사이버 보안에서 제3자 위험이 가장 큰 취약점으로 떠오르고 있다. 글로벌 사이버 위험 솔루션 기업 레질리언스(Resilience)가 2024년에 발생한 사이버 보험 청구와 관련한 위험을 분석한 보고서를 발표했다.

보고서에 따르면 2024년 사이버 보험 청구의 31%가 제3자 위험과 관련된 손실이며, 이는 랜섬웨어 및 공급망 마비로 인한 피해를 포함한다. 특히, 제3자 위험으로 인해 발생한 최초의 주요 손실 청구가 2024년 전체 청구의 23%를 차지하며, 이는 2023년 대비 급격한 증가를 나타낸다.

기업들은 이제 단순히 자체 보안만이 아니라 파트너와 공급업체의 보안 상태까지 면밀히 관리해야 하는 시대를 맞이하고 있다.

제3자 위험, 새로운 보안 위협으로 대두

제3자 위험이 사이버 보안의 중심 이슈로 떠오른 배경에는 상호 연결된 IT 환경과 광범위한 소프트웨어 공급망 의존성이 있다. 파워스쿨(PowerSchool), CDK, 체인지 헬스케어(Change Healthcare)와 같은 주요 기업이 공급망 침해를 경험하면서 이러한 위험은 더욱 부각되었다.

위협 행위자들은 한 조직의 취약점을 악용하여 연쇄적인 피해를 유발하는 방식으로 공격을 진행하고 있으며, 이는 단일 조직을 넘어 여러 기업에 걸쳐 피해를 확산시키는 특징을 가진다. 이에 따라 기업들은 더 이상 공급업체의 취약성을 간과할 수 없으며, 공유된 위협 환경에서 적극적인 보안 대책을 마련해야 한다.

랜섬웨어와 송금 사기, 여전히 주요 위협

보고서에 따르면, 랜섬웨어는 여전히 사이버 보험 청구의 가장 큰 원인 중 하나다. 2024년 발생한 청구의 61%가 랜섬웨어 공격과 관련되어 있으며, 특히 18%는 공급업체를 대상으로 한 공격에서 비롯되었다. 이는 공급망 침해가 단순한 기술적 문제가 아니라 기업 전체의 운영에 영향을 미치는 심각한 리스크로 작용하고 있음을 의미한다.

또한, 보험금 송금 사기가 2023년 14%에서 2024년 18%로 증가하며, 금융 및 기업 결제 시스템을 노리는 공격이 지속적으로 증가하고 있음을 보여준다.

산업별 피해 양상과 대응 전략

운송, 제조, 의료 산업이 가장 큰 피해를 입었으며, 이는 운영 기술(OT) 시스템의 노후화 및 높은 가동 중지 비용과 연관이 있다. 특히 의료 및 금융 분야는 규제 요건이 엄격하여 보안 사고 발생 시 즉각적인 보고가 필요하다는 점에서 청구 빈도가 상대적으로 높다.

반면, 피싱 공격은 효과가 감소하면서 2023년 20%에서 2024년 9%로 급감했다. 

레질리언스의 글로벌 클레임 책임자 Jeremy Gittler는 "사이버 보험과 사이버 위험 정량화 솔루션을 제공하는 기업으로서, 우리는 기업들이 보안 전략을 발전시키며 손실을 줄이는 모습을 목격하고 있다."라며, “지난 한 해 동안 진화하는 위협 환경에 직면했음에도 불구하고 기업은 사이버 위험을 관리하고 실질적인 손실을 방지하는 방법을 지속적으로 개선하고 있다.”라고 말했다.

레질리언스의 이번 보고서는 2024년 8월 중기 사이버 위험 보고서의 연장선으로, 지속적으로 변화하는 사이버 위협 환경과 이에 대한 기업들의 대응 전략을 분석한 결과다. 제3자 위험이 더욱 심화되는 상황에서, 기업들은 보다 적극적인 보안 조치를 도입하고, 협력업체와의 보안 연계를 강화하는 방향으로 나아가야 할 것이다.