글로벌 기업의 42%가 보안 인력 부족과 보안 작업 우선순위 설정 문제를 공급망 보안 대응의 주요 과제로 지적했다. 이는 카스퍼스키가 발표한 '공급망 및 신뢰 관계 위험 보고서'에서 나타났다. 이 보고서는 16개국에서 1714명의 기술 전문가를 대상으로 한 설문조사 결과를 기반으로 한다.
보고서에 따르면, IT 보안 인력 부족과 다수의 보안 업무를 처리해야 하는 구조적 문제가 공급망 공격 대응을 어렵게 하는 요인으로 꼽혔다. 지난 1년간 조사된 기업 중 3개 중 1곳이 공급망 공격을 경험했으며, 이는 기업의 주요 위협으로 부상했다.
특히 아시아태평양(APAC) 지역에서는 숙련된 보안 인력 부족이 두드러졌다. 싱가포르와 베트남에서는 숙련된 보안 인력 부족을 지적한 비율이 높게 나타났다. 이에 따르면 말레이시아에서는 2026년까지 약 2만8068명의 사이버보안 인력이 필요하지만 현재 인력은 약 1만6765명 정도로 추정된다.
또한, 보안 업무 우선순위 설정 문제도 주요 장애 요인으로 확인됐다. 인도, 베트남, 싱가포르 등에서는 여러 보안 과제를 동시에 처리해야 하는 부담을 지적한 응답이 많았다.
이러한 문제에 대한 대응 방안으로 카스퍼스키는 관리형 보안 서비스 도입, 보안 교육 강화, 공급업체 사전 평가, 계약 내 보안 요구사항 명시, 협력사와의 보안 협력 체계 구축을 제안했다. 또한, 전담 인력이 부족한 조직은 외부 전문 인력에게 위협 식별부터 대응까지 전 과정을 맡길 수 있는 '관리형 탐지 및 대응(MDR)'과 '침해 대응(Incident Response)' 서비스 도입을 고려해야 한다고 강조했다. 계약 전에는 공급업체의 보안 정책 및 과거 사고 이력을 점검하고, 보안 요구사항을 명확히 명시해야 한다고 조언했다. 최종적으로, 공급망 전반의 보안 수준을 높이기 위해 공급업체와 보안 이슈를 공동 과제로 설정하고 협력하는 체계를 구축해야 한다고 밝혔다.