키옥시아(285a JP), 공급망 보안 강화…취약 업체와 거래 재검토

이는 거래처에 대한 사이버 공격으로 인해 공장 생산이 중단되거나 정보가 유출되는 피해가 잇따르면서, 공급망 전체의 사이버 방어력을 높이기 위한 움직임으로 풀이된다.

키옥시아는 부품 납품, 업무 위탁, 클라우드 서비스 등 약 3,000개에 달하는 거래처 기업을 대상으로 보안 상태를 점검할 계획이다. 이를 위해 미국 보안 스코어카드 도구를 활용, 웹사이트 및 서버 설정, 취약점 유무 등 약 200개 항목을 평가할 예정이다.

키옥시아는 올 가을부터 보안 대응력이 낮은 기업을 선별하여 개선을 촉구하고, 개선이 미흡할 경우 거래 재검토도 고려하고 있다. 이는 반도체 생산을 위한 조달망에서 단 한 곳의 사이버 피해가 발생해도 생산 활동이 중단되고, 고객 기업에까지 영향을 미칠 수 있다는 우려에 따른 조치다.

키옥시아의 한 보안 담당자는 "기존 계약처에서 취약점이 발견될 경우, 중장기적으로 개선이 이루어지지 않으면 다른 조달처를 물색할 수밖에 없다"며 강경한 입장을 밝혔다.

인쇄 대기업 TOPPAN 홀딩스 역시 개인 정보 관리 위탁업체 500곳을 대상으로 외부 진단, 방문 청문회, 체크 시트 등을 통해 보안 상태를 감사하고 있다.

TOPPAN 홀딩스는 개선이 어려운 기업에 대해서는 중요 정보 위탁을 중단할 방침이며, 향후 감사 대상을 부재 조달처까지 확대하고, 사이버 피해 발생 시 대응책을 계약 조건에 포함하는 방안도 검토 중이다.

이처럼 대기업들이 거래처에 사이버 보안 강화를 요구하는 이유는 사이버 피해가 자사의 사업 중단으로 직결될 수 있기 때문이다. 비저널 자회사 애슈어가 지난 5월 대기업 보안 담당자 300명을 대상으로 실시한 조사에 따르면, 64%가 ’거래처를 경유한 피해를 경험했다’고 응답했다.

실제로 2022년에는 도요타 자동차가 공급업체인 코지마 프레스 공업의 사이버 공격으로 인해 국내 모든 공장의 가동을 중단하는 사태가 발생하기도 했다.

또한, 2024년에는 정보 처리 서비스 업체 이세토의 피해로 인해 지자체, 공문교육연구회, 쿠보타 자회사 등의 개인 정보가 유출되는 사고가 발생했다.

트렌드 마이크로가 2024년 9월 국내 300개 기업을 대상으로 실시한 조사에 따르면, 최근 3년간 사이버 피해를 입은 기업의 평균 피해액은 약 1억 7,000만 엔에 달하며, 랜섬웨어 공격으로 인한 업무 중단 기간은 평균 10일인 것으로 나타났다.

NEC는 거래처 2,000개사를 대상으로 미국 국립표준기술연구소(NIST) 기준에 따른 보안 강화를 지원하고 있으며, 7월부터는 거래처 사장 및 임원을 대상으로 스터디 모임을 시작했다.

NEC의 아오키 사토시 사이버 보안 기술 총괄 부장은 "IT 담당자뿐만 아니라 경영진의 인식 개선이 필요하다"고 강조했다.

DMG 모리정기는 IT 담당자가 조달 담당자와 함께 거래처 공장을 방문하여 보안 상태를 점검하고 있으며, 올 가을부터는 조달 부문과 공동으로 거래처를 위한 워크숍을 개최할 예정이다.

한편, 경제산업성은 2026년부터 기업의 사이버 보안 대책을 5단계로 평가하는 제도를 도입하여, 경제 안보 관점에서 공급망 전체의 사이버 방어력 강화를 유도할 계획이다.

알파경제에서 읽기