자동차 부품 제조업체 A사는 지난 해 8월 랜섬웨어 공격을 받았다. 해커 조직은 가로챈 정보를 유포하겠다며 A사를 협박했다. 탈취된 내부 문서에는 고객사인 한 대기업의 신차 프로젝트와 생산 계획 등 중요 정보가 다수 포함 돼 있었다.
타이어 제조업체 B사는 지난 해 9월 랜섬웨어 공격을 받아 내부 전산망에 오류가 발생했다. 이 공격으로 지역 공장의 생산라인 가동이 중단되면서 납품에 차질을 빚은 B사는 고객사의 신뢰 상실 등 유무형의 피해를 입었다.
최근 해킹 사고가 업종 불문 잇따르는 가운데 대기업에 비해 보안 투자에 소홀한 중소기업에 대한 사이버 침해 피해가 제 2의 대형 해킹 사태의 불쏘시개가 될 수 있다는 우려가 커지고 있다. 사이버 공격이 중소기업의 주요 고객사인 대기업까지 번질 가능성이 커 피해가 눈덩이처럼 불어날 수 있다는 지적이다. 전문가들은 예산과 인력이 부족한 중소기업이 자체적으로 정보보호 대응책을 마련하기 어려운 만큼 정부 지원을 늘려야 한다고 입을 모은다.
11일 과학기술정보통신부에 따르면 중소기업 대상 정보보호 컨설팅과 보안솔루션을 지원하는 ICT 중소기업 정보보호 안전망 확충 예산은 올해 57억 원으로 지난 해 88억 원 대비 35.2% 감소했다. 기업의 디지털 전환이 가속화하며 사이버 침해 피해가 증가하고 있음에도 2022년 173억 원으로 정점을 찍은 중소기업 정보보호 예산은 되레 2023년 135억 원으로 줄어든 후 하락세를 이어가고 있다. 이런 가운데 사이버 공격은 중소기업에 집중되고 있다. 한국인터넷진흥원(KISA)에 따르면 지난 해 랜섬웨어 감염 사고 195건 중 중소기업이 94%에 달했다.
문제는 중소기업에 대한 공격이 주로 랜섬웨어 형태로 발생하고 있어 주요 고객사인 대기업에 대한 정보까지 유출돼 대규모 해킹 사태로 번질 수 있다는 데 있다. 실제 규모가 작은 기업의 사이버 침해 피해가 대기업까지 확대되는 사건이 끊이지 않고 있다.
생활가전을 제조하는 국내 대기업 C사는 올해 2월 랜섬웨어 공격을 당해 기술 자료가 유출됐다. 자회사 직원 PC가 랜섬웨어에 감염되면서 같은 전산망을 사용하고 있는 C사도 피해를 받은 것으로 드러났다. 유출된 자료에는 제품 견적서와 설계도면, 비밀유지계약서, 일부 개인정보 등이 포함된 것으로 파악됐다. 지난 해 12월에는 대기업 등에 부품을 납품하는 1차 금속 가공제조업체 D사에 랜섬웨어 피해가 발생해 재무, 회계, 보험서류, 고객사 정보 등 내부 문서가 해커들 손에 넘어갔다.
사이버 공격을 받으면 막대한 피해가 발생함에도 중소기업이 정보보호 안전망을 구축하지 않는 것은 경제적 여건 때문이다. 한국정보보호산업협회가 지난 해 전국 종사자 수 10인 이상 기업체 중 네트워크에 연결된 컴퓨터를 1대 이상 보유하고 있는 기업체 6500개를 대상으로 조사한 결과 50인 미만 기업 중 정보보호 정책을 보유한 곳은 전체의 48.9%에 불과했다. 반면 250명 이상 기업은 98.7%에 달했다. 정보보호 예산을 사용하지 않는 이유로 기업 10곳 중 7곳이 ’경제력 부족'을 꼽았다.
이처럼 보안 인프라가 부족한 중소기업이 사이버 공격에 무방비로 노출돼 있지만 정부 관심과 지원은 부족한 실정이다. 관련 예산이 대폭 삭감된 상황에서 과기정통부와 KISA가 중소기업의 사이버침해 사고 예방·대응 역량 강화하기 위해 2014년 설립한 지역정보보호지원센터는 2020년 10개까지 늘어난 뒤 추가 확대는 되지 않고 있다. 전국 중소기업 수가 800여 만개에 달하는 점을 고려하면 10개 센터가 보안 수요를 감당하기 쉽지 않다는 평가다. 센터 예산도 2020년 24억 원에서 2022년 16억 원으로 감소한 뒤 2023년부터 23억 원으로 회복했지만 물가상승률을 고려하면 후퇴했다는 비판이 제기된다. 과기정통부 관계자는 “정보보안 지원 필요성이 시급한 분야로 선별 지원이 이뤄지고 있지만 예산이 부족한 것은 맞는다”며 “정보보호 예산을 더 확대할 방안을 모색하는 중”이라고 밝혔다.
