중소기업이 해커의 주된 먹잇감이 되면서 사이버 침해 피해가 증가하고 있다. 상대적으로 보안 투자와 관련 인력이 부족한 중소기업은 해커에게 보안 취약점이 노출되기 쉽기 때문이다. 특히 중소기업의 보안 허점은 결국 이들과 협업하는 정부와 대기업에 대한 공격으로 이어질 수 있다는 점에서 보안 비상등이 켜졌다는 목소리가 나온다.
13일 보안업계에 따르면 기업을 대상으로 하는 사이버 침해 사고가 증가하는 가운데 피해가 보안에 취약한 중소기업에 몰리고 있다. 허은아 국민의힘 의원이 과학기술정보통신부와 한국인터넷진흥원(KISA)에서 제출받은 자료에 따르면, 올해 들어 지난 8월까지 KISA에 신고 접수된 악성코드 감염과 유포 등 사이버 침해사고 건수는 738건으로 나타났다. 이는 2019년(418건), 2020년(603건), 2021년(640건) 대비 급증한 수치다. 특히 피해 신고한 기업 738곳 중 655곳이 중소기업인 것으로 조사됐다.
중소기업에 사이버 침해 피해가 집중되는 배경엔 예산 부족 및 전문지식 부족 문제와 이에 따른 보안 인식 부족이 있다. 중소기업은 보안 전담 인력조차 없는 경우도 빈번하다. 오래된 버전의 운영체제 소프트웨어를 그대로 사용하거나 사이버 공격이 있었다는 사실 자체도 인지하지 못하는 기업도 상당수라고 업계는 추정하고 있다.
중소벤처기업부가 지난해 발표한 ‘3차 중소기업 보호 지원계획(2022~2024)’에 따르면 중소기업 기술 보호 역량은 대기업의 70.1% 수준에 머무르고 있다. 중소벤처기업부는 비대면 근무 이후에도 “대부분 업무 변화의 필요성을 인식하지 못하거나 시스템, 인력 등 보안 인프라 부족으로 별다른 대처를 하지 않는 것으로 조사됐다”라고 진단했다.
특히 중소기업에 대한 공격이 위협적인 이유는 하청업체가 많은 중소기업의 특성상 이들 기업에 대한 해킹은 결국 정부 혹은 대기업에 대한 해킹으로 이어지기 때문이다. 최근 정부 기관 등을 목표로 발생한 해킹 시도 역시 소규모 외주업체의 보안 취약점을 노린 공격으로 전문가들은 분석했다. 지난 9월 전쟁기념관은 해커 공격으로 일주일간 홈페이지 등 전산망이 마비됐는데 이 역시 그동안 전산망 서버를 관리했던 민간 용역업체의 보안 취약점이 드러난 것으로 업계는 추정하고 있다.
정부도 이렇듯 보안의 취약한 고리가 된 중소기업을 위해 다양한 프로그램을 운영하고 있다. 과학기술정보통신부는 지난 4월부터 외부에 연결되는 주요 서버의 보안 취약점을 원격 점검하는 서비스 ‘내서버 돌보미’를 제공하고 있다. 영세한 중소기업의 사이버보안 면역력을 강화하고 침해사고 대응력을 높이겠다는 것이다. 2018년부터 올해 상반기까지 5년간 지급된 KISA가 운영하는 보안취약점 신고포상제도(버그바운티) 포상금액 역시 83%가 정부 예산이다. 버그바운티는 기업의 서비스나 제품을 해킹해 보안 취약점을 발견한 사람에게 포상금을 주는 제도를 말한다. 보상금은 민간 기업과 정부 예산으로 지급되나 여전히 정부 지원이 압도적이다.
업계 관계자는 “인력이 넘치고 보안 투자를 많이 하는 대기업과 정부 주요 내부망 같은 경우는 해킹에서 비교적 자유롭다고 해도, 결국 이들과 연관된 중소기업의 보안이 허술하면 연달아 똑같이 피해를 볼 수밖에 없다”라며 “보통 협력업체를 통해 주요 정보가 새어 나가기도 하기 때문에 결국 중소기업 보안이 강화돼야 정부와 전체 산업 보안도 강화될 수 있다”라고 했다. 그는 “결국 당장 돈도 없는 개별 중소기업이 보안을 스스로 강화하긴 어려운 만큼 정부와 대기업의 지원 등이 절실하다”라고 했다.