대기업에 부품을 납품하는 중소기업 A사의 총무부 직원은 최근 ‘견적서 확인 부탁드립니다’라는 제목의 이메일을 무심코 열어봤다가 큰 낭패를 봤다. 이메일을 경로로 침투한 해커가 A사 서버에 채굴형 악성코드를 심는 방식의 사이버 공격을 시도했기 때문이다.A사처럼 협력사가 무심코 열어본 이메일이 사이버 공격의 시작점이 돼 회사에 큰 피해를 주는 사례가 늘어나고 있다. SK쉴더스 침해사고대응전문팀 Top-CERT가 최근 3년 동안 담당한 침해사고를 분석한 결과 협력사가 해킹 공격의 시작이 된 침해사고 비율이 증가한 것으로 나타났다. 2021년에는 비중이 7%에 불과했지만, 2022년엔 17%로 늘어났다. 2023년에는 전년 대비 두 배 상승한 35%를 차지한 것으로 조사됐다.
사업 파트너로서의 협력사는 대기업 내부 네트워크, 시스템에 연결 가능한 업무 구조를 갖게 된다. 그런데 이는 해커의 주요 공격 ‘통로’로 작용할 수 있다. 대기업이 시스템을 잘 갖췄더라도 협력사의 보안 관리 체계가 허술하면, 해커가 이 틈을 노리고 파고들어 원청 회사 서버까지 침투하기 때문이다.
업무 효율성을 위해 외주 업체에 홈페이지 등 관리를 맡겼다가 개인정보가 유출되는 사례도 적지 않다. 지난해 복수의 공공기관이 홈페이지 해킹을 당해 개인정보가 유출됐다. 대부분 홈페이지를 외주 협력사에 위탁 운영하고 있어 피해 사실을 바로 알아차리기 어려웠다고 한다. 기업도 마찬가지다. 협력사에서 보안 사고가 일어나면 그 회사는 물론 손을 잡고 있는 대기업까지 타격을 준다.
한국인터넷진흥원 자료에 따르면 지난해 사이버 공격으로 피해를 본 기업 중 92%가 중소기업이었다. 중소기업이 보안에 투자하거나 책임자를 둘 여력이 없기 때문에 발생률이 높은 것으로 분석된다.
협력사를 타깃으로 한 공격이 급증하는 만큼 중소기업에 대한 보안 강화 논의가 민관에서 더 적극적으로 이뤄져야 한다. 2023 정보보호공시에 따르면 국내 700여 개의 기업 보안 투자액이 전년 대비 21% 상승했다. 보안 문제에 대한 대기업들의 관심이 높아지고 있지만, 그 인식이 1·2차 협력사로까지 확산되지 않고 있다. 작은 구멍 하나에 큰 댐이 무너지듯이 협력사의 미흡한 보안투자가 상생관계의 업체들에 위협이 될 수 있다는 것을 명심해야 한다.
대기업도 협력사와의 보안 프로토콜을 정기적으로 재검토하고 새로운 보안 대책을 수립해야 한다. 협력사와의 보안에 대해서도 소통을 더 강화할 필요가 있다. 필요하면 보안 교육을 함께 시행해 침해사고를 예방하고 대응 능력을 향상하는 등의 노력을 기울여야 한다. 침투 대응 능력을 높여 고도화하는 해킹 사고에 대비하고 지속적인 성장을 위한 보안 전략을 수립해야 한다.
관련뉴스
