중국 정부 배후로 추정되는 해커 조직이 앤트로픽(Anthropic)의 생성형 AI '클로드(Claude)'를 해킹 도구로 활용해 글로벌 기업과 정부기관을 공격한 사실이 최근 확인됐다. AI가 사이버 공격의 '자동화 엔진'으로 작동하면서, 공격 난이도는 낮아지고 속도와 규모는 기하급수적으로 확대되고 있다. 문제는 이 공격의 최전선에 중소기업이 노출돼 있다는 점이다.
90%가 뚫린 중소기업, 침투의 '트로이 목마'
한국인터넷진흥원(KISA)에 따르면, 2024년 국내 랜섬웨어 피해 사례의 90% 이상이 중소·중견기업에서 발생했다. 보안 전담 인력을 확보하기 어려운 상황에서 클라우드, SaaS 기반 업무 환경은 빠르게 확산됐고, 원격근무와 협업툴 사용이 일상화되면서 인터넷에 노출된 자산은 급증하고 있지만, 랜섬웨어 검사 등 기본적인 보안 취약점을 점검할 여력조차 턱없이 부족하다. 기업 스스로 인지하지 못한 섀도우 IT 영역이 해커의 침투 경로가 되는 경우도 빈번하다.
더 심각한 문제는 중소기업의 보안 취약점이 단순히 해당 기업만의 피해로 끝나지 않는다는 사실이다. 대기업과 공공기관은 수십, 수백 개의 중소 협력사와 연결돼 있으며, 이들 중 단 한 곳만 뚫려도 공급망 전체가 위험에 노출된다. 실제로 최근 주요 산업 분야에서 발생한 보안 사고 다수가 협력사 경유 공격이었다. 중소기업 보안은 이제 개별 기업의 생존 문제를 넘어, 산업 생태계 전체의 안정성을 좌우하는 국가 차원의 이슈로 인식돼야 한다.
예산 축소 속 보안 우려는 여전
정부의 중소기업 정보보호 직접 지원 예산은 2023년 105억 원에서 2026년 13억 원으로 대폭 축소될 예정이다. 보안 인력 양성, 지역 보안센터 확대 등 중장기 인프라 구축은 강화되고 있지만, 당장 취약점에 노출된 기업들이 즉각적인 보호를 받을 수 있는 실질적 효용감은 오히려 줄어들 수 있다. 중소기업의 보안 투자 여력이 제한적인 만큼, 정부 차원의 실질적 지원 체계를 보다 정교하게 재설계할 필요성이 제기되는 대목이다.
민관 협력 중소기업 지원… '클릭 몇 번으로' 보안 점검
이러한 간극을 메우기 위한 현실적 대안으로, 민관 협력 기반의 사전 점검 방식이 주목받고 있다. 과학기술정보통신부와 KISA는 올해 말까지 전국 중소기업을 대상으로 인터넷 노출 자산의 취약점을 무상으로 점검하는 사업을 진행 중이다. 이 사업에는 국내 보안 전문기업 AI스페라의 ASM 솔루션 'Criminal IP(크리미널 IP)'가 활용된다.
기업은 홈페이지 주소만 입력하면 별도 설치 없이 웹서버, 이메일 서버 등 외부 노출 자산의 취약 요소를 자동 탐지할 수 있으며, 다크웹 유출 정보 여부까지 포함한 종합 보안 리포트를 제공받는다. KISA는 점검 결과를 토대로 후속 보안 조치 가이드를 제시해, 중소기업이 최소한의 비용과 인력으로도 실질적인 보안 수준 향상을 이룰 수 있도록 지원하고 있다. 이는 예산 제약 속에서도 기술력을 활용해 보안 사각지대를 줄이는 효과적인 모델로 평가받는다. 신청은 KISA의 사이버 보안 종합 포털인 '보호나라' 홈페이지에서 진행할 수 있으며, 안내 리플렛에 기재된 QR코드 또는 URL을 통해 별도의 서류 제출없이 자동 접수가 가능하다.
주요국도 주목한 중소기업 보안…지원 모델 다각화
미국, EU 등 주요국은 중소기업 보안을 국가 안보 전략의 핵심 구성요소로 설정하고 있다. 미국은 중소기업청(SBA)을 통해 보안 비용 지원 프로그램과 국가 차원의 보안 가이드라인을 운영하고 있다. EU는 '사이버보안 바우처' 제도로 기업의 솔루션 및 컨설팅 비용 일부를 보조한다. 일본 역시 정부 주도 가이드라인과 민간 참여형 보안 강화 캠페인을 병행하며 중소기업의 보안 역량 제고에 집중하고 있다.
AI가 공격 도구로 일상화된 지금, 중소기업의 보안 취약성은 더 이상 그들만의 문제가 아니다. 한 곳이 무너지면 전체가 흔들리는 공급망 구조에서, 중소기업 보안은 곧 국가 경제 안보의 최전선이다. 비용과 인력 한계를 고려한 현실적 지원 방안과 민관 협력 모델의 지속적 확대가 중요한 시점이다.