보스턴 ‘Black Kite’ 2026 서드파티 침해 보고서 공개…“공급망 ‘연결 지점’이 연쇄 피해 키운다”

보스턴 기반 서드파티(협력사·벤더) 사이버 리스크 관리 기업 Black Kite가 ‘2026 Third-Party Breach Report(서드파티 침해 보고서)’를 공개했다. 이번 기사에서 언급하는 핵심 수치(2025년 공개 확인 사건 136건, 직접 피해로 공개된 719개사, 이름이 공개되지 않은 추가 영향 추정 2만6,000곳, 공개 합산 기준 4억3,300만 명, 사건당 평균 하위 영향 5.28, 침입 탐지 중앙값 10일·대외 공개 지연 중앙값 73일 등)는 Black Kite가 배포한 PRNewswire 보도자료에 포함된 보고서 요약 통계에 기반한다. 보고서의 데이터 범위·집계 방식은 기업 발표에 따른 것이므로, 실제 개별 사건의 범위·피해 확정 여부는 사건별 공시와 추가 조사에 따라 달라질 수 있다.

보고서가 강조한 메시지는 ‘가장 약한 고리(weakest link)’만 찾는 방식으로는 부족하고, 오히려 “연결이 가장 많은 지점(highest points of connection)”이 구조적으로 더 취약해질 수 있다는 점이다. 공통으로 널리 쓰이는 플랫폼, 중앙화된 서비스, 의존도가 높은 벤더가 한 번 침해되면 여러 고객사로 영향이 빠르게 번지는 ‘집중 리스크’가 커진다는 설명이다.

PRNewswire 요약에 따르면, 2025년에 공개적으로 확인된 주요 서드파티 기원 침해 사건은 136건으로 집계됐다. 이 중 피해 기업으로 ‘공식적으로 이름이 공개된’ 회사는 719곳이다. 동시에 보고서는 이름이 공개되지 않은 추가 영향 기업이 약 2만6,000곳에 이를 수 있다고 추정했다. 다만 이 2만6,000이라는 수치는 “공식적으로 특정 기업명을 열거하지 않은 채, 벤더가 집계 형태(aggregate disclosures)로 영향 범위를 공개한 사례들”을 기반으로 산출된 ‘추정치’ 성격이어서, 개별 기업별 확정 피해로 오해하지 않도록 읽을 필요가 있다.

연쇄 확산의 강도도 지표로 제시됐다. 보고서는 사건 1건당 평균 하위 영향(다운스트림) 기업 수가 5.28개로, 이전 연도 대비 증가했다고 설명한다. 여기에 더해 ‘조용한 시간차(Silent Window)’가 현실적 변수로 꼽혔다. 요약 통계 기준으로 침입을 탐지하는 데 걸린 중앙값은 10일이지만, 대외 공개까지의 지연 중앙값은 73일로 더 길었다. 이 간격 동안 벤더 고객사(다운스트림)는 자신의 데이터·계정·업무가 영향을 받았는지 확정 정보를 받지 못한 채 운영을 이어가게 되고, 2차 피해(피싱·계정탈취·업무 혼선)가 커질 여지가 생긴다.

보스턴권 유학생·교민 독자에게 이 이슈가 먼 얘기만은 아니다. 취업·학교·렌트 과정에서 쓰는 ‘외부 서비스’가 대부분 벤더 기반이기 때문이다. 급여·세금(페이롤), 신원확인(I-9/백그라운드 체크), 복지·보험, 학내 포털·클라우드 이메일, 결제·구독 툴 등은 회사·기관이 직접 개발하지 않고 제3자 서비스를 쓰는 경우가 흔하다.

사례로, 소규모 스타트업에서 일하는 A씨(가명)가 페이롤 벤더 침해 통지를 늦게 받았다고 가정해 보자. 통지서에는 이름·주소·연락처·일부 식별정보가 포함될 수 있다고 적혀 있지만 “회사 내부 시스템 자체는 침해되지 않았다”고 안내된다. 이 경우에도 개인 관점에서는 신원도용 시도나 맞춤형 피싱이 늘어날 수 있고, 회사 관점에서는 하위 벤더 연쇄 점검, 고객 문의 대응, 계약·규정상 통지 의무 검토 등 실무 부담이 동시에 생긴다(적용 의무와 범위는 주·계약·사건 사실관계에 따라 달라질 수 있다).

현장에서 바로 적용 가능한 체크포인트(과도한 공포 조장 없이, 실행 단위로)만 정리하면 다음과 같다.

1. 조직(IT·운영·HR) 관점: ‘벤더 목록을 먼저 고정’

• 우리 조직이 쓰는 핵심 벤더를 기능 기준으로 나열(인사/급여, 계정·SSO, 협업툴, 결제, CRM, 외주 개발/관리, 로깅·모니터링 등)
• 각 벤더별로 “보유 개인정보 범위 / 계정 권한 수준 / 하위협력사(서브프로세서) 존재 여부”를 한 줄로 정리해 우선순위화

2. 계약·운영 관점: ‘통지·협조·로그’가 실제로 작동하는지 확인

• 신규 계약/갱신 시 침해 통지의 시간 기준을 모호한 표현만으로 두지 않도록 검토(가능하면 구체적 타임라인·연락 채널 포함)
• 사고 시 협조 범위(로그, IOC 공유, 조사 협업), 하위협력사 관리 조항을 점검
• 접근 권한은 최소화(SSO+MFA, 역할 기반 권한, 퇴사·이동 시 권한 회수 자동화)

3. 개인(직장인·유학생) 관점: ‘피싱·계정탈취 시도’를 기본값으로 가정

• 침해 통지 이메일을 받으면 동일 이메일/비밀번호 조합을 쓰는 서비스부터 비밀번호 교체, 2단계 인증 활성화
• ‘급여/이민/학교’ 키워드를 넣은 문자·전화·이메일은 특히 경계하고, 통지서에 적힌 공식 채널로만 확인

4. 커뮤니케이션 관점: ‘추정’을 줄이고 업데이트 약속을 명확히

• 내부 공지/고객 공지는 “영향 범위(또는 미확인 영역), 확인된 사실, 다음 업데이트 시점, 문의 창구” 4가지만 먼저 정리하면 혼선을 줄이는 데 도움이 된다

한편 PRNewswire 요약에는 상위 50개 ‘공유 벤더’에서 취약점, 피싱 노출, 자격증명 유출 정황이 폭넓게 관찰됐다는 내용도 포함됐다. 여기서 포인트는 특정 회사를 지목하기보다, ‘우리 조직이 의존하는 공통 인프라가 어디에 집중돼 있는지’를 먼저 파악하는 관점 전환이다. 벤더 수를 급격히 줄이기 어려운 조직이라면, 중요한 벤더 몇 개에 대해 모니터링과 권한 최소화, 사고 대응 루틴을 먼저 갖추는 방식이 현실적인 출발점이 될 수 있다.

(참고) 보고서 요약에는 CISA의 Known Exploited Vulnerabilities(KEV) 카탈로그에 등재된 취약점 노출이 공유 벤더에서 높게 나타났다는 언급이 포함된다. KEV는 ‘현실에서 악용이 확인된 취약점’ 목록으로, 패치 우선순위 설정에 참고되는 자료로 활용된다.