2021년 640건에서 올해 8월 1,269건으로 증가…동기간 중소기업 사고 83%
[SRT(에스알 타임스) 윤서연 기자] 중소기업에 대한 사이버 공격이 지속적으로 증가하는 가운데 정부의 지역 중소기업 정보보호 지원 사업비는 매년 감액되고 있는 것으로 나타났다. 지원 대상 중소기업의 수 또한 줄고 있어 이에 대한 지원책 필요성이 제기된다.
10일 국회 과학기술정보방송통신위원회 소속 이정헌 더불어민주당 의원은 국정감사에서 한국인터넷진흥원 (KISA) 의 중소기업 사이버 침해사고 대응 및 예방 예산 삭감을 지적했다.
이 의원이 과학기술정보통신부(이하과기정통부)로부터 받은 자료에 따르면, ‘지역 중소기업 정보보호 지원’ 사업비는 지난해 105억원에서 올해 58억원으로 삭감됐고 내년 예산은 26억원으로 집계됐다. 올해 대비 절반 이상이 감액된 것이다.
지역 중소기업 정보보호 지원 사업은 과기정통부와 한국인터넷진흥원(이하 KISA)이 지역 중소기업의 정보보호 수준을 제고하고 사이버침해사고 예방 및 대응 역량을 강화하고 정보보호 산업을 활성화하기 위해 지난 2014년부터 추진한 사업이다.
사업 예산이 감액됨에 따라 지원대상 중소기업 수 또한 2023년 1,500개 사에서 올해는 700개사로 축소됐다.
과기부는 "예산 삭감으로 지원 규모가 감소된 것은 불가피한 일"이라며 "양적 규모가 줄더라도 한정된 예산으로 지원 대상 기업 선별 기준을 강화해 확실하게 지원받을 수 있도록 할 것"이라고 답변했다.
중소기업 사이버 침해사고 대표 사례로는 랜섬웨어 감염사고, 홈페이지 변조 사고, 관리시스템 내 문자발송 시스템을 악용해 대량 스팸문자 발송 사고 등이 있다.
중소기업 관계자에 따르면 “매출이 상대적으로 적은 중소기업은 사이버 침해 예방을 위한 투자가 어렵고, 사이버 침해로 유출된 정보에 대한 보상 처리를 하면 회사 운영을 접어야 하는 것이 현실”이라며 “집 털린 기업은 안 그래도 억울한데 국가가 기업에만 너무 많은 책임을 지게 한다” 라고 호소했다.
그러면서 “대기업만을 위한 정책이 아니라 매출액이 적어 가이드라인을 준수할 여력이 없는 중소기업과 스타트업의 현실도 고려한 정책이 필요하다”라고 말했다.
이 의원이 KISA 로부터 받은 자료에 따르면, 최근 4년간 KISA 에서 접수 받은 민간분야 사이버 침해 사고 신고 건수는 2021 년 640 건에서 올해 8월 기준 1,269건을 기록했다.
이 중 2021년부터 최근 4년간 KISA 에 접수된 정보통신 분야 침해 사고 중 중소기업의 침해 신고 건수는 3,581건으로 전체 신고 건수의 약 83%를 차지하는 것으로 드러났다.
정보통신 분야 침해 사고 건수가 급증한 것에 비하여 , KISA 의 사이버 침해 대응 인력은 수년째 120여명에 머무르고 있었다. KISA 디지털위협대응본부의 디지털 위협대응 인력 현황은 ▲2021년 124명 ▲2022년 123명 ▲2023년 122명 ▲2024년 8월 128명이다.
KISA 는 이와 관련해 침해 사고에 대응하는 인력이 부족한 현실을 인정하며 “매년 인력 충원을 요청하지만, 기재부의 승인을 받아야 해 쉽지 않은 상황”이라고 답했다.
이정헌 의원은 “윤석열 정부는 ‘국가 사이버안보 대응역량 강화’를 국정과제로 내세웠지만, 중소기업 정보보호 지원 예산 및 KISA 의 사이버보안 R&D 예산은 대폭 삭감하고 민간 기업의 사고에 대응하는 KISA 침해 대응 인력 구축에도 제대로 나서지 않고 있다”며, “현 상황은 정부가 중소기업의 사이버 침해 사고에 대응하고 예방하는 것을 포기하겠다고 선언한 것과 다를 바가 없는 수준” 이라고 비판했다.
이어 “신고 건수의 대부분을 차지하는 중소기업은 예산 부족 등의 현실적인 이유로 정보보호를 위한 투자를 하기 어렵다”며, “정부는 국민 앞에서 한 약속이 지켜지도록 사이버 피해 규모 파악과 더불어 사이버 공격 피해에 대한 적극적인 지원책 마련을 위한 예산 확보에 적극적으로 나서야 할 것”이라고 말했다.
이에 이상중 한국인터넷진흥원장은 “중소기업 지원을 지금까지 보편적으로 해왔던 것”이라고 답했다.