시큐리티스코어카드 韓 진출… “공격표면·공급망 보안 관리 돕겠다”
||2026.03.11
글로벌 보안 등급 플랫폼 기업 시큐리티스코어카드(SecurityScorecard)가 한국 지사를 설립하고 국내 시장 공략에 나선다. 2013년 미국 뉴욕에서 설립된 이 회사는 57개국에서 약 3500여 기업을 고객으로 두고 있으며, 포춘(fortune) 100대 기업 가운데 약 70%가 자사 서비스를 활용하고 있다고 소개한다. 시큐리티스코어카드는 외부 공격표면과 제3자 공급망 리스크를 수치화해 보여주는 보안 등급(Security Ratings)과 공급망 탐지 및 대응(SCDR) 플랫폼을 내세운다.
11일 열린 한국 진출 간담회에서 발표를 맡은 매튜 맥케나(Matthew McKenna) 글로벌 세일즈 총괄은 “전 세계 어느 기업이든 외부에서 보이는 디지털 자산과 제3자 공급망 리스크를 빠르게 이해하고, 이를 지속적으로 모니터링·개선할 수 있도록 돕는 것이 우리의 미션”이라고 말했다. 이어 그는 “평가는 모두 지속적(passive)이고 비침투적인 방식으로 이뤄지며, 내부 시스템에 에이전트를 설치하거나 모의 침투를 수행하는 전통적인 진단과는 성격이 다르다”고 설명했다.
공격표면 탐지 기반 등급 평가와 제3자 공급망 보안 관리 위한 SCDR 플랫폼 제공
맥케나 총괄은 먼저 2025년 말 유럽 여러 공항에 영향을 준 랜섬웨어 공격 사례를 예로 들었다. 한 항공·방산 기업 계열 IT 소프트웨어 공급사의 오픈 FTP 서버가 최초 침투 지점이 됐고, 여기에서 항공사·시스템 구성 정보 수백만 건이 유출됐다. 이후 스피어피싱 메일에 포함된 악성 매크로가 실행되면서 파워셸 스크립트가 동작했고, 명령제어(C2) 서버에서 랜섬웨어 페이로드가 내려와 유럽 7개 공항의 승객 처리 시스템과 항공편 운영이 차례로 중단됐다는 설명이다.
그는 “제3자 공급망에서 한 곳이 뚫리면 여러 기업이 빠르게 연쇄 피해를 입는다”며 “공유 디지털 인프라가 시스템적 공급망 리스크를 만든다”고 말했다. 이어 “보안 등급 평가는 실제 침해 가능성과 상관관계가 있다”며 “외부 공격표면의 사이버 위생(cyber hygiene)을 정량적으로 들여다볼 수 있는 도구가 필요하다”고 말했다.
시큐리티스코어카드는 인터넷에 노출된 IP·도메인·웹 서버·클라우드 버킷·API 등 외부 공격표면과 다크웹·유출 계정·악성코드 인프라 분석 결과를 결합해 기업의 위험도를 점수로 매겨 크게 A·B·C·D·F 등급으로 나눠 표현한다. 네트워크 보안, DNS 헬스, 패치 관리, 애플리케이션 보안, IP 평판, 엔드포인트 보안, 해커 커뮤니케이션, 정보 유출, 사회공학 위험 등 여러 리스크 팩터별 점수를 산정한 뒤 이를 합산해 최종 등급을 매기는 구조다. 회사 측은 이를 “외부 공격표면과 제3자 공급망 리스크를 한 눈에 보여주는 공통 언어(common language)”라고 설명한다.
회사 포지셔닝에서 중요한 또 하나의 축은 SCDR(Supply Chain Detection & Response)이다. 시큐리티스코어카드는 기존 제3자 위험 관리(TPRM)를 확장해, 보안 등급과 위협 인텔리전스를 기반으로 공급망 리스크를 탐지하고, 위험도 기반 우선순위 설정과 자동화 워크플로, 관리형 서비스 ‘MAX’를 통해 개선·대응까지 이어지는 프레임워크를 제시한다.
한국 100대 기업 분석 결과 공개
이날 간담회에서는 한국 100대 기업을 대상으로 한 자체 분석 결과도 일부 공개됐다. 시큐리티스코어카드 측 설명에 따르면 전체 평균 등급은 C 수준이며, 상위 등급인 A·B 기업과 하위 등급인 D·F 기업이 모두 적지 않은 비율을 차지했다. 산업별로는 에너지·화학, 기술, 중공업, 소비재·유통 등 주요 섹터 대부분에서 평균 점수가 60~70점대에 머물렀고, C 이하 등급 비중이 60~90%에 달하는 분야도 있는 것으로 나타났다.
다만 회사는 자신들이 평가한 점수를 앞세워 한국 기업들의 보안 수준을 적극적으로 비판하며 영업을 시도하기보다는, 국내 기업들이 제3자 공급망과 외부 공격표면 리스크를 더 정기적으로 점검할 여지가 있다는 것을 다시 한번 확인하라는 정도의 메시지를 던지는 다소 조심스러운 모습을 보였다.
맥케나 총괄 역시 “전 세계 어느 기업이든 외부에서 보이는 디지털 자산과 제3자 공급망 리스크를 빠르게 이해하고, 이를 지속적으로 모니터링·개선할 수 있도록 돕는 것이 우리의 미션”이라는 메시지만을 전했다.
시큐리티스코어카드는 한국 지사 설립과 함께 제3자 공급망 리스크의 상시 모니터링, 경영진 책임 강화, 회복탄력성(resilience)의 경쟁력화를 한국 시장에서의 주요 화두로 제시했다. 우청하 한국 지사장은 “공급망 보안은 IT 부서 이슈를 넘어 매출·계약·생존을 좌우하는 경영 핵심 요소가 됐다”며 “글로벌 거래에서 ‘보안이 검증된 기업’만 상대하려는 흐름 속에서 한국 기업의 보안 투명성과 공급망 가시성을 높이는 데 기여하겠다”고 말했다.
전체 보안 성적표는 아냐
외부 공격표면과 제3자 공급망 리스크를 상시 모니터링해야 한다는 문제 제기 자체는 한국 기업에도 유효하다. 다만 이번에 공개된 등급과 통계는 어디까지나 외부에서 관찰 가능한 자산·연결 관계에 초점을 맞춘 결과라는 점을 기억할 필요가 있다. 즉 내부 네트워크 분리, 엔드포인트 탐지·대응(EDR), 권한 관리, 백업·복구 체계, 보안 조직·프로세스 성숙도 등은 시큐리티스코어카드가 직접 수집할 수 있는 자료 범위 밖에 있다. 엔드포인트 보안도 에이전트 기반 실시간 통제를 제공하는 것이 아니라, 외부에서 관찰되는 운영체제·브라우저 등 메타데이터를 통해 간접적으로 평가하는 수준이다.
한국에서 이 회사의 서비스가 활용될 때, 기업과 규제·조달 담당자는 “무엇을 보여주고 무엇을 보여주지 않는 점수인지”를 인지한 상태에서 참고 지표로 쓰는 것이 필요해 보인다. 시큐리티스코어카드가 제시하는 숫자는 한국 기업 보안의 전부를 그대로 평가하는 수치라기보다, 외부에서 본 공격표면과 제3자 공급망 리스크의 단면을 지속적으로 점검하기 위한 도구 중 하나로 보는 것이 현실적이라는 게 국내외 보안 전문가들의 평가다.
한편 시큐리티스코어카드는 지난해부터 동훈아이텍, 굿모닝아이텍 등 국내 기업들과 협력하며 S그룹, P그룹, H그룹 등 몇몇 대기업 고객을 확보하고 있다고 밝혔다.
정종길 기자
jk2@chosunbiz.com
