금융 산업은 전통적으로 사이버 보안 강화를 선도해왔으며, 내부 시스템과 데이터 보호를 위한 방어 체계를 지속적으로 고도화하고 있다.

그러나 최근 금융 보안의 초점은 내부 방어에서 외부 공급업체로 옮겨가고 있다. 실제로 많은 공격자들이 금융 기관을 직접적으로 공격하는 대신, 상대적으로 보안 수준이 낮은 제3자 공급망을 경유하는 방식으로 침투 경로를 전환하고 있다. 사이버 보안 시장에서도 이러한 흐름에 대응하기 위해 제3자 리스크 평가 및 공급망 보안 강화 솔루션의 수요가 급격히 증가하고 있다.

금융 생태계의 공급업체 보안 위험 경고

사이버 제3자 위험 인텔리전스 솔루션을 제공하는 블랙 카이트(Black Kite)가 “2025 금융 서비스 현황: 벤더 생태계의 숨겨진 위험” 보고서를 발표했다. 보고서는 금융 기관의 방어 체계가 강화되고 있음에도 불구하고, 제3자 공급업체의 보안 수준은 여전히 취약하다고 지적했다. 특히 조사 대상 140개 공급업체 중 92%가 정보 공개에서 C, D 또는 F 등급을 받았으며, 이는 체계적인 보안 관리 미흡을 의미한다.

블랙 카이트의 최고 연구 및 정보 책임자인 페르하트 딕비이크(Ferhat Dikbiyik)는 “금융 산업에 대한 직접 공격은 감소하는 추세지만, 금융 기관은 여전히 안전하지 않다”며, “제3자 벤더의 취약성은 궁극적으로 금융 기관에 광범위하고 심각한 영향을 미칠 수 있다”고 경고했다.

주요 공급업체 보안 지표, 패치 미비와 고위험 취약점 다수 존재

보고서에 따르면, 공격자는 점점 더 제3자 공급업체를 통해 금융 생태계 내 취약점을 악용하고 있으며, 조사된 벤더의 65%가 최신 패치를 적용하지 않은 것으로 나타났다. 이는 알려진 CVE(Common Vulnerabilities and Exposures)나 레거시 기술의 제로데이 취약점에 대한 노출 위험을 의미한다.

140개 공급업체 중 31개는 CVSS 8점 이상의 심각한 취약점을 보유하고 있었고, 15개는 CVSS 9점 이상에 해당하는 매우 위험한 수준으로 분석되었다. 블랙 카이트의 포커스태그(FocusTags) 기준으로 90개 업체가 고위험 위협으로 분류되었으며, 이 중 35개는 KEV(Known Exploited Vulnerabilities)로 표시되었다. 이는 공급망의 구조적 보안 미비가 금융기관 전체에 실질적인 리스크로 작용하고 있음을 보여준다.

보고서는 공급업체의 취약성이 사이버 이외의 영역에서도 보안 위험을 유발하고 있다고 강조했다. 2024년 12월, Cl0p 랜섬웨어 그룹은 패치되지 않은 클레오(Cleo) MFT 제품을 사용하는 기업을 집중적으로 공격했으며, 다크웹 강탈 사이트에 66개 피해 기업을 등록했다. 실제 피해 규모는 수백 개 기관에 이를 것으로 추정되며, 금융 공급망은 물론 소매업, 제조업 등 다양한 분야에서 서비스 중단과 운영 차질을 유발했다.

한편, 블랙 카이트의 랜섬웨어 보고서에 따르면 금융 부문 대상 직접 공격은 감소하고 있다. 2023년 191건이던 랜섬웨어 공격은 2024년 156건, 2025년 중반에는 55건으로 줄어들었다. 이는 강력한 보안 체계 구축과 주요 위협 그룹의 해체(LockBit, AlphV 등)로 인한 생태계 분열이 주요 원인으로 분석되었다. 그러나 동시에 비전문적이고 덜 정교한 랜섬웨어 그룹들이 서비스형 랜섬웨어(RaaS)를 통해 진입하는 새로운 양상도 함께 부상하고 있다.

금융 보안 전략, 공급망까지 확장 필요

보고서는 금융기관이 내부 보안 시스템만으로는 충분하지 않으며, 선제적이고 지능적인 제3자 위험 관리가 반드시 필요하다고 강조했다. 보고서에 따르면 금융기관은 외부 서비스 제공업체, 소프트웨어 공급사, 인프라 파트너 등을 통한 침해 경로에 효과적으로 대응해야 사이버 보안 태세를 실질적으로 강화할 수 있다.

페르하트 딕비이크는 “금융 기관은 자산과 고객, 나아가 전체 금융 생태계의 안정성을 지키기 위해, 내부 보안에만 의존하는 잘못된 의식을 버려야 한다”며, “공급업체 생태계에 대한 체계적인 보안 검토와 위험 완화가 필수적”이라고 강조했다.

이번 보고서는 블랙 카이트 리서치 및 인텔리전스 팀(BRITE)이 2023년 1월부터 2025년 5월까지 수집한 인텔리전스 데이터를 기반으로 작성되었다. 분석 대상은 금융 부문 고객이 전체 고객 중 10% 이상 포함된 140개 공급업체이며, 기업 규모와 상관없이 금융 서비스 공급망에 실질적인 영향을 줄 수 있는 벤더를 기준으로 선정되었다. 다중 소스 기반의 사이버 인텔리전스 분석이 적용되었다.