사이버 보안 공급망, 신뢰 기반의 독립적 평가로 책임성 전면 강화 추세

2026년 01월 20일

글로벌 사이버 보안 기업 카스퍼스키(Kaspersky)가 주요 보안 기업 14곳을 대상으로 진행된 독립적인 투명성·책임성 평가에서 업계 기준을 상회하며 가장 투명한 기업 중 하나로 선정됐다. 이번 평가는 글로벌 보안 제품 평가 기관 AV-Comparatives가 참여한 국제 공동 연구 결과를 바탕으로 작성된 백서 ‘사이버 보안 분야의 투명성 검토 및 책임’을 통해 공개됐다.

해당 연구는 오스트리아 티롤 상공회의소(WKO)의 의뢰로 MCI | The Entrepreneurial School과 법률 전문가들이 협력해 수행됐으며, 데이터 처리 방식, 공급망 신뢰성, 고객 검증 체계 등 60개 기준을 중심으로 글로벌 보안 벤더들의 투명성과 책임성을 분석했다. 연구진은 규제 준수 자체는 업계 전반에 확산됐지만, 외부에서 검증 가능한 신뢰 관행은 여전히 제한적이라고 지적했다.

평가 결과 카스퍼스키는 60개 기준 중 57개를 충족하거나 초과하며 최고 수준의 점수를 기록했다. 특히 투명성 센터를 운영하는 기업이 14개 중 3곳에 불과한 가운데, 카스퍼스키는 소스 코드, 데이터 처리 방식, 업데이트 프로세스를 고객이 직접 검증할 수 있도록 지원하는 가장 폭넓은 투명성 센터를 제공하는 기업으로 평가됐다. 이를 통해 실제 배포된 빌드가 공개 릴리스와 일치하는지까지 확인할 수 있도록 했다.

또한 카스퍼스키는 소프트웨어 구성 목록(SBOM) 접근을 제공하는 3개 기업 중 하나이자, 법 집행 기관 및 정부 요청 내역을 공개하는 정기 투명성 보고서를 발행하는 4개 기업 중 하나로 분류됐다. 이는 업계 전반에서 선언적 투명성 약속과 실제 책임성 사이에 상당한 격차가 존재함을 보여주는 사례로 분석됐다.

실습 기반 기술 평가에서도 차별성이 확인됐다. 카스퍼스키 넥스트 EDR 옵티멈은 테스트 과정에서 최소한의 데이터만 수집했으며, 고객이 클라우드 기반 평판 서비스와 EDR 기능을 완전히 비활성화할 수 있는 선택권을 제공한 점에서 긍정적인 평가를 받았다. 또한 단계적 업데이트 배포, 바이러스 정의 파일 검증 등 고객 통제 기능을 제공하는 소수의 벤더 그룹에 포함됐다.

유진 카스퍼스키 창립자 겸 CEO는 “사이버 보안 솔루션은 고객 시스템 깊숙이 작동하는 만큼, 투명성과 책임성은 선언이 아니라 검증 가능한 요소여야 한다”며 “독립적인 평가를 통해 신뢰를 측정 가능한 기준으로 제시하고, 산업 전반의 기준을 한 단계 끌어올리고자 한다”고 말했다.

이번 보고서는 EDR 플랫폼이 텔레메트리 처리, 자동 업데이트, 클라우드 서비스에 의존하는 구조인 만큼, 투명성과 책임성이 기술적 속성을 넘어 거버넌스와 컴플라이언스, 공급망 리스크 관리의 핵심 요소로 자리 잡고 있다고 분석했다. 특히 CISO와 기업 의사결정자에게는 벤더 선정 시 SBOM 제공 여부, 검증 가능한 업데이트 프로세스, 고객이 통제 가능한 데이터 흐름을 핵심 평가 기준으로 삼아야 한다고 제언했다.

연구진은 규제 환경 변화와 함께 책임 중심의 사이버 보안 거버넌스가 산업 전반으로 확산될 것으로 전망했다. 독립적인 투명성 평가는 공급업체와 고객 모두에게 신뢰의 기준점을 제공하며, 향후 사이버 보안 시장에서 경쟁력을 가르는 핵심 요소가 될 것이라는 분석이다.