업계 관계자 "보안 틈타 중소기업 공격하는 해커 늘어"
예산 삭감·절차 지연 '이중고'…"실질적 지원책 필요"
올해 대한민국 사회와 국가 인프라는 '해킹공화국'이라는 오명을 면치 못하고 있다. 통신·금융·공공기관을 가리지 않고 연쇄적으로 터지는 해킹 사고는 단순한 정보 유출을 넘어 사회 전반의 신뢰를 무너뜨리고 있다. 피해는 수천만 명의 개인정보에 국한되지 않는다. 기업의 경쟁력, 금융 시스템의 안정성, 더 나아가 국가 안보의 근간까지 위협하고 있다. 그러나 대응은 여전히 땜질식에 머물고 있고, 유사한 사고가 반복되고 있다. 뉴스핌은 <해킹공화국> 기획을 통해 해킹 실태와 구조적 원인을 짚어보고, 제도적·정책적 대안을 모색한다.
[서울=뉴스핌] 이석훈 기자 = 롯데카드 정보 유출 사태로 대기업의 보안 사고가 다시 수면 위로 오른 가운데, 중소기업과 스타트업계는 사실상 방어막이 전무하다는 지적이 나온다.
중소기업계는 자금, 인력 부족 탓에 정보 보호망 구축 역량이 대기업 대비 떨어지기 때문이다. 업계에서는 정부가 지원을 확대해 중소기업계의 보안 능력을 높여야 한다고 입을 모은다.
[해킹공화국] 글싣는 순서
1. "보안 없는 AI 강국은 사상누각"…기업을 넘어 국가 안보 위기
2. SKT·KT·롯데카드…4월 이후 매달 해킹 사고
3. 창과 방패의 끝없는 전쟁…北·中 등 해킹에 韓 사이버 안보 '구멍'
4. 사모펀드 MBK식 경영 '도마 위'에…제2롯데카드 사태 우려
5. 보안 선진국들은 해킹에 어떻게 대처하나
6. 정보보호 투자 확대·개별통지 의무화…예방책 입법 과제
7. 해킹 피해 8할이 中企…"정부 지원만이 살길" 이구동성
◆ 해킹 위험 무방비 노출…中企, 자동화 공격에 '속수무책'
26일 김동아 더불어민주당 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면 지난 8월까지 중소기업에서 발생한 사이버해킹 사고는 총 1205건이다. 이는 전체 기업에서 발생한 해킹 사고 중 80.27%에 달하는 수치다.
 |
특히 중소기업에서 발생한 사이버해킹 사고는 518건을 기록했던 2021년 이후 2022년(954건)·2023년(1034건)·2024년(1575건) 등 상승세를 보인다. 올해도 8월까지 1205건이 발생했으므로, 지난해 수치를 넘길 가능성이 높다.
이처럼 중소기업 해킹 사고 건수가 증가하는 것은 업계 전반적으로 보안 역량이 취약하기 때문이다. 중소기업은 자금이 부족해 보안 관련 예산을 줄여 수익 창출에 집중하는 경향이 강하다.
업계 관계자는 "보안 솔루션 도입과 시스템 업데이트조차 소홀해지는 현상이 일어나고 있다"며 "보안 투자를 비용으로만 여기거나 사업에 즉각 도움이 되는 영역이 아니라는 인식을 가진 경영인들도 많다"고 지적했다.
김승주 고려대학교 정보보호대학원 교수는 "중소기업은 정보 보안을 담당하는 인력도 부족하고, 관련 시스템을 구축하기 위한 자금도 부족하다"며 "중소기업의 정보 보안 문제는 비단 한국뿐만 아니라 외국에서도 주요 이슈"라고 설명했다.
이에 반해 해커의 공격은 더욱 빈번해지고 있다. 해커로서는 방어력이 약하고 신속하게 금전적 이득을 얻을 수 있는 중소기업이 효과적인 공격 대상이기 때문이다.
더구나 최근 들어 '랜섬웨어', '피싱', '웹 변조' 등 공격 방식이 자동화되며 대량의 중소기업이 한 번에 피해를 입는 사례도 많아졌다.
업계 관계자는 "해킹 종류는 계속 진화하고 있는데, 정작 중소기업의 보안 역량은 그대로"라며 "보안 인프라의 틈을 타, 해커들이 공격 대상을 중소·중견기업으로 삼는 경우가 많아졌다"고 말했다.
◆ 지역 中企 정보보호 지원 예산 '급감'…정부 지원 확대 촉구
중소기업의 보안 문제가 날이 갈수록 심각해지고 있지만, 정부 지원은 되려 줄어드는 모습을 보인다.
올해 과학기술정보통신부의 지역 중소기업 정보보호 지원 예산은 57억원이다. 이는 지난 2022년(173억원) 대비 67.05%(116억원) 급감한 수준이다.
절차 과정도 복잡해서 중소기업, 스타트업의 접근성이 떨어진다는 지적이 나온다.
스타트업계 관계자는 "보안 솔루션 구축을 위해 KISA 취약점 진단, 보안고도화 지원, 중소기업 선도기업 지원 사업 등 최대한 정부지원 사업을 활용했다"며 "신청 절차가 까다롭고 신청 기업 대비 선정 기업, 투자 비용이 적어 문제를 해결하기 어렵다"고 말했다.
업계에서는 보안 컨설팅, 저비용 클라우드 기반 보안 서비스 바우처 등 실질적 지원이 필요하다고 입을 모았다.
한 중소기업 관계자는 "개인정보보호 컨설팅 및 관리 체계 인증 비용 지원이 가장 필요하다"며 "중소기업과 스타트업은 보안에 큰돈을 쏟기가 어렵기 때문"이라고 전했다.
한 스타트업계 관계자도 "경량화된 보안 컨설팅, 저비용 클라우드 기반의 보안 서비스 바우처 지원, 오픈소스 보안 점검 서비스 확대 등이 실질적으로 도움이 될 것"이라고 말했다.
stpoemseok@newspim.com
