시장 정보 플랫폼 Klue 공급망 공격으로 사이버 보안 기업들 연쇄 피해

핵심 요약

- 경쟁 정보 분석 플랫폼 Klue가 공격자에게 침해되어 고객사들의 민감한 정보가 유출되는 공급망 공격 발생 - Abnormal Security, CrowdStrike, Netskope 등 주요 사이버 보안 기업들이 피해를 입었으며, 공격자는 데이터 판매 시도 - 공급망 보안 관리의 취약점이 드러나며 제3자 서비스 보안 점검 및 계약 관리 강화 필요성 대두

주요 내용

2026년 6월, 경쟁 정보 분석 플랫폼 Klue가 사이버 공격을 받아 고객사들의 민감한 정보가 대량 유출되는 사고가 발생했다. Klue는 기업들이 경쟁사 동향을 파악하고 시장 정보를 수집·분석하는 서비스를 제공하는 플랫폼으로, 다수의 사이버 보안 기업들이 고객으로 이용하고 있었다.

공격자는 Klue의 시스템에 침투하여 고객사들의 데이터베이스를 탈취했으며, 이 중에는 Abnormal Security, CrowdStrike, Netskope 등 글로벌 사이버 보안 기업들의 정보가 포함된 것으로 확인됐다. 공격자는 탈취한 데이터를 다크웹에서 판매하려 시도했으며, 일부 피해 기업들은 자사 고객 정보와 내부 운영 데이터가 노출되었음을 확인하고 긴급 대응에 나섰다.

이번 사건은 전형적인 공급망 공격(Supply Chain Attack) 사례로, 보안이 상대적으로 취약한 제3자 서비스 제공업체를 경유하여 최종 목표 기업들을 공격하는 방식이다. 특히 사이버 보안 기업들이 피해를 입었다는 점에서 아이러니하며, 제3자 보안 관리의 중요성을 다시 한번 일깨우는 계기가 되고 있다.

피해 기업들은 즉각 고객들에게 사고 사실을 통지하고, 비밀번호 재설정, 다단계 인증 강화 등의 조치를 권고했다. 또한 Klue와의 계약 관계를 재검토하고, 제3자 서비스 이용 시 보안 평가 절차를 강화하는 등의 후속 조치를 진행 중이다.

전문가 시각

공급망 공격은 2026년 현재 가장 위협적인 사이버 공격 유형 중 하나로 자리잡았다. 기업들은 자체 보안 역량을 강화하는 데 많은 투자를 하지만, 제3자 서비스 제공업체의 보안 수준까지 직접 통제하기는 어렵다. 이번 Klue 사례는 아무리 보안 전문 기업이라도 공급망의 약한 고리로 인해 피해를 입을 수 있음을 보여준다. 특히 시장 정보 플랫폼처럼 민감한 경쟁 정보를 다루는 서비스일수록 더욱 철저한 보안 관리가 요구된다.

ISMS-P 관점에서 볼 때, 이번 사건은 제3자 제공 및 위탁 관리의 중요성을 극명하게 드러낸다. 기업들은 제3자 서비스 이용 전 보안 수준 평가를 실시하고, 계약서에 보안 요구사항을 명시하며, 정기적인 모니터링을 수행해야 한다. 또한 공급망 공격 시나리오를 포함한 침해사고 대응 계획을 수립하고, 제3자 서비스 장애 시 대체 방안을 마련해 두는 것이 필수적이다. 사고 발생 시 신속한 통지 의무와 피해 최소화 조치를 계약에 포함시키는 것도 중요한 실무 포인트다.

ISMS-P 심사원 체크포인트

1. 2.8.2 개인정보 처리 업무 위탁 보안 - 제3자 서비스 제공업체(Klue)에 대한 보안성 평가 실시 여부 확인 - 위탁계약서상 보안 요구사항 명시 여부 및 개인정보 보호 조항 포함 여부 점검 - 위탁업체의 보안 관리 실태 정기 점검 및 모니터링 체계 구축 여부 - 관련 법조항: 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한)

2. 2.10.1 공급망 보안 - 공급망 위험 관리 프로세스 수립 및 제3자 서비스 이용 시 보안 평가 절차 존재 여부 - 공급망 공격 시나리오를 포함한 침해사고 대응 계획 수립 여부 - 제3자 서비스의 보안 사고 발생 시 통지 체계 및 대응 절차 마련 여부

3. 2.9.3 침해사고 대응 및 복구 - 공급망을 통한 침해사고 발생 시 영향받는 개인정보 주체에 대한 통지 계획 수립 여부 - 제3자 서비스 장애 시 업무 연속성 확보를 위한 대체 방안 마련 여부 - 관련 법조항: 개인정보보호법 제34조(개인정보 유출 통지·신고)

위반 조항

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) - 개인정보 처리 업무를 위탁하는 경우 위탁업체에 대한 관리·감독 의무 위반 가능성 - 위탁계약서에 개인정보 보호 관련 사항을 명시하지 않았거나, 위탁업체의 보안 실태를 점검하지 않은 경우 법 위반

개인정보보호법 제29조(안전조치의무) - 제3자 서비스 이용 시 적절한 안전조치를 취하지 않아 개인정보 유출이 발생한 경우 안전조치의무 위반 - 시행령 제30조에 따른 접근 통제, 접속 기록 보관 등의 기술적·관리적 조치 미흡

개인정보보호법 제34조(개인정보 유출 통지·신고) - 공급망 공격으로 개인정보 유출 발생 시 정보주체 및 개인정보보호위원회에 지체 없이 통지·신고해야 하며, 이를 이행하지 않은 경우 법 위반

CPPG·ISMS-P 연계 포인트

1. 공급망 보안 관리(Supply Chain Security Management) 공급망 공격은 제3자 서비스 제공업체의 취약점을 이용하여 최종 목표 조직을 공격하는 방식이다. ISMS-P에서는 제3자 제공 및 위탁 관리 통제항목(2.8)을 통해 공급업체 선정 시 보안 평가, 계약서 보안 조항 포함, 정기적 모니터링을 요구한다. CPPG 시험에서는 위탁에 따른 개인정보 처리 제한(법 제26조), 수탁자의 의무 및 책임 범위가 주요 출제 포인트다.

2. 침해사고 대응 및 통지 의무(Incident Response & Notification) 개인정보 유출 사고 발생 시 개인정보보호법 제34조에 따라 정보주체와 개인정보보호위원회에 지체 없이 통지·신고해야 한다. ISMS-P 인증기준 2.9.3에서는 침해사고 대응 체계, 복구 절차, 재발 방지 대책 수립을 요구한다. 특히 공급망 공격처럼 제3자를 통한 간접 침해의 경우에도 통지 의무가 있으며, 통지 내용에는 유출 경위, 피해 최소화 방법, 대응 조치 등이 포함되어야 한다.