[기획] 중기, 해킹 피해자에서 가해자로…피해 확산 악순환 끊어야

■영세·중소기업 보안 강화 대책 없나

50인 미만 소규모 업체 보안 실태 열악
보안인력 수도권 편중도 사태 악화 일조

KISA, 지역정보보호지원센터 8곳 운영
인력·예산 한정… 지원 범위 확대에 한계

최근 수년간 경제성장률 하락 등 내수 부진이 이어지면서 국내 기업 경영 환경은 얼어붙고 있다.

특히 영세·중소기업들은 시설투자와 연구개발은 커녕 직원들의 월급 지급을 걱정해야 하는 지경이라고 아우성이다.

이런 상황에서 이들 기업이 정보보호에 예산을 투입하는 것은 어려운 일이다.

악성 해커들은 그 틈을 파고들어 사이버 공격을 통해 피해를 입힌다.

정부에서는 지원사업을 전개하고 있지만 한정된 예산 탓에 '불난 집에 물 한컵 주고 불 끄라는 식'이라는 비판이 터져나온다.

국내 중소기업 정보보호 수준 처참

한국인터넷진흥원(KISA)의 조사 결과에 따르면 국내 전체 기업 중 영세·중소기업의 비중이 전체 기업의 99%를 차지하고 있지만, 예산과 전문인력 부족으로 자발적인 정보보호 실천 활동이 미흡한 것으로 드러났다.

이들 기업의 응답 결과를 살펴보면 정보보호 예산을 1% 미만으로 배정한 곳이 93%에 달했다. 정보보호 책임자를 지정한 곳도 14%에 불과한 것으로 나타났다. 정보보호 정책 수립(11%), 전담조직 구성(8.4%) 응답 수준은 더욱 낮았다.

근로자수 50인 이상 기업들의 정보보호 책임자 지정(75.9%), 보안정책 수립(66.9%), 전담조직 운영(22.4%) 응답비율과 비교해 보면 영세·중소기업의 현실은 더욱 적나라하게 드러난다.

이 같은 취약점은 해커들의 좋은 먹이감이 되곤 한다.

해커가 영세·중소기업에 있는 서버, 네트워크 장비를 악성코드 유포 경유지로 활용하고 있는 것이다. 피해 기업의 정보통신장비가 해킹에 이용되면서, 피해자가 일종의 가해자 노릇을 하게 되는 셈이다.

지난 2017년 정보보호 침해사고 신고·조사건의 98%가 이들 영세·중소기업에서 발생했으며, 유형별로는 웹사이트 해킹(65%), 랜섬웨어 피해(17%) 등이 많았다.

특히 랜섬웨어의 경우 업무에 사용되는 각종 파일을 이용할 수 없도록 암호화해 기업 활동을 마비시켜 피해가 확산된다고 보안 전문가들은 지적한다.

더욱이 이들 영세·중소기업들은 자신이 침해사고를 당했다는 사실조차 모르는 경우가 많다는 데 사건의 심각성이 있다.

경찰청은 중소기업 대상 사이버공격이 증가 추세로, 사이버 침해사고를 통한 기술유출 사건의 91%가 중소기업에서 발생한다고 지난 2016년 발표하기도 했다.

수도권 편중 현상이 사태 악화

영세·중소기업들의 정보보호 침해 사고가 근절되지 않는 것에는 수도권에 편중된 보안 인력도 한몫을 하고 있다.

정보보호 관련 기업의 89.7%가 수도권에 밀집해 있으며 관련 인력도 55.2%가 수도권에 집중된 상태다.

정보보호 산업에서 수도권이 차지하는 비중이 워낙 크다보니 수요-공급에 따라 쏠림현상이 나타난 것이다.

KISA는 정보보호 관련 일자리의 96.5%, 매출의 95.3%가 서울 및 수도권에서 발생하고 있다고 설명했다.

결국 지방에 산재한 소규모 기업들은 정보보호 제품·서비스를 접할 기회가 그만큼 줄어들게 된다.

지역 교육기관을 통해 양성된 정보보호 인력이 지방에서 일자리를 구하지 못해 산업이 집중된 수도권으로 이탈하는 문제도 하루 이틀 일이 아니다.

지난 2018년 국가정보보호백서에 따르면 서울 및 수도권 정보보호 인력양성 비율은 55.2%로 수도권 제외 지역의 44.8%와 거의 비등했다.

하지만 이들이 취업할 수 있는 정보보호 기업이 수도권에 쏠려있다보니 지방 인력들이 일자리를 찾아 상경하거나 SW 산업 등 타분야로 이탈하기 일쑤다.

정부 지원사업 '가뭄에 물 한바가지'

정부는 이 같은 상황을 개선하기 위해 KISA를 통해 지역 중소기업 사이버 안전망 구축과 지역상생 발전 협력강화 사업을 전개하고 있다.

구체적으로 살펴보면, 지역 중소기업의 정보보호 수준을 높이고 종합적인 기술지원을 할 수 있는 거점인 '지역정보보호지원센터'를 8곳에 구축했다.

하지만 전국 광역지자체 17곳과 비교했을 때 센터 설치비율은 절반에도 미치지 못한다.

KISA는 2024년도에야 비로소 전국적인 센터망이 구축될 예정이라고 설명했다.

지난해 정보보호 종합컨설팅 지원 실적도 265개 기업에 불과한 것으로 나타났다.

KISA는 올해 400개 기업을 대상으로 컨설팅을 확대하겠다는 계획이지만 수요에는 미치지 못하는 것으로 보인다.

신청기업의 대부분이 지원 혜택을 받았다는 게 관계자의 해명이지만, 지원 대상 목표가 일년만에 50%나 증가했다는 것은 전체 수요가 이보다 더 많다는 것을 추정하는 방증이기 때문이다.

예산 증액 절실… 민간 시장 육성 필요도

정보보호 사업 부진의 원인은 예산이다.

지난해 지역정보보호지원센터 컨설팅 전체 예산은 20억원 가량으로 올해는 이보다 50% 가까이 증액된 30억여원에 이른다는 게 KISA의 설명이지만, 한정된 예산 내에서 사업을 전개하다보니 수혜를 받는 기업들의 규모는 제한될 수밖에 없다.

정보보호 안전망 구축 사업의 후속조치가 미흡한 점도 논란거리다.

적은 예산으로 신규 지원 사업을 하려다 보니 사후관리는 그야말로 '꿈에서나 가능한 이야기'다.

정보보호지원센터의 보안 컨설팅 및 장비도입 지원사업은 매해 실시하고 있지만, 지원 기업들에 대한 사후관리는 아직까지 이뤄지지 못하고 있다며 이에 대한 개선책을 궁리해보겠는 게 KISA의 답변이다.

익명을 요구한 정보보호업계 관계자는 "지원사업의 규모를 놓고 보면 정부에서 소규모 기업의 정보보호 피해실태를 그다지 심각하게 인식하지 않는 것처럼 보인다"며 "사업의 긴급성, 중요성을 생각하면 예산을 늘려 지원을 신속하게 해 나가는 게 필요하다"고 정부의 소극적 자세를 꼬집었다.

정부 주도의 정보보호 지원 사업이 민간 보안시장의 육성을 견인하는 마중물 역할을 해야 한다는 의견도 제시됐다.

정보보호는 지속적으로 이뤄져야 하는 만큼, 소규모 기업의 정보보호 인프라 신규 구축 사업을 정부 예산으로 지원하는 것으로 그치지 말고 장비 업그레이드나 유지관리 등의 업무를 지역 정보통신기술(ICT) 업체들이 수행토록 해 생태계를 조성해야 한다는 것이다.

KISA는 보안컨설팅 업체 방법론 의존에서 국내 중소기업 표준 정보보호 컨설팅 방법론을 개발·적용하는 등의 대안을 마련하겠다는 방침이다. 이를 통해 지역 ICT 업체들의 역량을 끌어올려 민간 정보보호 산업을 활성화하겠다는 계산이다.

"지역 ICT 기업 참여 유도책 마련할 것"

[미니인터뷰] 장상수 KISA 지역정보보호총괄센터장

중소기업 보안수준 제고
지역 보안 생태계 구축 목표

장상수 센터장은 지역 스타트업, 소상공인, 일반 중소기업을 대상으로 보안 수준을 제고하고, 지방 각 지역에서 자생적 보안 생태계가 만들어질 수 있도록 하는 게 센터의 지원 사업 목표라고 강조한다.

그는 "영세·중소기업들은 정보보호에 여력을 투자하기 어려운 현실 탓에 사이버 공격에 무방비로 당하기 일쑤"라며 "해커에 의해 이들 기업은 악성코드를 배포하는 가해자가 되기도 한다"고 안타까워했다.

이 같은 문제를 해결하기 위해 현재 8곳의 지역정보보호센터를 운영중으로, 올해 경쟁입찰을 통해 센터를 2곳 더 구축하겠다고 장 센터장은 밝혔다.

이들 센터들이 중소기업에게 실질적인 도움이 되고 있느냐는 물음에 장 센터장은 "센터 이용 기업들의 만족도가 높다"고 자랑했다.

지역 센터별 중소기업 무료 정보보호 컨설팅 서비스가 2018년 4003건에서 지난해 4974건으로 늘었고, 서비스 만족도 설문 결과에서도 5점 만점에 4.76점을 받았다며 2018년 4.62점보다 6.4% 향상됐다는 것이다.

그는 이 밖에도 센터를 통해 기업 규모를 고려한 맞춤형 보안컨설팅 및 솔루션을 제공하고 있다고 말했다.

최소한의 보호조치가 필요한 영세기업의 경우 별도 운영인력이나 관리가 필요 없는 클라우드 기반 보안서비스(SECaaS) 도입을 기업당 180만원까지 지원하고 있고, 전사적인 보안 관리가 요구되는 기업에게는 독립형 보안 솔루션 도입에 최대 300만원씩을 지원하고 있다는 것이다.

이 밖에도 지난 한해동안 중소기업 재직자 대상 실무교육을 실시해 1535명이 교육을 받았으며, 지역 유관기관과 협력해 정보보호 인식 제고 세미나를 96회 개최했다고 밝혔다.