싱가포르 상위 100대 기업 모두가 최근 1년 사이 서드파티를 통한 사이버 공격을 경험한 것으로 나타났다. 이는 이들 기업이 최고 수준의 사이버보안 등급을 받은 것과는 대조적인 결과다.

시큐리티스코어카드(SecurityScorecard) 보고서에 따르면, 시가총액 기준 싱가포르 상위 100대 기업 중 무려 91%가 사이버보안 평가에서 A등급을 획득했음에도 불구하고 모든 100대 기업이 지난 1년 동안 공급망을 통한 침해 사고를 겪은 것으로 집계됐다.

시큐리티스코어카드 산하 STRIKE 연구 조직의 최고 정보 책임자 라이언 셔스토비토프는 “싱가포르의 주요 기업 모두가 자신이 직접 통제할 수 없는 위험에 노출돼 있다”라며 “공격이 정교해지고 공급망이 복잡해질수록 1차는 물론 3차, 4차 협력사까지 모든 디지털 연결 관계를 상시로 점검하지 않으면 사이버 회복력을 지키기 어렵다. 대응이 늦어질수록 그 대가는 감당하기 어려운 수준이 된다”라고 경고했다.

조사에 따르면, 직접적인 침해를 겪은 기업은 전체의 5%에 불과했으며, 이들 대부분은 악성코드 유입을 통해 침해가 발생한 것으로 나타났다.

모두가 놓친 ‘포스파티’ 위험

시큐리티스코어카드의 분석에 따르면, 싱가포르 상위 100대 기업 모두가 디지털 공급망에서 최소 하나 이상의 ‘침해된 서드파티 제공업체’를 보유하고 있는 것으로 확인됐다. 내부 보안 수준이 양호하다는 평가와는 대조적인 결과다. 싱가포르는 내부 사이버 위생 수준이 전 세계에서 가장 양호한 국가 중 하나로 평가되며, 실제로 C등급 이하를 받은 기업은 전체의 4%에 불과하다.

포스파티(fourth-party) 위험은 기업이 직접 거래하는 서드파티 업체가 아닌, 그 협력업체가 사용하는 업체에서 비롯된다. 눈에 잘 띄지 않지만, 보안상으로는 동일한 수준의 중요성을 지닌다. 대표적인 사례는 2023년에 발생한 ‘무브잇(MOVEit)’ 침해 사고다. 서드파티 업체들이 사용하던 파일 전송 도구에서 보안 결함이 발생했고, 이로 인해 해당 소프트웨어와 직접적인 연관이 없는 기업까지 대거 영향을 받았다.

시큐리티스코어카드의 셔스토비토프는 “사이버 회복력은 선택적 경쟁우위가 아니라 기업 운영의 필수 요소가 됐다. 2025년에는 사이버 위험에 대한 책임이 더 이상 회피할 수 없는 의무가 될 것”이라고 강조했다.

보고서에 따르면, 사이버보안 평가에서 A등급을 100% 받은 산업군은 농업, 에너지, 헬스케어 부문으로 나타났다. 금융 부문은 90%가 A등급을 받아 유럽(39%) 대비 압도적인 성과를 보였다. 그러나 이처럼 높은 평가를 받은 산업군조차 공급망 침해에서 자유롭지는 않았다. 특히 기술 산업의 경우 직접적인 침해 비율이 40%로, 전체 평균인 5%를 크게 웃돌았다.

이번 조사는 2024년 6월 24일부터 2025년 6월 24일까지 진행됐으며, 분석 대상은 싱가포르 증시에 상장된 상위 100대 기업이었다. 보고서에는 개별 기업명이 직접 명시되지는 않았지만, 조사 대상에는 DBS 그룹 홀딩스(DBS Group Holdings), 씨 리미티드(Sea Ltd), OCBC은행(OCBC Bank), 싱텔(Singtel), UOB(United Overseas Bank) 등 싱가포르 대표 대기업이 포함됐을 것으로 보인다.

싱가포르 핵심 인프라 겨냥한 지능형 공격도 지속

통계적 침해 사례를 넘어, 싱가포르는 현재 국가 핵심 인프라를 겨냥한 표적형 사이버 캠페인에도 직면하고 있다. 최근에는 중국과 연계된 위협조직 ‘UNC3886’이 주니퍼의 운영체제 ‘주노스 OS(Junos OS)’ 라우터의 취약점을 악용해 통신사 및 서비스 업체 네트워크에 침입한 정황이 포착됐다.

시큐리티스코어카드의 위협 연구원 길라드 마이즐레스는 “이번 캠페인은 ‘GobRAT ORB’로 알려진 중국계 ORB(Operational Relay Box) 네트워크를 통해 운영되고 있는 것으로 보인다”라고 분석했다. ORB 네트워크는 공격자가 여러 감염된 시스템을 중계 노드처럼 엮어 악성 행위를 은폐하고 장기간 지속적으로 침투할 수 있도록 돕는 은밀한 인프라 계층 역할을 한다. 이로 인해 탐지가 어려우며, 공격은 장기화되는 경향이 있다.

마이즐레스는 “싱가포르 핵심 인프라를 겨냥한 공격은 중국과 연계된 위협조직이 ORB 기반 인프라로 전환하고 있다는 명확한 신호다. 이는 공격 주체 추적을 어렵게 하고, 고가치 표적에 대한 장기적 접근을 가능하게 하려는 전략으로 풀이된다”라고 분석했다. 또한 미국 주요 인프라를 겨냥한 스파이 활동 ‘볼트 타이푼(Volt Typhoon)’과 유사한 점을 언급하며, 이들 조직이 사전에 은밀히 침투 기반을 구축하는 ‘프리 포지셔닝(pre-positioning)’ 전략으로 전환하고 있다는 정황도 포착된다고 덧붙였다.

이런 구조적인 리스크에 대응하기 위해 시큐리티스코어카드는 사후 평가 방식에서 사전 회복력 지표와 워크플로 중심으로 전환할 것을 권했다. 여기에는 서드파티 위험 관리 프로그램을 통한 포스파티 노출 완화, 생태계 전반에 걸친 위협 인텔리전스 통합, 업체 리스크 매핑 및 공급망 침해 대응 워크플로 구성, 다중 인증과 패치 관리를 통한 핵심 인프라 강화 및 보안 중심 설계(secure-by-design) 도입이 포함된다.
dl-itworldkorea@foundryco.com