자동차 부품 제조업체 A사는 지난 해 8월 랜섬웨어 공격을 받았다. 주요 내부 문서들이 줄줄이 새어나갔다. 이 중에는 고객사인 대기업의 신차 프로젝트와 생산 계획 등 중요 정보까지 포함 돼 있었다. 타이어 제조업체 B사도 지난 해 9월 랜섬웨어 공격을 받았다. 내부 전산망에 오류가 발생하면서 생산라인 가동이 중단됐고, 납품에 차질을 빚어졌다. B사는 생산 차질 뿐 아니라 고객사의 신뢰 상실 피해까지 입었다.
최근 SK텔레콤 유심 정보 유출 사고 등 해커들이 업종 불문 공격을 시도하는 가운데 대기업에 비해 보안이 허술한 중소기업이 줄줄이 뚫리고 있는 것으로 확인됐다. 중소기업이 뚫리면 이들과 협업하는 대기업까지 피해가 확산될 수 있어 중소기업 사이버 보안에 개별기업은 물론 정부도 경각심을 갖고 대응해야 한다는 지적이 나온다. 특히 전문가들은 예산과 인력이 부족한 중소기업이 자체적으로 정보보호 대응책을 마련하기 어려운 만큼 정부 지원을 늘려야 한다고 입을 모은다.
12일 과학기술정보통신부에 따르면 중소기업 대상 정보보호 컨설팅과 보안솔루션을 지원하는 ICT 중소기업 정보보호 안전망 확충 예산은 올해 57억 원으로 지난 해 88억 원 대비 35.2% 감소했다. 기업의 디지털 전환이 가속화하며 사이버 침해 피해가 증가하고 있음에도 2022년 173억 원으로 정점을 찍은 중소기업 정보보호 예산은 되레 2023년 135억 원으로 줄어든 후 하락세를 이어가고 있다. 이런 가운데 사이버 공격은 중소기업에 집중되고 있다. 한국인터넷진흥원(KISA)에 따르면 지난 해 랜섬웨어 감염 사고 195건 중 중소기업이 94%에 달했다.
문제는 중소기업에 대한 공격이 주로 랜섬웨어 형태로 발생하고 있어 주요 고객사인 대기업에 대한 정보까지 유출돼 대규모 해킹 사태로 번질 수 있다는 데 있다. 실제 규모가 작은 기업의 사이버 침해 피해가 대기업까지 확대되는 사건이 끊이지 않고 있다.
생활가전을 제조하는 국내 대기업 C사는 올해 2월 랜섬웨어 공격을 당해 기술 자료가 유출됐다. 자회사 직원 PC가 랜섬웨어에 감염되면서 같은 전산망을 사용하고 있는 C사도 피해를 받은 것으로 드러났다. 유출된 자료에는 제품 견적서와 설계도면, 비밀유지계약서, 일부 개인정보 등이 포함된 것으로 파악됐다. 지난 해 12월에는 대기업 등에 부품을 납품하는 1차 금속 가공제조업체 D사에 랜섬웨어 피해가 발생해 재무, 회계, 보험서류, 고객사 정보 등 내부 문서가 해커들 손에 넘어갔다.
사이버 공격을 받으면 막대한 피해가 발생함에도 중소기업이 정보보호 안전망을 구축하지 않는 것은 경제적 여건 때문이다. 한국정보보호산업협회가 지난 해 전국 종사자 수 10인 이상 기업체 중 네트워크에 연결된 컴퓨터를 1대 이상 보유하고 있는 기업체 6500개를 대상으로 조사한 결과 50인 미만 기업 중 정보보호 정책을 보유한 곳은 전체의 48.9%에 불과했다. 반면 250명 이상 기업은 98.7%에 달했다. 정보보호 예산을 사용하지 않는 이유로 기업 10곳 중 7곳이 ’경제력 부족'을 꼽았다.
이처럼 보안 인프라가 부족한 중소기업이 사이버 공격에 무방비로 노출돼 있지만 정부 관심과 지원은 부족한 실정이다. 관련 예산이 대폭 삭감된 상황에서 과기정통부와 KISA가 중소기업의 사이버침해 사고 예방·대응 역량 강화하기 위해 2014년 설립한 지역정보보호지원센터는 2020년 10개까지 늘어난 뒤 추가 확대는 되지 않고 있다. 전국 중소기업 수가 800여 만개에 달하는 점을 고려하면 10개 센터가 보안 수요를 감당하기 쉽지 않다는 평가다. 센터 예산도 2020년 24억 원에서 2022년 16억 원으로 감소한 뒤 2023년부터 23억 원으로 회복했지만 물가상승률을 고려하면 후퇴했다는 비판이 제기된다. 과기정통부 관계자는 “정보보안 지원 필요성이 시급한 분야로 선별 지원이 이뤄지고 있지만 예산이 부족한 것은 맞는다”며 “정보보호 예산을 더 확대할 방안을 모색하는 중”이라고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
wipark@sedaily.com
