중소기업만 노리고 해킹하는 사례가 급증하고 있지만 정보보호 조치를 제대로 하지 않고 방치한 중소기업이 여전히 많이 대책마련이 시급하다는 지적이다.
27일 한국인터넷진흥원(KISA)에 따르면 2017년 기준으로 전체 기업 사이버 침해사고 신고·조사 건수 가운데 중소기업이 차지하는 비중이 98%에 달했다. 또 최근 3년간 해킹으로 기술이 유출돼 입은 피해액이 3000억원에 달하는 것으로 조사됐다.
KISA가 50인 미만 중소기업의 정보보호 관리실태를 조사한 결과에 따르면 보안 전담조직을 운영하는 기업은 2%에 불과하고, 보안정책을 수립한 기업은 11.6%, 정보보호 책임자를 임명한 기업은 14.1%에 그쳤다.
이렇게 정보보호 대응체계가 열악하다보니 중소기업의 해킹 피해 사례를 살펴보면 주로 PC, 이메일, 홈페이지 등 기본적인 인프라에 대한 보안조치가 미흡해 일어나는 게 대다수다.
조선기자재 제조업체 A사는 업무담당자 메일 계정을 해킹당해 거래관련 정보가 유출됐다. 해커는 A사의 평소 거래처에 위장한 계좌번호로 결제대금을 요청한 후 탈취해 달아났다.
선박엔지니어링 업체 B사 역시 업무용 PC에서 거래처와 내부업무 정보를 탈취당해 거래업체로 위장한 거래대금 요청 인보이스 메일을 수차례 받았다.
낚시용품 판매점 C사는 운영중인 쇼핑몰을 해킹당해 협력업체 정보가 유출됐고, 이를 통해 C사가 발송하지 않은 주문사가 국내 수십여개 협력업체에 무단 발송됐다.
노명선 KISA 지역정보보호총괄센터장은 "중견기업까지는 정보보호 수준이 괜찮지만 중소기업이나 영세기업의 경우 정보보호 투자나 조직이 부재한 상황"이라며 "실제로 방문해보면 PC에 중요 정보를 모두 저장해 관리하는 등 해킹에 취약한 상태인 경우가 대다수"라고 말했다.
KISA는 이런 지역 중소기업 침해사고 예방을 위한 기술지원을 전담하는 '지역 정보보호 지원센터' 7곳을 운영하고 있다. 지역센터에선 중소기업을 대상으로 정보보호 종합컨설팅을 지원하고, 이 결과를 바탕으로 보안솔루션을 도입할 수 있도록 비용을 최대 300만원까지 기업과 1대1 매칭방식으로 지원한다.
KISA가 지난해 종합 컨설팅 지원사업 선정업체 195곳을 모아 정보보호 수준을 평가한 결과, 100점 만점에 평균 67.3점을 기록한 것으로 나타났다. 특히 수도권 기업은 평균 72.1점을 기록한 데 비해, 비수도권 기업은 63.9점에 그쳐 낙제점을 받았다.
이는 정보보호 기업의 88.5%와 일자리 96.5%가 서울과 수도권에 쏠려있어 지역 중소기업들의 정보보호를 지원할 인프라 자체가 취약하기 때문으로 분석된다.
노 센터장은 "올해 1개 지역센터를 추가로 설립하고 2020년까지 총 10개 센터를 구축·운영할 계획"이라며 "수도권에 비해 다소 열악한 지역 중소기업의 정보보호와 관련 산업 및 인력양성을 위한 신규사업을 지속적으로 확충해 나가겠다"고 말했다.
