진과 공유하며, 정책·표준·절차를 분리한 유연한 정책 구조를 구축해야 한다고 강조했다.
아울러 제3자에 대한 지속적 보안 모니터링 체계를 강화하고, 고위험 벤더에 대한 계약 종료(오프보딩) 전략을 사전에 마련하며, 외부에서 도입한 AI 솔루션까지 리스크 관리 범위에 포함해야 한다고 덧붙였다.
가트너는 “강화되는 TPCRM 규제는 단순한 컴플라이언스 문제가 아니라 기업의 재무 건전성과 직결되는 사안”이라며 “가장 엄격한 글로벌 규제를 기준으로 투자 로드맵을 재정비하고, 이사회 차원의 명확한 리스크 수용 기준을 수립해야 한다”고 밝혔다.
박진형 기자 jin@etnews.com
