기업이 관리해야 할 사이버 보안 영역이 외부 협력사로 확대되고 있다. 회사 간 공유되는 정보 유출을 방지하기 위해 강력한 보안 체계 구축과 꾸준한 모니터링이 필수적으로 대두되고 있다.
시장조사업체 가트너에 따르면, 최근 발간된 보고서에 따르면 2024년 사이버 사고 중 외부 협력사와 관련된 비중이 약 30%로 전년 대비 15%포인트 증가했다고 밝혔다.
이러한 문제의 대표적인 사례로는 금융 데이터 유출로 알려진 부실 채권 추심 기관 'FBCS'의 해킹사고, 글로벌 공급망 물류 대란을 초래한 SCM 업체 '블루 욘더'의 랜섬웨어 사고, 그리고 보험·연금 정보 유출 사고가 있다.
피해 규모가 커지고 있는 가운데, 규제도 강화되고 있다. 가트너는 작년에 제3자 사이버 리스크 관리(TPCRM) 관련 규제 건수가 2020년 대비 약 2배 증가했다고 소개했다.
유럽연합(EU)의 '디지털 운영 회복탄력성법(DORA)'는 이러한 규제의 한 사례로, 이를 어기면 연간 매출의 최대 6% 또는 1000만 유로에 달하는 벌금이 부과될 수 있다.
가트너는 이에 대해 규제에 수동적으로 대응하는 것보다는, 가장 엄격한 글로벌 기준을 미리 채택하여 TPCRM 체계를 고도화해야 한다고 조언했다. 구체적으로는 TPCRM 투자 우선순위를 재정립하고, 운영 체계와 규제 요구사항 간의 격차를 경영진과 공유하며, 유연한 정책 구조를 구축할 것을 강조했다.
또한, 제3자에 대한 보안 모니터링 체계를 강화하고, 고위험 벤더에 대한 계약 종료 전략을 마련하며, 외부에서 도입한 AI 솔루션도 리스크 관리 범위에 포함해야 한다고 덧붙였다.
가트너는 “TPCRM 규제는 기업의 재무 건전성과 직결되는 중요한 문제”라며 “가장 엄격한 글로벌 규제를 기준으로 투자 로드맵을 재정비하고, 이사회 차원의 명확한 리스크 수용 기준을 수립해야 한다”고 밝혔다.