중소기업일수록 해킹에 취약하며, 해킹 발생 시 매출 대비 피해가 더 큰 것으로 나타났다.

한국인터넷진흥원(KISA) 자료에 따르면 2017년 사이버 침해사고에서 중소기업이 98%를 차지할 정도로 심각한 것으로 확인됐다.

중소기업은 보안 인프라와 정보보호 역량이 부족할 뿐 아니라 정보보호 예산 자체가 거의 없는 경우가 태반이다. 특히 수도권을 벗어나 지역으로 갈수록 보안 인프라가 부족해 정보보호 사각지대가 되고 있다.

중소기업은 핵심 자료 관리를 업무담당자 1명이 총괄하는 경우가 많은데, 이때 담당자 메일 계정을 해킹 당하면 회사의 핵심 자료가 모두 유출되며 규모 대비 피해 규모가 매우 커진다. 실제로 A업체는 업무담당자 메일 계정을 해킹 당해, 거래 관련 정보를 유출당했다. 해커가 이렇게 유출한 거래 정보를 이용해 위장 계좌를 만든 뒤 거래대금 요청해 탈취해갔다.

노명선 한국인터넷진흥원 지역정보보호총괄센터장은 “중소기업일수록 정보보호가 더 필요하다는 생각에 KISA는 2014년부터 지원에 나서고 있다”며 “최근에는 지역을 강화하고 있다”고 밝혔다.

하지만 그는 “예산과 현실의 한계로 어려움이 많다”고 밝혔다. 수많은 중소기업을 돕기에는 예산이 부족해 KISA는 일부를 선정해 지원한다. 또 도덕적 해이를 막기 위해 KISA가 일정 금액을 지원하면, 기업도 그에 상응하는 금액을 내고 정보보호 사업을 하는 매칭펀드 방식으로 추진한다. 그런데 상응 금액이 부담스럽거나 담당자가 정보보호에 집중할 여력이 안 돼 중도에 포기하는 사례가 적지 않다는 설명이다.

KISA는 지난해 314개 중소기업으로부터 신청을 받아 컨설팅을 추진했는데, 이 중 104개 회사가 중도에 포기해 최종 195개 회사를 대상으로 컨설팅을 지원했다.

195개 회사의 보안 수준은 보안이 완벽한 수준을 100점으로 볼 때 67.3점 수준이었다. 컨설팅을 통해 정보보호 수준을 평균 73.5점으로 9.2점을 올렸다.

노명선 센터장은 “올해는 기업에서 25%만 부담하면 사업을 할 수 있도록 기업 부담을 줄여줄 계획”이라며 “더 많은 중소기업이 정보보호 컨설팅으로 혜택을 받을 수 있도록 계속 노력하겠다”고 설명했다.

[테크M = 박응서 기자(gopoong@techm.kr)]